APT攻擊是近幾年來出現(xiàn)的一種高級攻擊，具有難檢測、持續(xù)時間長和攻擊目標明確等特征。本文中，小編帶你細數(shù)一下近年來比較典型的幾個APT攻擊，分析一下它們的攻擊過程。

Google極光攻擊

2010年的Google Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名雇員點擊即時消息中的一條惡意鏈接，引發(fā)了一系列事件導致這個搜索引擎巨人的網(wǎng)絡被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。這次攻擊以Google和其它大約20家公司為目標，它是由一個有組織的網(wǎng)絡犯罪團體精心策劃的，目的是長時間地滲入這些企業(yè)的網(wǎng)絡并竊取數(shù)據(jù)。

[[84140]]

該攻擊過程大致如下：

1) 對Google的APT行動開始于刺探工作，特定的Google員工成為攻擊者的目標。攻擊者盡可能地收集信息，搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。

2) 接著攻擊者利用一個動態(tài)DNS供應商來建立一個托管偽造照片網(wǎng)站的Web服務器。該Google員工收到來自信任的人發(fā)來的網(wǎng)絡鏈接并且點擊它，就進入了惡意網(wǎng)站。該惡意網(wǎng)站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出，進而執(zhí)行FTP下載程序，并從遠端進一步抓了更多新的程序來執(zhí)行(由于其中部分程序的編譯環(huán)境路徑名稱帶有Aurora字樣，該攻擊故此得名)。

3) 接下來，攻擊者通過SSL安全隧道與受害人機器建立了連接，持續(xù)監(jiān)聽并最終獲得了該雇員訪問Google服務器的帳號密碼等信息。

4) 最后，攻擊者就使用該雇員的憑證成功滲透進入Google的郵件服務器，進而不斷的獲取特定Gmail賬戶的郵件內容信息。#p# 

超級工廠病毒攻擊(震網(wǎng)攻擊)

著名的超級工廠病毒攻擊為人所知主要源于2010年伊朗布什爾核電站遭到Stuxnet蠕蟲的攻擊的事件曝光。

[[84141]]

遭遇超級工廠病毒攻擊的核電站計算機系統(tǒng)實際上是與外界物理隔離的，理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破，超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯(lián)網(wǎng)的計算機發(fā)起感染攻擊，以此為第一道攻擊跳板，進一步感染相關人員的移動設備，病毒以移動設備為橋梁進入“堡壘”內部，隨即潛伏下來。病毒很有耐心的逐步擴散，一點一點的進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍，攻擊十分精準。

在2011年，一種基于Stuxnet代碼的新型的蠕蟲Duqu又出現(xiàn)在歐洲，號稱“震網(wǎng)二代”。 Duqu主要收集工業(yè)控制系統(tǒng)的情報數(shù)據(jù)和資產(chǎn)信息，為攻擊者提供下一步攻擊的必要信息。攻擊者通過僵尸網(wǎng)絡對其內置的RAT進行遠程控制，并且采用私有協(xié)議與CC端進行通訊，傳出的數(shù)據(jù)被包裝成jpg文件和加密文件。#p# 

夜龍攻擊

夜龍攻擊是McAfee在2011年2月份發(fā)現(xiàn)并命名的針對全球主要能源公司的攻擊行為。

[[84142]]

該攻擊的攻擊過程是：

1) 外網(wǎng)主機如Web服務器遭攻擊成功，多半是被SQL注入攻擊;

2) 被黑的Web服務器被作為跳板，對內網(wǎng)的其他服務器或PC進行掃描;

3) 內網(wǎng)機器如AD服務器或開發(fā)人員電腦遭攻擊成功，多半是被密碼暴力破解;

4) 被黑機器被植入惡意代碼，多半被安裝遠端控制工具(RAT)，傳回大量機敏文件(WORD、PPT、PDF等等)，包括所有會議記錄與組織人事架構圖;

5) 更多內網(wǎng)機器遭入侵成功，多半為高階主管點擊了看似正常的郵件附件，卻不知其中含有惡意代碼。

#p# 

RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據(jù)建立VPN網(wǎng)絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。在RSA SecurID攻擊事件中，攻擊方?jīng)]有使用大規(guī)模SQL注入，也沒有使用網(wǎng)站掛馬或釣魚網(wǎng)站，而是以最原始的網(wǎng)路通訊方式，直接寄送電子郵件給特定人士，并附帶防毒軟體無法識別的惡意文件附件。

[[84143]]

其攻擊過程大體如下：

1) RSA有兩組同仁們在兩天之中分別收到標題為“2011 Recruitment Plan”的惡意郵件，附件是名為“2011 Recruitment plan.xls”的電子表格;

2) 很不幸，其中一位同仁對此郵件感到興趣，并將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609);

3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具，并開始自C&C中繼站下載指令進行任務;

