APT攻击采用的技术有哪些
APT攻击采用的技术有以下这些:
屏幕记录:某些特定的敏感信息可能不方便使用简单的文档方式记录。例如,发现受害主机中特定进程或者窗口激活情况的信息,可以通过创建一系列用户屏幕快照实现收集。
交互式操作:攻击者更多地使用交互式工具,而不是完全自动化的工具来实施信息过滤,确保隐蔽性。
加密通信:通过加密网络协议建立与C&C服务器之间的加密连接,躲避常规的基于特征签名的安全机制。
匿名网络:通过Tor等匿名网络,隐藏C&C服务器的位置,以增大追查的难度。
声波通信:使用受害主机上附带的传声器(俗称麦克风)记录周围环境中的声波,以实现摆渡攻击。
清除痕迹:某些特定的APT攻击使用附加的模块来执行精心设计的清除痕迹子任务,例如彻底擦除攻击存在的蛛丝马迹,或者大规模恶意擦写受害主机上的文件。
预防抵抗APT攻击的方法有以下这些:
使用威胁情报:这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
建立强大的出口规则:除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
收集强大的日志分析:企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
聘请安全分析师:安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。
对未知文件进行检测:一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。
对终端应用监控:一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。
使用大数据分析方法:基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。