[个人小记]什么是APT攻击

什么是APT攻击

• 一、什么是APT攻击
• 二、APT攻击与Web的不同
• 三、APT攻击的工作原理
• 四、企业如何防范APT攻击行为

一、什么是APT攻击

高级持续威胁，描述入侵者团队在网络上建立非法的长期存在以挖掘高度敏感数据的攻击活动。

目标： 知识产权盗窃（商业秘密或 专利） 泄露的敏感信息（员工和用户的私人数据） 破坏关键组织基础设施（数据库删除） 国家重要机关（可了解海莲花、方程式等）

大多数 APT 攻击的目标是实现并保持对目标网络的持续访问，而不是尽可能快地进出。由于执行 APT 攻击可能需要大量的精力和资源，因此黑客通常会选择高价值目标，例如民族国家和大公司，以长期窃取信息为目标。攻击人员将不断重写恶意代码以避免检测和其他复杂的规避技术

eg：目标可能包括配电和电信公用事业和其他基础设施系统、社交媒体、媒体组织以及选举和其他政治目标。

二、APT攻击与Web的不同

它们要复杂得多。 它们不会受到攻击，一旦网络被渗透，犯罪者就会留下来获取尽可能多的信息。 它们是针对特定标记手动执行（不是自动执行）的，并且针对大量目标不加选择地启动。 他们通常旨在渗透整个网络，而不是某个特定部分。

三、APT攻击的工作原理

1、初始访问 获得访问权。APT 组织通过互联网定位系统来访问目标。通常，通过鱼叉式网络钓鱼电子邮件，旨在通过将恶意软件插入目标来利用任何访问权限。 通过电子邮件、网络、文件或应用程序漏洞进入

2、首次渗透和恶意软件部署据点 高级恶意软件探测额外的网络访问和漏洞，或与命令和控制 (CnC) 服务器通信以接收额外的指令和/或恶意代码 建立立足点。在获得对目标的访问权后，威胁参与者利用他们的访问权进行进一步的侦察。他们使用他们安装的恶意软件来创建后门网络和隧道，以便在不被注意的情况下四处走动。APT 可能使用高级恶意软件技术（例如代码重写）来掩盖其踪迹。

3、扩大访问 通常会建立额外的妥协点，以确保如果一个点被关闭，网络攻击可以继续进行。 获得更大的访问权限。一旦进入目标网络，APT 参与者可能会使用密码破解等方法来获得管理权限。这使他们能够更好地控制系统并获得更深层次的访问权限。

4、横向移动 横向移动。一旦威胁参与者破坏了他们的目标系统，包括获得管理员权限，他们就可以随意在企业网络中移动。他们还可以尝试访问其他服务器以及网络的其他安全区域。

5、发动攻击 此时，黑客会集中、加密和压缩数据，以便将其泄露。 拿数据。攻击者收集数据并将其传输到他们自己的系统。

6、渗出或造成伤害 攻击者准备将数据传输到系统之外。他们通常会进行“白噪声攻击”，例如分布式拒绝服务 (DDoS) 攻击，以便在安全团队将数据传输到网络边界之外时分散他们的注意力。之后，他们将采取措施删除数据传输的法医证据。 根据攻击的目标，此时 APT 组织可能会造成巨大的破坏，使组织衰弱或接管网站或数据中心等关键资产。

7、跟进攻击 网络犯罪分子可以长时间重复此过程，直到被检测到，或者他们可以创建一个后门，以便他们以后可以再次访问系统。

四、企业如何防范APT攻击行为

电子邮件过滤——大多数 APT 攻击利用网络钓鱼来获得初始访问权限。过滤电子邮件并阻止电子邮件中的恶意链接或附件，可以阻止这些渗透尝试。 端口保护——所有 APT 攻击都涉及对端口设备的接管。高级反恶意软件保护和端口检测和响应可以帮助识别和应对 APT 参与者对端点的危害。 访问控制——强大的身份验证措施和对用户帐户的密切管理，特别关注特权帐户，可以降低 APT 的风险。 监控流量、用户和实体行为——可以帮助识别 APT 攻击不同阶段的渗透、横向移动和渗出。 人员的网络安全意识培训，尽可能的安排全职安全人员进行定期的安全分析。