• 企业介绍
  • 荣誉资质
  • 联系我们
  • 新闻动态
  • 安全报道
  • 加入我们

企业动态/正文

APT那些事儿 第1期 | APT哪些技术被禁运了?

2020-10-10 03:52

0.jpg

APT是高级持续性威胁(Advanced Persistent Threat)的一个缩写,相信从事信息安全相关行业的人对这个词都并不陌生,有些可以说是非常熟悉。但还有很多普通人对APT攻击这一词非常的陌生,甚至于没听过。也有些人认为APT攻击对普通人的工作生活毫不相干,但真的是如此吗?

在如今网络化如此发达的年代中,APT攻击不仅仅是对企业、政府、军队造成严重危害,甚至对普通人也有所影响。就拿2017年全球爆发的大规模蠕虫勒索软件感染事件来说。国内众多卫生、医疗系统中招,其中比较有名的案例为某省儿童医院系统遭受勒索病毒攻击,导致医院业务系统瘫痪,患者无法就医。
东巽科技是国内第一批APT防御安全厂商,此次小编专访东巽2046Lab同事,从他们那里了解认识到了一些APT的攻击流程、方法。在此与各位一起分享,看看APT攻击是如何展开的,并且如何一步步的达成他们的目的。


APT攻击特点

在目前已知被发现的APT攻击中都有以下几个特点:

QQ截图20201010152152.png


针对性很强

根据已知的攻击事件统计中发现,遭受APT攻击的主要对象基本是:

1. 军工(洛克希德马丁、三菱重工、RUAG……)

2. 政府(某国总统竞选网站……)

3. 金融(孟加拉央行……)

4. 高科技公司(谷歌、RSA、卡巴斯基实验室、Facebook、华为……)

5. 基础设施、能源(乌克兰电网、KBS电视台、伊朗核电站……)
从以上几点可以看出遭受APT攻击的对象都有一个共同的特点,就是目标的价值非常大,无论哪一个受害者受到的攻击都能在社会上引起不小的反响。


隐蔽能力强

“APT攻击”一词最先是由谷歌提出,谷歌称自己遭受到了APT攻击,于2009年12月中旬被发现。经过一系列的日志分析、调查取证后确定了本次遭受攻击的源头是在2年多前,一名公司的雇员被诱骗打开了一个包含恶意代码的网页导致了该公司沦陷的开始。


防范难度高

从遭受过APT攻击的受害目标来看,每个目标都应该会有自己的网络安全体系。军工行业的信息安全堡垒被攻破,可能危害到国家的安全。金融对于一个国家的重要性不比军工行业低,一旦金融业崩盘国家势必动荡。然而防御APT攻击,对一般人来说是不可能完成的任务,甚至就连在此安全领域享誉盛名的“卡巴斯基安全实验室”也曾倒在APT攻击这把锋利的菜刀下。APT攻击可谓是防不胜防。 


攻击手段丰富

APT攻击与普通的网络攻击而言攻击的方式方法更为多元化。以前的网络攻击仅仅存在于网络层面,现在的APT攻击不仅仅是在网络层面中,在现实生活中也会被用来作为APT攻击的一环。最典型的例子就是针对伊朗核电站的震网攻击。该核电站是与互联网物理隔绝的,就在这样没有联网的环境中还是无法抵挡APT攻击。据多方消息,由于核电站的工作人员对U盘的不当使用,让感染了震网病毒的U盘插入核电站的计算机上,导致该病毒被“摆渡”到内网中,最终致使核设施的物理损坏。由此震网病毒被全球安全专家定义为“武器级恶意代码”。


攻击范围广

除了刚才提到过的军工、政府、金融、高科技、基础设施等是重点目标外,还有其他目标也被纳入了APT攻击的目标范围之内。除了以上目标还有一些元数据也被列为APT攻击人员获取的重要目标。如一些平时不起眼的快递单号、医疗信息、社保信息、通讯信息等也被APT攻击的对象。

 总结了上诉的这些APT的特点,就不难理解为什么APT攻击总是能达成目的,而往往被攻击的目标总是不易察觉,有的甚至并没发现自己被攻击了。都是出问题了回过头分析日志调查才能够发现问题,而且还不一定能找到发生问题的所在。


APT的生命周期

为什么APT攻击总是能成功?为什么APT攻击总是很难发现?其实大部分的APT攻击流程与一般的网络攻击流程是几乎一样的。但为什么APT攻击又总能无往不利?原因就是刚才提到的几个重点。针对性强;不达目的不罢休,隐蔽能力强;入侵成功之后能让目标不轻易的发现,防范难度高;纵使有杀毒、防火墙、IDS、IPS等传统网络安全设备也能有方法绕过,攻击手段丰富;多元化的攻击手段让你无法发现这是一个攻击事件。APT攻击到底是个什么样的流程呢?

QQ截图20201010152245.png


“KillChain杀伤链”这个概念源自军事领域,洛克希德·马丁把这个概念和APT网络攻击相结合,提出一个描述网络APT攻击环节的六阶段模型,当然该理论也可以用来反制此类攻击(即反杀伤链)。