什么是APT攻击以及如何阻止它？

高级持续性威胁 (APT) 是公司可能面临的最危险的网络威胁之一。这些攻击很难检测到，并且允许入侵者在网络中隐藏数月之久。当黑客留在系统中时，公司会在不知道问题原因的情况下经常遭受数据丢失和中断。本文是对APT 攻击的介绍。我们解释什么是 APT，教授如何识别感染迹象，并展示为此类攻击做准备的方法。

什么是 APT 攻击？

高级持续性威胁 (APT) 是一种网络攻击，其中入侵者在网络中获得并保持长期存在。APT 攻击的后果是巨大的，包括：

•  数据和知识产权的丢失。
• 基础设施破坏。
• 服务中断。
• 总网站收购。

APT 是多阶段攻击，需要数周才能建立并持续数月甚至数年。 APT在四个关键方面不同于 常见的网络攻击：

• APT 比通常的在线威胁更复杂。攻击需要全职团队在目标网络中保持隐藏的存在。
• APT 不是肇事逃逸攻击。一旦黑客访问网络，他们的目标就是尽可能长时间地留在内部。
• APT 主要是不依赖自动化的手动攻击。
• APT 不会对大量目标构成威胁。攻击针对特定公司，因此每次违规都有一个仅适合目标防御的自定义计划。

APT 攻击需要大量的努力和资源。黑客通常会攻击高价值目标，例如企业和公司。然而，APT 攻击者经常针对大型组织供应链中的小公司。黑客使用防御较少的公司作为切入点，因此各种规模的企业都必须知道如何识别 APT 攻击。

APT 攻击的主要目标是什么？

APT 攻击的目标是在不警告系统的情况下闯入网络，并在内部花费足够的时间窃取数据。所有有价值的数据都是 APT 的潜在目标，包括：

• 知识产权。
• 用户 PII。
• 分类数据。
• 基础设施数据。
• 访问凭据。
• 敏感的通信。

除了窃取数据，APT 的目标还可以包括破坏基础设施、破坏单个系统或完成站点接管。每次攻击都有其独特的目的，但目标始终是数据泄露、间谍活动和破坏活动的混合。

APT 攻击检测：APT 攻击的迹象是什么？

APT 黑客使用高级方法来隐藏他们的活动，但某些系统异常可能表明攻击正在进行中。

意外登录

被盗登录凭据是 APT 攻击者获得网络访问权限的主要方式之一。在奇数时间频繁登录服务器可能表明正在进行 APT 攻击。黑客可能在不同的时区工作或在夜间工作以减少被发现的机会。

后门木马增加

如果工具检测到比平常更多的后门木马，则可能是 APT 攻击。APT 攻击者使用后门木马来确保在登录凭据发生更改时继续访问。

鱼叉式网络钓鱼电子邮件

鱼叉式网络钓鱼电子邮件是潜在 APT 的明显标志。黑客可能会将这些电子邮件发送给高层管理人员，以期获得受限数据。

数据包

APT 攻击者经常将他们想要窃取的数据复制并存储到网络中的另一个位置。一旦隔离并捆绑在一起，这些文件就成为更容易传输的目标。攻击者将捆绑包放置在团队通常不存储数据的地方。定期扫描和检查任何放错位置或异常的数据文件。

奇怪的数据库活动

奇怪的数据库活动可能是 APT 的一个指标。留意涉及大量数据的数据库操作的突然增加。

管理员帐户的可疑行为

记下管理员帐户行为的任何变化。APT 黑客依靠管理员权限在网络中横向移动并感染更大的表面。与陌生父母创建新帐户也是潜在 APT 的标志。

APT 攻击生命周期：APT 攻击的 4 个阶段

APT 攻击涉及多个阶段和多种攻击技术。典型的攻击有四个阶段： 计划、渗透、扩展和执行。

第一阶段：规划

每个 APT 项目都需要针对如何击败目标的保护系统的定制计划。黑客必须在计划阶段执行以下步骤：

• 定义操作的目标和目标。
• 确定必要的技能并雇用团队成员。
• 为工作寻找（或创造）合适的工具。
• 了解目标架构、访问控制以及所有硬件和软件解决方案。
• 定义如何最好地设计攻击。

