高级持续威胁(APT)是公司可能面临的最危险的网络威胁。这些攻击很难检测到,并且可以使入侵者在网络中隐藏数月之久。当黑客留在系统中时,公司会遭受定期的数据丢失和中断,却不知道问题的原因。
本文是对APT攻击的介绍。我们将说明什么是APT,教导如何识别感染迹象,并说明为此类攻击做好准备的方法。
什么是APT攻击?
高级持续威胁(APT)是一种网络攻击,入侵者在其中获得并维持网络中的长期存在。APT攻击的后果是巨大的,包括:
● 数据和知识产权损失。
● 基础设施破坏。
● 服务中断。
● 网站总数。
APT是多阶段攻击,需要花费数周的时间才能建立,并且持续数月甚至数年。APT与常见的网络攻击在四个关键方面不同:
● APT比通常的在线威胁更为复杂。攻击需要专职团队在目标网络中维护隐蔽的存在。
● APT并非即时攻击。黑客访问网络后,他们的目标是尽可能长时间地呆在内部。
● APT主要是不依赖自动化的手动攻击。
● APT不会对大量目标构成威胁。攻击是针对特定公司的,因此每次违规都有一个仅适合目标防御的自定义计划。
APT攻击需要大量的精力和资源。黑客通常会追逐诸如企业和公司之类的高价值目标。但是,APT攻击者经常将目标锁定在大型组织的供应链中。
黑客使用防御程度较低的公司作为切入点,因此各种规模的企业必须知道如何识别APT攻击。
APT攻击的主要目标是什么?
APT攻击的目标是在不向系统发出警报的情况下闯入网络,并在内部花费足够的时间来窃取数据。所有有价值的数据都是APT的潜在目标,包括:
● 知识产权。
● 用户PII。
● 分类数据。
● 基础结构数据。
● 访问凭证。
● 敏感的沟通。
除了窃取数据之外,APT的目标还可以包括破坏基础设施,破坏单个系统或完成站点接管。每种攻击都有其独特的目的,但目标始终是数据泄露,间谍活动和破坏活动的混合。
APT攻击检测:APT攻击的迹象是什么?
APT黑客使用高级方法隐藏其活动,但是某些系统异常可能表明攻击正在进行。
意外登录
登录凭证被盗是APT攻击者获得网络访问权的主要方法之一。在奇数小时频繁登录服务器可能表明正在进行APT攻击。黑客可能在其他时区工作或在夜间工作,以减少被检测到的机会。
后门木马的增加
如果工具检测到的后门木马数量比平时多,则可能是APT攻击。APT攻击者使用后门特洛伊木马程序来确保在登录凭据更改时继续访问。
鱼叉式网络钓鱼电子邮件
鱼叉式网络钓鱼电子邮件是潜在APT的明显标志。黑客可能会将这些电子邮件发送给高层管理人员,以期获得受限数据。
数据包
APT攻击者经常将要窃取的数据复制并存储到网络中的其他位置。一旦隔离并捆绑在一起,文件将成为更容易的传输目标。
攻击者将捆绑软件放置在团队通常不存储数据的地方。定期扫描并检查任何放错位置或异常的数据文件。
奇怪的数据库活动
奇数数据库活动可能是APT的指标。注意涉及大量数据的数据库操作的突然增加。
管理员帐户的可疑行为
记录管理员帐户行为的任何变化。APT黑客依靠管理员权限在网络中横向移动并感染较大的表面。与陌生父母一起创建新帐户也表明潜在的APT。
APT攻击生命周期:APT攻击的四个阶段
APT攻击涉及多个阶段和多种攻击技术。典型的攻击分为四个阶段:计划,渗透,扩展和执行。
阶段1:规划
每个APT项目都需要针对如何击败目标保护系统的自定义计划。黑客必须在计划阶段执行以下步骤:
● 定义操作的目标和目的。
● 确定必要的技能并雇用团队成员。
● 查找(或创建)适合该工作的工具。
● 了解目标体系结构,访问控制以及所有硬件和软件解决方案。
● 定义如何最好地设计攻击。
一旦他们收集了所有信息,攻击者便会部署该软件的小型版本。该侦察程序有助于测试警报并识别系统弱点。
阶段2:渗透
攻击者可以访问网络。渗透通常通过以下三个攻击面之一发生:
● 网络资产。
● 网络资源。
● 授权人类用户。
为了获得初始访问权限,APT黑客使用各种攻击方法,包括:
● 零日漏洞的高级利用。
● 社会工程技术。
● 高目标鱼叉式网络钓鱼。
● 远程文件包含(RFI)。
● RFI或SQL注入。
● 跨站点脚本(XSS)。
● 物理恶意软件感染。
● 利用应用程序弱点(尤其是零日错误)。
● 域名系统(DNS)隧道。
渗透期间的常见策略是发动同时的DDoS攻击。DDoS分散了工作人员的注意力并削弱了外围功能,从而更容易破坏网络。
