@大麻哈
1年前 提问
1个回答

APT 攻击都有哪些入侵途径

Simon
1年前

APT 攻击都有以下这些入侵途径:

  • 水坑攻击:水坑攻击,顾名思义,就是在您每天的必经之路挖几个坑,等您踩下去。水坑攻击是APT常用的手段之一,通常以攻击低安全性目标来接近高安全性目标。攻击者会在攻击前搜集大量目标的信息,分析其网络活动的规律,寻找其经常访问的网站弱点,并事先攻击该网站,等待目标来访,伺机进行攻击。由于目标使用的系统环境多样、漏洞较多,使水坑攻击较易得手,且水坑攻击的隐蔽性较好,不易被发现。

  • 路过式下载:路过式下载就是在用户不知情的情况下,下载间谍软件、计算机病毒或任何恶意软件。被攻击的目标在访问一个网站、浏览电子邮件或是在单击一些欺骗性的弹出窗口时,可能就被安装了恶意软件。

  • 网络钓鱼和鱼叉式网络钓鱼:钓鱼式攻击是指攻击者企图通过网络通信,伪装成一些知名的社交网站、政府组织、机构等来获取用户的敏感信息。在APT攻击中,攻击者为了入侵目标所在的系统,可能会对目标系统的员工进行钓鱼攻击,引导用户到URL和页面布局与源头网站看起来几乎一样的钓鱼网站,欺骗用户输入敏感信息,达到信息窃取的目的。鱼叉式网络钓鱼则是指专门针对特定对象的钓鱼式攻击。鱼叉式网络钓鱼通常会锁定一个目标,可能是某一个组织的某个员工。一般而言,攻击者首先会制作一封附带恶意代码的电子邮件,一旦攻击目标单击邮件,恶意代码就会执行,攻击者相当于暗自建立了一条到达目标网络的链路,以便实施下一步攻击。普通钓鱼的终极目的一般就是获取用户的用户名和登录口令等敏感信息,但获取用户登入凭证等信息对鱼叉式网络钓鱼而言只是第一步,仅仅是攻击者进入目标网络的一种手段,随后将想方设法实施更大规模、更深层次、更具危害的攻击。因而,鱼叉式网络钓鱼常被应用于APT高级入侵。

  • 零日漏洞:零日漏洞就是指还没有补丁的安全漏洞。攻击者在进入目标网络后,可轻易利用零日漏洞对目标进行攻击,轻松获取敏感数据。由于此漏洞较新,不易发现,并且没有补丁,所以危险性极高。APT攻击前期会搜集目标的各种信息,包括使用的软件环境,如JRE、Structs开发等,以便更有针对性地聚集寻找零日漏洞,绕过系统部署的各种安全防护体系发动有效的破坏性攻击。

企业监测APT攻击的方式有以下这些:

  • 异常检测:这一方案是同时解决两大问题的,即为解决特征匹配和实时检验不足而产生的解决方案。这一方案是利用将网络中正常行为产生的数据量建立一个模型,通过将所有数据量与这一标准模型进行对比,从而找出异常的数据量。正如警察在抓捕坏人时的方法是一致的,由于警察并不知道坏人的姓名,性别,长相已经其他行为特征,但是警察是知道好人的行为特征的,他可以利用这些行为特征建立一个可行的标准模型,当一个人的行为特征与现有的好人的行为特征模型大部分不相符时,警察就可以判断这个人不是个好人,是一个危险人物。异常检测的核心技术是基于连接特征的恶意代码检测规则、基于行为模式的异常检测算法、元数据提取技术。

  • 基于连接特征的恶意代码检测:是用来检测已知的木马通信行为。基于行为模式的异常检测算法包含可疑加密文件传输等。

  • 全流量审计:这一方案是解决 A,P 问题的,即是为了解决传统特征匹配不足而产生的解决方案。这一方案的核心思想是通过对检测到的流量进行应用识别,还原所发生的异常行为。它的原理是对流量进行更为深刻的协议解析和应用还原,识别这些网络行为中是否包含有攻击行为。当检测到可疑性攻击行为时,回溯分析与之相关的流量。包含了大数据存储处理,应用识别和文件还原等技术。这一方案具备强大的实时检测能力和事后回溯能力,是将计算机强大的存储能力与安全人员的分析能力相结合的完整解决方案。

  • 基于记忆的检测系统:这是一个由全流量审计与日志审计相结合形成的系统,APT 攻击发生的时间很长,我们应该对长时间内的数据流量进行更加深入,细致的分析。

  • 沙箱:这一方案是为了解决高级入侵手段引起的问题的,即解决特征匹配对新型攻击的滞后性而产生的解决方案。攻击者利用 0day 漏洞,使特征码的匹配不成功,这样我们就可以对症下药使用非特征匹配,利用沙箱技术识别 0day 漏洞攻击和异常行为。沙箱方案的原理是将实时流量先引进虚拟机或者沙箱,通过对沙箱的文件系统、进程、网络行为、注册表等进行监控,监测流量中是否包含了恶意代码。相较于一般传统的特征匹配技术,沙箱方案对未知的恶意程序攻击具有较好的检测能力。

  • 基于深层次协议解析的异常识别:可以仔细检查发现是哪一种协议,一个数据在哪个地方出现了异常,直到找出它的异常点时停止检测。

  • 攻击溯源:通过已经提取出来的网络对象,可以重建一个时间内可疑的所有内容。通过将这些事件重新排列顺序,可以帮助我们迅速的发现攻击源。