高持续攻击的特征包括哪些方面
高级持续性威胁(APT)的特征如下:
潜伏性:这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动 APT 攻击的黑客目的往往不是为了在短时间内获利,而是把 “被控主机” 当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种 APT 攻击模式,实质上是一种 “恶意商业间谍威胁”。
持续性:由于 APT 攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种 “持续性” 体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
锁定特定目标:针对性强,攻击者不会盲目攻击,一般会很有针对性的选择一个攻击目标。针对特定政府或企业,长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。
安装远程控制工具:攻击者建立一个类似僵尸网络 Botnet 的远程控制架构,攻击者会定期传送有潜在价值文件的副本给命令和控制服务器 (C&C Server) 审查。将过滤后的敏感机密数据,利用加密的方式外传。
攻击者组织严密:往往是一个组织发起的攻击,可能具有军事或政治目的,有时会与某个国家关联在一起,而且背后往往有强大的资金支持。
手段高超:APT 攻击的恶意代码变种多且升级频繁,结合尚未发布的零日漏洞,使得基于特征匹配的传统检测防御技术很难有效检测出攻击。
隐蔽性强:APT 攻击者具有较强的隐蔽能力,不会像 DDoS 攻击一样构造大量的报文去累垮目标服务器,基于流量的防御手段很难发挥作用;在整个过程中都会使用高级逃逸技术来刻意躲避安全设备的检查,在系统中并无明显异常,基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。