APT简介
APT(Advanced Persistent Threat)是指隐匿而持久的电脑入侵过程**,使用众多情报技术来获取敏感信息的网络间谍活动。
- 进阶
- 持续
- 威胁
APT攻击手法
- 锁定目标
- 组建团队
- 建置工具
- 研究目标基础建设与员工
- 测试
- 布局
- 开始入侵
- 建立对外连线
- 扩展存取权限
- 强化脚跟
- 窃取资料
- 消减踪迹
APT攻击周期
- 初始入侵(Initial compromise):社交工程,钓鱼攻击,零日攻击。
- 站稳脚跟(Establish Foothold):打开后门,隐藏远程访问。
- 提升特权(Escalate Privileges):利用漏洞获取管理员权限。
- 内部勘察(Internal Reconnaissance):收集设备,网络架构信息。
- 横向扩展(Move Laterally(旁边地)):将控制权扩展到其他设备。
- 保持现状(Maintain Presence):确保之前获取到的访问权限。
- 任务完成(Complete Mission)
APT防御策略
- APT相关的命令与控制流量(Command & Control)很容易在网路上检测。
- 深入的日志分析(Log analysis)有助于检测APT活动,可以借助完善的日志分析工具。
- TCP/443的连线(website SSL VPN)只允许由Proxy代理服务器放出,其他一律阻挡,可以防止大部分设备被远程控制。
IDS 入侵侦测系统
IDS(Intrusion Detection System)入侵侦测系统检测封包中是否带有恶意程序或扫描等入侵动作,侦测出有问题的封包会立即送出警告(Alert)。
IDS是被动式部署(Passive),将封包复制(mirror)后检查,即使宕机也不影响网络的正常运作。
因为IDS需要检查到封包的内容(content),所以属于第七层设备(application layer)。
IDS需要有一个资料库(databse)存储各种恶意程序或是病毒的特征码(signatures)。特征码是指某个恶意程序或是病毒独有的特征子串,可以用来辨认该恶意程序或是病毒,例如“GET /scripts/root.exe?c+dir”。
特征码需要有经验的网安专家来建置,还需要时常追踪更新。
IPS 入侵侦测防御系统
IPS(Intrusion Prevention System)入侵侦测系统检测封包中是否带有恶意程序或扫描等入侵动作,侦测出有问题的封包会立即拦截丢弃,并送出警告(Alert)。
IPS是主动式部署(Active),直接检查每一个通过的封包(in-line mode),宕机可能会影响网络的正常运作。
可以使用hardware by-pass方法,当设备宕机时当它不存在。
Snort IDS IPS
Snort是一个开源的IDS和IPS。
Snort can be configured(配置) in three main modes: sniffer, packet logger and network intrusion detection.