三分钟教你看懂APT攻击

什么是APT攻击

顾名思义，APT（高级持久威胁）首先具有强大的隐蔽能力。它针对特定对象，并有计划，有组织和长期地窃取数据。目的是窃取核心信息并收集情报，是一种蓄谋已久“恶意商业间谍威胁”。

其次，APT攻击具有很高的针对性。在触发攻击之前，通常有必要收集有关用户业务流程和目标系统使用情况的大量准确信息。情报收集的过程更是社工艺术的完美展现。当然，它针对各种类型的受攻击环境0day收集更是必不可少的环节。

在已发生的典型APT攻击中，通常会有针对性的准备几个月或更长的时间，熟悉用户网络环境，收集应用程序和业务流程中的安全隐患，并查找存储位置和通信方式。整个惊心动魄的过程绝不亚于好莱坞的巨制《偷天换日》。当一切准备就绪时，攻击者锁定的重要信息将从该秘密通道悄无声息的转移。例如，将Rootkit部署到特定服务器上之后，攻击者将定期通过精心构建的C＆C网络将目标文件回送并进行检查。

或许很多IT管理者认为APT攻击这种长期而复杂的攻击方法，不可能在您负责的网络中幸运地发生。但是，在先进的西方国家，APT攻击已成为国家网络安全防御策略的重要组成部分。例如，在美国国防部的高级网络操作原则中，明确指出，检测和防御APT攻击是整个风险管理链中最重要和最基本的部分。

我们需要高度重视APT攻击。就像看似牢固的马奇诺防线一样，德国军队只是改变了作战策略，整个法国防线都被缩小了。至于APT攻击，任何疏忽都可能将信息带入系统。来一场灾难性的破坏。

APT袭击更像是中国神秘的龙岩特种部队。锋利的武器和超强的战斗能力使用户网络环境中的传统IPS / IDS，防火墙和其他安全网关失去应有的防御能力。无论是0day还是精心构建的恶意程序，传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵，甚至在业界引起广泛讨论的NGFW，利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。

典型的APT攻击通常通过以下渠道入侵您的网络：

1.通过SQL注入等攻击突破面向外部网络的Web服务器；

2.使用入侵的Web服务器作为跳板，以扫描Intranet上的其他服务器或桌面终端，并为进一步的入侵做准备；

3.通过密码爆炸或发送欺诈性电子邮件获取管理员帐户，最终突破AD服务器或核心开发环境；

4.被攻击者的私人邮箱会自动将电子邮件的副本发送给攻击者；

5.通过植入恶意软件，例如木马，后门程序，下载器等恶意软件，返回大量敏感文件（WORD，PPT，PDF，CAD文件等）；

6.通过高管人员的电子邮件发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。

总结：APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。

​