APT攻击

l Advanced Persistent Threat（高持续性威胁）

l A-Advanced：技术复杂多样化

l P-Persistent：持续性的。有计划，有组织的进行检测和侦查

APT攻击的特点

l 潜伏性：

攻击过程持续周期长；攻击者首先控制一台内部主机，以打开局面。然后以“被控主机”为跳板，控制更多具有更高权限的主机。以此模式，不断持续搜索，直到能彻底掌握所针对的目标人、事、物。

l 持续性：

初步攻击结束后会建立类似botnet的远控架构进行持续攻击。

威胁性：

由于攻击周期长，攻击行为散布时间轴较大，审计系统和安全评估系统与日志分析系统不易察觉。

攻击者往往不直接攻击最终目标人，而是透过攻击外围人员层层渗透。较之核心人员，外围人员往往安全意识比较淡薄。

以往攻击都是炸开大门（暴力破解），为所欲为，一锤子买卖，完事儿走人。我感觉，apt攻击在思路上其实有一个创新点。首先，apt的目标都是大型公司企业的机密资料，往往都具有非常坚固的大门和高墙。所以，想要采用以前那种方式有可能伤敌一千，自损八百，不划算。其次，apt攻击讲究的是“可持续发展”，放长线钓大鱼。

可以做这么一个类比，apt攻击就好比去老板家盗窃。老板家有防盗门，不好进入。首先，我们先进入与老板家一墙之隔的人家，相对于突破老板家的大门，撬开隔壁家的大门可谓是轻而易举的。其次，发现这一墙之隔的强确实不怎么厚，哈哈。。。在墙上开个小洞，这就悄悄地进入老板家里。最后，白天地不动，晚上地干活！

这个创新点，归结起来就是：曲线行窃+放长线钓大鱼！

APT攻击模板

第一步：研究目标

目标：

1.了解目标公司的财务状况以及所有员工的上网习惯（是否会在网上讨论自己的boss？）及人际交往的所有信息。据此，选定第一目标主机，目标公司内部被黑客拿下的第一台主机。这台主机至关重要，起着攻击跳板的作用。【社会工程学基础，邮件攻击基础】

2.目标公司的边界安全和面向Internet的系统。【知己知彼】

第二步：选定并拿下第一目标主机，从而打开局面

目标：如上

途径：任何

1）强攻：

*直接对目标公网网站漏洞进行攻击（SQL注入，XSS，远程执行代码漏洞）；

   *直接使用挖掘出来的0day攻击目标（目前的安全防御，检测设备无法识别0day漏洞攻击）

2）计谋攻：

*钓鱼网站：使公司员工上钩。（这只针对于企业内部安全防御体系不健全的公司，对于安全防护体系健全的公司，通过这种方式是渗透不进去的）

*免费u盘：将装有病毒的u盘假装遗落在目标公司内部，以期有员工捡到该u盘后插入公司内部主机（这也是一种社会工程学攻击，利用人的好奇心和贪婪。同样，对于内部安全体系健全的公司，通过这种方式是渗透不进去的）

*恶意邮件：恶意邮件中往往将恶意链接包装成该员工感兴趣的话题（第一阶段的员工调查），如公司裁员表等。。。诱使员工点击恶意链接，下载黑客工具（这种邮件攻击方法可以成功绕过公司安全体系的检测）

第三步：通过横向移动，拿下具有高级权限的敏感主机

目标：如上

途径：任何

第四步：构建安全隧道

目标：与受害人机器建立了连接(VPN技术)，用于持续监听、传入控制命令、传出目标源代码。

第五步：卷货撤退

目标：利用到手的高级权限，进入存有目标信息的数据库，打包、加密目标源代码。并利用VPN专用隧道将数据传出。

APT攻击检测方法

　　纵观整个APT攻击过程发现：

（1）恶意代码单点攻击突破

（2）内部横向渗透

（3）构建控制通道获取攻击者指令

（4）敏感数据外传

1、恶意代码检测类方案：

   针对单点攻击突破阶段，检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施。

2、主机应用保护类方案：

   针对单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，加强系统内各主机节点的安全，确保员工个人电脑以及服务器的安全，则可以有效防御APT攻击。

3、网络入侵检测类方案：

   针对控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。研究发现虽然APT攻击所使用的恶意代码变种多且升级频繁，但恶意代码所构建的命令控制通道通信模式并不经常变化。关键难题在于获取各APT攻击手法的命令控制通道的特征。

4、大数据分析检测类方案：

   针对整个APT攻击过程。该类方案是一种网络取证思路，它全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，它可在发现APT攻击的一点蛛丝马迹后，通过全面分析这些海量数据来还原整个APT攻击场景。