警惕!普通人遭遇APT误伤的三种场景
APT,即Advanced Persistent Threat,又称高级威胁,从诞生之初,APT就具有明显的政治意图——攻击者通过一系列高级程序、复杂手段,对政府组织或重要部门等进行长期、隐藏监测,以窃取敏感信息,扰乱国家或行业秩序,使其在长期发展、重大国家性活动中失利等。通常,APT不直接针对普通公民,但并不是说它不会对我们造成危害。卡巴斯基全球研究和分析团队(GReAT)日前为我们总结了普通人遭遇APT攻击的三种场景。
场景1:在错误的时间访问了错误的网站
与小型恶意行为者相比,APT组织有足够的资金来进行一系列0day漏洞利用,包括有能力组织远程水坑攻击。谷歌Project Zero团队在2019年的研究中发现,一名恶意行为者为了用间谍软件感染目标,在5个不同的漏洞利用链中使用了多达14个不同的漏洞。
其中一些漏洞被用来远程感染访问特定政治相关网站的iOS用户,并在他们的手机上安装间谍软件。问题是,攻击者并没有区分网站访客,这就意味着访问该网站的所有iOS用户都会被感染,不管他们是不是攻击目标。
而这并非APT组织唯一一次采取水坑攻击。例如,在NotPetya(又名ExPetr)的攻击媒介中,就选择以感染政府网站作为起点,当用户访问网站时,就会自动下载恶意软件并在受害者电脑上执行。
因此,对于普通人来说,APT的问题在于,哪怕攻击者无意专门针对你,但只要碰巧访问了被攻击的网站或下载了被攻击的应用程序,普通人就会被感染。而且,在与APT组织相关的勒索软件案例中(例如NotPetya),他们还能够完全掌握普通人设备上的隐私数据,并肆意破坏。
场景2:网络犯罪分子手中的“危险玩具”
除了对外攻击,APT组织间也经常窥探彼此的秘密,他们会互相攻击,有时还会泄漏对方使用的工具。其他更小型或技术略逊的恶意行为者就会顺势“捡工具”,并利用它们来创建自己的恶意软件,导致事情走向失控的局面。例如,WannaCry就是攻击者使用EternalBlue(永恒之蓝)创建的,而后者正是ShadowBrokers在决定公开方程式组织的网络武器库时泄漏的一个漏洞。
除此之外,NotPetya/ExPetr、Bad Rabbit(坏兔子)、EternalRocks(永恒之石)等很多威胁,也都是依赖“永恒之蓝”漏洞创建的。
泄露一个漏洞往往会导致一系列大大小小的连锁反应,最终影响数千万台电脑,扰乱世界各地企业和政府机构的正常运行。对于普通人来说,APT所带来的第二种间接伤害是,攻击者创建了非常危险的工具,但有时又无法遏制它们被肆意滥用。结果,这些危险工具落入网络犯罪分子手中,他们肆无忌惮地使用这些工具时,会伤及许多无辜的人。
场景3:收集的数据发生泄露
正如上文所述,APT背后恶意行为者有互相攻击的倾向,有时他们不仅会公开自己掠夺来的工具,还会公布对方使用这些工具所获取的任何信息。例如,网络间谍工具ZooPark所收集数据就是这样被公开的。
在过去两年中,多达13家跟踪软件供应商要么遭到黑客攻击,要么将他们收集的信息在线暴露于未受保护、公开可用的Web服务器上。就算是再厉害的威胁行为者,也无法免受数据泄漏的影响。例如,FinFisher开发者曾遭黑客入侵,开发监视工具的Hacking Team也同样被黑过等。
所以,APT影响普通人的第三种场景是,即便APT与普通用户毫无瓜葛,即便他们只是收集普通用户信息,从未考虑过使用这些信息来攻击普通用户,只要APT数据被泄漏,“小鱼小虾们”就会利用泄露信息,搜寻个人隐私数据,例如信用卡号、工作文档、联系人和照片等信息,并对普通用户进行敲诈勒索。
如何免遭APT误伤
虽然APT比普通恶意软件要复杂得多,但用于常见威胁的防护技巧同样适用APT防范。
例如:
禁止安装来自第三方的应用程序,即使因某种需要不得不安装应用程序,也请在“仅允许本次”之后,立即恢复原本的禁止设置;
定期检查设备上安装的应用程序权限,并及时撤销对该应用程序来说不必要的权限。最好在安装应用程序之前,就检查它的权限列表;
避免访问任何可疑的网站和点击无法完全信任来源的链接,陌生人通常不会出于好意发送链接或应用程序;
使用可靠的安全解决方案,扫描设备上即将下载或安装的所有程序,并检测所有链接和安装包。请务必将其视为最后一道防线,因为即使不法分子利用漏洞侵入普通人的设备,安全解决方案依然能够起到保护作用。