当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced PerSIStent Threat高级持续性威胁)攻击。
翠鸟智擎通过数字孪生手段,对一些比较典型的APT网络攻击案例进行了还原,並针对事件中的侦查追踪、武器构建、荷载投递、漏洞利用、安装植入、痕迹清理与对抗等环节进行复盘推演,为后续APT安全事件的分析和防御提供思路和措施的指导,辅助提高政企网络安全管理和运营水平。
下面我们来看看这些典型的APT网络攻击案例吧!
Case 01 - Triton事件
据美国安全厂商FireEye报告:民族国家黑客使用了一款名为TRITON的恶意软件渗透了一个关键基础设施的安全系统,导致了工控系统关机。该恶意软件对施耐德电气SE运行安全系统(Triconex安全仪表系统,简称SIS)的工作站进行远程控制,然后试图重新编程用于监视工厂的控制器。
TRITON是迄今为止发现的第三种能够破坏工业流程的计算机病毒。TRITON病毒可以与SIS控制器通讯(例如发送halt等特定命令,或读取其内存内容),并利用攻击者定义的负载对其远程重新编程。安全研究人员捕获的TRITON病毒样本将攻击者提供的程序添加到Triconex控制器的执行表中,如果控制器失效,TRITON会尝试让程序进入运行状态。在一定的时间窗口后控制器仍未恢复的话,样本会用无效数据覆盖恶意程序以掩盖其踪迹。
Case 02 - VpnFilter事件
VPNFilter事件是2018年最为严重的针对IOT设备的攻击事件之一,并且实施该事件的攻击者疑似具有国家背景。美国司法部在后续也声称该事件与APT28组织有关。通过Cisco Talos披露,该事件影响了至少全球54个国家和地区的50W设备,包括常用的小型路由器型号(例如Linksys,MikroTik,NETGEAR和TP-Link)、NAS设备等。VPNFilte是多阶段的模块化框架,一个民族主义国家开发的一种复杂的恶意软件,FBI占用了攻击者的命令与控制(C2)基础设施,从而防止向受感染的设备广播命令。
Case 03 - 震网(Stuxnet)事件
2006年,伊朗重启核设施,为了阻止伊朗,美国派出间谍买通伊朗核工厂技术人员,将含有漏洞利用工具的U盘插入了工厂控制系统电脑。紧接着,核工厂大量离心机无缘无故损坏,科学家束手无策,工厂被迫关闭,延迟核计划。有史以来第一个包含PLC Rootkit的电脑蠕虫,也是已知的第一个以关键工业基础设施为目标的蠕虫。第一个以现实世界中的关键工业基础设施为目标的恶意代码,并达到了预设的攻击目标。这是第一个“网络空间”意义上的重大攻击事件,而非传统的网络攻击事件。2011年,“震网二代”出现,因为它会在临时目录下生成名为 ~DQ 的随机文件,也被称作Duqu。今年6月,微软发布安全公告,修复了可能被黑客利用的Windows快捷方式高危漏洞(CVE-2017-8464),由于其与攻击伊朗核工厂的震网一代利用漏洞相似,被业界普遍称为“震网三代”。
以上就是本期跟大家分享的内容,想了解更多吗?快来关注我们吧!获取更多行业解决方案!
,
