APT攻击是什么?
APT(Advancepersistthreat)是一种周期长、隐蔽性强的攻击模式,具有高级的持续性威胁。攻击者精心策划,在目标网络中潜伏很长时间,收集各种攻击目标信息,如业务流程、系统运行状态等,伺机攻击,窃取目标核心信息。攻击和被攻击者大多是政府、企业和其他组织,通常是为了窃取商业秘密,破坏竞争,甚至是为了国家之间的网络战这些商业或政治动机。
2010年6月,伊朗核电设施检测到了一种新型、复杂和特殊的网络攻击病毒-震网病毒,揭开了多年来国家关键信息基础设施被黑客攻击的谜团。震网病毒是一个典型的APT例子。
A、P、T三个首字母可以解释APT的特征。
A:Advanced(先进)APT攻击比普通的黑客攻击要好得多。业务流程、系统运行、系统安全机制、硬件和软件使用、停机维护时间等等,通常在攻击前花费大量时间收集情报。
P传统黑客攻击不同的是,传统黑客攻击通常持续数小时或数天,而APT攻击通常以年为单位,潜伏期可能需要一年甚至更长时间。
t:threat(威胁)APT攻击针对的是目的非常明确的特定对象,大部分是大型企业或政府组织,通常是为了获取敏感信息,但对攻击者是一个巨大的威胁。
通常包括以下过程,APT攻击生命周期长:
(1)攻击目标的确定。
(2)试图侵入目标(例如发送钓鱼邮件)的系统环境。
(3)收集有关目标信息。
(4)访问目标网络时使用入侵系统。
(5)实现目标攻击所需的特定工具的部署。
(6)攻击痕迹隐藏。
攻击危害02APT。
中国是受APT攻击打击最严重的地区。最严重的是北京、广州和其他地方。攻击目标主要是科研、教育、政府机构和能源企业。APT攻击还包括关键的信息基础设施,如军事系统、工业系统、商业系统、航空航天系统础设施。
主要体现在以下两个方面,APT攻击的危害极大。
首先,APT攻击通常会窃取目标的敏感信息和机密信息。它利用最先进的网络技术和社会工程等方法,一步一步地入侵目标系统,不断地收集目标的敏感信息。同时,APT攻击具有很好的隐蔽性,窃取敏感数据的过程通常是长期的,攻击过程甚至可以持续多年。一旦发现APT攻击病毒,其目标往往已成功入侵。
第二,APT攻击的目标影响很大。APT攻击的发起者一般是政府组织或大型企业,攻击目标也是同类对象。攻击主要针对关系国计民生或国家核心利益的网络基础设施或相关领域的大型企业,包括能源、电力、金融、国防等国家重要基础设施和组织。因此,APT攻击的后果和影响通常很大,伊朗地震网络病毒就是一个典型的例子。
攻击手段是03APTPT。
实际上,APT并没有把重点放在新攻击手法上,更像是网络攻击的活动。它并不是单一类型的威胁,而是一个威胁的过程。所以,APT是长期、多阶段的攻击,下面介绍几种常用的攻击手法。
1.(WateringHole)水坑攻击
水坑攻击,顾名思义,就是在你每天的必经之路上挖几个坑,等你踩上去。水坑攻击是APT的常用手段之一,通常以低安全目标的攻击接近高安全目标。攻击者会在攻击前收集大量目标信息,分析其网络活动规律,寻找其经常访问的网站弱点,提前攻击该网站,等待目标访问并等待攻击的机会。由于目标使用的系统环境多样化,存在许多漏洞(如Flash、JRE、IE等),水坑攻击更容易成功,而且水坑攻击的隐蔽性更好,不容易找到。水坑攻击的一般过程如图1所示。
图1水坑攻击一般过程。
