注册
登录
| 关键词: 攻击 攻击者 目标 网络 系统 持续 APT 模型 哈希 权限 |
高级可持续威胁(Advanced Persistent Threat,APT),也称为“APT攻击”,逐渐进入公众的视野。研究者目前认为APT攻击的概念是由美国空军安全分析师于2006年提出的,是指由掌握丰富攻击资源的、有组织的专业攻击者发起的,针对经济、政治和国家安全相关的重要目标,利用先进的攻击技术和理念开展的隐蔽的和持续的攻击过程。 APT攻击有三个特点:
传统的攻击检测方法很难检测出APT攻击,研究者针对这一问题进行了研究,提出了一系列APT攻击检测的模型、技术和方法,本系列文章将相关的内容进行汇总、分析和整理,为读者提供参考。  Mandiant公司是较早开展APT攻击检测安全咨询公司,该公司后来被FireEye公司(火眼公司)收购。Mandiant公司在2010年发布的《M-Trends: The Advanced Persistent Threat》报告中对APT攻击进行了定义,并提出了“漏洞利用周期”的概念(Exploitation Cycle),后来对此概念进行细化,又在APT1报告中提出了“网络攻击生命周期模型”(Cyber Attack Lifecycle),利用这个模型分析了一些列APT攻击组织,并发布了一系列APT报告。 Mandiant认为,APT是掌握先进攻击技术、具有坚定的攻击意志和高度的组织协调能力的攻击组织,这些攻击组织多年来对美国政府和商业组织计算机网络进行了持续和系统性的攻击活动。可以看出,其将APT定义为攻击组织,但是限定为攻击美国政府和商业组织发动攻击的才称之为APT,没有得到广泛的认可。有些研究者甚至认为是Mandiant最先提出了APT的概念,但目前主流的研究者更接受本文开头提出的概念和说法。 Mandiant早在2010年就提出了漏洞利用周期的概念,在洛克希德马丁提出网络攻击链的论文中对其进行了引用,但是该模型不太成熟,直到2013年的APT1报告中,才提出的一个描述复杂网络攻击过程的模型,将其命名为“网络攻击生命周期模型”,其基本过程如下图所示:  图2 网络攻击生命周期模型 初步侦查:对目标进行初步研究,确定目标(系统和人员),并确定攻击方法,主要包括寻找系统中连接Internet的服务或人员信息。 初步攻击:攻击者成功地在目标组织内的一个或多个系统上执行恶意代码。这可能是通过社会工程学(鱼叉式邮件钓鱼攻击),也可能通过利用连接Internet的系统上存在的漏洞或者通过其他方式进行攻击。 建立立足点:攻击者对初步攻击中攻下的目标系统保持控制权。在初步攻击之后立即进入此阶段,通常攻击者通过安装永久性后门、将具有远程控制功能的恶意软件下载到攻下的目标系统来建立立足点。 权限提升:攻击者获得对系统和数据的更大的访问权限。攻击者可以通过密码哈希值的转储来提升权限(随后实现密码破解或哈希攻击)、通过键盘记录程序记录登陆凭证、窃取PKI证书、利用某些应用程序拥有的特权或通过漏洞利用等方式提升权限。 内部侦查:攻击者探测目标组织的内部网络环境,从而更详细的了解其网络环境、关键人物的角色和责任等信息,并确定目标组织在何处存储和处理敏感信息。 横向拓展:攻击者使用其访问权限在受感染的环境中从一个系统拓展到另一个系统。常见的横向拓展方法包括访问共享网络、使用Windows任务计划执行程序、使用远程访问工具(如PsExec)或使用远程桌面客户端(如远程桌面协议RDP、DameWare或虚拟网络计算VNC)来访问其他系统、使用图形化用户界面与目标系统进行交互等。 持续控制:攻击者确保能够持续访问目标网络。为了能够持续访问和控制目标网络,攻击者通常会安装多种(或多个变种)的恶意软件或者后门,或者通过访问目标内部的虚拟专用网VPN实现远程访问功能。 目标达成:攻击者达成其攻击目标。攻击目标一般包括窃取知识产权、财务数据、并购信息或者个人身份信息,任务完成后,大多数攻击者不会离开目标网络,而是保持访问权限,以便可以完成新的任务。 |
| 本文出处: https://www.toutiao.com/a6763056320057704968/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
