APT高級(jí)持續(xù)性威脅入侵檢測(cè)

APT攻擊，即高級(jí)可持續(xù)威脅攻擊，也被稱(chēng)為定向威脅攻擊，是近幾年來(lái)出現(xiàn)的一種高級(jí)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。該攻擊方式是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的惡意商業(yè)間諜威脅。這種攻擊活動(dòng)具有極強(qiáng)的隱蔽性和針對(duì)性,通常會(huì)運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會(huì)工程學(xué)等多種手段實(shí)施先進(jìn)的、持久的且有效的威脅和攻擊。



APT攻擊會(huì)造成的危害與影響

1.APT攻擊竊取目標(biāo)的敏感信息和機(jī)密信息

它利用最先進(jìn)的網(wǎng)絡(luò)技術(shù)和社會(huì)工程學(xué)等方法，一步步入侵目標(biāo)系統(tǒng)，不斷搜集目標(biāo)的敏感信息。同時(shí)，APT攻擊的隱蔽性較好，竊取敏感數(shù)據(jù)的過(guò)程一般是長(zhǎng)期的，攻擊過(guò)程甚至可以持續(xù)多年，一旦APT攻擊病毒被發(fā)現(xiàn)時(shí)其目標(biāo)往往已被成功入侵。

2.APT攻擊的目標(biāo)影響巨大

APT攻擊的發(fā)起者一般都是政府組織或大企業(yè)，攻擊目標(biāo)也是同類(lèi)對(duì)象。攻擊主要針對(duì)國(guó)家重要基礎(chǔ)設(shè)施和組織進(jìn)行，包括能源、電力、金融、國(guó)防等關(guān)系到國(guó)計(jì)民生或國(guó)家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施或相關(guān)領(lǐng)域的大型企業(yè)。因此，APT攻擊的后果和影響通常是巨大的，伊朗的震網(wǎng)病毒就是一個(gè)典型的例子。

APT攻擊的主要特征

APT攻擊具有不同于傳統(tǒng)網(wǎng)絡(luò)攻擊的5個(gè)顯著特征：針對(duì)性強(qiáng)、組織嚴(yán)密、持續(xù)時(shí)間長(zhǎng)、高隱蔽性和間接攻擊。

1.針對(duì)性強(qiáng)

APT攻擊的目標(biāo)明確，多數(shù)為擁有豐富數(shù)據(jù)/知識(shí)產(chǎn)權(quán)的目標(biāo)，所獲取的數(shù)據(jù)通常為商業(yè)機(jī)密、國(guó)家安全數(shù)據(jù)、知識(shí)產(chǎn)權(quán)等。相對(duì)于傳統(tǒng)攻擊的盜取個(gè)人信息，APT攻擊只關(guān)注預(yù)先指定的目標(biāo)，所有的攻擊方法都只針對(duì)特定目標(biāo)和特定系統(tǒng)，針對(duì)性較強(qiáng)。

2.組織嚴(yán)密

APT攻擊成功可帶來(lái)巨大的商業(yè)利益，因此攻擊者通常以組織形式存在，由熟練黑客形成團(tuán)體，分工協(xié)作，長(zhǎng)期預(yù)謀策劃后進(jìn)行攻擊。

3.持續(xù)時(shí)間長(zhǎng)

APT攻擊具有較強(qiáng)的持續(xù)性，經(jīng)過(guò)長(zhǎng)期的準(zhǔn)備與策劃，攻擊者通常在目標(biāo)網(wǎng)絡(luò)中潛伏幾個(gè)月甚至幾年，通過(guò)反復(fù)滲透，不斷改進(jìn)攻擊路徑和方法，發(fā)動(dòng)持續(xù)攻擊，如零日漏洞攻擊等。

4.高隱蔽性

APT攻擊根據(jù)目標(biāo)的特點(diǎn)，能繞過(guò)目標(biāo)所在網(wǎng)絡(luò)的防御系統(tǒng)，極其隱蔽地盜取數(shù)據(jù)或進(jìn)行破壞。在信息收集階段，攻擊者常利用搜索引擎、高級(jí)爬蟲(chóng)和數(shù)據(jù)泄露等持續(xù)滲透，使被攻擊者很難察覺(jué);在攻擊階段，基于對(duì)目標(biāo)嗅探的結(jié)果，設(shè)計(jì)開(kāi)發(fā)極具針對(duì)性的木馬等惡意軟件，繞過(guò)目標(biāo)網(wǎng)絡(luò)防御系統(tǒng)，隱蔽攻擊。

5.間接攻擊

APT攻擊不同于傳統(tǒng)網(wǎng)絡(luò)攻擊的直接攻擊方式，通常利用第三方網(wǎng)站或服務(wù)器作跳板，布設(shè)惡意程序或木馬向目標(biāo)進(jìn)行滲透攻擊。惡意程序或木馬潛伏于目標(biāo)網(wǎng)絡(luò)中，可由攻擊者在遠(yuǎn)端進(jìn)行遙控攻擊，也可由被攻擊者無(wú)意觸發(fā)啟動(dòng)攻擊。
 

APT入侵方式

1. 以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。

2. 社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客剛一開(kāi)始，就是針對(duì)某些特定員工發(fā)送釣魚(yú)郵件，以此作為使用APT手法進(jìn)行攻擊的源頭。

3. 利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問(wèn)企業(yè)網(wǎng)絡(luò)的有效憑證信息是使用APT攻擊的另一重要手段。

以上內(nèi)容由信安客（xinanke.com）整理發(fā)布。