新聞中心
聯(lián)系我們
地址:上海市閔行區(qū)莘東路505號綠捷中心10樓1005室
熱線:400-8838-021
傳真:021-54855973
E-mai:zjedwine@163.com
首頁 » 新聞中心
關(guān)于如何判斷何為APT攻擊的個人淺見
2015/6/14 11:59:51 點(diǎn)擊:3764 來自:admin
摘自江??偷男吕宋⒉?br />
2015年6月3日 11:23 閱讀 4674
關(guān)于友商360曝光的“海蓮花(OceanLotus)”相關(guān)攻擊是不是APT攻擊的爭論,我要鄭重談?wù)剮讉€觀點(diǎn):
第一,相關(guān)線索的比對說明,安天5月28日曝光的APT-TOCS(參見我前面微博)和360曝光的海蓮花基本可以確定是同一個或關(guān)聯(lián)性組織發(fā)起的同一組定向攻擊事件。安天初步認(rèn)為其來自“缺少足夠的成本支撐,也缺少大量精英黑客的國家或組織”。當(dāng)然因兩個廠商資源體系不同和產(chǎn)品定位差異,我們并未逐一對友商的統(tǒng)計結(jié)果和IOC進(jìn)行驗(yàn)證。
第二,APT本質(zhì)上不是一個嚴(yán)格的技術(shù)概念。其判定要綜合考慮發(fā)起方與動機(jī),受害方與后果,作業(yè)過程與手段三方面的因素。因此,在前兩個要素符合的情況下,APT的核心表現(xiàn)應(yīng)是在明確的背景和動機(jī)下的定向與持續(xù)的攻擊與獲取行為。而其A(高級)沒有絕對標(biāo)準(zhǔn),其即受到攻擊發(fā)起者所具備的技術(shù)能力、資源和所能承擔(dān)的成本限制,又由攻擊者根據(jù)被攻擊者的防御與發(fā)現(xiàn)能力選擇的針對性策略所決定。因此APT通常反映了攻擊者在本國或本體系中的高層級水準(zhǔn),也體現(xiàn)的是相對防御目標(biāo)設(shè)防水平的穿透和持久化能力。之前某國際研究者提出把是否有0day等作為判定依據(jù),這種觀點(diǎn)我不敢茍同。
第三,根據(jù)我們的監(jiān)控分析,商用木馬、標(biāo)準(zhǔn)化的滲透平臺等已經(jīng)被廣泛用于各種定向持續(xù)攻擊中,特別是針對中國的攻擊中,盡管我們非常謹(jǐn)慎的把APT-TOCS稱為“準(zhǔn)APT”攻擊,但需要注意的是,對于攻擊成本能力有限的國家和組織來說,這種模式可能是成本更低,但效果更可靠的選擇,但這就是其能力體現(xiàn)。同時商用木馬、開源木馬和攻擊平臺的引入,將導(dǎo)致依托大數(shù)據(jù)分析來辯識線索鏈的過程中產(chǎn)生更多干擾項(xiàng),包括使我們之前使用過的“編碼心理學(xué)”等方法失去效果。
最后想說明的是,盡管在反APT產(chǎn)品上可能與360存在一定競爭關(guān)系,但雙方對APT的理解目前看是一致的,在這個問題上我認(rèn)為需要共同維護(hù)正確的安全理念。
第一,相關(guān)線索的比對說明,安天5月28日曝光的APT-TOCS(參見我前面微博)和360曝光的海蓮花基本可以確定是同一個或關(guān)聯(lián)性組織發(fā)起的同一組定向攻擊事件。安天初步認(rèn)為其來自“缺少足夠的成本支撐,也缺少大量精英黑客的國家或組織”。當(dāng)然因兩個廠商資源體系不同和產(chǎn)品定位差異,我們并未逐一對友商的統(tǒng)計結(jié)果和IOC進(jìn)行驗(yàn)證。
第二,APT本質(zhì)上不是一個嚴(yán)格的技術(shù)概念。其判定要綜合考慮發(fā)起方與動機(jī),受害方與后果,作業(yè)過程與手段三方面的因素。因此,在前兩個要素符合的情況下,APT的核心表現(xiàn)應(yīng)是在明確的背景和動機(jī)下的定向與持續(xù)的攻擊與獲取行為。而其A(高級)沒有絕對標(biāo)準(zhǔn),其即受到攻擊發(fā)起者所具備的技術(shù)能力、資源和所能承擔(dān)的成本限制,又由攻擊者根據(jù)被攻擊者的防御與發(fā)現(xiàn)能力選擇的針對性策略所決定。因此APT通常反映了攻擊者在本國或本體系中的高層級水準(zhǔn),也體現(xiàn)的是相對防御目標(biāo)設(shè)防水平的穿透和持久化能力。之前某國際研究者提出把是否有0day等作為判定依據(jù),這種觀點(diǎn)我不敢茍同。
第三,根據(jù)我們的監(jiān)控分析,商用木馬、標(biāo)準(zhǔn)化的滲透平臺等已經(jīng)被廣泛用于各種定向持續(xù)攻擊中,特別是針對中國的攻擊中,盡管我們非常謹(jǐn)慎的把APT-TOCS稱為“準(zhǔn)APT”攻擊,但需要注意的是,對于攻擊成本能力有限的國家和組織來說,這種模式可能是成本更低,但效果更可靠的選擇,但這就是其能力體現(xiàn)。同時商用木馬、開源木馬和攻擊平臺的引入,將導(dǎo)致依托大數(shù)據(jù)分析來辯識線索鏈的過程中產(chǎn)生更多干擾項(xiàng),包括使我們之前使用過的“編碼心理學(xué)”等方法失去效果。
最后想說明的是,盡管在反APT產(chǎn)品上可能與360存在一定競爭關(guān)系,但雙方對APT的理解目前看是一致的,在這個問題上我認(rèn)為需要共同維護(hù)正確的安全理念。