APT是駭客以竊取核心資料為目的,針對客戶所發動的網路攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃,並具備高度的隱蔽性。APT的攻擊手法,在於隱匿自己,針對特定物件,長期、有計劃性和組織性地竊取資料,這種發生在數字空間的偷竊資料、蒐集情報的行為,就是一種“網路間諜”的行為。
APT攻擊是一個集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網路防禦,通常是透過Web或電子郵件傳遞,利用應用程式或作業系統的漏洞,利用傳統的網路保護機制無法提供統一的防禦。除了使用多種途徑,高階定向攻擊還採用多個階段穿透一個網路,然後提取有價值的資訊,這使得它的攻擊更不容易被發現。
整個攻擊生命週期的七個階段如下:
第一階段:掃描探測
在APT攻擊中,攻擊者會花幾個月甚至更長的時間對"目標"網路進行踩點,針對性地進行資訊收集,目標網路環境探測,線上伺服器分佈情況,應用程式的弱點分析,瞭解業務狀況,員工資訊等等。
第二階段:工具投送
在多數情況下,攻擊者會向目標公司的員工傳送郵件,誘騙其開啟惡意附件,或單擊一個經過偽造的惡意URL,希望利用常見軟體(如Java或微軟的辦公軟體)的0day漏洞,投送其惡意程式碼。一旦到位,惡意軟體可能會複製自己,用微妙的改變使每個例項都看起來不一樣,並偽裝自己,以躲避掃描。有些會關閉防病毒掃描引擎,經過清理後重新安裝,或潛伏數天或數週。惡意程式碼也能被攜帶在膝上型電腦、USB裝置裡,或者透過基於雲的檔案共享來感染一臺主機,並在連線到網路時橫向傳播。
第三階段:漏洞利用
利用漏洞,達到攻擊的目的。攻擊者透過投送惡意程式碼,並利用目標企業使用的軟體中的漏洞執行自身。而如果漏洞利用成功的話,你的系統將受到感染。普通使用者系統忘記打補丁是很常見的,所以他們很容易受到已知和未知的漏洞利用攻擊。一般來說,透過使用零日攻擊和社會工程技術,即使最新的主機也可以被感染,特別是當這個系統脫離企業網路後。
第四階段:木馬植入
隨著漏洞利用的成功,更多的惡意軟體的可執行檔案——擊鍵記錄器、木馬後門、密碼破解和檔案採集程式被下載和安裝。這意味著,犯罪分子現在已經建成了進入系統的長期控制機制。
第五階段:遠端控制
一旦惡意軟體安裝,攻擊者就已經從組織防禦內部建立了一個控制點。攻擊者最常安裝的就是遠端控制工具。這些遠端控制工具是以反向連線模式建立的,其目的就是允許從外部控制員工電腦或伺服器,即這些工具從位於中心的命令和控制伺服器接受命令,然後執行命令,而不是遠端得到命令。這種連線方法使其更難以檢測,因為員工的機器是主動與命令和控制伺服器通訊而不是相反。
第六階段:橫向滲透
一般來說,攻擊者首先突破的員工個人電腦並不是攻擊者感興趣的,它感興趣的是組織內部其它包含重要資產的伺服器,因此,攻擊者將以員工個人電腦為跳板,在系統內部進行橫向滲透,以攻陷更多的pc和伺服器。攻擊者採取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
第七階段:目標行動
也就是將敏感資料從被攻擊的網路非法傳輸到由攻擊者控制的外部系統。在發現有價值的資料後,APT攻擊者往往要將資料收集到一個文件中,然後壓縮並加密該文件。此操作可以使其隱藏內容,防止遭受深度的資料包檢查和DLP技術的檢測和阻止。然後將資料從受害系統偷運出去到由攻擊者控制的外部。大多數公司都沒有針對這些惡意傳輸和目的地分析出站流量。那些使用工具監控出站傳輸的組織也只是尋找"已知的"惡意地址和受到嚴格監管的資料。
