@Niki
2年前 提问
1个回答

APT攻击分为哪些阶段

安全小白成长记
2年前

APT攻击分为以下阶段:

  • 情报收集:攻击者在社交网站等公开数据源中搜索并锁定特定人员,收集有价值情报并加以研究。

  • 突破防线:收集到足够的情报后,获取第一台受害主机上的代码执行权限。攻击者突破防线的常用技术包括水坑+网站挂马、鱼叉式钓鱼邮件+客户端漏洞利用、网站挂马+URL社工、服务端漏洞利用等。

  • 建立据点:突破防线后,建立C&C(Command&Control)服务器到第一台受害主机的信道并获取系统的最高权限,将第一个据点变成对内部网络发动后续攻击的前沿阵地。

  • 隐秘横向渗透:在内部网络探测和入侵更多的主机,以便发掘有价值的资产及数据服务器,并尽可能避免被发现。

  • 完成任务:设定要完成的任务可能是上传搜集到的敏感信息,或执行破坏活动,比较高级的AP T攻击还包括严密的痕迹销毁等撤退策略。

预防抵抗APT攻击的方法有以下这些:

  • 使用威胁情报:这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。

  • 建立强大的出口规则:除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。

  • 收集强大的日志分析:企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。

  • 聘请安全分析师:安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

  • 对未知文件进行检测:一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。

  • 对终端应用监控:一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。

  • 使用大数据分析方法:基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。