高級持續(xù)性威脅 (APT) 是公司可能面臨的最危險的網(wǎng)絡(luò)威脅之一。這些攻擊很難檢測到，并且允許入侵者在網(wǎng)絡(luò)中隱藏數(shù)月之久。當(dāng)黑客留在系統(tǒng)中時，公司會在不知道問題原因的情況下經(jīng)常遭受數(shù)據(jù)丟失和中斷。本文是對APT 攻擊的介紹。我們解釋什么是 APT，教授如何識別感染跡象，并展示為此類攻擊做準備的方法。

什么是 APT 攻擊？

高級持續(xù)性威脅 (APT) 是一種網(wǎng)絡(luò)攻擊，其中入侵者在網(wǎng)絡(luò)中獲得并保持長期存在。APT 攻擊的后果是巨大的，包括：

• ?數(shù)據(jù)和知識產(chǎn)權(quán)的丟失。
• 基礎(chǔ)設(shè)施破壞。
• 服務(wù)中斷。
• 總網(wǎng)站收購。

APT 是多階段攻擊，需要數(shù)周才能建立并持續(xù)數(shù)月甚至數(shù)年。?APT在四個關(guān)鍵方面不同于?常見的網(wǎng)絡(luò)攻擊：

• APT 比通常的在線威脅更復(fù)雜。攻擊需要全職團隊在目標網(wǎng)絡(luò)中保持隱藏的存在。
• APT 不是肇事逃逸攻擊。一旦黑客訪問網(wǎng)絡(luò)，他們的目標就是盡可能長時間地留在內(nèi)部。
• APT 主要是不依賴自動化的手動攻擊。
• APT 不會對大量目標構(gòu)成威脅。攻擊針對特定公司，因此每次違規(guī)都有一個僅適合目標防御的自定義計劃。

APT 攻擊需要大量的努力和資源。黑客通常會攻擊高價值目標，例如企業(yè)和公司。然而，APT 攻擊者經(jīng)常針對大型組織供應(yīng)鏈中的小公司。黑客使用防御較少的公司作為切入點，因此各種規(guī)模的企業(yè)都必須知道如何識別 APT 攻擊。

APT 攻擊的主要目標是什么？

APT 攻擊的目標是在不警告系統(tǒng)的情況下闖入網(wǎng)絡(luò)，并在內(nèi)部花費足夠的時間竊取數(shù)據(jù)。所有有價值的數(shù)據(jù)都是 APT 的潛在目標，包括：

• 知識產(chǎn)權(quán)。
• 用戶 PII。
• 分類數(shù)據(jù)。
• 基礎(chǔ)設(shè)施數(shù)據(jù)。
• 訪問憑據(jù)。
• 敏感的通信。

除了竊取數(shù)據(jù)，APT 的目標還可以包括破壞基礎(chǔ)設(shè)施、破壞單個系統(tǒng)或完成站點接管。每次攻擊都有其獨特的目的，但目標始終是數(shù)據(jù)泄露、間諜活動和破壞活動的混合。

APT 攻擊檢測：APT 攻擊的跡象是什么？

APT 黑客使用高級方法來隱藏他們的活動，但某些系統(tǒng)異常可能表明攻擊正在進行中。

意外登錄

被盜登錄憑據(jù)是 APT 攻擊者獲得網(wǎng)絡(luò)訪問權(quán)限的主要方式之一。在奇數(shù)時間頻繁登錄服務(wù)器可能表明正在進行 APT 攻擊。黑客可能在不同的時區(qū)工作或在夜間工作以減少被發(fā)現(xiàn)的機會。

后門木馬增加

如果工具檢測到比平常更多的后門木馬，則可能是 APT 攻擊。APT 攻擊者使用后門木馬來確保在登錄憑據(jù)發(fā)生更改時繼續(xù)訪問。

魚叉式網(wǎng)絡(luò)釣魚電子郵件

魚叉式網(wǎng)絡(luò)釣魚電子郵件是潛在 APT 的明顯標志。黑客可能會將這些電子郵件發(fā)送給高層管理人員，以期獲得受限數(shù)據(jù)。

數(shù)據(jù)包

APT 攻擊者經(jīng)常將他們想要竊取的數(shù)據(jù)復(fù)制并存儲到網(wǎng)絡(luò)中的另一個位置。一旦隔離并捆綁在一起，這些文件就成為更容易傳輸?shù)哪繕恕９粽邔⒗壈胖迷趫F隊通常不存儲數(shù)據(jù)的地方。定期掃描和檢查任何放錯位置或異常的數(shù)據(jù)文件。

