APT攻击介绍.pptx

1、APT攻击介绍目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍什么是APT高级持续性威胁(AdvancedPersistentThreat，APT)，APT（高级持续性渗透攻击）是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT攻击阶段划分APT攻击可划分为以下6个阶段:情报搜集情报搜集

2、首次突破防线首次突破防线幕后操纵通讯幕后操纵通讯横向横向移动移动资产资产 /资料发掘资料发掘资料外传资料外传情报收集黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究，然后开发出客制化攻击。这个阶段 是黑客信息收集阶段，其可以通过搜索引擎，配合诸如爬网系统，在网上搜索需要的信息，并通过过滤方式筛选自己所需要的信息；信息的来源很多，包括社交网站，博客，公司网站，甚至通过一些渠道购买相关信息（如公司通讯录等）横向移动黑客入侵之后，会尝试通过各种手段进一步入侵企业内部的其他计算机，同时尽量提高自己的权限。黑客入侵主要利用系统漏洞方式进行；企业在部署漏洞防御

3、补丁过程存在时差，甚至部分系统由于稳定性考虑，无法部署相关漏洞补丁在入侵过程中可能会留下一些审计报错信息，但是这些信息一般会被忽略。资产 /资料发掘在入侵进行到一定程度后，黑客就可以接触到一些敏感信息，可通过C&C服务器下发资料发掘指令：采用端口扫描方式获取有价值的服务器或设备；通过列表命令，获取计算机上的文档列表或程序列表；资料外传一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传。资料外传同样会采用标准协议(http/https，SMTP等）信息泄露后黑客再更具信息进行分析识别，来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。目

4、录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT防御的建议情报收集阶段：在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。内部教育：教育员工有关在社交网络上公开太多信息的风险，尤其是工作相关的信息。小心谨慎 切勿在公开的个人网页上透露自己的个人和工作信息。保持警戒 社交网络缺乏面对面接触的特性，很容易让人卸下心防，因而透露一些平常不会透露给陌生人的讯息。提防小人 因特网上遇到的人，很可能不是他们看起来的样子。公司政策：封锁社交网站或许不是解决此问题的最佳办法。不过，订定一些有关社交网络使用方式的公司政策并加强倡导，将有助于大幅降低锁定目标攻击的风险

5、。首次突破防线防御针对黑客的首次突破，可采用以下方式进行防御寻找遭到渗透的寻找遭到渗透的迹象迹象大多数 APT攻击都是使用鱼叉式网络钓鱼。因此，检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件，就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。安全弱点安全弱点评估评估发掘并修补对外网站应用程序和服务的漏洞。内部内部教育教育教育员工有关鱼叉式网络钓鱼的攻击手法，要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。幕后操纵通讯防御针对存在的幕后操纵通讯，可采用以下措施进行检测和防御监控网络流量是否出现幕后操纵监控网络流量是否出现幕后操纵通讯通

6、讯建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施，有助于企业发掘遭到入侵的主机，并且切断这类通讯。识别判断攻击识别判断攻击者幕后操纵服务器的者幕后操纵服务器的通讯通讯企业可在沙盒隔离环境(sandbox)当中分析内嵌恶意软件的文件(如鱼叉式网络钓鱼电子邮件的附件)来判断幕后操纵服务器的 IP地址和网域。更新网关安全更新网关安全政策截幕后通讯政策截幕后通讯一旦找出幕后操纵服务器的网域和 IP地址，就可更新网关的安全政策来拦截后续的幕后操纵通讯。横向移动防护针对APT攻击的横向移动，可采取以下措施进行防护漏洞漏洞防护防护漏洞防护是一种主机式技术，能侦测任何针对主机漏洞的攻击并加以拦截

7、，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知和零时差(zero-day)漏洞攻击。档案档案/系统一致性系统一致性监控监控黑客有可能留下一些蛛丝马迹，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客有可能也会触动一些警示。限制并监控使用者存取与权限的限制并监控使用者存取与权限的使用使用黑客常用的一种手法是，搜集技术支持系统管理员的登入信息，因为他们经常要权限较高的账号来登入出现问题的端点系统/主机。将系统管理员的访问权限与关键系统/数据的访问权限分开，能有效预防黑客透过端点上的键盘侧录程序搜集高权限的账号登入信息。运用安全信息与事件管理运用安全信息

8、与事件管理 (SecurityInformation&EventsManagement，简称，简称 SIEM)工具来工具来辅助记录文件辅助记录文件 /事件事件分析分析对网络上的事件进行交叉关联分析，有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多，就可能是问题的征兆。资产 /资料发掘防御针对APT对内部资料进行挖掘和探测的防御，可采用以下防护措施：运用安全信息与事件管理运用安全信息与事件管理 (SecurityInformation&EventsManagement，简称，简称 SIEM)工具来工具来辅助记录文件辅助记录文件 /事件事件分析分析对网络

9、上的事件进行交叉关联分析，有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多，就可能是问题的征兆。漏洞漏洞防护防护漏洞防护是一种主机式技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知和零时差(zero-day)漏洞攻击。档案档案 /系统一致性系统一致性监控监控黑客有可能留下一些蛛丝马迹，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客有可能也会触动一些警示。资料外传防护针对资料外传的风险，一般可采用以下措施进行防护：加密和资料外泄防护加密和资料外泄防护 (DLP)将

10、关键、敏感、机密的数据加密，是降低数据外泄风险的一种方法DLP可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则。事件事件管理制度建立管理制度建立制定一套事件管理计划来处理 APT相关攻击。针对 APT的每一个攻击阶段清楚定义并实行因应计划，包括：评估、监控与矫正。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍典型案例Google极光攻击极光攻击：2010年的GoogleAurora（极光）攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终获成功渗透进入Goog

11、le的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。RSASecurID窃取攻击：窃取攻击：2011年3月，EMC公司下属的RSA公司遭受入侵，公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的PoisonIvy远端控制工具在受感染客户端，并开始自僵尸网络的命令控制服务器下载指令进行任务。超级工厂病毒攻击（震网攻击）：超级工厂病毒攻击（震网攻击）：超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，

12、利用多种0day一点一点的进行破坏。韩国黑客入侵事件韩国黑客入侵事件：2013年3月20，韩国多家银行与其国内三大电视台大量计算机出现无法开机的问题，受影响计算机超过3万台，韩国花费超过3天以上时间才恢复正常运行。Google极光攻击1.搜集Google员工在Facebook、Twitter等社交网站上发布的信息；2.利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造成IE浏览器溢出，远程下载并运行程序；3.通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问Google

13、服务器的帐号密码等信息；4.使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定Gmail账户的邮件内容信息。RSASecurID窃取攻击1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2011Recruitmentplan.xls”；2.在拿到SecurID信息后，攻击者开始对使用SecurID的公司展开进一步攻击。3.其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的 AdobeFlash的0day漏洞（CVE-2011-0609）命中；4.该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务；5.首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；6.RSA发现开发用服务器（Stagingserver）遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹；韩国黑客入侵事件根据韩国最终发布的分析报告认为，此次攻击持续时间长达8个月，从最初的入侵到最后爆发，黑客先后在韩国计算机中植入了76中恶意程序，其中9中具有破坏性，其余主要用于监控，扫描，入侵使用。是一起典型的APT攻击行为。4月韩国发布的最终受影响计算机数量由之前的3万2千台上升至4万8千台。