高级持续性威胁(APT)是一种精心策划的持续性网络攻击,攻击者会在目标网络中建立隐蔽的持久性存在以窃取关键数据。APT攻击是经过深思熟虑、精心策划的,目的是渗透特定组织、绕过现有安全措施并保持隐蔽状态。

与快速入侵并撤离不同,大多数APT攻击的目标是获取并维持对目标网络的持续访问权限。由于APT攻击需要投入大量精力和资源,黑客通常会选择国家机构和大型组织等高价值目标,意图长期窃取数据。

为了获得持续访问权限,APT组织会在每个阶段采用不同的方法。本文将详细阐述APT组织如何实施攻击以及所使用的手段。

第一阶段:信息收集

在每次攻击开始时,攻击者都会收集足够的目标组织/个人信息,以有效实施攻击。信息收集阶段包括以下方式:

• OSINT(开源情报)
• 数据泄露
• 数据经纪人（中间商，数据贩子）
• 政府记录
• 财务记录

1. OSINT(开源情报)

开源情报(OSINT)是从公开发布或公开可获得的来源收集信息的技术。攻击者会采用巧妙的方式收集信息,他们会尝试从不同网站获取信息。osintframework.com是一个开放网站,汇集了所有用于获取目标信息的工具/网站。

2. 数据泄露

在过去几年中,数百起攻击事件已经危及了数百万人的隐私。数据泄露是指未经所有者知情或许可的情况下,从计算机系统中窃取或获取信息。攻击者将利用泄露的数据获取所有有价值的信息。数据泄露可能发生在以下情况:

• 信息被窃取
• 勒索软件
• 密码猜测
• 键盘记录
• 钓鱼
• 恶意软件/病毒
• DDoS攻击

3. 数据经纪商

有许多数据经纪商在暗中买卖个人信息。众所周知,数百家公司在不断买卖你的个人信息。这些公司是谁、做什么并不广为人知。APT组织会与这些数据经纪人建立联系以购买信息。

4. 政府记录/财务记录

政府记录是指在政府业务过程中创建或接收的,作为活动和交易证明而保留的任何类型的文档信息。财务记录是指提供公司交易证据或总结的文件。APT组织也会通过探索这些文件获取信息。

信息收集的检测手段:

• 我们可以使用工具来监控,如果在OSINT/暗网中发现任何详细信息/用户名和密码/商业文件/财务记录/相似组织域名匹配时发出警报
• 使用CTI(网络威胁情报)服务,通过分析、提炼和整理从各种来源收集的有关当前或潜在攻击的信息,来最小化和缓解网络安全风险

第二阶段:初始访问

收集信息后,攻击者将通过以下方式设置陷阱:

• 社交媒体
• 水坑攻击
• 蜜罐陷阱
• 可移动设备
• 内部威胁
• 软件或硬件供应链
• 利用面向公众的系统漏洞
• 鱼叉式钓鱼邮件
• 恶意文件
• 恶意链接

APT组织会有网络行动人员来获取初始访问权限。

1. 社交媒体

攻击者会针对无人看管/活跃的社交账号,以此进入组织或个人系统。

2. 水坑攻击

水坑攻击是一种安全漏洞,攻击者通过感染目标群体经常访问的网站来试图入侵特定的终端用户群。其目的是感染目标用户的计算机并获取目标工作场所网络的访问权限。

攻击者会入侵一个网络服务器或网络服务,并植入带有恶意软件的文件,希望预定的受害者会访问它。一旦陷阱设置完成,访问该网站或服务的用户就会被感染,他们的设备通常也会被入侵。当设备被入侵后,攻击者可以利用键盘记录器、恶意软件和命令与控制(C2)连接来窃取数据,甚至远程控制设备。

水坑攻击的检测/预防:

• 通过监控网络活动和所有外部网络流量可以避免水坑攻击。它能够检测恶意活动以及可能预示攻击的异常情况
• 创建规则以检测向恶意URL的阻断连接和持续连接到多个被阻断连接。该规则应每15分钟运行一次,并将限制设置为 1 小时
• Index=<防火墙名称> sourcetype=<pan:threat> action=blocked | where count>10| table src_ip, dest_ip, hostname, query, url, action
• VPN可以向外部隐藏互联网活动,使攻击者更难对你公司内的目标进行分析。在某些情况下,可能需要VPN来阻止员工访问社交媒体和留言板等不安全的网站