APT是駭客以竊取核心資料為目的,針對客戶所發動的網路攻擊和侵襲行為,是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃,並具備高度的隱蔽性。APT的攻擊手法,在於隱匿自己,針對特定物件,長期、有計劃性和組織性地竊取資料,這種發生在數字空間的偷竊資料、蒐集情報的行為,就是一種“網路間諜”的行為。
APT攻擊是一個集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網路防禦,通常是透過Web或電子郵件傳遞,利用應用程式或作業系統的漏洞,利用傳統的網路保護機制無法提供統一的防禦。除了使用多種途徑,高階定向攻擊還採用多個階段穿透一個網路,然後提取有價值的資訊,這使得它的攻擊更不容易被發現。
整個攻擊生命週期的七個階段如下:
第一階段:掃描探測
在APT攻擊中,攻擊者會花幾個月甚至更長的時間對"目標"網路進行踩點,針對性地進行資訊收集,目標網路環境探測,線上伺服器分佈情況,應用程式的弱點分析,瞭解業務狀況,員工資訊等等。
第二階段:工具投送
在多數情況下,攻擊者會向目標公司的員工傳送郵件,誘騙其開啟惡意附件,或單擊一個經過偽造的惡意URL,希望利用常見軟體(如Java或微軟的辦公軟體)的0day漏洞,投送其惡意程式碼。一旦到位,惡意軟體可能會複製自己,用微妙的改變使每個例項都看起來不一樣,並偽裝自己,以躲避掃描。有些會關閉防病毒掃描引擎,經過清理後重新安裝,或潛伏數天或數週。惡意程式碼也能被攜帶在膝上型電腦、USB裝置裡,或者透過基於雲的檔案共享來感染一臺主機,並在連線到網路時橫向傳播。
第三階段:漏洞利用
利用漏洞,達到攻擊的目的。攻擊者透過投送惡意程式碼,並利用目標企業使用的軟體中的漏洞執行自身。而如果漏洞利用成功的話,你的系統將受到感染。普通使用者系統忘記打補丁是很常見的,所以他們很容易受到已知和未知的漏洞利用攻擊。一般來說,透過使用零日攻擊和社會工程技術,即使最新的主機也可以被感染,特別是當這個系統脫離企業網路後。
第四階段:木馬植入
隨著漏洞利用的成功,更多的惡意軟體的可執行檔案——擊鍵記錄器、木馬後門、密碼破解和檔案採集程式被下載和安裝。這意味著,犯罪分子現在已經建成了進入系統的長期控制機制。
第五階段:遠端控制
一旦惡意軟體安裝,攻擊者就已經從組織防禦內部建立了一個控制點。攻擊者最常安裝的就是遠端控制工具。這些遠端控制工具是以反向連線模式建立的,其目的就是允許從外部控制員工電腦或伺服器,即這些工具從位於中心的命令和控制伺服器接受命令,然後執行命令,而不是遠端得到命令。這種連線方法使其更難以檢測,因為員工的機器是主動與命令和控制伺服器通訊而不是相反。
第六階段:橫向滲透
一般來說,攻擊者首先突破的員工個人電腦並不是攻擊者感興趣的,它感興趣的是組織內部其它包含重要資產的伺服器,因此,攻擊者將以員工個人電腦為跳板,在系統內部進行橫向滲透,以攻陷更多的pc和伺服器。攻擊者採取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
第七階段:目標行動
也就是將敏感資料從被攻擊的網路非法傳輸到由攻擊者控制的外部系統。在發現有價值的資料後,APT攻擊者往往要將資料收集到一個文件中,然後壓縮並加密該文件。此操作可以使其隱藏內容,防止遭受深度的資料包檢查和DLP技術的檢測和阻止。然後將資料從受害系統偷運出去到由攻擊者控制的外部。大多數公司都沒有針對這些惡意傳輸和目的地分析出站流量。那些使用工具監控出站傳輸的組織也只是尋找"已知的"惡意地址和受到嚴格監管的資料。