APT攻击是怎么发生的?

APT事件并不是新鲜事,就在本月欧盟某国家外交部计算机被发现植入后门,长达5年的APT攻击行动揭秘。在过去的几年中,网络攻击的数量和复杂性一直在不断提升,APT攻击事件的普遍性预示着更不可估计的威胁,现在正是检测系统是否遭到网络攻击的好时机。

了解APT攻击

 

对于任何公司而言,保护自己免受攻击的最佳方法是了解攻击的运作方式。APT攻击指的是高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。

典型的APT攻击通常分为五个阶段:

1、初始访问:APT攻击者获得对目标网络的访问权限。这是通过网络钓鱼电子邮件,恶意附件或应用程序漏洞来完成的。攻击者的目标是使用此访问权限将恶意软件植入网络。在此初始阶段,网络受到威胁,但尚未被破坏。

2、恶意软件部署:植入到系统中的恶意软件探针可检测网络漏洞。它与外部命令和控制(CnC)服务器通信,以获取有关如何利用这些漏洞并接收其他恶意软件的指导。

3、访问扩展:恶意软件检测其他漏洞,这些漏洞可用于在无法访问现有入口点时查找新入口点。即使安全措施禁用了入口点,这也可以确保攻击继续进行。

4、文件探索:在此阶段,攻击者已经建立了可靠的长期网络访问。恶意软件会寻找用户凭证和敏感数据文件等。

5、数据收集和传输:恶意软件将敏感数据存储在登录服务器上。然后,数据被泄漏到外部服务器。此时,目标网络已被破坏。攻击者将掩盖自己的足迹,使网络受到威胁,并在下一次攻击时重复该过程。

遭受APT攻击的迹象

 

即使APT攻击使用复杂的手段来隐藏活动,也有一些迹象可以帮助识别APT攻击,如下所示:

1、意外的登录:在办公时间之外意外登录到服务器可能表明一项APT攻击正在发生。攻击者入侵网络的方法之一是使用其窃取的凭据。攻击者可能在不同的时区工作,或者尝试在夜间工作,以减少发现其活动的机会。

2、检测到的后门木马数量增加:如果网络安全工具检测到的后门木马数量比平时多,则可能是由于APT攻击所致。APT攻击者会安装后门木马程序,以确保即使更改了登录凭据也可以继续访问受感染的设备。

3、鱼叉式网络钓鱼电子邮件的增加:查找包含只能由入侵者获取的文档的鱼叉式网络钓鱼电子邮件。这些电子邮件可能会被发送给高级管理人员,以便攻击者访问他们的电脑或受限制的数据。

4、无法解释的数据转换:APT攻击策略的一部分是将他们要窃取的数据复制到网络中的另一个位置,并仅在确信无法检测到时才将其传输到网络之外。它可以是服务器到服务器,服务器到客户端或网络到网络的信息流。