3. 可移动设备

通常,大多数组织不允许使用USB、U盘和硬盘等外部设备。但在一些美国组织中是允许的。因此,APT组织很容易将恶意文件插入外部设备,当设备连接到一台机器时,就可以传播到任何地方。

4. 内部威胁

内部威胁是来自目标公司内部的安全风险。它通常涉及当前或前员工或业务合作伙伴,他们未经授权访问组织网络上的敏感信息或特权账户。传统的安全程序往往关注外部威胁,无法检测来自企业内部的内部威胁。

内部威胁的检测/预防:

• 需要监控异常时间的活动、通过网络传输过多数据以及访问异常资源
• 尽量保护关键资产
• 明确记录组织政策,以便执行并防止误解
• 部署解决方案来追踪员工行为,并关联来自多个数据源的信息

5. 软件或硬件供应链

在这类网络安全攻击中,攻击者将恶意代码或组件插入可信任的软件或硬件中。此类攻击的目标是能够渗透到受影响组件下游的组织。这不是一个简单的过程,但最著名的攻击是通过供应链攻击完成的。

为什么大多数APT组织将此过程用作初始阶段,因为他们可以同时进入多个系统。

供应链攻击的检测/预防:

• 根据攻击创建规则,因为每种攻击技术和软件都会不同
• 使用哈希检查或其他完整性检查机制来验证分发的二进制文件。扫描下载内容是否存在恶意签名,并在部署软件和更新之前尝试测试
• 对可能被恶意修改的预操作系统启动机制执行完整性检查,并将结果与基线进行比较

6. 利用面向公众的系统漏洞

攻击者会针对面向公众的应用程序来进入组织,因为他们不需要付出更多努力就能进入。

面向公众系统漏洞的检测/预防:

使用WAF检测异常活动并阻止来自恶意IP的所有连接。

7. 鱼叉式钓鱼邮件

这是发起任何类型攻击的常见方式。90%的攻击都是通过钓鱼邮件进行的。攻击者要么发送带有恶意文件/恶意链接/鱼叉信息的邮件,以进一步获取用户凭据。

鱼叉式钓鱼邮件的检测/预防:

• 建立强大的网关防火墙,拒绝所有高分垃圾邮件。创建自定义查询来保留所有包含恶意文件或链接的邮件
• 将所有来自已知发件人的先前发送钓鱼邮件的发件人地址列入保留名单

第三阶段:恶意软件开发

为了在系统中保持立足点,APT组织会在恶意软件开发者的帮助下创建恶意软件,并将恶意代码插入系统以长期停留并窃取数据。

大多数APT组织会使用以下技术在系统中停留一段时间:

• Web后门
• 服务器植入
• 计算机间谍软件
• 移动端间谍软件

1. Web后门

Web后门是使威胁行为者能够入侵Web服务器并发起额外攻击的恶意脚本。在渗透系统或网络后,威胁行为者会部署Web后门。从这一点开始,他们将其用作进入目标Web应用程序和任何连接系统的永久后门。

2. 服务器植入

服务器植入就是在服务器(如SSH服务器、应用服务器、面向互联网的服务器等)中植入/插入恶意代码。如果服务器被感染,所有连接到该服务器的机器都有很大可能被感染。

3. 计算机/恶意软件间谍软件

间谍软件是一种恶意软件,它会在你不知情或未经许可的情况下安装在你的设备上,并隐形收集关于你的信息。它对你个人信息的监控可能从在你的设备上显示烦人的广告和弹出窗口,到记录你的按键和登录凭据。

使用反恶意软件程序扫描计算机是检查间谍软件的最佳方法。反恶意软件程序会对硬盘进行深度扫描,以识别和消除可能存在的任何威胁。

第四阶段:系统管理员

系统管理员负责管理、排除故障、许可和更新硬件和软件资产。他们会尝试进入主机并更新网站证书、修改网站内容、启动不必要的软件,并尝试更新恶意版本。

第五阶段:漏洞利用软件编写

漏洞利用是一段编写的软件代码,用于利用应用程序或软件中的漏洞。漏洞利用包含有效负载和一段将有效负载注入易受攻击应用程序的代码。漏洞利用编写者将执行以下操作之一:

• 利用已存在的漏洞进入系统
• 或者利用零日漏洞

尽管APT组织执行许多恶意活动,但在某些情况下,他们会与私人承包商和情报官员联系,以在刑事案件中提供更有价值的信息。

结论

我们已经了解了APT组织如何逐步实施攻击。这并不是APT的唯一阶段,每个APT组织都有自己的技术和策略。因此我们只是在这里收集并解释了其中的一部分内容。