“潛伏性和持續性”是APT攻擊最大的威脅
高持續性威脅(APT)是以商業和政治為目的的一個網絡犯罪類別。APT需要長期經營與策劃,并具備高度的隱蔽性,才可能取得成功。這種攻擊方式往往不會追求短期的經濟收益和單純的系統破壞,而是專注于步步為營的系統入侵,每一步都要達到一個目標,而不會做其他多余的事來打草驚蛇。
APT旨在突破企業防御系統的高明攻擊,今年,出現了許多針對公司和政府的高級攻擊(例如Gauss和Flame)。這些攻擊被稱為高級持續性威脅(APT)。他們高度復雜并經過仔細構建。APT攻擊背后的意圖是獲得網絡訪問權限并偷偷地竊取信息。高級持續性威脅(APT)采取low-and-slow的方式,常常難以被發現,成功率很高。
APT入侵客戶的途徑多種多樣,主要包括以下幾個方面。其一是以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。另外,社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一。
隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始,就是針對某些特定員工發送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
總之,高級持續性威脅(APT)正在通過一切方式,繞過基于代碼的傳統安全方案(如防病毒軟件、防火墻、IPS等),并更長時間地潛伏在系統中,讓傳統防御體系難以偵測。“潛伏性和持續性”是APT攻擊最大的威脅。
高級持續性威脅(APT)的潛伏性,主要表現在這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久,他們不斷收集各種信息,直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利,而是把“被控主機”當成跳板,持續搜索,直到能徹底掌握所針對的目標人、事、物,所以這種APT攻擊模式, 實質上是一種“惡意商業間諜威脅”。
APT的持續性則表現在,該類攻擊具有持續性甚至長達數年的特征,這讓企業的管理人員無從察覺。在此期間,這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段,以及滲透到網絡內部后長期蟄伏。
高級持續性威脅(APT)基本上都會鎖定明確目標,針對特定政府或企業,長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充客戶的來信,取得在計算機植入惡意軟件的第一個機會。
在成功侵入目標系統以后,高級持續性威脅(APT)一般都會安裝遠程控制工具。攻擊者建立一個類似僵尸網絡Botnet的遠程控制架構,攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務器(C&C Server)審查。將過濾后的敏感機密數據,利用加密的方式外傳。
雖然APT的惡意軟件可以一直潛伏在主機里面,然而其遠程控制等相關網絡活動則相對容易被發現。所以,APT攻擊的有效防范就是在網絡層進行控制和中斷。也有不少人認為,數據盜竊者絕不可能完全不被看到。在輸出數據中查找異常現象可能是管理員發現網絡成為APT目標的最好方式。
