摘要:APT(Advanced Persistent Threat,高级持续威胁)攻击的概念被提出以来,一直受到各界的高度关注。本文重点分析了攻击者在传统攻击手段的基础上,利用移动终端的高度移动性实现裂变式APT攻击的行为特征,为普通网民防范APT攻击提供参考。
关键词:移动终端;APT攻击
0 引言
APT攻击者为了达到特定的目的,通常会围绕特定目标群体进行长期跟踪并开展持续攻击。当攻击者突破某个高价值目标后,他们往往会以该目标为跳板,尽力开展横向拓展,试图顺藤摸瓜突破更多相同性质的目标。但是由于网络边界的限制,跨网域横向拓展通常需要借助适当的媒介。随着移动互联网的飞速发展,智能手机、平板电脑等移动终端使用量激增,公共WiFi信号的覆盖面也已经非常广泛,这就为APT攻击者以移动终端为媒介实施迭代攻击提供了更多便利。
1 以移动终端为目标的APT攻击行为分析
事实上APT攻击所涵盖的手段并没有严格的定义,攻击者往往会无所不用其极的尝试攻破目标系统。针对移动终端的网络攻击行为已屡见不鲜,本文重点从三个不同切入点对攻击者可能采取的行为展开分析。
1.1利用网络应用攻击移动终端
随着4G网络的普及,电子邮件、社交媒体、即时通讯等各类网络应用由传统PC机向移动终端转移的趋势已然形成,过去PC机面临的传统网络威胁也顺势向移动终端蔓延。
1)来自APP软件的威胁
随着市场需求扩大和从业者不断涌入,供移动终端使用的APP软件近年来呈井喷式发展。很多别有用心者也“敏锐”地察觉了到了这一难得的机遇。他们通常利用论坛发帖、短信推送、邮件投递等方式,不断向用户传播各种携带恶意代码的APP软件或下载链接,有的攻击者甚至能够将精心伪装携带恶意代码的APP软件躲过层层审核发布至知名APP下载平台。由于用户对于移动互联网使用的安全意识还没有普遍形成,移动终端环境下的安全软件产品发展也还不成熟,用户因误装APP软件导致移动终端被感染恶意代码的几率较大。
2)来自网络应用绑定移动终端的威胁
部分网络应用为了向用户提供更便利的服务,允许用户将移动终端设备与网络应用关联绑定并获得授权。用户可以通过网络应用与关联绑定的移动终端进行数据交互。以谷歌应用为例,用户可将自己的移动终端设备与谷歌应用关联绑定,之后就可以通过网页登录谷歌账户,并将Google play市场中的APP程序推送到关联的移动设备并完成静默安装。这本是方便用户的创新之举,而一旦被攻击者利用就完全变了味道。攻击者可能利用“钓鱼”攻击等手段获取用户网络应用的登录权限,随后将事先发布在Google play市场中携带恶意代码的APP程序在用户不知情的情况下静默安装到关联的移动终端中,由此达到控制用户移动终端的目的。
1.2利用PC机攻击移动终端
针对用户PC机的网络攻击由来已久,攻击者一旦控制了用户的PC机,就可能对连接的移动终端造成威胁。以安卓系统智能手机为例,用户因为备份数据或安装程序的需要,有时会使用数据线将智能手机连接到PC机,为了方便安装某些程序,用户甚至会开启智能手机的“USB调试”功能。攻击者安装在PC机上的木马程序一旦检测到此类情况就有可能向智能手机发起攻击。他们可能替换用户准备安装到智能手机的APP程序,也可能利用PC机上的木马程序直接向移动终端植入恶意代码并完成权限提升。
1.3利用无线路由器攻击移动终端
用户通常会将移动终端联入无线路由器获取更好的上网服务,攻击者一旦控制无线路由器,就可能结合数据劫持与插入、社会工程学等手段向用户的移动终端植入恶意代码。
1)通过远程服务攻击
如果家用的无线路由器设备开启远程web管理功能,攻击者就能够通过互联网利用暴力破解、万能密码或漏洞攻击等手段获取路由器设备的远程管理权限,随后再利用无线路由器对用户的移动终端展开攻击。
2)破解WiFi密码攻击
