阿里云服务器 个人网站,网站开发技术实验教程,简单网页制作成品下载,中国建设部网站办事大厅APT攻击 1. 基本概念2. APT的攻击阶段3. APT的典型案例参考 1. 基本概念
高级持续性威胁#xff08;APT#xff0c;Advanced Persistent Threat#xff09;#xff0c;又叫高级长期威胁#xff0c;是一种复杂的、持续的网络攻击#xff0c;包含高级、长期、威胁三个要素… APT攻击 1. 基本概念2. APT的攻击阶段3. APT的典型案例参考 1. 基本概念
高级持续性威胁APTAdvanced Persistent Threat又叫高级长期威胁是一种复杂的、持续的网络攻击包含高级、长期、威胁三个要素。
高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度攻击人员通常根据需要开发更高级的工具这需要花费大量时间和资源对目标进行扫描分析挖掘研究系统漏洞长期是为了达到特定目的过程中“放长线”持续监控分析目标确保对目标保有长期访问权威胁强调的是人为参与策划的攻击攻击目标是高价值的组织攻击一旦得手往往会给攻击目标造成巨大的经济损失或政治影响
主要特点
攻击者组织严密有组织发起的攻击可能具有军事或政治目的有时会与某个国家关联在一起而且背后往往有强大的资金及资源支持。针对性强攻击者不会盲目攻击一般会很有针对性的选择一个攻击目标该目标往往具有军事、政治、经济上的较高价值。技术先进APT攻击的恶意代码变种多且升级频繁结合尚未发布的零日漏洞使得基于特征匹配的传统检测防御技术很难有效检测出攻击。隐蔽性强APT攻击者具有较强的隐蔽能力不会像DDoS攻击一样构造大量的报文去累垮目标服务器基于流量的防御手段很难发挥作用在整个过程中都会使用高级逃逸技术来刻意躲避安全设备的检查在系统中并无明显异常基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。持续时间长攻击者一般都很有耐心渗透过程和数据外泄阶段往往会持续数月乃至数年的时间。
2. APT的攻击阶段
APT攻击者通常是一个组织从瞄准目标到大功告成要经历多个阶段。洛克希德-马丁公司提出的网络攻击杀伤链 Cyber-Kill-Chain包括以下七个阶段。 1信息收集
RECONNAISSANCE
攻击者选定目标后首先要做的就是收集所有跟目标有关的情报信息。这些情报可能是目标的组织架构、办公地点、产品及服务、员工通信录、管理层邮箱地址、高层领导会议日程、门户网站目录结构、内部网络架构、已部署的网络安全设备、对外开放端口、企业员工使用的办公OS和邮件系统、公司web服务器的使用的系统和版本等等。
2武器构建
WEAPONIZATION
信息收集完成后就要考虑如何渗透到组织内部。从钓鱼邮件、web服务器还是U盘入手如果是钓鱼邮件利用哪种客户端软件的零日漏洞如果是web服务器目标用户最常去的网站有哪些
收集信息越多社会工程攻击就越无缝可击。通过员工在LinkedIn上的信息可以用鱼叉式钓鱼获得公司内部资源。或者可以把远程访问木马提前嵌入可能会录入重要信息的文件里以诱使接收者运行它。如果知道用户或服务器运行的软件信息比如操作系统版本和类型在企业网络里渗透和布置的机会就大大增加。
渗透手段确定后下一步则需要制作特定的恶意软件。通常攻击者所在组织会有专门的团队从事零日漏洞的挖掘和利用他们也会密切关注一些漏洞报告平台上的最新公告利用这种公开或半公开披露的漏洞原理以及可能的POC代码来进一步制作自己的趁手武器例如带有恶意代码的pdf文件或office文件。这种恶意代码被称作shellcode往往短小精悍采用代码混淆、加壳、加密等反侦测手段并在投递之前用各种最新的防病毒软件检测一遍以期在投递到目标网络之后尽可能不被发现。
3载荷投送
DELIVERY
恶意软件制作好下一步是把它投递到目标网络内。常用的手法包括邮件的附件、网站挂马、U盘等。
对于钓鱼邮件攻击黑客务必要精心构造一封足以乱真的邮件内容邮件标题、邮件内容、附件的名称和类型都要让收件者放松警惕产生兴趣最终打开邮件附件或邮件正文中的URL链接。例如2020 年结合疫情热点发送钓鱼邮件或制作诱饵文件成为了全球高级持续性威胁的普遍趋势。对于网站挂马要根据攻击目标的兴趣爱好选择一个合适的网站下手这个网站必须存在可被利用的零日漏洞然后对网站展开渗透和攻击攻破后放上一个能自动在后台进行下载的脚本让访问该网页的目标用户在不知不觉中就把含有恶意软件下载到本地同时利用浏览器漏洞来安装执行。而使用U盘载体来投递恶意软件的攻击行为一般需要近距离的接触。当攻击目标不在internet上不连接外网时是一种手段。
