新闻中心
联系我们
地址:上海市闵行区莘东路505号绿捷中心10楼1005室
热线:400-8838-021
传真:021-54855973
E-mai:zjedwine@163.com
关于如何判断何为APT攻击的个人浅见
2015/6/14 11:59:51 点击:3824 来自:admin
摘自江海客的新浪微博
2015年6月3日 11:23 阅读 4674
关于友商360曝光的“海莲花(OceanLotus)”相关攻击是不是APT攻击的争论,我要郑重谈谈几个观点:
第一,相关线索的比对说明,安天5月28日曝光的APT-TOCS(参见我前面微博)和360曝光的海莲花基本可以确定是同一个或关联性组织发起的同一组定向攻击事件。安天初步认为其来自“缺少足够的成本支撑,也缺少大量精英黑客的国家或组织”。当然因两个厂商资源体系不同和产品定位差异,我们并未逐一对友商的统计结果和IOC进行验证。
第二,APT本质上不是一个严格的技术概念。其判定要综合考虑发起方与动机,受害方与后果,作业过程与手段三方面的因素。因此,在前两个要素符合的情况下,APT的核心表现应是在明确的背景和动机下的定向与持续的攻击与获取行为。而其A(高级)没有绝对标准,其即受到攻击发起者所具备的技术能力、资源和所能承担的成本限制,又由攻击者根据被攻击者的防御与发现能力选择的针对性策略所决定。因此APT通常反映了攻击者在本国或本体系中的高层级水准,也体现的是相对防御目标设防水平的穿透和持久化能力。之前某国际研究者提出把是否有0day等作为判定依据,这种观点我不敢苟同。
第三,根据我们的监控分析,商用木马、标准化的渗透平台等已经被广泛用于各种定向持续攻击中,特别是针对中国的攻击中,尽管我们非常谨慎的把APT-TOCS称为“准APT”攻击,但需要注意的是,对于攻击成本能力有限的国家和组织来说,这种模式可能是成本更低,但效果更可靠的选择,但这就是其能力体现。同时商用木马、开源木马和攻击平台的引入,将导致依托大数据分析来辩识线索链的过程中产生更多干扰项,包括使我们之前使用过的“编码心理学”等方法失去效果。
最后想说明的是,尽管在反APT产品上可能与360存在一定竞争关系,但双方对APT的理解目前看是一致的,在这个问题上我认为需要共同维护正确的安全理念。
第一,相关线索的比对说明,安天5月28日曝光的APT-TOCS(参见我前面微博)和360曝光的海莲花基本可以确定是同一个或关联性组织发起的同一组定向攻击事件。安天初步认为其来自“缺少足够的成本支撑,也缺少大量精英黑客的国家或组织”。当然因两个厂商资源体系不同和产品定位差异,我们并未逐一对友商的统计结果和IOC进行验证。
第二,APT本质上不是一个严格的技术概念。其判定要综合考虑发起方与动机,受害方与后果,作业过程与手段三方面的因素。因此,在前两个要素符合的情况下,APT的核心表现应是在明确的背景和动机下的定向与持续的攻击与获取行为。而其A(高级)没有绝对标准,其即受到攻击发起者所具备的技术能力、资源和所能承担的成本限制,又由攻击者根据被攻击者的防御与发现能力选择的针对性策略所决定。因此APT通常反映了攻击者在本国或本体系中的高层级水准,也体现的是相对防御目标设防水平的穿透和持久化能力。之前某国际研究者提出把是否有0day等作为判定依据,这种观点我不敢苟同。
第三,根据我们的监控分析,商用木马、标准化的渗透平台等已经被广泛用于各种定向持续攻击中,特别是针对中国的攻击中,尽管我们非常谨慎的把APT-TOCS称为“准APT”攻击,但需要注意的是,对于攻击成本能力有限的国家和组织来说,这种模式可能是成本更低,但效果更可靠的选择,但这就是其能力体现。同时商用木马、开源木马和攻击平台的引入,将导致依托大数据分析来辩识线索链的过程中产生更多干扰项,包括使我们之前使用过的“编码心理学”等方法失去效果。
最后想说明的是,尽管在反APT产品上可能与360存在一定竞争关系,但双方对APT的理解目前看是一致的,在这个问题上我认为需要共同维护正确的安全理念。