企业应了解的APT攻击那些事

发布时间:2015-02-02 15:20 作者:董建伟来源:it168网站原创点击:加载中...次

往的那些APT攻击只存在于报道之中，如震网攻击、极光攻击、夜龙攻击等针对的都是较大规模的组织或企业。而近两年来APT攻击开始出现在普通的企业中，黑客的攻击手段越来越高明，企业传统的安全防护手段已无法有效的应对APT攻击，在未来企业如何有效防护APT已迫在眉睫。

本期我们针对APT攻击防护的选题，专门邀请到了趋势科技中国区业务发展总监童宁，他现主要是负责趋势科技企业内容安全在中国的发展，同时兼任云安全相关产品的管理工作。我们将从APT的目标、APT攻击过程、企业APT防护之道、CSO注意事项等方面来深入的解析APT的防御之道。

　　哪些数据、企业和个人容易成为APT的目标？

当前，数字化威胁不断进化，高级持续性威胁(Advanced Persistent Threat，APT)呈增长之势。APT攻击者采用定制化的手段、利用社会工程学，有计划、有组织的持续窥探目标网络弱点，长期潜伏并窃取核心机密数据，这让各个行业的组织都处于危险境地。

　　1、任何企业都可能是潜在攻击的目标

作为一家盈利的公司或作为一个主权国家，即意味着处于竞争中。换句话说，您将始终是攻击的潜在目标。过去，我们会把金融、政府、军队、能源等和民生相关的用户设定为最容易受到APT攻击的对象，但现在这些情况发生了变化。

在过去的两年里，美国 Target 超市一亿笔客户资料被窃取贩卖、台湾20个与经济相关的机构受到APT攻击、美国 Home Depot 16 家饰建材连锁卖场的6000万笔客户资料失窃、eBay遭到神秘黑客的攻击、iCloud泄露出大量好莱坞影星私密照片、索尼影视在APT攻击中大量商业机密遭泄露。这让安全界对APT攻击的思考有了新的启示，例如：APT攻击不仅会针对政府、金融、基础建设和知识产权的行业，交通、零售、酒店、旅游、教育、医疗、媒体行业都会成为目标。

　　2、黑客会先瞄准包含内部账户的数据

因为所有规模的组织均拥有宝贵的数据，这些“你自己认为重要的、或是不重要”，都可能成为黑客组织或是“雇佣军”的目标。当然，被窃取的数据也有一部分相似点，这就是企业内部中存在的大量账户信息。黑客需要利用这些数据提升权限，探测网络内部拓扑，横向移动。

　　3、钟爱“社交网络”的员工最易受到定向攻击

从以往的案例调查中可以发现，APT攻击者会利用社交工程技术，分析企业内部人员的职务、工作性质、个人兴趣等，如果某个员工特别喜欢在网络社交平台中谈论自己的工作，或者公司内部的问题，那么便很可能已经被盯上。黑客会发送与他(她)工作和兴趣相关的邮件、恶意链接，从这些疏于防范的终端上打开攻击的入口。

　　APT攻击过程的六个阶段

　　第1阶段：情报收集

在趋势科技的调查数据中，只有31%的企业会惩罚将公司机密资料贴到公众社交平台上的员工，这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。攻击者针对需要窃取数据的企业或个人，将第一个目标锁定到企业员工的身上作为情报开端，并通过社交工程攻击开启一连串攻击。

　　第2阶段：利用社会工程学

利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。趋势科技的调查结果显示，在87%的组织中，会有网络用户点击黑客安排的网络链接，这些恶意链接都是精心设计的APT社交工程的诱饵。另外，95%的APT攻击利用了社交工程钓鱼邮件，这是针对性最强、设计最缜密的攻击，但却是简单的技巧。

　　第3阶段：命令与控制 (C&C 通信)

但阅读或点击了“诱饵”，攻击者需要通过在主机上安装后门程序，以达到持久驻留在内部网络的目的，并潜入尽可能多的主机。APT攻击活动利用这些后门程序，首先在目标网络中找出放有敏感信息的重要计算机。然后，APT攻击活动利用网络通信协议来与C&C服务器通讯，并确认入侵成功的计算机和C&C服务器间保持通讯。

由于 C&C 通信的特征与正常流量不同，因此这通常可能是APT攻击的第一个迹象。但是，攻击者演进了技术，通过降低通信频率以及在极短的时间内改变域名和 IP 地址，让 C&C 通信变得难以检测。

　　第4阶段：横向移动

攻击者会开始潜入更多的内部设备，收集凭证、提升权限级别，实现持久控制。为此，攻击者会试图获取大量的普通帐户以及管理员帐户。因此，攻击者通常会跟踪 Active Directory 之类目录服务或Root权限的账号，使用包括传递哈希值算法的技巧和工具，将攻击者权限提升到跟管理者一样。这个过程一旦成功，攻击者便会为自己创建合法的帐户和访问权限，以访问托管所需信息的服务器，从而加快数据隐蔽泄露。由于最终数据窃取利用了合法的管理凭证，这使得数据窃取检测变得更加困难。

　　第5阶段：资产/资料发掘

为确保以后的数据窃取行动中会得到最有价值的数据，APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点，来挖掘出最多的资料，而且在这个过程当中，通常不会是重复自动化的过程，而是会有人工的介入对数据做分析，他们寻找雇佣者需要的，或是可以贩卖高价的“数据”。

　　第6阶段：资料窃取

APT是一种高级的、狡猾的伎俩，高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问，最终挖掘到攻击者想要的资料信息。而在收集了敏感信息之后，攻击者将把数据归集到内部暂存服务器，并在这里对数据进行压缩和加密，以传输至外部位置。

经过前面6个阶段，攻击者后面主要的行为将放在长期控制上，一旦他们发现事件暴露，便会破坏信息的完整性及可用性，以起到“毁尸灭迹”的目的。但此时，泄密信息早已进入到地下黑市交易，或是被雇佣方非法占有。

(责任编辑：安博涛)