当用户的无线路由器设备未开启远程web管理等远程服务时,攻击者通常很难通过互联网直接对设备实施攻击。此时攻击者可能尝试进入用户无线路由器的WiFi信号覆盖范围,使用暴力破解等手段获取用户的WiFi密码,成功连入用户的内部网络。由于路由器不对外开放服务,用户往往疏于防范,较大比例不会更改路由器的默认管理密码,此时攻击者就可能尝试从内部网络通过暴力破解方式获取路由器的管理密码,他们甚至可能偷偷开启路由器设备的远程web管理功能方便长期控制。同时针对内部网络环境下使用的路由器设备漏洞相对较多,攻击者利用漏洞攻击获取路由器权限的可能性很高。
3)公共WiFi热点攻击
随着智慧城市项目的深入推进,公共WiFi热点的覆盖率已达较高水平,用户已经习惯联入各种免费WiFi热点享受上网服务。攻击者经常利用用户的这一行为特征,提前架设恶意WiFi热点,热点SSID名称通常会设置成与知名WiFi热点相同或相似,欺骗性和迷惑性非常强,用户有时很难分辨真假。
4)信号压制攻击
移动终端设备在进入WiFi热点信号范围时,对于已经保存的热点会后台自动联入。当攻击者提前掌握用户常用的WiFi热点信息后,可能架设一个SSID名称及登录密码与用户移动终端内保存的信息完全一致的恶意WiFi热点,当恶意WiFi热点的信号强于用户常用的热点时,移动终端将自动选择信号更强的恶意WiFi热点联入,至此攻击者就可以对用户联入的移动终端展开攻击。
2 以移动终端为媒介的裂变式APT攻击流程
移动终端已成为用户日常工作生活不可或缺的部分,当用户使用移动终端自由地在各WiFi热点切换时,攻击者也可能如影随形。
2.1 利用移动终端攻击无线路由器
攻击者控制用户的移动终端后,可能实时监控移动终端的联网状态,记录下联入WiFi热点的SSID。当监控到移动终端联入新的WiFi热点时,攻击者可能启动新一轮的攻击。他们利用植入移动终端的木马程序向联入的无线路由器设备发送攻击数据,此后的攻击模式几乎与在传统PC端下毫无二致。因为移动终端可以从内部网络直接访问无线路由器,因此暴力破解、万能密码及漏洞攻击等传统攻击手段就可以完全派上用场,一旦攻击成功,攻击者就可以控制无线路由器设备,开启远程web管理功能或植入后门程序。
2.2 利用无线路由器实施APT攻击
迭代式攻击进行到这一步之后,攻击者已经通过移动终端拓展渗透了用户接入的另一台无线路由器设备。一旦路由器设备被控制,攻击者可以开展的破坏行为并不仅仅局限于被接入的移动终端实施攻击,他们几乎可以察看用户所有的网络数据,可以对所有连上路由器的PC机、智能手机等终端设备实施攻击。而普通用户因为对路由器设备缺乏了解,只要网络不断,很少有人会去检查路由器。因此攻击者可能对路由器设备进行长期隐蔽控制,可谓是危害极大。
2.3 裂变式APT攻击流程图
攻击者利用各种手段突破用户的移动终端后,借助移动终端的高度移动性,不断突破联入的不同无线路由器,再利用这些无线路由器对新的目标开展攻击。如此反复,就可能形成裂变式的APT攻击。
图1 裂变式APT攻击流程
3 结束语
APT攻击不同于普通的黑客行为,他们通常只关注特定的目标群体。当攻击者利用移动终端为媒介开展裂变式APT攻击时,就可能借助用户的移动终端将触角伸向很多平时难以发现或到达的领域,其危害性值得我们认真研究和防范。
参考文献:
[1] 糜旗,朱杰,徐超,宗俊珺.基于APT网络攻击的技术研究,计算机与现代化1006-2475(2014)10-0092-03
论文作者:邹军1,虞欣平2,潘婉榕3
论文发表刊物:《电力设备》2019年第1期
论文发表时间:2019/6/21
标签:终端论文; 攻击者论文; 用户论文; 热点论文; 路由器论文; 无线路由器论文; 网络论文; 《电力设备》2019年第1期论文;