揭秘网络世界的高级“间谍”APT

腾讯安全联合实验室

知乎问答专栏——

【知道】

提问来源 知乎:

应对 APT 攻击的措施或方法有哪些?

还记得今年新加坡发生的健康数据泄露事件吗?在这场被当地媒体视为“新加坡遭遇的最大规模网络安全攻击”中,包括本国政要在内的150万人的个人信息被黑客非法获取。他们是如何做到的?答案就是APT(Advanced Persistent Threat)攻击。

不法黑客事先进行了长期、有计划性的准备,通过入侵保健集团计算机系统植入恶意软件,而后有针对性地窃取重要用户数据信息。作为一种瞄准重要行业的高级持续性威胁,随着数据价值的突显,APT攻击趋势近年来逐渐走高。本期知道专栏带你了解这种可潜伏数年的网络世界高级“间谍”。

什么是APT攻击?

A:技术高级。攻击者掌握先进的攻击技术,使用多种攻击途径,包括购买或黑客自己开发的0Day漏洞。整个攻击过程复杂,同时,在攻击持续过程中黑客能够动态调整攻击方式,从整体上进行把控。

P:持续时间长。与传统黑客进行网络攻击的目的不同,实施APT攻击的黑客组织通常具有明确的攻击目标和目的,通过长期不断的信息搜集、信息监控、渗透入侵实施攻击步骤,攻击成功后一般还会继续留在网络中,等待时机执行后续攻击。

T:威胁性大。APT攻击通常拥有雄厚的资金支持,由经验丰富的黑客团队发起,一般以破坏国家或是大型企业的关键基础设施为目标,窃取内部核心机密信息,威胁一国重要行业和机构的安全。

APT攻击与传统的木马病毒有什么不同?

一般来说,传统的木马病毒攻击采用的是“广撒网”的方式,他们更加在意这张“网”的范围有多大,而很少在意哪些具体的鱼会被捕上来。与传统的网络威胁不同,APT攻击基础设施成本高、资源投入大、恶意代码需专业团队开发维护,更喜欢选取重要行业以及具有高价值的用户。APT攻击组织为了实现攻击目的,会像一支军队那样,制定严谨周密的作战计划,进行长期性、有组织性、有策略地收集情报,进行长期渗透。相比之下,病毒木马显得像小打小闹式的游击队。

防御APT攻击方式大盘点

随着人们对APT攻击的研究不断深入,已经出现一些有效的防御技术来对抗APT攻击,其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括:沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等。

1、沙箱技术

沙箱,又称为沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真实注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。

2、信誉技术

安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。

3、异常流量分析技术

这是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0Day漏洞攻击等。

4、大数据分析技术

APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。

Tip:如何将我们设为星标

腾讯安全联合实验室

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181218B1KC9D00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券