概念
對于APT攻擊比較權威的定義是由美國國家标準與技術研究所( NIST)提出的,該定義給出了APT攻擊的4個要素,具體如下。
(1)攻擊者:擁有高水平專業知識和豐富資源的敵對方。
(2)攻擊目的:破壞某組織的關鍵設施,或阻礙某項任務的正常進行
(3)攻擊手段:利用多種攻擊方式,通過在目标基礎設施上建立并擴展立足點來獲取信息。
(4)攻擊過程:在一個很長的時間段内潛伏并反複對目标進行攻擊,同時适應安全系統的防禦措施,通過保持高水平的交互來達到攻擊目的。
入侵方式
APT入侵客戶的途徑多種多樣,主要包括以下幾個方面。
一、以智能手機、平闆電腦和USB等移動設備為目标和攻擊對象繼而入侵企業信息系統的方式。
二、社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一,随着社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始,就是針對某些特定員工發送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
三、利用防火牆、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。
總之,高級持續性威脅(APT)正在通過一切方式,繞過基于代碼的傳統安全方案(如防病毒軟件、防火牆、IPS等),并更長時間地潛伏在系統中,讓傳統防禦體系難以偵測。
攻擊階段
APT攻擊可以分為三個環節,每個環節又會有一些具體的工作内容。這三個環節其實是混雜互相交織在一起的,并沒有嚴格的分界線的,這裡分開,主要是為了從技術環節做更好的分析。另外每個環節,攻擊者都可能發起多次甚至持續多年而并非單獨一次,這取決于攻擊者意願、被攻擊的目标價值、攻擊者已經得手的情況而定。
1、攻擊前奏
在攻擊前奏環節,攻擊者主要是做入侵前的準備工作。
2、入侵實施
在入侵實施環節,攻擊者針對實際的攻擊目标,展開攻擊。
3、後續攻擊
在後續攻擊環節,攻擊者竊取大量的信息資産或進行破壞,同時還在内部深度的滲透以保證發現後難以全部清除。
主要特征
APT攻擊具有不同于傳統網絡攻擊的5個顯著特征:針對性強、組織嚴密、持續時間長、高隐蔽性和間接攻擊。
1、針對性強
APT攻擊的目标明确,多數為擁有豐富數據/知識産權的目标,所獲取的數據通常為商業機密、國家安全數據、知識産權等。
相對于傳統攻擊的盜取個人信息,APT攻擊隻關注預先指定的目标,所有的攻擊方法都隻針對特定目标和特定系統,針對性較強。
2、組織嚴密
APT攻擊成功可帶來巨大的商業利益,因此攻擊者通常以組織形式存在,由熟練黑客形成團體,分工協作,長期預謀策劃後進行攻擊。他們在經濟和技術上都擁有充足的資源,具備長時間專注APT研究的條件和能力。
3、持續時間長
APT攻擊具有較強的持續性,經過長期的準備與策劃,攻擊者通常在目标網絡中潛伏幾個月甚至幾年,通過反複滲透,不斷改進攻擊路徑和方法,發動持續攻擊,如零日漏洞攻擊等。
4、高隐蔽性
APT攻擊根據目标的特點,能繞過目标所在網絡的防禦系統,極其隐藏地盜取數據或進行破壞。在信息收集階段,攻擊者常利用搜索引擎、高級爬蟲和數據洩漏等持續滲透,使被攻擊者很難察覺;在攻擊階段,基于對目标嗅探的結果,設計開發極具針對性的木馬等惡意軟件,繞過目标網絡防禦系統,隐蔽攻擊。
5、間接攻擊
APT攻擊不同于傳統網絡攻擊的直接攻擊方式,通常利用第三方網站或服務器作跳闆,布設惡意程序或木馬向目标進行滲透攻擊。惡意程序或木馬潛伏于目标網絡中,可由攻擊者在遠端進行遙控攻擊,也可由被攻擊者無意觸發啟動攻擊。
檢測難點
與傳統網絡攻擊相比,APT攻擊的檢測難度主要表現在以下幾方面:
1、先進的攻擊方法。
攻擊者能适應防禦者的入侵檢測能力,不斷更換和改進入侵方法,具有較強的隐藏能力,攻擊入口、途徑、時間都是不确定和不可預見的,使得基于特征匹配的傳統檢測防禦技術很難有效檢測出攻擊。
2、持續性攻擊與隐藏。
APT通過長時間攻擊成功進入目标系統後,通常采取隐藏策略進入休眠狀态;待時機成熟時,才利用時間間隙與外部服務器交流。在系統中其并無明顯異常,使得基于單點時間或短時間窗口的實時檢測技術和會話頻繁檢測技術也難以成功檢測出異常攻擊。
3、長期駐留目标系統,保持系統的訪問權限。
攻擊者一旦侵入目标系統便會積極争取目标系統或網絡的最高權限,實現程序的自啟功能。同時,攻擊者會在目标網絡中基于已控制的網絡主機實現橫向轉移和信息收集,規避安全檢測,擴大被入侵網絡的覆蓋面,尋找新的攻擊目标。一旦其找到了想要攻擊的最終目标和适當傳送信息的機會,攻擊者便會通過事先準備好的隐藏通道獲取信息、竊取數據或執行破壞活動,且不留任何被入侵的痕迹。