奇怪的數(shù)據(jù)庫活動

奇怪的數(shù)據(jù)庫活動可能是 APT 的一個指標。留意涉及大量數(shù)據(jù)的數(shù)據(jù)庫操作的突然增加。

管理員帳戶的可疑行為

記下管理員帳戶行為的任何變化。APT 黑客依靠管理員權(quán)限在網(wǎng)絡(luò)中橫向移動并感染更大的表面。與陌生父母創(chuàng)建新帳戶也是潛在 APT 的標志。

APT 攻擊生命周期：APT 攻擊的 4 個階段

APT 攻擊涉及多個階段和多種攻擊技術(shù)。典型的攻擊有四個階段：?計劃、滲透、擴展和執(zhí)行。

第一階段：規(guī)劃

每個 APT 項目都需要針對如何擊敗目標的保護系統(tǒng)的定制計劃。黑客必須在計劃階段執(zhí)行以下步驟：

• 定義操作的目標和目標。
• 確定必要的技能并雇用團隊成員。
• 為工作尋找（或創(chuàng)造）合適的工具。
• 了解目標架構(gòu)、訪問控制以及所有硬件和軟件解決方案。
• 定義如何最好地設(shè)計攻擊。

一旦他們收集了所有信息，攻擊者就會部署一個小版本的軟件。該偵察程序有助于測試警報和識別系統(tǒng)薄弱環(huán)節(jié)。

第二階段：滲透

攻擊者獲得對網(wǎng)絡(luò)的訪問權(quán)。滲透通常通過三個攻擊面之一發(fā)生：

• 網(wǎng)絡(luò)資產(chǎn)。
• 網(wǎng)絡(luò)資源。
• 授權(quán)的人類用戶。

為了獲得初始訪問權(quán)限，APT 黑客使用各種攻擊方法，包括：

• 零日漏洞的高級利用?。
• 社會工程技術(shù)。
• 高目標魚叉式網(wǎng)絡(luò)釣魚。
• 遠程文件包含 (RFI)。
• RFI 或 SQL 注入。
• 跨站點腳本 (XSS)。
• 物理惡意軟件感染。
• 利用應(yīng)用程序的弱點（尤其是零日漏洞）。
• 域名系統(tǒng) (DNS)?隧道。

滲透期間的常用策略是同時發(fā)起?DDoS 攻擊。DDoS 分散了工作人員的注意力并削弱了邊界，從而更容易破壞網(wǎng)絡(luò)。一旦他們獲得初始訪問權(quán)限，攻擊者就會迅速安裝一個后門惡意軟件，該惡意軟件授予網(wǎng)絡(luò)訪問權(quán)限并允許遠程操作。

第三階段：擴張

在他們建立立足點后，攻擊者會擴大他們在網(wǎng)絡(luò)中的存在。擴展涉及向上移動用戶層次結(jié)構(gòu)并損害有權(quán)訪問有價值數(shù)據(jù)的員工。?蠻力攻擊是此階段的常用策略。

惡意軟件對 APT 至關(guān)重要，因為它允許黑客在不被發(fā)現(xiàn)的情況下保持訪問。該惡意軟件幫助攻擊者：

• 從系統(tǒng)控制中隱藏。
• 在網(wǎng)段之間導(dǎo)航?。
• 收集敏感數(shù)據(jù)。
• 監(jiān)控網(wǎng)絡(luò)活動。
• 檢測新的入口點，以防現(xiàn)有入口點無法訪問。

在這個階段，攻擊者擁有可靠且長期的網(wǎng)絡(luò)訪問權(quán)限。安全控制沒有意識到危險，入侵者可以開始完成攻擊目標。如果目標是竊取數(shù)據(jù)，攻擊者會將信息打包存儲，然后將它們隱藏在網(wǎng)絡(luò)中流量很少或沒有流量的部分。

第 4 階段：執(zhí)行

一旦他們收集到足夠的數(shù)據(jù)，竊賊就會嘗試提取信息。一種典型的提取策略是使用白噪聲來分散安全團隊的注意力。數(shù)據(jù)傳輸發(fā)生在網(wǎng)絡(luò)人員和系統(tǒng)防御忙碌時。

APT 團隊通常會嘗試在不泄露其存在的情況下完成提取。攻擊者通常在退出系統(tǒng)后留下后門，目的是在未來再次訪問系統(tǒng)。

如果 APT 攻擊的目標是破壞系統(tǒng)，則執(zhí)行階段的表現(xiàn)會有所不同。黑客巧妙地控制了關(guān)鍵功能并操縱它們造成損害。例如，攻擊者可以破壞整個數(shù)據(jù)庫，然后中斷通信以阻止災(zāi)難恢復(fù)服務(wù)。

