网安 - 专业的网络安全产业、社区、知识平台
@不喜丶不悲
2年前 提问
1个回答

APT攻击中会涉及哪些手段

齐士忠
2年前

在APT攻击过程中涉及的具体攻击手段主要包括以下几种:

  • 伪装攻击:通过指定路由或伪造假地址,攻击者以假冒身份与其他主机进行合法通信或发送假数据包,使受攻击主机出现错误动作,如IP欺骗。

  • 探测攻击:通过扫描允许连接的服务和开放的端口,攻击者能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号以及系统漏洞情况,并找到有机可乘的服务、端口或漏洞后进行攻击。常见的探测攻击程序有Nmap、Nessus、Metasploit、Shad-ow Security Scanner、X-Scan等。

  • 嗅探攻击:将网卡设置为混杂模式后,攻击者对以太网上流通的所有数据包进行嗅探,以获取敏感信息。常见的网络嗅探工具有SnifferPro、Tcpdump、Wireshark等。

  • 解码类攻击:即用口令猜测程序破解系统用户账号和密码。常见工具有L0phtCrack、John the Ripper、Cain&Abel、Saminside、WinlogonHack等。此外,还可以破解重要支撑软件的弱口令,例如使用Apache Tomcat Crack破解Tomcat口令。

  • 缓冲区溢出攻击:通过往程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。

  • 欺骗攻击:利用TCP/IP本身的一些缺陷对TCP/IP网络进行攻击,主要方式有ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗等。

  • 拒绝服务和分布式拒绝服务攻击:这种攻击行为通过发送一定数量和序列的数据包,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。常见的拒绝服务(Denial of Service,DoS)攻击有SYN Flooding、Smurf等。近年,DoS攻击有了新的发展,攻击者通过入侵大量有安全漏洞的主机并获取控制权,在多台被入侵的主机上安装攻击程序,然后利用所控制的这些大量攻击源,同时向目标机发起拒绝服务攻击,称之为分布式拒绝服务(Distribute Denial of Service,DDoS)攻击。常见的DDoS攻击工具有Trinoo、TFN等。

  • Web脚本入侵:由于使用不同的Web网站服务器和开放语言,网站中存在的漏洞也不相同,所以使用Web脚本攻击的方式也很多。例如黑客可以从网站的文章系统下载系统留言板等部分进行攻击,也可以针对网站后台数据库进行攻击,还可以在网页中写入具有攻击性的代码,甚至可以通过图片进行攻击。Web脚本攻击常见方式有注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。

  • 0day攻击:0day通常是指还没有补丁的漏洞,而0day攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0day漏洞的利用程序对网络安全具有巨大威胁,因此0day不但是黑客的最爱,掌握0day的数量也成为评价黑客技术水平的一个重要参数。

应对APT攻击的防范技术有以下这些:

  • 沙箱技术:沙箱,又叫做沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。

  • 信誉技术:安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。

  • 主机漏洞防护技术:针对横向移动与内部资料进行挖掘和探测的防御,可采用主机漏洞防护技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控,保护未套用修补程序的主机,防止已知和0day 漏洞攻击。

  • 异常流量分析技术:这是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0Day漏洞攻击等。

  • 数据防泄漏技术:针对资料外传的风险,一般可采用加密和资料外泄防护 (DLP)技术,将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法,DLP 可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则等。

  • 大数据分析技术:APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。

推荐问答