一、概念
APT(Advanced Persistent Threat),中文释义为高级持续性威胁,APT攻击是一种利用先进攻击手段对特定目标进行长期持续性攻击的攻击形式。
它的攻击原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT组织在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,APT组织会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。
为了更好的理解APT攻击,下面我们拆解下APT。
A(Advanced):高级
意味着攻击者拥有更高级的全方位的情报收集技术和更高级的攻击手段。这些可能包括传统的情报收集技术、计算机入侵技术、会话劫持技术以及卫星成像等技术。APT组织一般会自己动手构建的恶意软件工具包,根据需要访问和开发更高级的工具。他们经常结合多种定位方法,工具和技术,以达到并保持对目标的访问。
P(Persistent):持续性
APT攻击一方优先考虑某项具体任务,而不会投机取巧地寻求获取财务或其他收益的信息。这个意味着攻击者是由外部实体引导的。攻击的针对性是通过持续监控和互动来实现的,以达到既定的目标。这并不意味着需要不断的攻击和恶意软件更新的攻势。事实上,“低级”的做法通常更成功。如果APT攻击方失去对目标的访问权限,他们通常会重新尝试访问,而且通常是成功的。APT攻击方的目标之一是保持对目标的长期访问,而不会仅仅满足于短时间的访问权限。
T(Threat ):威胁
APT攻击是通过团队协作来执行的,而不是通过无意识和自动化的代码。并且APT攻击方都有一个特定的目标,同时他们技术精湛,积极主动,有组织有目的,资金充足,所以有大多数的APT攻击都是针对其他国家的,也被视为一种间谍活动。
二、APT攻击特征
APT攻击与传统攻击不同之处在于:
- 它的攻击目的非常明确,相比而言,传统攻击选择的目标计算机是随机的,例如著名的“极光”攻击,在Google中攻击目标是源代码,而在索尼中攻击目标则是个人验证信息PII;
- 提供精心策划,对特定目标完成预定任务; 建立长期的攻击点,等待时机完成预定任务;
- 由专业人员精心组织,长期监控,攻击过程随着找到防御弱点动态调整,更有效的实现攻击目的;
- 通常采用专门设计的、攻击方法复杂、传统攻击检测技术难以检测到。
三、APT攻击技术
3.1 APT攻击方式
APT组织常用的攻击手法有:鱼叉式网络钓鱼、水坑攻击、路过式下载攻击、社会工程学、即时通讯工具、社交网络、零日利用等
-
鱼叉攻击(Spear Phishing)
针对特定组织的网络欺诈行为,目的是不通过授权访问机密数据,最常见的方法是将木马程序作为电子邮件的附件发送给特定的攻击目标,并诱使目标打开附件。 -
水坑攻击(Water Holing)
黑客通过分析攻击目标的网络活动规律,寻找攻击目标经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待攻击目标访问该网站时实施攻击。水坑攻击(Watering hole)是一种计算机入侵手法,其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的。 由于此种攻击借助了目标团体所信任的网站,攻击成功率很高。
除了插恶意代码外,攻击者还会判断访问该页面的访问者的ip,只有当访问者在攻击目标的ip范围内,也会进行下一步的攻击动作,依次来防止误伤。
如某次海莲花攻击,该攻陷网站的某个js上插入了一段代码,用于访问恶意代码:
下图为使用鱼叉攻击和水坑攻击的基本方法。
-
路过式下载(Drive-by download)
用户不知道的情况下下载间谍软件、计算机病毒或者任何恶意软件。路过式下载可能发生在
最低0.47元/天 解锁文章
7131
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
