什么是ATP?剖析ATP
lzzyok小精灵
2024-04-18 01:06
高级持续性威胁(简称APT)有愈演愈烈之势。那么,什么是APT?会带来什么危害?以后的发展趋势是怎样的?今天我们就来对APT做些了解吧!
1、什么是ATP攻击?
高级持续性威胁(Aavanced Persistent Threat,APT)威胁着企业的额数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长时间的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT入侵客户的途径多种多样,主要包括以下几个方面。
1)以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
2)社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT进行攻击的源头。
3)利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息时使用APT攻击的另一种手段。
总之,高级持续威胁(APT)正在通过这一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、ISP等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
“潜伏性和持续性”是APT攻击的最大威胁,其主要特征包括以下内容。
1)潜伏性:这些新型攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
2)持续性:由于APT攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
3)锁定特定目标:针对特定政府或企业,长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。
4)安装远程控制工具:攻击者建立一个类似僵尸网络Botnet的远程控制架构,攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。
2、APT攻击过程
第1阶段,情报收集:攻击者会锁定的公司和资源采用针对性APT攻击,通常将目标锁定到企业员工的身上作为开端,并通过社交工程攻击开启一连串攻击。
第2阶段,进入点:利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。
第3阶段,命令与控制 (C&C 通信):APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通 信协议来与C&C服务器通讯,并确认入侵成功的计算机和C&C服务器间保持通讯。
第4阶段,横向扩展:在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样,让他可以轻松的去访问和控 制关键目标(如:公司的邮件服务器)。
第5阶段,资产/资料发掘:为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在 这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据做分析,以做最大化的利用。
第6阶段,资料窃取:APT是一种高级的、狡猾的伎俩,高级黑客可以利用APT入侵网络、逃避"追捕"、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻 击者想要的资料信息。
3、APT攻击未来趋势
APT攻击将会变得越来越复杂,这并不仅仅表示攻击技术越来越强大,也意味着部署攻击的方式越来越灵活。以后,这类攻击将会具备更大的破坏能力,更难进行属性分析。
1)攻击将会更有针对性:越来越多的APT攻击将会针对特定的地区的用户群体进行攻击。在此类攻击中,除非目标在语言设定、网段等条件上符合一定的标准,否则恶意软件不会运行。
2)APT攻击将更有破坏性:APT攻击将带有更多的破坏性质,无论这是它的主要目的,或是作为清理攻击者总计的手段,都很有可能成为时间性攻击的一部分,被运用在明确的目标上。
3)对攻击的判断将会越来越困难:在APT攻击防范中,以往通常用简单的技术指标来判断攻击的动机和地理位置,在以后,将需要综合社会、政治、经济、技术等多重指标进行判断,以充分评估和分析目标 攻击。但是,多重指标很容易导致判断出现失误,而且,攻击者还可能利用伪造技术指标来将怀疑对象转嫁到别人身上,大大提升了判断的难度。
当然,APT攻击作为企业信息安全的一大隐患,这类威胁的防范必须融入到一个更大的监测及预防策略中,并整合现有的网络防御。因此,企业用户会更加关注如何防范APT攻击与进阶威胁、避免攻击破坏网络及泄露敏感信息,更能完全的发挥用户投资的安全防护产品和技术。
因此,APT防护将会发展成一个较大的市场,这也是一个不断对抗的过程,也是一个需要长期研究和投入的领域,而不是硬件上加上一个特性或功能就能从根本解决问题的领域。
更多阅读,欢迎登陆编程学习网教育或关注公众号【编程学习网】/【编程学习网IT精品课程】。
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
