概念
对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。
(1)攻击者:拥有高水平专业知识和丰富资源的敌对方。
(2)攻击目的:破坏某组织的关键设施,或阻碍某项任务的正常进行
(3)攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
(4)攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
入侵方式
APT入侵客户的途径多种多样,主要包括以下几个方面。
一、以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
二、社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。
三、利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。
攻击阶段
APT攻击可以分为三个环节,每个环节又会有一些具体的工作内容。这三个环节其实是混杂互相交织在一起的,并没有严格的分界线的,这里分开,主要是为了从技术环节做更好的分析。另外每个环节,攻击者都可能发起多次甚至持续多年而并非单独一次,这取决于攻击者意愿、被攻击的目标价值、攻击者已经得手的情况而定。
1、攻击前奏
在攻击前奏环节,攻击者主要是做入侵前的准备工作。
2、入侵实施
在入侵实施环节,攻击者针对实际的攻击目标,展开攻击。
3、后续攻击
在后续攻击环节,攻击者窃取大量的信息资产或进行破坏,同时还在内部深度的渗透以保证发现后难以全部清除。
主要特征
APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。
1、针对性强
APT攻击的目标明确,多数为拥有丰富数据/知识产权的目标,所获取的数据通常为商业机密、国家安全数据、知识产权等。
相对于传统攻击的盗取个人信息,APT攻击只关注预先指定的目标,所有的攻击方法都只针对特定目标和特定系统,针对性较强。
2、组织严密
APT攻击成功可带来巨大的商业利益,因此攻击者通常以组织形式存在,由熟练黑客形成团体,分工协作,长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源,具备长时间专注APT研究的条件和能力。
3、持续时间长
APT攻击具有较强的持续性,经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,如零日漏洞攻击等。
4、高隐蔽性
APT攻击根据目标的特点,能绕过目标所在网络的防御系统,极其隐藏地盗取数据或进行破坏。在信息收集阶段,攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透,使被攻击者很难察觉;在攻击阶段,基于对目标嗅探的结果,设计开发极具针对性的木马等恶意软件,绕过目标网络防御系统,隐蔽攻击。
5、间接攻击
APT攻击不同于传统网络攻击的直接攻击方式,通常利用第三方网站或服务器作跳板,布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中,可由攻击者在远端进行遥控攻击,也可由被攻击者无意触发启动攻击。
检测难点
与传统网络攻击相比,APT攻击的检测难度主要表现在以下几方面:
1、先进的攻击方法。
攻击者能适应防御者的入侵检测能力,不断更换和改进入侵方法,具有较强的隐藏能力,攻击入口、途径、时间都是不确定和不可预见的,使得基于特征匹配的传统检测防御技术很难有效检测出攻击。
2、持续性攻击与隐藏。
APT通过长时间攻击成功进入目标系统后,通常采取隐藏策略进入休眠状态;待时机成熟时,才利用时间间隙与外部服务器交流。在系统中其并无明显异常,使得基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。
3、长期驻留目标系统,保持系统的访问权限。
攻击者一旦侵入目标系统便会积极争取目标系统或网络的最高权限,实现程序的自启功能。同时,攻击者会在目标网络中基于已控制的网络主机实现横向转移和信息收集,规避安全检测,扩大被入侵网络的覆盖面,寻找新的攻击目标。一旦其找到了想要攻击的最终目标和适当传送信息的机会,攻击者便会通过事先准备好的隐藏通道获取信息、窃取数据或执行破坏活动,且不留任何被入侵的痕迹。
