We couldn't find a match for given <KEYWORD>, please try again.

什么是高级持续性威胁 (APT)?

高级持续性威胁 (APT) 这种攻击类型通过获得未经授权的据点,从而在长时间内执行扩展的持续攻击。虽然相比其他类型的恶意攻击,APT 发生的次数较少,但仍应将其视为一种严重且代价高昂的威胁。事实上,根据NETSCOUT Arbor 第 13 次年度全球基础架构安全报告,2017 年中只有 16% 的企业、政府或教育机构遇到了高级持续性威胁,但他们当中有 57% 将这种威胁列为 2018 年需要关注的主要问题。

大多数恶意软件会执行快速的破坏性攻击,但 APT 采用不同的、更具策略性和隐蔽性的方法。攻击者通过特洛伊木马或网络钓鱼等传统恶意软件入侵,但之后,他们会掩盖自己的行迹,在整个网络中秘密移动并植入其攻击软件。在攻击者获得据点后,就可以实现其目标,而他们的目标几乎都是一样的:在长达数月甚至数年的时间中,持续不断地提取数据。

使用专门打造的内部防火墙保护您的数据中心

利用企业级 EDR 进行高级威胁追踪和突发事件响应

高级持续性威胁都是按部就班的

执行 APT 的攻击者会采用一种算得上标准的顺序攻击方法来实现其目标。下面简要概述了攻击者采用的典型步骤:

  • 制定具体的策略。APT 攻击者在攻击时都会有一个针对性的目标,通常是窃取数据。
  • 获取访问权限。攻击者通常先用社交工程手段识别易攻破的目标。然后,他们使用叉鱼电子邮件或从常用网站中下载的恶意软件来获取对凭证和网络的访问权限。攻击者在进入网络后通常会尝试确立指挥和控制。
  • 建立据点并进行试探。在网络中站稳脚跟后,攻击者就会在整个环境中自由地横向移动,并针对所需数据探索和规划最佳攻击策略。
  • 发动攻击。下一步是通过对目标数据进行集中、加密和压缩,为窃取这些数据做好准备。
  • 获取数据。此时,数据可以轻松地被窃取并在全球范围内秘密转移,通常不会被注意到。
  • 在被发现之前窃取行动会一直持续。窃取过程会通过攻击者的隐藏据点长时间重复进行,直至最终被发现。

企业环境中的 APT 线索

由于 APT 几乎都是以窃取数据为目标,因此攻击者必然会在进行恶意活动之后留下某种痕迹。根据 CSO 的经验,以下是一些最明显的迹象:

  • 在反常时间中登录次数增加,例如深夜
  • 发现后门特洛伊木马程序
  • 出现大量无法解释的数据流
  • 不应该有的聚合数据包
  • 检测到哈希传递黑客工具
  • 使用 Adobe Acrobat PDF 文件集中进行叉鱼攻击活动

在最近的“威胁追踪”网络研讨会系列中,安全专家就要留意什么提供了更多见解,因为某些恶意活动可能就是 APT 攻击的预警。

这些专家建议留意建立网络连接的命令 Shell(WMI、CMD 和 PowerShell),或者留意非管理员系统上的远程服务器或网络管理工具。他们还建议留意那些调用新进程或生成命令 Shell 的 Microsoft Office 文档、Flash 或 Java 事件。

另一个线索是出现偏离管理员帐户正常行为的任何行为。在本地创建新帐户,或者公司域或 Window 进程(如 lsass、svchost 或 csrss)中包含奇怪的父项,也可能表明环境中存在 APT。

“57% 的企业、政府和教育机构将 API 列为需要关注的主要安全问题。”

行业动态:专家对 APT 攻击的洞察

接下来,我们简要介绍一下 APT10,它是成功 APT 的典型代表,其攻击活动可能早在 2009 年就开始了。作为可能是历史上持续时间最长的网络安全威胁之一,APT10 最近通过许多国家/地区的多个行业的代管服务提供商以及一些日本公司,对相关公司进行了攻击,通过窃取大量数据造成了难以估量的损失。

