APT攻击特征及案例分析解读.pptVIP

三、APT攻击的特征及案例分析 （一）APT攻击的定义 APT即高级可持续威胁（ Advanced Persistent Threat ），也称为定向威胁，是指某组织对某一特定对象展开的持续有效的攻击活动和威胁。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。黑客个人的行为一般不能构成APT攻击，因为通常情况下没有足够的资源来开展这种先进且复杂的攻击活动。 （1）持续性： 攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年，攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下，让攻击完全处于动态发展之中，而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力，因此防护者或许能挡住一时的攻击，但随时间的发展，系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期：比如设备升级、应用需要的兼容性测试环境等等，最终导致系统的失守。 （2）终端性： 攻击者虽然针对的是重要的资产目标，但是入手点却是终端为主。再重要的目标，也是由终端的人来访问的。而人在一个大型组织里，是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注入攻击了WEB服务器，一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。 （3）广谱信息收集性：攻击者会花上很长的时间和资源，依靠互联网搜集，主动扫描，甚至真实物理访问方式，收集被攻击目标的信息，主要包括：组织架构，人际关系，常用软件，常用防御策略与产品，内部网络部署等信息。 （4）针对性：攻击者会针对收集到的常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性安全漏洞，测试特定的木马是否能饶过检测。 （二）APT攻击的主要特征 （5）未知性： 攻击者依据找到的针对性安全漏洞，特别是0DAY，根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标，但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马，都是防护者或防护体系所不知道的。 （二）APT攻击的主要特征 （6）渗透性社工： 攻击者为了让被攻击者目标更容易信任，往往会先从被攻击者目标容易信任的对象着手，比如攻击一个被攻击者目标的电脑小白好友或家人，或者被攻击者目标使用的内部论坛，通过他们的身份再对组织内的被攻击者目标发起0DAY攻击，成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级，逐步拿到对核心资产有访问权限的目标。 （二）APT攻击的主要特征 (7)隐蔽合法性： 攻击者访问到重要资产后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以饶过我们的审计和异常检测的防护。 (8)长期潜伏与控制： 攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来，控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。 三、案例分析 目前APT攻击发布细节出来的案例，基本都是以美国公布的。但是不代表APT攻击只针对欧美，主要原因在于，美国由于IT技术的发达成为APT攻击的首要目标，而且很多高科技公司也是民营的，而美国公司把针对安全事件发生后的调查和公布看作一种公司的诚信行为，而其他很多国家因为被攻击后更习惯捂盖子的做法公开的很少。另一个原因是，美国在APT检测和防御技术上具备一定的先进性,使他们具备针对部分APT攻击能及时发现，因此可以在攻击一开始时就配合取证了解完整的攻击过程与手法，而其他国家在这方面比较落后，发现时都是后期阶段，只能清除而很难分析取证溯源了解整个攻击过程与手法了。 APT攻击案例中比较著名的有： 1）针对GOOGLE等三十多个高科技公司的极光攻击： 攻击者通过FACEBOOK上的好友分析，锁定了GOOGLE公司的一个员工和他的一个喜欢摄影的电脑小白好友。攻击者入侵并控制了电脑小白好友的机器，然后伪造了一个照片服务器，上面放置了IE的0DAY攻击代码，以电脑小白的身份给GOOGLE员工发送IM消息邀请他来看最新的照片，其实URL指向了这个IE 0DAY的页面。GOOGLE的员工相信之后打开了这个页面然后中招，攻击者利用GOOGLE这个员工的身份在内网内持续渗透，直到获得了GMAIL系统中很多敏感用户的访问权限。窃取了MAIL系统中的敏感信息后，攻击者通过合法加密信道将数据传出。事后调查，不止是GOOGLE中招了，三十多家美国高科技公司都被这一APT攻击搞定，甚至包括