神秘的APT攻击

文章目录

  • 前言
  • APT起源
  • APT定义
  • APT生命周期
  • 防御方法
  • 总结

前言

最近在看ATT&CK的文章,里面有提到针对目标主要是APT组织,针对的攻击方法也主要为APT攻击,那么什么是APT呢

APT起源

2006年,APT被正式提出,用以描述自20世纪90年代末至21世纪初在美国政府和军事网络中发现的强大而持续的网络攻击。

美国中情局将经典情报周期划分为5个阶段:规划、收集、处理、分析和生产、传播,并明确APT攻击属情报收集范畴。美国国防部的高级网络作战原则中明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要的组成部分。可见,APT攻击侧重于敏感数据获取与关键情报收集。

APT定义

自APT术语诞生至今,依然没有权威统一的定义,但不同研究机构和研究者相继提出了各自对于APT的理解与描述。

下面是维基百科对于APT的定义:

高级长期威胁(英语:advanced persistent threat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。

高级长期威胁包含三个要素:高级、长期、威胁 高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。

APT发起方,如政府,通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁,尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动,但也适用于传统的间谍活动之类的威胁。其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人,如个人黑客,通常不被称作APT,因为即使个人有意攻击特定目标,他们也通常不具备高级和长期这两个条件。

APT生命周期

APT的生命周期即为一次攻击入侵的流程,下面介绍一下美国网络安全公司麦迪安(Mandiant)发布的一个APT组织的生命周期

  • 初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击,通过邮件进行。在受害者常去的网站上植入恶意软件(挂马)也是一种常用的方法。
  • 站稳脚跟 – 在受害者的网络中植入远程访问工具,打开网络后门,实现隐蔽访问。
  • 提升特权 – 通过利用漏洞及破解密码,获取受害者电脑的管理员特权,并可能试图获取Windows域管理员特权。
  • 内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
  • 横向发展 – 将控制权扩展到其他工作站、服务器及设施,收集数据。
  • 保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
  • 任务完成 – 从受害者的网络中传出窃取到的数据。

我觉得最后一步,可以添加一步安全撤出的流程。

防御方法

目前各大院校的研究院和各大厂商也正在做APT攻击的监测方法和抵抗方法,可以在各大文献平台进行检索。

下面是一些厂商做的APT威胁的年度报告:
奇安信2021年APT年度报告:https://ti.qianxin.com/uploads/2022/03/25/68f214e06e1983b73b7d0f2e075a5fa8.pdf
360安全2020年全球APT研究报告:
http://pub1-bjyt.s3.360.cn/bcms/2020%E5%85%A8%E7%90%83%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81APT%E7%A0%94%E7%A9%B6%E6%8A%A5%E5%91%8A.pdf
360安全2021年上半年全球APT研究报告:
http://pub1-bjyt.s3.360.cn/bcms/2021%E5%B9%B4%E4%B8%8A%E5%8D%8A%E5%B9%B4%E5%85%A8%E7%90%83%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81%EF%BC%88APT%EF%BC%89%E7%A0%94%E7%A9%B6%E6%8A%A5%E5%91%8A.pdf

绿盟2022年APT组织情报研究:
http://blog.nsfocus.net/wp-content/uploads/2022/01/APT.pdf

总结

APT是有针对有组织的黑客攻击,目前主流的防守方法是采用ATT&CK模型,进行有针对的防御。

你可能感兴趣的:(安全笔记,安全)