这些攻击自 2016 年底以来一直很活跃,由 PwC UK 和 BAE Systems 发现。在关于本次攻击活动的联合报告 Operation Cloud Hopper 中,这些企业承认,可能永远无法知晓 APT10 所造成的全部损失。

根据这些企业在报告中的陈述,他们对 APT10 的了解有如下要点:

  • 该攻击活动很可能由位于中国的威胁攻击者策划。
  • 该攻击活动始于 2009 年或更早,并且随着时间的推移,使用各种类型的恶意软件来获得前所未有的访问权限。
  • PT10 攻击者使用新开发的高级工具不断改进其攻击方法,这些工具帮助提高了攻击的规模和能力。
  • 与大多数 APT 攻击一样,APT10 会窃取知识产权和敏感数据。
  • PwC UK 和 BAE 认为,威胁攻击者拥有越来越庞大的人员数量和资源量,可能由技术娴熟的攻击者构成的多个团队持续不断地工作。

* 表明您已遭受高级持续性威胁 (APT) 攻击的 5 个迹象

如何检测 APT:通过威胁追踪发现遗留的线索

随着越来越多的 APT 被发现,安全组织能够越来越熟练地发现这些隐蔽的威胁。其中不断发展的一种方法就是威胁追踪,此方法将创新技术和人类智慧相结合而形成一种主动、迭代的方法,可识别仅依赖标准端点安全机制将会遗漏的攻击。

发现泄露事件平均需要 150 天。但是,借助威胁追踪,企业可以通过观察未经筛选的历史端点数据来发现异常行为以及异常活动之间的关系,从而在攻击序列的早期发现像 APT 这样的攻击。

威胁追踪者通过一系列创新性技术工具、威胁情报和人类洞察力开始追踪。然后,追踪者通过能够发现根本原因的迭代搜索来优化追踪过程。接下来,追踪者通过切断威胁来应对威胁,并利用所获得的洞察信息和情报来保护未来的环境。

  • 首先,威胁追踪者可以使用特定威胁的已知特征以及对潜在攻击序列的人类洞察信息。追踪者可以使用在整个环境中执行搜索的工具启动一系列迭代搜索,同时监控、记录和存储所有端点活动。
  • 例如,PwC UK 和 BAE Systems 发现攻击者使用恶意的 Excel 文件,这些文件通过 Outlook 以电子邮件网络钓鱼活动的形式进行投递。研究人员还发现,打开这些文件会导致新文件被放到一个临时文件夹中,而这些文件充当 C2 侦听器,通过端口 8080 传出。
  • 初始搜索可能会返回大量数据,因此威胁追踪者通常需要缩小搜索范围。对于 APT10 威胁,一个搜索条件可能是 HR 计算机,因为这些计算机保存着关键的敏感数据。然后,使用已知的情报,威胁追踪者可以通过查找以 Outlook 电子邮件附件形式传入的 Excel 文件,来进一步缩小搜索范围。下一个逻辑搜索条件旨在找出指挥和控制连接,可以通过搜索具有多个连接的网络连接来发现。
  • 此操作将生成一个较小的数据集,然后可按流程分析树形式进行查看,这样将发现恶意的临时文件。确定后,可以进一步跟踪此文件以查看其是否通过端口 8080 创建网络连接。
  • 这一系列活动可确认此环境中存在活跃的 APT10 攻击。使用威胁追踪和先进的新一代防病毒工具,可以在主机上隔离攻击,将其从网络中消除。另一种选择是禁止哈希值,这样攻击便无法执行。
  • 威胁追踪者的最后一项活动是保护环境,使其免受未来的攻击。可以通过概括和扩展上述查询序列以创建监视列表,来实现此目标。安全工具可识别任何此类活动,并自动发送电子邮件警报,以便可以立即采取修复措施。

相关解决方案和产品

NSX Sandbox

NSX Sandbox

完整的恶意软件分析

NSX Network Detection & Response

AI 驱动的网络检测和响应 (NDR)

NSX Distributed Firewall

NSX Distributed Firewall

使用全栈防火墙保护您的数据中心