其实,防止网络遭受APT攻击也可以很简单

日期:2015-8-27作者:Cricket Liu

APT   网络安全   DNS攻击   

【TechTarget中国原创】目前最常见的攻击方式之一就是域名系统(DNS)攻击。DNS被广泛使用、高度信任但又很容易受攻击。特别是现在一些高级持续性攻击(APT)变得越来越流行,它们能够深入渗透到网络深处,并且能产生比前几代恶意软件更大的危害。一旦APT成功渗透一个网络,它们就会使用DNS服务器连接回远程命令与控制中心,然后下载一些破坏网络运营或偷取数据的指令。

攻击者曾经在一些著名事件中使用了APT攻击,包括Michaels和Kmart等零售供应链,以及American Express和JPMorgan Chase等银行与金融巨头。它们将会继续蔓延到许多的行业,包括教育、政府、医疗和电信等。

攻击者之所以使用APT,是因为它们能够攻克传统保护模式;APT在设计上就支持在IT基础架构之中传播、变化和隐藏,能够静静地潜伏而发起长时间攻击。然而,如果理解了它们的工作方式,它们也是可以中止的。

初始感染:初始感染可以有以下三种方式:


我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Cricket Liu
Cricket Liu

Infoblox专家

网络安全最佳实践>更多

  • Ixia:封锁DDoS攻击,完善的网络基础设施很必要

    Dyn遭DDoS攻击事件再次给业内敲响了警钟,攻击者已然将矛头对准互联网根基,我们的防御也需要从源头出发,通过建设完善的网络基础设施来抵御威胁的侵袭……

  • 博客观点集:网络架构师必备技能 内外部威胁如何区分

    在本期博客观点集中,CTO Advisor博主Keith Townsend探讨了企业在确定网络架构师的水平时可以提的问题;Gartner分析师Anton Chuvakin指出大多数组织并没有真正关心内部发起的威胁。

  • 多管齐下,防御拒绝服务攻击

    勒索软件和资料外泄可能是最受关注的,但是拒绝服务(Denial-of-service, DoS)攻击的案例正在增加。那么我们可以做什么来减少它们带来的影响呢?

  • 没有可视化,何以言网络安全?

    在之前一篇文章《为何我们要检查SSL流量?》中,有读者问及“(文中提及的)这种SSL卸载平台放在什么地方才能起到最好的作用?”在本文中,我们以一款网络可视化和安全产品为例,具体说明这种平台的部署及效用。

相关推荐

  • 博客观点集:网络架构师必备技能 内外部威胁如何区分

    在本期博客观点集中,CTO Advisor博主Keith Townsend探讨了企业在确定网络架构师的水平时可以提的问题;Gartner分析师Anton Chuvakin指出大多数组织并没有真正关心内部发起的威胁。

  • 移动互联:从“人联”到“物联”

    从2G到5G,移动互联网从最初时人与人的随时随地联网,发展到了人机互联乃至物物互联。但无论使用方式如何改变,人们对使用质量的要求都是不变的,那就是能够随时安全、快速、高可用的使用自己需要的应用服务。

  • 没有可视化,何以言网络安全?

    在之前一篇文章《为何我们要检查SSL流量?》中,有读者问及“(文中提及的)这种SSL卸载平台放在什么地方才能起到最好的作用?”在本文中,我们以一款网络可视化和安全产品为例,具体说明这种平台的部署及效用。

  • 无视IPv6连接?后果自负!

    如果你无视IPv6在你网络的影响,你可能给你自己带来更大的伤害。此外,你还需要考虑的是,IPv6连接不只是“网络的事”。

技术手册>更多

  • 无线加密技术指南

    无线安全的缺失是导致数据漏洞的原因。这个广泛的现象导致了安全性协议受到更大关注。本手册主要介绍了无线安全中的加密技术,其中包括了无线加密的选择,WEP、WPA和WPA2的介绍,以及一些常见的有关于无线加密的疑难问题解答。

  • 变更和配置管理入门教程

    网络变更和配置管理(NCCM)是最小化网络或者IT生态系统变更影响的策略方法。其目的是创建公司范围的标准化方法来同时实现自我激励和内部变更。

  • Wi-Fi知识详解手册

    虽然“无线局域网”和“Wi - Fi”常常交换使用。但是无线局域网(WLAN)和Wi – Fi之间是有区别的,基本上在这里Wi - Fi是无线局域网类型中的一种。无线局域网是指移动用户可以通过无线(电台)连接的任何局域网(LAN);而Wi - Fi(简称“无线保真”)是无线局域网中的一种类型的术语,它使用于规范的802.11无线协议家庭。

  • 10Gb以太网应用指南

    毫无疑问,为了能用一种解决方案来支持存储、数据中心和LAN,网络工程师正在建立10千兆以太网网络。但是,对于设计和管理数据中心及其连接,从基础布线到网络组件的方方面面,IT团队都有很多选择。

TechTarget

最新资源
  • 安全
  • 存储
  • CIO
  • 服务器
  • 数据中心
  • 云计算
【TechTarget中国原创】目前最常见的攻击方式之一就是域名系统(DNS)攻击。DNS被广泛使用、高度信任但又很容易受攻击。特别是现在一些高级持续性攻击(APT)变得越来越流行,它们能够深入渗透到网络深处,并且能产生比前几代恶意软件更大的危害。一旦APT成功渗透一个网络,它们就会使用DNS服务器连接回远程命令与控制中心,然后下载一些破坏网络运营或偷取数据的指令。

攻击者曾经在一些著名事件中使用了APT攻击,包括Michaels和Kmart等零售供应链,以及American Express和JPMorgan Chase等银行与金融巨头。它们将会继续蔓延到许多的行业,包括教育、政府、医疗和电信等。

攻击者之所以使用APT,是因为它们能够攻克传统保护模式;APT在设计上就支持在IT基础架构之中传播、变化和隐藏,能够静静地潜伏而发起长时间攻击。然而,如果理解了它们的工作方式,它们也是可以中止的。

初始感染:初始感染可以有以下三种方式:


1. 攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。

2. 攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。

3. 攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。

下载真实的APT:一旦进入组织内部,几乎在所有的攻击案例中,恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面,真实的APT比初始感染要强大许多。

传播和连回攻击源:一旦下载和安装之后,APT会禁用运行在已感染计算机上的反病毒软件或类似软件。不幸的是,这个操作并不难。然后,APT通常会收集一些基础数据,然后使用DNS连接一个命令与控制服务器,接收下一步的指令。

数据盗取:攻击者可能在一次成功的APT中发现数量达到TB级的数据。在一些案例中,APT会通过接收指令的相同命令与控制服务器接收数据。然而,通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。此外,传统数据还需要更多的步骤,而步骤越多就越容易被人发现。因此,APT通常会直接连接另一个服务器,将它作为数据存储服务器,将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS。

显然,DNS是APT攻击的一个理想目标。然而,这个问题也是可以解决的。如果能够保证DNS服务器的安全,就能够检测和防止APT攻击。DNS安全保护包括几个重要的实践方法:保持一时半会儿到最新威胁库;使用DHCP身份识别收集受感染终端情报,从而可以方便地清除这些终端;使用可操作的报表和日志机制,帮助完成安全和修复工作的优先级划分。

由于所有行业的公司都可能成为APT攻击的目标,因此这种攻击态势在不断提高。现实情况是,APT可能产生重大危害,一次就可能让一个组织断线几个小时。只要DNS保护不力,网络就有泄露数据的风险。关于APT,你了解的信息越多,实时收集到的恶意攻击情报越多,就越容易保护组织和网络不受到攻击。