高级持续性威胁(AdvancedPersistentThreat,APT)最初源于2006年在美国空军(UnitedStatesAirForce,USAF)工作的网络安全工程师对一些安全事件的描述。自2009年12月针对Google公司的极光攻击事件曝光,APT攻击开始被各界熟知。日益频繁的APT攻击导致工业系统被破坏、政府和企业机密情报被窃取、能源企业被攻击、金融系统遭受经济损失。如:针对工业的有2010年7月成功破坏伊朗布什尔核电站设备的震网攻击,导致伊朗核计划延迟;窃取企业机密的有2011年3月RSA公司部分SecurID技术及客户资料被窃取事件,导致很多使用该技术作为认证凭据建立虚拟专用网络(VirtualPrivateNetwork,VPN)的公司受到攻击;针对能源企业的有2011年2月由McAfee公司发现并命名的夜龙攻击,以及2015年12月23日乌克兰伊万诺弗兰科夫斯克地区圣诞大停电事件;针对金融业的有2013年3月20日韩国银行遭遇APT攻击事件,以及2016年孟加拉国央行8100万海外存款失窃事件。APT攻击给传统的检测防御技术带来了巨大挑战,大多数组织都是在发现损失后才意识到遭到APT攻击,同时它也带来了变革和创新,各国政府、信息技术(InformationTechnology,IT)公司和信息安全厂商纷纷开展对APT攻击的研究。
本文详细介绍了APT攻击的攻击过程和检测技术,对APT攻击的进一步研究提供了理论基础的支撑。首先简单介绍了APT攻击,并对其特征进行了归纳;然后对APT攻击的生命周期进行了剖析,详细介绍了APT攻击过程,包括每一阶段的具体任务及常用技术等;最后对传统检测技术进行了总结,介绍了目前APT攻击检测技术,并提出了APT攻击的检测思路。
一、APT 攻击介绍
美国国家标准与技术研究院 ( National Institute of Standards and Technology,NIST) 对 APT 的定义大致如下: APT 攻击是指精通复杂技术的攻击者利用多种攻击手段,借助丰富资源,在目标组织的信息技术基础设施内部建立和扩大立足点,为的是窃取数据(如将数据从内网输送到外网),执行或阻止一项任务、程序,或者潜入对方架构中伺机进行偷 取数据;会在长时间内反复攻击,和防御者维持交互从而能够执行它的命令,并且会应对防御者的反抗而采取相应对策。APT 攻击的主要目的是获取高价值机密信息或者破坏目标系统,是一种网络间谍行为。杜跃进等认为 APT 攻击的 本质是非常有目标的攻击,它并没有固定的方法,APT 攻击不 一定要用社会工程学、零日漏洞、未知恶意代码和加密通信,其本质在于目的非常明确。如果目标系统的安全水平在不断 提高,攻击者便会不断尝试,这时候就体现出了持续性,而为了达到持续进攻,必须隐蔽地行动。APT 攻击的特征可归纳 为以下三点:
针对性———通常针对特定目标的重要价值资产,一般军工、能源、金融、政府最容易遭到 APT 攻击。并且针对收集到的常用软件、常用防御策略与产品、内部网络部署等信息,攻击者能编写可以绕过目标系统现有防护体系检查的攻击代码。
持续性———为了长期控制重要目标获取更多利益,攻击者通过隐藏实现长期潜伏,同时攻击处于动态发展以应对新的系统漏洞及防御体系的更新,并通过外部被控制的命令与控制(Command and Control,C&C)服务器与目标系统保持通信以及传输数据。
隐蔽性———为了避免被安全防护系统检测到,APT 攻击代码的编写者使用了各种伪装、隐藏手段,通过修改系统程序,隐藏病毒进程、隐藏文件、隐藏目录的方式实现长期潜伏;通过对恶意程序压缩、加密、变体及加壳等技术手段降低其被检测到的概率;运用动态域名解析实现 C&C 服务器的隐藏与长期生存;通过合法的加密数据通道、加密技术或信息隐藏技术隐蔽地传输数据。
二、APT 攻击的生命周期
APT 攻击者常利用社会工程学、使用复杂精密的攻击工具、具有开发高级恶意代码的技术,在发动攻击前通常会花很长时间收集目标情报,然后制定周密、详细的攻击计划,在成功入侵之后,通常会通过加密通道与目标系统保持通信,对其进行长期的控制,目的是窃取特定组织的重要信息资产及机密信息(如知识产权、贸易机密、合作计划等)、获取其他重要数据的访问权限和操纵权,或对其信息系统造成破坏。
虽然每一起 APT 攻击事件都有自己具体的行动策略,但总体来说,都是 APT 生命周期循环的体现。APT 生命周期包括定向情报收集、代码投递、初次入侵、C&C 通信、横向攻击、数据回传六个阶段,如图 1 所示。
…………………
APT 攻击详解与检测技术 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/EeHpYPgYZHd 提取码: bt45
cialis and priligy Other types of drugs can also reduce the therapeutic benefits of pregabalin in treating seizure disorders, requiring therapies to be monitored and possibly adjusted
2024-11-8 09:34:50 Google Chrome 125 Windows 10how can i get cytotec prices Krishnamoorthy M, Nadler E, Vaidya S
2024-11-28 19:03:33 Google Chrome 124 Windows 10