APT(Advanced Persistent Threat)高級持續(xù)性威脅顧名思義����,這種攻擊行為首先具有極強的隱蔽能力��,通常是利用企業(yè)或機構網(wǎng)絡中受信的應用程序漏洞來形成攻擊者所需C&C網(wǎng)絡����;其次APT攻擊具有很強的針對性,攻擊觸發(fā)之前通常需要收集大量關于用戶業(yè)務流程和目標系統(tǒng)使用情況的精確信息����,情報收集的過程更是社工藝術的完美展現(xiàn);當然針對被攻擊環(huán)境的各類0day收集更是必不可少的環(huán)節(jié)���。
在已經(jīng)發(fā)生的典型的APT攻擊中�����,攻擊者經(jīng)常會針對性的進行為期幾個月甚至更長時間的潛心準備���,熟悉用戶網(wǎng)絡環(huán)境���,搜集應用程序與業(yè)務流程中的安全隱患,定位關鍵信息的存儲位置與通信方式����,整個驚心動魄的過程絕不遜于好萊塢巨制《偷天換日》�����。當一切的準備就緒����,攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉移。例如�����,在某臺服務器端成功部署Rootkit后,攻擊者便會通過精心構造的C&C網(wǎng)絡定期回送目標文件進行審查����。
也許很多IT管理者認為APT攻擊這種長期而復雜的攻擊方式不可能幸運的發(fā)生在您所負責網(wǎng)絡中,但在西方先進國家APT攻擊已經(jīng)成為國家網(wǎng)絡安全防御戰(zhàn)略的重要環(huán)節(jié)����。例如,美國國防部的High Level網(wǎng)絡作戰(zhàn)原則中�,明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關重要也是最基礎的組成部分。
對于APT攻擊我們需要高度重視��,正如看似固若金湯的馬奇諾防線�����,德軍只是改變的作戰(zhàn)策略��,法國人的整條防線便淪落成擺設����,至于APT攻擊,任何疏忽大意都可能為信息系統(tǒng)帶來災難性的破壞�����。相信您迫切想了解傳統(tǒng)的網(wǎng)絡犯罪集團與APT攻擊行為到底有哪些異同,下面的表格或許能讓您找到答案�����。
不難看出APT攻擊更像一支配備了精良武器的特種部隊�����,這些尖端武器會讓用戶網(wǎng)絡環(huán)境中傳統(tǒng)的IPS/IDS�、防火墻等安全網(wǎng)關失去應有的防御能力。無論是0day或者精心構造的惡意程序�����,傳統(tǒng)的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵��。即便是業(yè)界熱議的NGFW����,利用CA證書自身的缺陷也可讓受信的應用成為網(wǎng)絡入侵的短板����。
典型的APT攻擊,通常會通過如下途徑入侵到您的網(wǎng)絡當中:
- 通過SQL注入等攻擊手段突破面向外網(wǎng)的Web Server;
- 通過被入侵的Web Server做跳板�����,對內網(wǎng)的其他服務器或桌面終端進行掃描����,并為進一步入侵做準備;
- 通過密碼爆破或者發(fā)送欺詐郵件�����,獲取管理員帳號���,并最終突破AD服務器或核心開發(fā)環(huán)境�;
- 被攻擊者的私人郵箱自動發(fā)送郵件副本給攻擊者����;
- 通過植入惡意軟件,如木馬�、后門、Downloader等惡意軟件���,回傳大量的敏感文件(WORD�、PPT、PDF�、CAD文件等);
- 通過高層主管郵件�����,發(fā)送帶有惡意程序的附件����,誘騙員工點擊并入侵內網(wǎng)終端。
