@瞌睡虫
2年前 提问
1个回答

如何发现apt攻击

一颗小胡椒
2年前

APT 是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。辨别 Apt 攻击主要从以下特点出发:

  • 绝大多数 APT 攻击方式都是先通过钓鱼邮件或者木马获取计算机权限再进行攻击,主要以窃取数据为目的。

  • APT 攻击难以追踪且很难溯源,目前的追踪方式只有监听、流量分析、截获数据和跟踪。

  • 几乎所有 APT 攻击都只能在事发后才能发现,无法提前检测出。

  • 对于现有的 APT 攻击应对只能升级病毒库,加密数据,更新补丁来防范,没有更好地提前预知效果。

与普通攻击不同的是,APT 攻击在潜伏阶段会持续很长时间,从几个月到几年甚至十多年不等。相同的是,他们都具有多阶段性特征,但具体细节还是有所不同,通常普通攻击一般流程为目标攻击、远程控制、实施破坏。除此之外,APT 攻击还涉及情报获取、信息挖掘、横向渗透等。

普通网络攻击的目标可以看作是没有针对性的攻击,例如群发钓鱼邮件,制作钓鱼网页,这种攻击的成功率往往很低,只有当疏忽大意时,攻击者才能得手。而 APT 攻击是一种有针对性的攻击,不会群体发送攻击给受害者。攻击者通过定向钓鱼、SQL 注入等手段向目标进行打击,从而找到目标的突破口。

在远程控制方面,当普通攻击的受害者打开钓鱼邮件或者恶意链接,攻击者一般会直接采取行动,马上进行非法操作获取利益。而 APT 攻击则会利用此漏洞不动声色的进行长期破坏、监听活动,同时保证受害者与外界的正常通信,也保证自身高的隐蔽性不被受害者发现。

在实施破坏阶段,一般的攻击以获取自身利益或一小部分人利益为目标,如盗取账号、传播负能量、制作舆论谣言等。与之不同的是 APT 攻击一般带有国家背景,并且以政治目的为核心,利用 APT 攻击对方核心敏感大公司或者政府。

APT 攻击的流程大致为:情报获取 > 目标攻击 > 远程控制 > 横向渗透 > 信息挖掘 > 实施破坏,其特点是攻击多样,长期潜伏,高度隐蔽,威胁巨大。由此可见 APT 攻击的成本极高,只适合有政治背景、资金充足、高技术专业的团队。