今天我们就来分享APT 高级持续性渗透攻击和社会工程学陷阱邮件与入侵的模拟案例,让大家看看一时的好奇心可能付出的代价不只是个人计算机中毒,还有可能导致数据丢失,付出昂贵成本。
什么是 APT?简单说就是针对特定组织所作的复杂且多方位的网络攻击。
这两年让很多组织机构闻之色变的高级持续性渗透攻击(APT)的特点之一就是【假冒邮件】:针对被锁定对象发送几可乱真的社会工程学诈骗邮件,例如冒充领导来信,取得在计算机中植入恶意软件的第一个机会。
以往黑客发动的 APT 攻击虽然以政府机构为主要目标,但从 2010 年开始,越来越多的企业也成为黑客锁定窃取信息情报的受害者,2011 年几个世界性的组织在目标攻击下沦陷,付出了高昂的成本。RSA 和 Sony 是 2011 年最大的两个 APT 攻击受害者。几个世界性的组织在目标攻击下沦陷,付出了昂贵的成本,他们丢失了数百万客户的数据,光是完成修复就花费了巨资。
趋势科技身为全球云端安全的领导厂商,在年度云端信息安全盛会“CloudSec 2012”中,介绍了如何对新出现的 APT 威胁做出响应,并保护企业的重要机密信息。以下是趋势可技技术研发部技术经理翁世豪在会议中分享的:面对 APT,企业应当采取的纵深防御防御策略。
这里有几个邮件样本
1. 攻击者首先收集电子邮件清单,然后寄给组织内部的特定对象,这个看起来像是 Excel 文档的附件,打开后只有一个空白文件,难道是发错文件了吗?
其实看到这个界面时,病毒已经在后台运行了,因为该文件是经过特殊设计的,内部插入了一个 Flash 文件,即使用户已经更新了所有的补丁还是无法阻挡该攻击,因为这是零时差漏洞攻击。
2. 这个文章看了让你多活十年(这类搏感情的邮件,误点率很高) 3. 伪装成普通文件的可执行文件(RTLO 手法)
“企划rcs.doc”,这个文件看起来像是普通文档,但实际上这个文件的真正名称是“企划cod.scr”,黑客在这个屏幕保护程序中插入了句柄,让它的名称按照从后到前的顺序显示,点击后可以正常运行。
|
