APT 攻击简介
作者: 分类: 网络安全 发布于: 2024-07-09 11:47:25 浏览:121 评论(0)
APT 攻击
简介
APT(Advanced Persistent Threat)即高级持续性威胁,是一种周期较长、隐蔽性极强的攻击模式。攻击者精心策划,长期潜伏在目标网络中,搜集攻击目标的各种信息,如业务流程、系统运行状况等,伺机发动攻击,窃取目标核心资料。
常用手段
1、水坑攻击(Watering Hole)
攻击者会在攻击前搜集大量目标的信息,分析其网络活动的规律,寻找其经常访问的网站弱点,并事先攻击该网站,等待目标来访,伺机进行攻击。
2、路过式下载(Drive-by Download)
在用户不知情的情况下,下载间谍软件、计算机病毒或任何恶意软件。被攻击的目标在访问一个网站、浏览电子邮件或是在单击一些欺骗性的弹出窗口时,可能就被安装了恶意软件。
3、网络钓鱼和鱼叉式网络钓鱼(Phishing and Spear Phishing)
攻击者企图通过网络通信,伪装成一些知名的社交网站、政府组织、金融机构等来获取用户的敏感信息。
4、0day漏洞(Zero-day Exploit)
攻击者在进入目标网络后,可轻易利用零日漏洞对目标进行攻击,轻松获取敏感数据。
攻击阶段
APT攻击主要分为6个阶段
1、情报收集
2、单点突破
3、命令与控制(C&C通信)
4、横向渗透
5、资产/资料发掘
6、资料窃取
APT攻击防范
1、恶意代码检测
基于特征码的检测:通过对恶意代码的静态分析,找到该恶意代码中具有代表性的特征信息(指纹),如十六进制的字节序列、字符串序列等,然后再利用该特征进行快速匹配。基于启发式的检测:通过对恶意代码的分析获得恶意代码执行中通用的行为操作序列或结构模式,若行为操作序列或结构模式的加权值总和超过某个指定的阈值,即判定为恶意代码。
2、主机应用保护
加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全。
3、网络入侵检测
APT攻击恶意代码所构建的命令控制通道通信模式一般来说不经常变化,采用传统入侵检测方法来检测APT的命令控制通道
4、大数据分析检测
采集网络设备的原始流量及终端和服务器日志,进行集中的海量数据存储和深入分析,发现APT攻击的蛛丝马迹后,通过全面分析海量日志数据来还原APT攻击场景。
转载时请注明出处及相应链接。
本文永久链接: http://www.baigei.com/articles/apt-description