什么是APT攻击

2023年8月1日发(作者：)

什么是APT攻击什么是APT攻击APT是⿊客以窃取核⼼资料为⽬的，针对客户所发动的⽹络攻击和侵袭⾏为，是⼀种蓄谋已久的“恶意商业间谍威胁”。这种⾏为往往经过长期的经营与策划，并具备⾼度的隐蔽性。APT的攻击⼿法，在于隐匿⾃⼰，针对特定对象，长期、有计划性和组织性地窃取数据，这种发⽣在数字空间的偷窃资料、搜集情报的⾏为，就是⼀种“⽹络间谍”的⾏为。APT攻击是⼀个集合了多种常见攻击⽅式的综合攻击。综合多种攻击途径来尝试突破⽹络防御，通常是通过Web或电⼦邮件传递，利⽤应⽤程序或操作系统的漏洞，利⽤传统的⽹络保护机制⽆法提供统⼀的防御。除了使⽤多种途径，⾼级定向攻击还采⽤多个阶段穿透⼀个⽹络，然后提取有价值的信息，这使得它的攻击更不容易被发现。整个攻击⽣命周期的七个阶段如下：第⼀阶段：扫描探测在APT攻击中，攻击者会花⼏个⽉甚⾄更长的时间对"⽬标"⽹络进⾏踩点，针对性地进⾏信息收集，⽬标⽹络环境探测，线上服务器分布情况，应⽤程序的弱点分析，了解业务状况，员⼯信息等等。第⼆阶段：⼯具投送在多数情况下，攻击者会向⽬标公司的员⼯发送邮件，诱骗其打开恶意附件，或单击⼀个经过伪造的恶意URL，希望利⽤常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。⼀旦到位，恶意软件可能会复制⾃⼰，⽤微妙的改变使每个实例都看起来不⼀样，并伪装⾃⼰，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备⾥，或者通过基于云的⽂件共享来感染⼀台主机，并在连接到⽹络时横向传播。第三阶段：漏洞利⽤利⽤漏洞，达到攻击的⽬的。攻击者通过投送恶意代码，并利⽤⽬标企业使⽤的软件中的漏洞执⾏⾃⾝。⽽如果漏洞利⽤成功的话，你的系统将受到感染。普通⽤户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利⽤攻击。⼀般来说，通过使⽤零⽇攻击和社会⼯程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业⽹络后。第四阶段：⽊马植⼊随着漏洞利⽤的成功，更多的恶意软件的可执⾏⽂件——击键记录器、⽊马后门、密码破解和⽂件采集程序被下载和安装。这意味着，犯罪分⼦现在已经建成了进⼊系统的长期控制机制。第五阶段：远程控制⼀旦恶意软件安装，攻击者就已经从组织防御内部建⽴了⼀个控制点。攻击者最常安装的就是远程控制⼯具。这些远程控制⼯具是以反向连接模式建⽴的，其⽬的就是允许从外部控制员⼯电脑或服务器，即这些⼯具从位于中⼼的命令和控制服务器接受命令，然后执⾏命令，⽽不是远程得到命令。这种连接⽅法使其更难以检测，因为员⼯的机器是主动与命令和控制服务器通信⽽不是相反。第六阶段：横向渗透⼀般来说，攻击者⾸先突破的员⼯个⼈电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员⼯个⼈电脑为跳板，在系统内部进⾏横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透⽅法包括⼝令窃听和漏洞攻击等。第七阶段：⽬标⾏动也就是将敏感数据从被攻击的⽹络⾮法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到⼀个⽂档中，然后压缩并加密该⽂档。此操作可以使其隐藏内容，防⽌遭受深度的数据包检查和DLP技术的检测和阻⽌。然后将数据从受害系统偷运出去到由攻击者控制的外部。⼤多数公司都没有针对这些恶意传输和⽬的地分析出站流量。那些使⽤⼯具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。【解决⽅法】1.使⽤威胁情报这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2⽹站；已知的不良域名、电⼦邮件地址、恶意电⼦邮件附件、电⼦邮件主题⾏；以及恶意链接和⽹站。威胁情报在进⾏商业销售，并由⾏业⽹络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被⽤来建⽴“绊⽹”来提醒你⽹络中的活动。2.建⽴强⼤的出⼝规则除⽹络流量（必须通过代理服务器）外，阻⽌企业的所有出站流量，阻⽌所有数据共享和未分类⽹站。阻⽌SSH、FTP、Telnet或其他端⼝和协议离开⽹络。这可以打破恶意软件到C2主机的通信信道，阻⽌未经授权的数据渗出⽹络。3.收集强⼤的⽇志分析。企业应该收集和分析对关键⽹络和主机的详细⽇志记录以检查异常⾏为。⽇志应保留⼀段时间以便进⾏调查。还应该建⽴与威胁情报匹配的警报。4.聘请安全分析师。安全分析师的作⽤是配合威胁情报、⽇志分析以及提醒对APT的积极防御。这个职位的关键是经验

