-
APT攻擊
鎖定
- 中文名
- APT攻擊
- 外文名
- Advanced Persistent Threat
- 別 名
- 定向威脅攻擊
- 目 的
- 破壞某組織的關鍵設施等
- 特 點
- 針對性強、持續攻擊等
- 所屬領域
- 計算機技術
APT攻擊概念
對於APT攻擊比較權威的定義是由美國國家標準與技術研究所( NIST)提出的,該定義給出了APT攻擊的4個要素,具體如下。
(1)攻擊者:擁有高水平專業知識和豐富資源的敵對方。
(2)攻擊目的:破壞某組織的關鍵設施,或阻礙某項任務的正常進行
(3)攻擊手段:利用多種攻擊方式,通過在目標基礎設施上建立並擴展立足點來獲取信息。
(4)攻擊過程:在一個很長的時間段內潛伏並反覆對目標進行攻擊,同時適應安全系統的防禦措施,通過保持高水平的交互來達到攻擊目的。
APT攻擊入侵方式
APT入侵客户的途徑多種多樣,主要包括以下幾個方面。
一、以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。
二、社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一,隨着社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始,就是針對某些特定員工發送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
三、利用防火牆、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。
APT攻擊攻擊階段
APT攻擊可以分為三個環節,每個環節又會有一些具體的工作內容。這三個環節其實是混雜互相交織在一起的,並沒有嚴格的分界線的,這裏分開,主要是為了從技術環節做更好的分析。另外每個環節,攻擊者都可能發起多次甚至持續多年而並非單獨一次,這取決於攻擊者意願、被攻擊的目標價值、攻擊者已經得手的情況而定。
1. 攻擊前奏
在攻擊前奏環節,攻擊者主要是做入侵前的準備工作。
2. 入侵實施
在入侵實施環節,攻擊者針對實際的攻擊目標,展開攻擊。
3. 後續攻擊
APT攻擊主要特徵
APT攻擊具有不同於傳統網絡攻擊的5個顯著特徵:針對性強、組織嚴密、持續時間長、高隱蔽性和間接攻擊。
1針對性強
APT攻擊的目標明確,多數為擁有豐富數據/知識產權的目標,所獲取的數據通常為商業機密、國家安全數據、知識產權等。
相對於傳統攻擊的盜取個人信息,APT攻擊只關注預先指定的目標,所有的攻擊方法都只針對特定目標和特定系統,針對性較強。
2組織嚴密
APT攻擊成功可帶來巨大的商業利益,因此攻擊者通常以組織形式存在,由熟練黑客形成團體,分工協作,長期預謀策劃後進行攻擊。他們在經濟和技術上都擁有充足的資源,具備長時間專注APT研究的條件和能力。
3持續時間長
APT攻擊具有較強的持續性,經過長期的準備與策劃,攻擊者通常在目標網絡中潛伏几個月甚至幾年,通過反覆滲透,不斷改進攻擊路徑和方法,發動持續攻擊,如零日漏洞攻擊等。
4高隱蔽性
APT攻擊根據目標的特點,能繞過目標所在網絡的防禦系統,極其隱藏地盜取數據或進行破壞。在信息收集階段,攻擊者常利用搜索引擎、高級爬蟲和數據泄漏等持續滲透,使被攻擊者很難察覺;在攻擊階段,基於對目標嗅探的結果,設計開發極具針對性的木馬等惡意軟件,繞過目標網絡防禦系統,隱蔽攻擊。
5間接攻擊
APT攻擊不同於傳統網絡攻擊的直接攻擊方式,通常利用第三方網站或服務器作跳板,佈設惡意程序或木馬向目標進行滲透攻擊。惡意程序或木馬潛伏於目標網絡中,可由攻擊者在遠端進行遙控攻擊,也可由被攻擊者無意觸發啓動攻擊。
[3]
APT攻擊檢測難點
與傳統網絡攻擊相比,APT攻擊的檢測難度主要表現在以下幾方面:
1)先進的攻擊方法。
攻擊者能適應防禦者的入侵檢測能力,不斷更換和改進入侵方法,具有較強的隱藏能力,攻擊入口、途徑、時間都是不確定和不可預見的,使得基於特徵匹配的傳統檢測防禦技術很難有效檢測出攻擊。
2)持續性攻擊與隱藏。
APT通過長時間攻擊成功進入目標系統後,通常採取隱藏策略進入休眠狀態;待時機成熟時,才利用時間間隙與外部服務器交流。在系統中其並無明顯異常,使得基於單點時間或短時間窗口的實時檢測技術和會話頻繁檢測技術也難以成功檢測出異常攻擊。
3)長期駐留目標系統,保持系統的訪問權限。
攻擊者一旦侵入目標系統便會積極爭取目標系統或網絡的最高權限,實現程序的自啓功能。同時,攻擊者會在目標網絡中基於已控制的網絡主機實現橫向轉移和信息收集,規避安全檢測,擴大被入侵網絡的覆蓋面,尋找新的攻擊目標。一旦其找到了想要攻擊的最終目標和適當傳送信息的機會,攻擊者便會通過事先準備好的隱藏通道獲取信息、竊取數據或執行破壞活動,且不留任何被入侵的痕跡。
[3]
- 參考資料
-
- 1. 什麼是APT攻擊 .中國信息產業網[引用日期2013-04-25]
- 2. 郭南. 解讀高級持續性威脅[J]. 信息安全與通信保密, 2014, (11):71-72 .超星[引用日期2019-05-29]
- 3. 董剛, 餘偉, 玄光哲. 高級持續性威脅中攻擊特徵的分析與檢測[J]. 吉林大學學報(理學版), 2019, (2):339-344 .超星[引用日期2019-05-29]