APT 攻击
APT(Advanced Persistent Threat)即高级持续性威胁,是一种周期较长、隐蔽性极强的攻击模式。攻击者精心策划,长期潜伏在目标网络中,搜集攻击目标的各种信息,如业务流程、系统运行状况等,伺机发动攻击,窃取目标核心资料。
APT 攻击常用手段:
-
水坑攻击(Watering Hole)
攻击者会在攻击前搜集大量目标的信息,分析其网络活动的规律,寻找其经常访问的网站弱点,并事先攻击该网站,等待目标来访,伺机进行攻击。
-
路过式下载(Drive-by Download) 在用户不知情的情况下,下载间谍软件、计算机病毒或任何恶意软件。被攻击的目标在访问一个网站、浏览电子邮件或是在单击一些欺骗性的弹出窗口时,可能就被安装了恶意软件。
-
网络钓鱼和鱼叉式网络钓鱼(Phishing and Spear Phishing) 攻击者企图通过网络通信,伪装成一些知名的社交网站、政府组织、金融机构等来获取用户的敏感信息。
-
0day漏洞(Zero-day Exploit) 攻击者在进入目标网络后,可轻易利用零日漏洞对目标进行攻击,轻松获取敏感数据。
APT 攻击主要分为6 个阶段:
- 情报收集
- 单点突破
- 命令与控制(C&C 通信)
- 横向渗透
- 资产/资料发掘
- 资料窃取
APT 攻击方式还原:
黑客通过踩点目标,收集到目标A的手机号188XXXXXXXX
于是通过社工的手段获取到了A的QQ号,于是黑客给A发送了一封钓鱼邮件,邮件内容如下:
公司《员工信息安全手册》更新版发布通知
公司各部门:
信息系统的安全性对公司非常重要,为切实加强公司信息安全管理,经公司管理层的审阅批准,现发布公司《员工信息安全手册》更新版。
《员工信息安全手册》中的信息安全政策自发布之日起生效,请全体同事知悉、查阅并严格执行。
参考附件:员工信息安全手册.pdf.exe
公司内控文件,限公司内部访问。
信息科技部
2022.2.13
APT 攻击防范:
-
恶意代码检测
- 基于特征码的检测:通过对恶意代码的静态分析,找到该恶意代码中具有代表性的特征信息(指纹),如十六进制的字节序列、字符串序列等,然后再利用该特征进行快速匹配。
- 基于启发式的检测:通过对恶意代码的分析获得恶意代码执行中通用的行为操作序列或结构模式,若行为操作序列或结构模式的加权值总和超过某个指定的阈值,即判定为恶意代码。
-
主机应用保护
加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全。
-
网络入侵检测
APT攻击恶意代码所构建的命令控制通道通信模式一般来说不经常变化,采用传统入侵检测方法来检测 AP T的命令控制通道
-
大数据分析检测
采集网络设备的原始流量及终端和服务器日志,进行集中的海量数据存储和深入分析,发现 APT 攻击的蛛丝马迹后,通过全面分析海量日志数据来还原 APT 攻击场景。