冰血封情:APT在互联网犯罪中的历史形态及应对建议

中国IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。

中国IDC产业年度大典作为国内云计算和数据中心领域规模最大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。

阳朔国旅集团总经理冰血封情出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《APT在互联网犯罪中的历史形态及应对建议》的精彩演讲。

冰雪风情

阳朔国旅集团总经理冰血封情

以下为冰血封情演讲实录:        

大家好,我是冰雪,我很少在这样的场合跟大家见面,通知我做这个议题的时候时间不是太充裕,今天跟大家讲APT在互联网犯罪中的历史形态及其应对建议。应对建议跟各个安全厂商不大一样,我们从攻击者的角度来考虑。

关于APT,我们称呼的APT叫做高持续性威胁,我们认为它有三个特点,第一是隐蔽性,要求持续深入对目标进行深层的监控及信息数据窃取,受害人所有数据都可能是攻击者的目标,不管是图片、音频、视频还是文字,一切存储设备都可能是他的攻击目标。第二是针对性。APT之所以很难防御,是因为它是量身为你定制的,你的杀毒软件再厉害,我是根据体的杀毒软件做的免杀处理,我是针对你的电脑跟你量身定制一个没法防御的东西,这个是APT最大的特点之一。第三点是综合性,针对海量的信息利用,他要针对你必须要先了解你,要充分通过信息渠道获取手段把你的生活作息、使用器官都了解清楚,搜集你所有的信息,为你量身定植破解的数据库。

最早还没有APT概念的时候,对于我们黑客来说它就是内网渗透中的一个关键环节,我拿到一个权限之后,我要对它的内网进行数据的检索甚至是窃取,首先最重要的就是要对你的内网进行整个编译。传统四段手法是分析、打点、渗透和控守。渗透是对内网、对服务器、对公司大的虚拟网络进行渗透。渗透完了之后控守,这是APT攻击的最大特点,控守的关键是会持续的悄无声息地对更新的数据进行窃取,传统的四段手法是这样的。量身大枣,针对性免杀突破防御,定制开发,白盒测试,社会工程学欺骗,物理侵入等。国内也有做物理侵入的团队,到你们公司里对你们的电话线、网线进行掐线,给你们公司的网络接上一个WiFi他再回去侵入。主要工具是加密跳板、堡垒机、下载、前锋、控守、硬件植入、隔离摆渡等。下载者的目的,如果要在一个电脑上种上一个很大的程序,一两M的程序都很大了,下载者一般控制在几十K、十几K之内。攻击目标的时候,我们找到了一个IE浏览器漏洞,设法让你浏览这个网页的时候,前锋码的目的是第一时间把你的系统变异一遍。控守码是很少使用的,只有发现重点目标有价值会在里面种控守码。隔离摆渡针对安全性较差的服务器,他不上网,有种程序专门针对不上网的电脑。

APT渗透的核心原则是减少体积,提高效率,长期控制。对目标网络日常通信影响最小化,最小化是你完全没有感受到有一个人天天看着你,如果他的程序大,他的执行效率低会影响系统性能,这个很关键,一定要影响最小化,不能打草惊蛇,我说的都是攻击者的想法。

现在说历史,在中国网络安全初时代,APT是怎样的形式。中国网络安全初代是改革开放初期到千禧年之前,这技术技术比较单轨,互联网在中国开始蓬勃发展,黑客技术掌握在极少数人手中,一个小群体中大家相互交流。缺乏网络安全概念普及,老百姓不知道,他们只会上网,在网络上做简单的聊天交流,从来没有想到安全威胁对他的电脑甚至人生产生很大的影响。缺乏技术多极化并行制约,技术掌握在少数人手里,少数人在互联网上说了算,没有并行制约。运维单纯,网站管理人员缺乏网络安全意识,显著目标也很少遭到残酷打击,中国互联网处于淳朴的和谐共享开放状态,这个时候对技术人员来说是很怀念的,那时候大家没有任何私心,共享技术,提高也很快。手段单一,单漏洞横行吃遍天下,都是简单粗暴低级的漏洞。支持单薄,国内专业安全公司极少,行业难以提供整合式的安全服务,需教育客户认知安全拓展业务困难。