4漏洞利用
EXPLOITATION
当目标用户使用含有漏洞的客户端程序或浏览器打开带有恶意代码的文件时就会被恶意代码击中漏洞下载并安装恶意软件恶意软件通常是一个体积很小的远程控制工具业内简称为RAT即Remote Administration Tool或Remote Access Trojan用于与控制服务器建立CC信道。恶意程序一般还会提升权限或添加管理员用户把自己设置为开机启动甚至在后台悄悄关闭或修改主机防火墙设置以让自己尽可能不被发现。
5安装植入
INSTALLIATION
通常情况下攻击方安装一个持续后门或植入可以长时间访问目标的工具终端防御检测和记录“异常”安装活动。
同一个组织机构内部的办公主机往往都是相同的系统、类似的应用软件环境因此很大程度上具备相同的漏洞攻陷一台内网主机后恶意程序会横向扩散到子网内其他主机或纵向扩散到企业内部服务器。由于RAT具备键盘记录和屏幕录像功能因此很容易获取用户的域密码、邮箱密码及各类服务器密码。
6命令控制
COMMAND CONTROL
一旦威胁软件在目标的网络环境里扎根恶意软件将打开通信信道以使攻击方远程操作目标。它可能下载额外的组件更有可能的是通过CC通道联系一个僵尸网络主控机。
7完成目标
ACTION ON OBJECTIVES
攻击者成功地破坏、瘫痪或渗入系统后攻击者可转移到另一个阶段——盈利。攻击者可能采取任意形式的组合比如通过破坏基础设施来进行广告欺诈或发送垃圾邮件、向企业勒索赎金、出售他们在黑市上获得的数据甚至劫持基础设施出租给其他罪犯。
攻击者的每一步过程中都通过匿名网络、加密通信、清除痕迹等手段来自我保护在机密信息外发的过程中也会采用各种技术手段来避免被网络安全设备发现。一方面化整为零将机密信息打散、加密或混淆避免DLP设备通过关键字扫描发现泄密另一方面会限制发送的速率以尽量不超过各类安全设备的检测阈值。
3. APT的典型案例
Google Aurora极光攻击、震网攻击是2010年著名的APT攻击也是APT攻击的典型案例。而近年来供应链、远程办公、移动终端成为攻击的切入点例如2020年末的SolarWinds供应链事件。
1Google Aurora极光攻击
Google Aurora极光攻击是由一个有组织的网络犯罪团伙精心策划的有针对性的网络攻击攻击团队向Google发送了一条带有恶意连接的消息当Google员工点击了这条恶意连接时会自动向攻击者的CC ServerCommand and Control Server发送一个指令并下载远程控制木马到电脑上成为“肉鸡”再利用内网渗透、暴力破解等方式获取服务器的管理员权限员工电脑被远程控制长达数月之久其被窃取的资料数不胜数造成不可估量的损失。
2震网攻击
2010年“震网”病毒Stuxnet成功攻击了伊朗核设施的离心机仅仅2个月报废离心机约1000台。据报道“震网”是由多个国家发起的针对伊朗核设施的定向网络攻击事件 但一个编程错误使蠕虫扩散到了其它不支持的操作系统上才导致其在2010年6月被捕获。
“震网”利用了7个漏洞其中4个是零日漏洞。由于攻击目标不在Internet上不连接外网与外界物理隔离理论上不会遭遇外界攻击。初期“震网”是经由特工之手将U盘插入目标系统或网络的。“震网”还应用了非常多的隐身、伪装、欺骗手法例如它的漏洞利用程序瞄准的是系统内核级别以此逃脱反病毒软件的扫描实现“隐身”它会仔细跟踪自身在计算机上占用的处理器资源情况只有在确定震网所占用资源不会拖慢计算机速度时才会将其释放以免被发现它还盗用了两家公司的数字签名。
3SolarWinds供应链事件
2020年12月网络安全公司 FireEye披露其公司购置的网管软件厂商SolarWinds相关软件中存在后门该后门通过HTTP与第三方服务器进行通信。SolarWinds对全球客户展开排查经排查发现多家大公司均被攻击者通过该软件作为入口而成功渗透。此外多个政府机构也可能已经沦陷世界500强企业中也有超过9成受到影响全球至少30万家大型政企机构受到影响。
参考
360安全大脑知道创宇安全威胁情报安全资讯平台安全牛威胁情报