2023年8月1日发(作者：)

什么是APT攻击什么是APT攻击APT是⿊客以窃取核⼼资料为⽬的，针对客户所发动的⽹络攻击和侵袭⾏为，是⼀种蓄谋已久的“恶意商业间谍威胁”。这种⾏为往往经过长期的经营与策划，并具备⾼度的隐蔽性。APT的攻击⼿法，在于隐匿⾃⼰，针对特定对象，长期、有计划性和组织性地窃取数据，这种发⽣在数字空间的偷窃资料、搜集情报的⾏为，就是⼀种“⽹络间谍”的⾏为。APT攻击是⼀个集合了多种常见攻击⽅式的综合攻击。综合多种攻击途径来尝试突破⽹络防御，通常是通过Web或电⼦邮件传递，利⽤应⽤程序或操作系统的漏洞，利⽤传统的⽹络保护机制⽆法提供统⼀的防御。除了使⽤多种途径，⾼级定向攻击还采⽤多个阶段穿透⼀个⽹络，然后提取有价值的信息，这使得它的攻击更不容易被发现。整个攻击⽣命周期的七个阶段如下：第⼀阶段：扫描探测在APT攻击中，攻击者会花⼏个⽉甚⾄更长的时间对"⽬标"⽹络进⾏踩点，针对性地进⾏信息收集，⽬标⽹络环境探测，线上服务器分布情况，应⽤程序的弱点分析，了解业务状况，员⼯信息等等。第⼆阶段：⼯具投送在多数情况下，攻击者会向⽬标公司的员⼯发送邮件，诱骗其打开恶意附件，或单击⼀个经过伪造的恶意URL，希望利⽤常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。⼀旦到位，恶意软件可能会复制⾃⼰，⽤微妙的改变使每个实例都看起来不⼀样，并伪装⾃⼰，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备⾥，或者通过基于云的⽂件共享来感染⼀台主机，并在连接到⽹络时横向传播。第三阶段：漏洞利⽤利⽤漏洞，达到攻击的⽬的。攻击者通过投送恶意代码，并利⽤⽬标企业使⽤的软件中的漏洞执⾏⾃⾝。⽽如果漏洞利⽤成功的话，你的系统将受到感染。普通⽤户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利⽤攻击。⼀般来说，通过使⽤零⽇攻击和社会⼯程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业⽹络后。第四阶段：⽊马植⼊随着漏洞利⽤的成功，更多的恶意软件的可执⾏⽂件——击键记录器、⽊马后门、密码破解和⽂件采集程序被下载和安装。这意味着，犯罪分⼦现在已经建成了进⼊系统的长期控制机制。第五阶段：远程控制⼀旦恶意软件安装，攻击者就已经从组织防御内部建⽴了⼀个控制点。攻击者最常安装的就是远程控制⼯具。这些远程控制⼯具是以反向连接模式建⽴的，其⽬的就是允许从外部控制员⼯电脑或服务器，即这些⼯具从位于中⼼的命令和控制服务器接受命令，然后执⾏命令，⽽不是远程得到命令。这种连接⽅法使其更难以检测，因为员⼯的机器是主动与命令和控制服务器通信⽽不是相反。第六阶段：横向渗透⼀般来说，攻击者⾸先突破的员⼯个⼈电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员⼯个⼈电脑为跳板，在系统内部进⾏横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透⽅法包括⼝令窃听和漏洞攻击等。第七阶段：⽬标⾏动也就是将敏感数据从被攻击的⽹络⾮法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到⼀个⽂档中，然后压缩并加密该⽂档。此操作可以使其隐藏内容，防⽌遭受深度的数据包检查和DLP技术的检测和阻⽌。然后将数据从受害系统偷运出去到由攻击者控制的外部。⼤多数公司都没有针对这些恶意传输和⽬的地分析出站流量。那些使⽤⼯具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。【解决⽅法】1.使⽤威胁情报这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2⽹站；已知的不良域名、电⼦邮件地址、恶意电⼦邮件附件、电⼦邮件主题⾏；以及恶意链接和⽹站。威胁情报在进⾏商业销售，并由⾏业⽹络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被⽤来建⽴“绊⽹”来提醒你⽹络中的活动。2.建⽴强⼤的出⼝规则除⽹络流量（必须通过代理服务器）外，阻⽌企业的所有出站流量，阻⽌所有数据共享和未分类⽹站。阻⽌SSH、FTP、Telnet或其他端⼝和协议离开⽹络。这可以打破恶意软件到C2主机的通信信道，阻⽌未经授权的数据渗出⽹络。3.收集强⼤的⽇志分析。企业应该收集和分析对关键⽹络和主机的详细⽇志记录以检查异常⾏为。⽇志应保留⼀段时间以便进⾏调查。还应该建⽴与威胁情报匹配的警报。4.聘请安全分析师。安全分析师的作⽤是配合威胁情报、⽇志分析以及提醒对APT的积极防御。这个职位的关键是经验