什麼是APT攻擊
顧名思義,APT(高級持久威脅)首先具有強大的隱蔽能力。它針對特定對象,並有計劃,有組織和長期地竊取數據。目的是竊取核心信息並收集情報,是一種蓄謀已久「惡意商業間諜威脅」。
其次,APT攻擊具有很高的針對性。在觸發攻擊之前,通常有必要收集有關用戶業務流程和目標系統使用情況的大量準確信息。情報收集的過程更是社工藝術的完美展現。當然,它針對各種類型的受攻擊環境0day收集更是必不可少的環節。
在已發生的典型APT攻擊中,通常會有針對性的準備幾個月或更長的時間,熟悉用戶網絡環境,收集應用程式和業務流程中的安全隱患,並查找存儲位置和通信方式。整個驚心動魄的過程絕不亞於好萊塢的巨製《偷天換日》。當一切準備就緒時,攻擊者鎖定的重要信息將從該秘密通道悄無聲息地轉移。例如,將Rootkit部署到特定伺服器上之後,攻擊者將定期通過精心構建的C&C網絡將目標文件回送並進行檢查。
或許很多IT管理者認為APT攻擊這種長期而複雜的攻擊方法,不可能在您負責的網絡中幸運地發生。但是,在先進的西方國家,APT攻擊已成為國家網絡安全防禦策略的重要組成部分。例如,在美國國防部的高級網絡操作原則中,明確指出,檢測和防禦APT攻擊是整個風險管理鏈中最重要和最基本的部分。
我們需要高度重視APT攻擊。就像看似牢固的馬奇諾防線一樣,德國軍隊只是改變了作戰策略,整個法國防線都被縮小了。至於APT攻擊,任何疏忽都可能將信息帶入系統。來一場災難性的破壞。
APT襲擊更像是中國神秘的龍巖特種部隊。鋒利的武器和超強的戰鬥能力使用戶網絡環境中的傳統IPS / IDS,防火牆和其他安全網關失去應有的防禦能力。無論是0day還是精心構建的惡意程序,傳統的機遇特徵庫的被動防禦體系都無法抵禦定向攻擊的入侵,甚至在業界引起廣泛討論的NGFW,利用CA證書自身的缺陷也可讓受信的應用成為網絡入侵的短板。
典型的APT攻擊通常通過以下渠道入侵您的網絡:
1.通過SQL注入等攻擊突破面向外部網絡的Web伺服器;
2.使用入侵的Web伺服器作為跳板,以掃描Intranet上的其他伺服器或桌面終端,並為進一步的入侵做準備;
3.通過密碼爆炸或發送欺詐性電子郵件獲取管理員帳戶,最終突破AD伺服器或核心開發環境;
4.被攻擊者的私人郵箱會自動將電子郵件的副本發送給攻擊者;
5.通過植入惡意軟體,例如木馬,後門程序,下載器等惡意軟體,返回大量敏感文件(WORD,PPT,PDF,CAD文件等);
6.通過高管人員的電子郵件發送帶有惡意程序的附件,誘騙員工點擊併入侵內網終端。
總結:APT攻擊是一個集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網絡防禦,通常是通過Web或電子郵件傳遞,利用應用程式或作業系統的漏洞,利用傳統的網絡保護機制無法提供統一的防禦。除了使用多種途徑,高級定向攻擊還採用多個階段穿透一個網絡,然後提取有價值的信息,這使得它的攻擊更不容易被發現。