4) 首批受害的使用者并非“位高權重”人物，緊接著相關聯(lián)的人士包括IT與非IT等服務器管理員相繼被黑;

5) RSA發(fā)現(xiàn)開發(fā)用服務器(Staging server)遭入侵，攻擊方隨即進行撤離，加密并壓縮所有資料(都是rar格式)，并以FTP傳送至遠端主機，又迅速再次搬離該主機，清除任何蹤跡。

#p#

暗鼠攻擊

2011年8月份，McAfee/Symantec發(fā)現(xiàn)并報告了該攻擊。該攻擊在長達數(shù)年的持續(xù)攻擊過程中，滲透并攻擊了全球多達70個公司和組織的網(wǎng)絡，包括美國政府、聯(lián)合國、紅十字會、武器制造商、能源公司、金融公司，等等。

[[84144]]

其攻擊過程如下：

1) 攻擊者通過社會工程學的方法收集被攻擊目標的信息。

2) 攻擊者給目標公司的某個特定人發(fā)送一些極具誘惑性的、帶有附件的郵件例如邀請他參見某個他所在行業(yè)的會議，以他同事或者HR部門的名義告知他更新通訊錄，請他審閱某個真實存在的項目的預算，等等。

3) 當受害人打開這些郵件，查看附件(大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls)，受害人的EXCEL程序的FEATHEADER遠程代碼執(zhí)行漏洞(Bloodhound.Exploit.306)被利用，從而被植入木馬。實際上，該漏洞不是0day漏洞，但是受害人沒有及時打補丁，并且，該漏洞只針對某些版本的EXCEL有效，可見被害人所使用的EXCEL版本信息也已經(jīng)為攻擊者所悉知。

4) 木馬開始跟遠程的服務器進行連接，并下載惡意代碼。而這些惡意代碼被精心偽裝(例如被偽裝為圖片，或者HTML文件)，不為安全設備所識別。

5) 借助惡意代碼，受害人機器與遠程計算機建立了遠程Shell連接，從而導致攻擊者可以任意控制受害人的機器。

#p# 

Lurid攻擊

2011年9月22日，TrendMicro的研究人員公布了一起針對前獨聯(lián)體國家、印度、越南和中國等國家的政府部門、外交部門、航天部門，還有科研機構APT攻擊——Lurid攻擊。

攻擊者的主要是利用了CVE-2009-4324和 CVE-2010-2883這兩個已知的Adobe Reader漏洞，以及被壓縮成RAR文件的帶有惡意代碼的屏幕保護程序。

用戶一旦閱讀了惡意PDF文件或者打開了惡意屏幕保護程序，就會被植入木馬。木馬程序會變換多種花樣駐留在受害人電腦中，并與C&C服務器進行通訊，收集的信息通常通過HTTP POST上傳給C&C服務器。攻擊者借助C&C服務器對木馬下達各種指令，不斷收集受害企業(yè)的敏感信息。

#p# 

Nitro攻擊

2011年10月底，Symantec發(fā)布的一份報告公開了主要針對全球化工企業(yè)的進行信息竊取的Nitro攻擊。

該攻擊的過程也十分典型：

1) 受害企業(yè)的部分雇員收到帶有欺騙性的郵件;

2) 當受害人閱讀郵件的時候，往往會看到一個通過文件名和圖標偽裝成一個類似文本文件的附件，而實際上是一個可執(zhí)行程序;或者看到一個有密碼保護的壓縮文件附件，密碼在郵件中注明，并且如果解壓會產(chǎn)生一個可執(zhí)行程序。

3) 只要受害人執(zhí)行了附件中的可執(zhí)行程序，就會被植入Poison Ivy后門程序。

4) Poison Ivy會通過TCP 80端口與C&C服務器進行加密通訊，將受害人的電腦上的信息上傳，主要是帳號相關的文件信息。

5) 攻擊者在獲取了加密的帳號信息后通過解密工具找到帳號的密碼，然后借助事先植入的木馬在受害企業(yè)的網(wǎng)絡尋找目標、伺機行動、不斷收集企業(yè)的敏感信息。

6) 所有的敏感信息會加密存儲在網(wǎng)絡中的一臺臨時服務器上，并最終上傳到公司外部的某個服務器上，從而完成攻擊。

#p# 

Luckycat攻擊

2012年3月份，TrendMicro發(fā)布的報告中披露了一個針對印度和日本的航空航天、軍隊、能源等單位進行長時間的滲透和刺探的攻擊行動，并命名為Luckycat。

[[84145]]

根據(jù)報告顯示，這次攻擊行動依然是通過釣魚郵件開始的，例如針對日本目標的釣魚郵件的內容大都跟福島核電站的核輻射問題有關。然后就是利用了很多針對 pdf/rtf的漏洞，包括CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE- 2011-0611，CVE-2011-2462等。滲透進去之后就是用C&C進行遠程控制。而C&C服務器是通過VPS申請到的DNS域名。