印度APT黑客组织攻击我国医疗机构!相信经常看新闻的各位肯定也有所了解,那么如何看待这件是的呢?以下是我个人对于此次事件看法!
先谈技术部分
人家X莲花拿不出0day漏洞(即未公开漏洞,没有补丁,很难检测防御,指哪打哪)来,至少新鲜1day还是有的,老的office点开就被种木马。而印度穷逼买不起0day,连1day都懒得整,用的是宏病毒,必须得诱导受害者去启用宏,这可做法很容易引起疑心,不管是人还是杀软都会,暴露简直不要太快。
远程payload下载直接是http传输,改个名就跑,你通信过程明明用的是https,下载payload却用明文http,来个审计设备查杀下就被抓到。
持久化(通俗来说就是你得实现自启动,人家重启了你还能运行)的技术都是玩烂的,动作咋咋呼呼还没有对杀软的基本的检测突防,随随便便找个烂大街的杀软,不说360这种经验老的,也不说火绒这种主防沙箱先进的,就连停止维护的百度杀毒估计都给你拦了,就这还玩APT?
技术不咋地,道德水平还极其低下,就知道趁火打劫
但是这并不是我们掉以轻心的理由
刚刚看到有答红客相关的,其实这个和红客emmm算是两个时代的东西,而且完全不一样。红客涂改网页,很让人兴奋,但最多算是用用并不十分复杂渗透手段来表达自己的爱国诉求。其实对于对手来讲,一般只会造成一些难堪罢了。
但是这些印度黑客,我们称其为APT组织,之所以叫他们APT(高阶持续性威胁),就是要说明他们和出于朴素的爱国心或者找乐子而去入侵的“游击队”不同,他们是地地道道的“正规军”。
他们有充足的资金支持,使用多种攻击手段,尽管水平一般但远控都是自己写的证明有较好的开发能力,而且以疫情为诱饵证明他们信息搜集工作还是很到位,以窃取情报为目的。
虽然他们这次攻击非常拙劣,随便来个杀毒软件估计都能阻拦他们入侵的脚步。但是要注意,APT组织的P指的是持续性,一次失败并不会阻止他们,他们会不断地采用一切手段直至获取他们想要的东西为止。
这个攻防游戏是很不对等的,黑客有无数次入侵的机会,爱发动几次发动几次,成功一次就算黑客胜利。而防御方就算挫败了大部分入侵,失败一次,就失败了。
想要和APT对抗,靠的不是简单的几个杀毒软件,也不是昂贵的几套防护设备,而需要一个安全团队不懈努力不疏忽,才能做到
至于有人说让中国的黑客红客必胜客去报复什么的,没有的事。
黑客攻击是常有的事情,但是在这种事务上“报复”是一种比较幼稚的事情。
首先如果说是红客们靠低成本不复杂的渗透攻击,去涂改网页,正如我前面说过的,一般只能找点乐子给他们带来点尴尬,完全没必要。这类行为一般由闲的蛋疼的民间人士出手,并非官方行动。政府对外一直声称我国从来不主动入侵的,不可能做这种几乎没收益还打自己脸的事情。
另一方面,红客们的攻击往往以在对方的网页上插国旗,而不是日穿别人内网信息情报搜刮的一干二净并且长期持久控制为重点。别人看到被插国旗了把漏洞修复了之后反倒让别人更加安全,而自己啥情报信息都没掏出来。从这种意义上讲别人是收到了免费的渗透测试服务,从而使得下次我们想进去变得更加困难。
接着如果是要靠复杂的APT手段来报复,让他们的基础设施重要系统瘫痪,那也没有必要。复杂的APT攻击是很花钱的事情,如果不像是东南亚废物们那样的低劣攻击,一般总得来点0day漏洞什么的,不管是花钱从别人那儿买还是雇自己人挖都很贵,而且还得制作各种特种木马来实现隐蔽持久的远程控制,研发起来也很非常贵。
而一旦你把别人的系统搞瘫痪,那别人肯定知道有人搞了他们,就算查不到你头上,拿去分析一波痕迹(别想着能清理完,清理不完的,钓鱼攻击失败的话你没法清理人家邮箱,网络流量被ISP被审计设备或者别的玩意存下来你也清理不了,要是碰到蜜罐那更是头大),把你的马你的洞拿来分析。那你的特马马上就能被世界上任何一个还在更新的杀软干掉,而且下次你改改再拿去用的时候别人同源性分析就能定到同一个组织头上。你的漏洞马上就被安上一个CVE编号,各种系统补丁都打上,并且加入到各种防御产品的规则库里面,你再尝试利用马上就被发现拦截。
一句话,花那么多钱,来耀武扬威,咱没必要这么做
复杂的APT攻击手段会用到各种高级目标上,的确也会包含基础设施和各类重要系统,但往往以潜伏和窃取信息情报为目的,要的就是在神不知鬼不觉的情况下让你的对手成为透明人,洞悉对手的决策。或者在配合军事政治行动瘫痪掉敌方的系统,比如说美国人经典的震网攻击就物理性地干掉了伊朗的离心机,来延缓伊朗的核计划
中国的黑客红客必胜客该干点什么?
首先不要碰黑产,这是底线
大部分中国的安全专家(或者常人口中的黑客),给安全公司或者企业的安全部门干活,那就认真干活,提高水平就完事了。其实黑客和其它行业没有本质区别,认真工作就是对国家的贡献了。
至于国家队的黑客我就不在这儿说太多,说多了也被小管家删掉,反正听从国家调遣安排就行了
PS:这次APT组织是360抓出来的,平时瞧不起360的可以看看,虽然平时感觉挺流氓,关键时刻还能给国家安全做点贡献的
结尾
最后多说一句,小编是一名python开发工程师,这里有我自己整理了一套最新的python系统学习教程,包括从基础的python脚本到web开发、爬虫、数据分析、数据可视化、机器学习等。想要这些资料的可以关注小编,并在后台私信小编:“01”即可领取
閱讀更多 Python之眼 的文章
