▲APT攻擊流程圖
在現(xiàn)實狀況下�����,要處理APT各階段的攻擊比一般的網(wǎng)絡攻擊要更加困難。比如說:在資產(chǎn)/數(shù)據(jù)發(fā)掘階段����,此時攻擊者已經(jīng)進到網(wǎng)絡內(nèi)部,他們尋找并分析哪些數(shù)據(jù)具有價值����,并加以利用。根據(jù)一項調(diào)查顯示��,雖然公司的機密信息占全部數(shù)據(jù)的三分之二����,但是只有一半的企業(yè)會針對此種威脅安排信息安全建設預算,信息安全有時也會淪為了“討價還價”的范圍��。
第1階段���,情報收集:攻擊者會鎖定的公司和資源采用針對性APT攻擊���,通常將目標鎖定到企業(yè)員工的身上作為開端,并通過社交工程攻擊開啟一連串攻擊。而在調(diào)查數(shù)據(jù)中�,只有31%的企業(yè)會懲處將公司機密資料貼到社區(qū)網(wǎng)站上的員工,這樣使得黑客非常容易的就能獲取到目標企業(yè)的IT環(huán)境和組織架構的重要信息��。
第2階段����,進入點:利用電子郵件、即時通信軟件��、社交網(wǎng)絡或是應用程序漏洞找到進入目標網(wǎng)絡的大門��。一項研究指出��,在87%的組織中���,會有網(wǎng)絡用戶點擊黑客安排的網(wǎng)絡鏈接,這些惡意鏈接都是精心設計的APT社交工程的誘餌���。
第3階段,命令與控制 (C&C 通信):APT攻擊活動首先在目標網(wǎng)絡中找出放有敏感信息的重要計算機���。然后�����,APT攻擊活動利用網(wǎng)絡通信協(xié)議來與C&C服務器通訊���,并確認入侵成功的計算機和C&C服務器間保持通訊�����。
第4階段,橫向擴展:在目標網(wǎng)絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具�����,將攻擊者權限提升到跟管理者一樣����,讓他可以輕松的去訪問和控制關鍵目標(如:公司的郵件服務器)。
第5階段����,資產(chǎn)/資料發(fā)掘:為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù),APT會長期低調(diào)的潛伏�����。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點�,來挖掘出最多的資料���,而且在這個過程當中,通常不會是重復自動化的過程�,而是會有人工的介入對數(shù)據(jù)做分析,以做最大化的利用���。
第6階段�,資料竊?����。篈PT是一種高級的����、狡猾的伎倆,高級黑客可以利用APT入侵網(wǎng)絡��、逃避“追捕”���、悄無聲息不被發(fā)現(xiàn)���、隨心所欲對泄露數(shù)據(jù)進行長期訪問,最終挖掘到攻擊者想要的資料信息�。數(shù)據(jù)泄露的代價對公司業(yè)務和資金的損失是極其慘重的���,比如RSA就花了六千六百萬美金來補救因內(nèi)部網(wǎng)絡數(shù)據(jù)竊取事件所造成的傷害。
有關APT攻擊的5個疑惑
在這幾年里���,APT攻擊方式越來越流行��,這引起了絕大多數(shù)企業(yè)的注意��,同時也因為人們對APT攻擊的不熟悉���,造成很多疑惑��。趨勢科技整理了部分企業(yè)和在線收集的問題��,并對提問概率最多的5個問題作出了有針對性的回答:
Q1:只有APT 會造成資料外泄事件?
TM:資料外泄事件的成因有很多���,有些數(shù)據(jù)外泄事件是因為疏忽或是惡意的內(nèi)部人員竊取所造成的�。
Q2:APT是單一事件嗎?
TM:APT應該被視為一連串的攻擊活動�����,而非單一事件��。同時,APT會利用各種方法不停的嘗試�����,直到達到目的為止�����。
Q3:APT是用來獲取預先設定目標的檔案或信息嗎?
TM:雖然攻擊者可能知道他們想竊取哪些信息��,但他們還是需要先隱藏自己��,然后進行橫向擴展����,好來找出所需的特定檔案。
Q4:錢是APT攻擊活動背后的唯一動機 ?
TM:金錢并不是攻擊者的唯一目的����。當APT攻擊活動針對特定目標時,更多時候是做網(wǎng)絡間諜戰(zhàn)或破壞活動����。
Q5:一般的信息安全解決方案對于APT有作用嗎?
TM:對抗APT攻擊活動沒有萬靈丹,只能通過定制化的偵測機制來監(jiān)控你的網(wǎng)絡�����,才可以有效地降低風險。同時����,針對數(shù)據(jù)泄漏,趨勢科技提醒廣大企業(yè)用戶����,越是敏感的數(shù)據(jù),加上越多人的經(jīng)手�,將會導致越大的外泄風險。
