來自FlashSky
APT(高級持續性威脅)攻擊是指近年來,專業甚至是有組織和國家背景支援的駭客,針對重要目標和系統發起的一種攻擊手段,主要特徵有:
1)持續性:攻擊者為了重要的目標長時間持續攻擊直到攻破為止。攻擊成功用上一年到三年,攻擊成功後持續潛伏五年到十年的案例都有。這種持續性攻擊下,讓攻擊完全處於動態發展之中,而當前我們的防護體系都是強調靜態對抗能力很少有防護者有動態對抗能力,因此防護者或許能擋住一時的攻擊,但隨時間的發展,系統不斷有新的漏洞被發現,防禦體系也會存在一定的空窗期:比如設備升級、應用需要的相容性測試環境等等,最終導致系統的失守。
2)終端性:攻擊者雖然針對的是重要的資產目標,但是入手點卻是終端為主。再重要的目標,也是由終端的人來訪問的。而人在一個大型組織裡,是難以保證所有人的安全能力與安全意識都處於一個很高水準之上的。而做好每個人的終端防護比伺服器端防護要困難很多。通過SQL注射攻擊了WEB伺服器,一般也是希望利用他攻擊使用這些WEB伺服器的終端使用者作為跳板滲透進內網。
3)廣譜資訊收集性:攻擊者會花上很長的時間和資源,依靠互聯網搜集,主動掃描,甚至真實物理訪問方式,收集被攻擊目標的資訊,主要包括:組織架構,人際關係,常用軟體,常用防禦策略與產品,內部網路部署等資訊。
4)針對性:攻擊者會針對收集到的常用軟體,常用防禦策略與產品,內部網路部署等資訊,搭建專門的環境,用於尋找有針對性安全性漏洞,測試特定的木馬是否能饒過檢測。
5)未知性:攻擊者依據找到的針對性安全性漏洞,特別是0DAY,根據應用本身構造專門的觸發攻擊的代碼。並編寫符合自己攻擊目標,但能饒過現有防護者檢測體系的特種木馬。這些0DAY漏洞和特種木馬,都是防護者或防護體系所不知道的。
6)滲透性社工:攻擊者為了讓被攻擊者目標更容易信任,往往會先從被攻擊者目標容易信任的物件著手,比如攻擊一個被攻擊者目標的電腦小白好友或家人,或者被攻擊者目標使用的內部論壇,通過他們的身份再對組織內的被攻擊者目標發起0DAY攻擊,成功率會高很多。再利用組織內的已被攻擊成功的身份再去滲透攻擊他的上級,逐步拿到對核心資產有存取權限的目標。
7)隱蔽合法性:攻擊者訪問到重要資產後,往往通過控制的用戶端,分佈使用合法加密的資料通道,將資訊竊取出來,以饒過我們的審計和異常檢測的防護。
8)長期潛伏與控制:攻擊者長期控制重要目標獲取的利益更大。一般都會長期潛伏下來,控制和竊取重要目標。當然也不排除在關鍵時候破壞型爆發。
從以上特性來看,可以獲得如下結論:
1)APT攻擊的成本很高(專業的團隊,長期的資訊收集,挖掘0DAY和利用,特馬,環境測試,滲透性社工與潛伏,多種檢測對抗),因此只適合專業的網路犯罪團夥或有組織和國家支援的特種攻擊團隊
2)因此APT攻擊是針對有重要價值資產或重要戰略意義的目標,一般軍工、能源、金融、軍事、政府、重要高科技企業等最容易遭受APT攻擊。
3)雖然普通線民不會遭受APT攻擊的眷顧,但是如果你是APT攻擊目標群組織的一名普通員工甚至只是與APT攻擊目標群組織的一名普通員工是好友或親戚關係,你依然可能成為APT攻擊的中間跳板,當然作為普通個人,APT攻擊本身不會竊走你個人什麼東西(你本身就是重要人物如組織中的高級管理人員或個人主機裡保存有重要資料的除外)。
4)不要以為你重要的資訊資產只在內網甚至物理隔離就能不遭受APT攻擊,因為即使物理阻止了網路層流,也阻止不了邏輯上的資訊流。RSA被APT攻擊利用FLASH 0DAY偷走了在內網嚴密保護的SECURID權杖種子,震網利用7個0DAY和擺渡成功滲透進了伊朗核設施級的物理隔離網路。