根据美国国防承包商洛克希德·马丁公司提出的网络杀伤链模型,APT攻击主要由7个阶段组成,分别为
侦查跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、目标达成 。
’
阶段1-侦查跟踪:
侦查跟踪指攻击者在选定好攻击目标后,收集跟目标有关的情报信息的过程。情报可从目标综合信息、员工信息、网络架构信息、安全防御等方面进行收集。
阶段2-武器构建:
攻击者根据侦查跟踪所获取的情报,针对性地制作恶意软件。可通过0day漏洞制作含有shellcode的pdf和word文档。
阶段3-载荷投递:
载荷投递可分为鱼叉攻击、水坑攻击、零日漏洞、U盘等载体进行投递攻击。
鱼叉攻击:精心制造邮件并投递,包含恶意url或恶意附件。
水坑攻击:先攻击目标经常访问的站点,在站点上部署恶意代码,待目标访问时自动下载恶意软件。
零日漏洞:通过零日漏洞直接攻击目标服务器,迫使下载恶意软件。
U盘投递:通常用于攻击隔离互联网的目标。
阶段4-漏洞利用:
漏洞利用是在shellcode被投递后,启动shellcode的阶段。通常会利用漏洞运行起来。
阶段5-安装植入:
当shellcode运行后,可从远程C2服务器下载木马,设置后门,实现对目标的长期监听。
阶段6-命令与控制:
木马会回连C2服务器,建立C2信道。
寻址: 此处木马会通过DNS请求查询C2服务器IP。
通信: C2信道可以是DNS隐蔽信道(特征可见参考),也可以是Https加密信道。木马会接收到攻击者的指令并作出响应。
心跳: 木马会周期性发送心跳包向C2服务器报告目标情况。为了躲避检测,心跳包的周期和包大小可能会频繁变化。
阶段7-目标达成:
APT攻击中,木马的目标多为信息窃取。此阶段的流量有以下特征:
1. 上行流量远大于下行流量
2. 上行流量大于下行流量的时间占比非常高
参考
[什么是高级持续性威胁(APT)?有哪些特点和典型案例? - 华为](https://info.support.huawei.com/info-
finder/encyclopedia/zh/%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81.html
“什么是高级持续性威胁(APT)?有哪些特点和典型案例? - 华为”)
https://www.cnblogs.com/Michael-Scofields/p/13570827.html
近5年典型的的APT攻击事件_常见的atp攻击事件_ChengKaoAO的博客-
CSDN博客
最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