一旦获得初始访问权限,攻击者便会迅速安装后门恶意软件,该恶意软件会授予网络访问权限并允许远程操作。
第三阶段:扩展
建立立足点后,攻击者会扩大其在网络中的影响力。扩展涉及提升用户层次结构,并损害员工访问有价值数据的能力。在此阶段,暴力攻击是一种常见的战术。
恶意软件对APT至关重要,因为它使黑客能够保持访问而不被发现。该恶意软件可帮助攻击者:
● 在系统控件中隐藏。
● 在网段之间导航。
● 收集敏感数据。
● 监视网络活动。
● 如果现有的入口点无法访问,请检测新的入口点。
在此阶段,攻击者具有可靠的长期网络访问权限。安全控制没有意识到这种危险,入侵者可以开始完成攻击目标。如果目标是窃取数据,则攻击者将信息捆绑存储,并将其隐藏在网络的一部分中,几乎没有流量。
阶段4:执行
一旦他们收集了足够的数据,小偷就会尝试提取信息。典型的提取策略是使用白噪声分散安全团队的注意力。数据传输发生在网络人员和系统防御繁忙的时候。
APT团队通常会尝试完成提取而不会放弃他们的存在。攻击者通常在退出系统后离开后门,目的是将来再次访问该系统。
如果APT攻击的目标是破坏系统,则执行阶段的执行方式会有所不同。黑客巧妙地控制了关键功能并对其进行操作以造成损害。例如,攻击者可以破坏整个数据库,然后破坏通信,以防止灾难恢复服务。
同样,目标是在没有安全团队发现入侵者的情况下造成破坏。这种隐身方法允许重复攻击。
如何防止APT攻击
诸如防病毒程序之类的标准安全措施不能有效地保护公司免受APT攻击。APT的检测和保护需要各种防御策略,并需要网络管理员,安全团队和所有用户之间的协作。
监控流量
监控流量对于以下方面至关重要:
● 防止后门设置。
● 阻止窃取的数据提取。
● 识别可疑用户。
检查网络外围内部和外部的流量有助于检测任何异常行为。网络边缘的Web应用程序防火墙(WAF)应该过滤所有到服务器的流量。WAF可以防止RFI和SQL注入之类的应用层攻击,这是APT渗透阶段的两种常见攻击。
内部流量监控也至关重要。网络防火墙提供了用户交互的概述,并有助于识别不规则的登录或奇怪的数据传输。内部监控还使企业可以监视文件共享和系统蜜罐,同时检测和移除后门外壳。
白名单域和应用
白名单是一种控制可从网络访问哪些域和应用程序的方法。通过将攻击面最小化,白名单可降低APT成功率。
为了使白名单生效,团队必须仔细选择可接受的域和应用程序。严格的更新策略也是必要的,因为您必须确保用户始终运行所有应用程序的最新版本。
建立严格的访问控制
员工通常是安全范围内最脆弱的地方。APT入侵者经常试图将员工变成一个轻松的网关,以绕过防御。
保护企业免受恶意内部人员侵害的最佳方法是依靠“零信任”策略。零信任安全性限制了每个帐户的访问级别,仅授予对用户执行作业所需资源的访问权限。
在零信任环境中,受到破坏的帐户会限制入侵者在网络中移动的能力。
另一个有用的安全措施是使用两因素身份验证(2FA)。2FA要求用户在访问网络的敏感区域时提供第二种形式的验证。每个资源上的附加安全层会降低入侵者在系统中的移动速度。
保持安全补丁为最新
保持补丁更新对于防止APT攻击至关重要。确保网络软件具有最新的安全更新,可以减少出现弱点和兼容性问题的机会。
防止网络钓鱼的企图
网络钓鱼欺诈是APT攻击的通常入口点。培训员工识别网络钓鱼的企图,并教他们遇到网络钓鱼时该怎么办。
电子邮件过滤有助于防止网络钓鱼攻击的成功率。过滤和阻止电子邮件中的恶意链接或附件可阻止渗透尝试。
对后门执行常规扫描
APT黑客在获得非法访问后会在网络上留下后门。扫描并删除后门是停止电流并防止将来进行APT尝试的有效方法。
专家建议寻找:
● 建立网络连接的命令外壳(WMI,CMD和PowerShell)。
● 非管理员系统上的远程服务器或网络管理工具。
● 调用新进程或生成命令外壳的Microsoft Office文档,Flash或Java事件。
切记扫描端点设备以查找后门和其他恶意软件。APT攻击通常涉及终端设备的接管,因此,检测和响应威胁是当务之急。
了解APT的重要性并准备好进行攻击
APT攻击的后果可能是极端的。数据丢失和信誉几乎是保证,因此请尽一切努力防止攻击。幸运的是,现在您知道了什么是APT以及如何识别APT,因此可以随时加强和保护您的工作负载。