9月30日上午,2015中国互联网安全大会(ISC)暨中国互联网安全领袖峰会在北京举行。PaloAlto总工程师VickyRay在数据驱动安全之APT与新威胁论坛上第一个进行了演讲,对APT故事的背后进行了深思。
图1:APT与新威胁论坛现场
VickyRay首先提到的是电子犯罪的成本问题。在相当多的报告中显示电子犯罪成本达到了上千亿美元,CSIS第三方报告中显示该成本甚至达到了4450亿美元的份额。VickyRay就巨额电子犯罪成本进行了分析及举例,详细说明如何拿到真实数据,以及如何在网上进行销售以获得电子犯罪的网上成本。
VickyRay将获取真实数据暨APT攻击典型过程称为KillChain(攻杀链),KillChain分为七个步骤:客户信息采集→黑客工具准备→工具传输过程→工具激活侵入→木马植入→建立传输隧道→获取相应数据。
利用KillChain七步骤可以分析APT的攻击过程,VickyRay用四个词对此提出了问题:Who?Why?How?What?在整个攻击时间里面,是谁?为什么?是如何进入的?最后目标是什么?
VickyRay用一个真实的故事对这四个词进行了理解。一个银行高级总监收到了银行内部信任人员发的一封邮件,邮件中仅有一个word文档,文档中实际上只有几个提示,而在几个关键提示之后的内容需要宏打开才能看。作为非IT专业人员,该总监很轻易的把宏打开了,这时后台便开始进行静默下载,了APT钓鱼的相应软件及病毒成功进入到了电脑、银行系统和服务器中,到此,黑客仅需利用端口来接收相应的数据了。
有意思的是,黑客因为犯了错误而被追踪到了,在黑客的服务器中发现了facebook、邮件和信用卡等注册数据,而更巧的是,这名叫Scozzy的黑客被发现在一些网站上发布了信息,他愿意用黑客工具做支持服务,仅需35美元。
从这个故事我们可以看到,黑客是如何通过KillChain获取到真实数据,并且也看到了犯罪的成本(黑色产业链),用很少的代价可以造成巨大的数据泄露和影响。面对黑客犯罪电子事件,应该从三个方面进行防御,所有网络安全防护者进行联合和加强自身,然后在法律上进行立法,最后要使用更智慧的安全解决手段来完成这个部分。
VickyRay在演讲尾声说“我们今天讲的一个真实故事,我们希望以后未来的一个安全防御的愿景。”