网络安全领域的APT
即是Advanced Persistent Threat的缩写,中文称作高级持续性威胁。这种攻击具备更强的隐蔽性,攻击者通常会进行缜密的策划并长期潜伏在目标网络中伺机而动。APT攻击的对象多为具有较高价值的政府、企业等组织,企图窃取商业机密数据和资料,更有甚者会破坏对方的关键基础设施甚至引发网络战争。
常见的ATP组织
APT组织比普通的黑客组织的技术更强,他们的行动和计划也更具统一性。组织严密,面目神秘,很多APT组织背后都有不同国家力量在暗中支持,比起那些纯粹金钱目的的黑客组织,ATP组织目的性更加多样。网络安全公司德拉戈斯(Dragos)曾对ATP组织开展了追踪,据这家公司调研结果显示,有五个ATP组织比较知名。
Electrum组织
该组织开发可修改和控制OT程序恶意软件,Dragos研究人员根据长期追踪发现这个组织在2016年12月对乌克兰电网进行了攻击并导致乌克兰大面积的停电。
Covellite组织
早在2017年,研究人员就开始观测 Covellite 组织,当年该组织发动了针对美国一家电网企业的钓鱼式攻击,该组织在欧洲、东亚、北美地区均有活动痕迹。
Dymalloy组织
Dymalloy是一个被描述为“极具侵略性”的组织,这个组织紧盯欧洲、土耳其和北美的重要关键工业基础设施。
Chrysene组织
“Chrysene” 黑客组织,其攻击活动主要针对的是北美、西欧、以色列和伊拉克,尤其是发电行业和石油天然气行业的组织机构。
该组织至少从2017年开始活跃,以欧洲和中东的工业组织为目标,主要进行情报收集行动,以促进进一步攻击。
Magnallium组织
Magnallium 组织也在针对工控系统发动攻击,最初针对沙特阿拉伯的石油、天然气和飞机公司,后来攻击范围扩展到欧洲和北美。
APT攻击流程
整个攻击生命周期的七个阶段如下:
第一阶段:扫描探测
在APT攻击中,攻击者会花几个月甚至更长的时间对”目标”网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,人员信息等等。
第二阶段:工具投送
在多数情况下,攻击者会使用邮件诱骗其打开恶意附件,或单击一个经过伪造的恶意URL,希望利用常见软件(如Java或微软的办公软件)的0day漏洞,投送其恶意代码。一旦到位,恶意软件可能会自我复制,用微妙的改变使每个实例都看起来不一样,并伪装自己,躲避扫描。有些会关闭防病毒扫描引擎,经过清理后重新安装,潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里,或者通过基于云的文件共享来感染一台主机,并在连接到网络时横向传播。
第三阶段:漏洞利用
利用漏洞,达到攻击的目的。攻击者通过投送恶意代码,并利用目标对象使用软件中的漏洞执行。而如果漏洞利用成功的话,系统将受到感染。普通用户系统忘记打补丁是很常见的,所以他们很容易受到已知和未知的漏洞利用攻击。一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。
第四阶段:木马植入
随着漏洞利用的成功,更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。
第五阶段:远程控制
一旦恶意软件安装,攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的,其目的就是允许从外部控制员工电脑或服务器。
第六阶段:横向渗透
一般来说,攻击者首先突破的个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器,攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
第七阶段:目标行动
将敏感数据从被攻击网络非法传输到由攻击者控制的外部系统,在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运致由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找”已知的”恶意地址和受到严格监管的数据。
遭受APT攻击的迹象
虽然这种攻击具有极强的隐蔽能力,但还是有一些迹象可以帮助管理者发现异常状况,识别APT攻击。如下所示:
异常登录次数增加
APT攻击会在短短几个小时内迅速从单台计算机升级到接管多台计算机或整个环境。他们了解哪些帐户具有提升的权限,然后通过这些帐户来破坏环境中的资产。
通常,在办公时间之外意外登录到服务器可能表明一项APT攻击正在发生。攻击者可能在不同的时区工作,或者尝试在夜间工作,以减少发现其活动的机会。
广泛的后门木马
如果网络安全工具检测到的后门木马数量比平时多,则可能是由于APT攻击所致。攻击者这样做是为了确保可以随时返回,即使受害者获得线索更改了登录凭据,他们也可以继续访问受感染的设备。
聚焦鱼叉式网络钓鱼活动
查找鱼叉式网络钓鱼电子邮件,这些电子邮件可能会被发送给高级管理人员,以便攻击者窃取受限制的数据。
无法解释的数据转换
APT攻击经常将被盗数据汇总到内部收集点,然后再将其复制到网络中的另一个位置,并仅在确信无法检测到时才将其传输到网络之外。
发现不应该存在数据的位置出现的大量数据块时,尤其是在以公司通常不使用的存档格式压缩时,需要提高警惕。
意外的信息流
查找从内部始发点到其他计算机的大量意外数据流,可以是服务器到服务器,服务器到客户端或网络到网络。
参考来源:
1.《什么是APT攻击》稻香的秘密,CSDN
1.《什么是 APT 攻击?》八分量,知乎