同樣，目標是在不讓安全團隊發(fā)現(xiàn)入侵者的情況下造成破壞。這種隱身方法允許重復(fù)攻擊。

如何防止 APT 攻擊

防病毒程序等標準安全措施無法有效保護公司免受 APT 攻擊。APT 檢測和保護需要網(wǎng)絡(luò)管理員、安全團隊和所有用戶之間的各種防御策略和協(xié)作。

監(jiān)控流量

監(jiān)控流量對于以下方面至關(guān)重要：

• 防止后門設(shè)置。
• 阻止被盜數(shù)據(jù)提取。
• 識別可疑用戶。

檢查網(wǎng)絡(luò)邊界內(nèi)外的流量有助于檢測任何異常行為。網(wǎng)絡(luò)邊緣的 Web 應(yīng)用程序防火墻 (WAF) 應(yīng)過濾到服務(wù)器的所有流量。WAF 可防止應(yīng)用層攻擊，例如 RFI 和 SQL 注入，這是 APT 滲透階段的兩種常見攻擊。

內(nèi)部流量監(jiān)控也很重要。網(wǎng)絡(luò)?防火墻?提供用戶交互概覽，并幫助識別不規(guī)則登錄或奇怪的數(shù)據(jù)傳輸。內(nèi)部監(jiān)控還允許企業(yè)在檢測和刪除后門外殼的同時監(jiān)視文件共享和系統(tǒng)蜜罐。

白名單域和應(yīng)用程序

白名單是一種控制可以從網(wǎng)絡(luò)訪問哪些域和應(yīng)用程序的方法。白名單通過最小化攻擊面的數(shù)量來降低 APT 成功率。要使白名單生效，團隊必須仔細選擇可接受的域和應(yīng)用程序。嚴格的更新策略也是必要的，因為您必須確保用戶始終運行所有應(yīng)用程序的最新版本。

建立嚴格的訪問控制

員工通常是安全邊界中最脆弱的點。APT 入侵者經(jīng)常試圖將員工變成一個簡單的網(wǎng)關(guān)來繞過防御。保護企業(yè)免受惡意內(nèi)部人員侵害的最佳方法??是依靠零信任政策。?零信任安全限制了每個帳戶的訪問級別，僅授予用戶執(zhí)行工作所需的資源的訪問權(quán)限。

在零信任環(huán)境中，受損帳戶會限制入侵者在網(wǎng)絡(luò)中移動的能力。另一個有用的安全措施是使用雙因素身份驗證 (2FA)。2FA 要求用戶在訪問網(wǎng)絡(luò)的敏感區(qū)域時提供第二種形式的驗證。每個資源上的附加安全層可以減慢入侵者在系統(tǒng)中的移動速度。

使安全補丁保持最新

保持補丁更新對于防止 APT 攻擊至關(guān)重要。確保網(wǎng)絡(luò)軟件具有最新的安全更新可減少出現(xiàn)弱點和兼容性問題的機會。

防止網(wǎng)絡(luò)釣魚嘗試

網(wǎng)絡(luò)釣魚欺詐是 APT 攻擊的常見切入點。培訓(xùn)員工識別網(wǎng)絡(luò)釣魚企圖，并教他們在遇到網(wǎng)絡(luò)釣魚企圖時該怎么做。電子郵件過濾有助于防止網(wǎng)絡(luò)釣魚攻擊的成功率。過濾和阻止電子郵件中的惡意鏈接或附件可以阻止?jié)B透嘗試。

定期掃描后門程序

APT 黑客在獲得非法訪問權(quán)限后，會在整個網(wǎng)絡(luò)中留下后門。掃描和刪除后門是阻止當(dāng)前和防止未來 APT 嘗試的有效方法。

專家建議尋找：

• 建立網(wǎng)絡(luò)連接的命令外殼（WMI、CMD 和 PowerShell）。
• 非管理員系統(tǒng)上的遠程服務(wù)器或網(wǎng)絡(luò)管理工具。
• 調(diào)用新進程或生成命令 shell 的 Microsoft Office 文檔、Flash 或 Java 事件。

請記住掃描端點設(shè)備以查找后門和其他惡意軟件。APT 攻擊通常涉及對端點設(shè)備的接管，因此檢測和響應(yīng)入侵是當(dāng)務(wù)之急。

了解 APT 的重要性并為攻擊做好準備

APT 攻擊的后果可能是極端的。丟失數(shù)據(jù)和聲譽幾乎是一種保證，因此請盡一切努力防止攻擊。幸運的是，現(xiàn)在您知道 APT 是什么以及如何識別它，因此您已準備好加強和保護您的工作負載。