一旦他们收集了所有信息，攻击者就会部署一个小版本的软件。该侦察程序有助于测试警报和识别系统薄弱环节。

第二阶段：渗透

攻击者获得对网络的访问权。渗透通常通过三个攻击面之一发生：

• 网络资产。
• 网络资源。
• 授权的人类用户。

为了获得初始访问权限，APT 黑客使用各种攻击方法，包括：

• 零日漏洞的高级利用 。
• 社会工程技术。
• 高目标鱼叉式网络钓鱼。
• 远程文件包含 (RFI)。
• RFI 或 SQL 注入。
• 跨站点脚本 (XSS)。
• 物理恶意软件感染。
• 利用应用程序的弱点（尤其是零日漏洞）。
• 域名系统 (DNS) 隧道。

渗透期间的常用策略是同时发起 DDoS 攻击。DDoS 分散了工作人员的注意力并削弱了边界，从而更容易破坏网络。一旦他们获得初始访问权限，攻击者就会迅速安装一个后门恶意软件，该恶意软件授予网络访问权限并允许远程操作。

第三阶段：扩张

在他们建立立足点后，攻击者会扩大他们在网络中的存在。扩展涉及向上移动用户层次结构并损害有权访问有价值数据的员工。 蛮力攻击是此阶段的常用策略。

恶意软件对 APT 至关重要，因为它允许黑客在不被发现的情况下保持访问。该恶意软件帮助攻击者：

• 从系统控制中隐藏。
• 在网段之间导航 。
• 收集敏感数据。
• 监控网络活动。
• 检测新的入口点，以防现有入口点无法访问。

在这个阶段，攻击者拥有可靠且长期的网络访问权限。安全控制没有意识到危险，入侵者可以开始完成攻击目标。如果目标是窃取数据，攻击者会将信息打包存储，然后将它们隐藏在网络中流量很少或没有流量的部分。

第 4 阶段：执行

一旦他们收集到足够的数据，窃贼就会尝试提取信息。一种典型的提取策略是使用白噪声来分散安全团队的注意力。数据传输发生在网络人员和系统防御忙碌时。

APT 团队通常会尝试在不泄露其存在的情况下完成提取。攻击者通常在退出系统后留下后门，目的是在未来再次访问系统。

如果 APT 攻击的目标是破坏系统，则执行阶段的表现会有所不同。黑客巧妙地控制了关键功能并操纵它们造成损害。例如，攻击者可以破坏整个数据库，然后中断通信以阻止灾难恢复服务。

同样，目标是在不让安全团队发现入侵者的情况下造成破坏。这种隐身方法允许重复攻击。

如何防止 APT 攻击

防病毒程序等标准安全措施无法有效保护公司免受 APT 攻击。APT 检测和保护需要网络管理员、安全团队和所有用户之间的各种防御策略和协作。

监控流量

监控流量对于以下方面至关重要：

• 防止后门设置。
• 阻止被盗数据提取。
• 识别可疑用户。

检查网络边界内外的流量有助于检测任何异常行为。网络边缘的 Web 应用程序防火墙 (WAF) 应过滤到服务器的所有流量。WAF 可防止应用层攻击，例如 RFI 和 SQL 注入，这是 APT 渗透阶段的两种常见攻击。

内部流量监控也很重要。网络 防火墙 提供用户交互概览，并帮助识别不规则登录或奇怪的数据传输。内部监控还允许企业在检测和删除后门外壳的同时监视文件共享和系统蜜罐。

白名单域和应用程序

白名单是一种控制可以从网络访问哪些域和应用程序的方法。白名单通过最小化攻击面的数量来降低 APT 成功率。要使白名单生效，团队必须仔细选择可接受的域和应用程序。严格的更新策略也是必要的，因为您必须确保用户始终运行所有应用程序的最新版本。

建立严格的访问控制

员工通常是安全边界中最脆弱的点。APT 入侵者经常试图将员工变成一个简单的网关来绕过防御。保护企业免受恶意内部人员侵害的最佳方法  是依靠零信任政策。 零信任安全限制了每个帐户的访问级别，仅授予用户执行工作所需的资源的访问权限。

在零信任环境中，受损帐户会限制入侵者在网络中移动的能力。另一个有用的安全措施是使用双因素身份验证 (2FA)。2FA 要求用户在访问网络的敏感区域时提供第二种形式的验证。每个资源上的附加安全层可以减慢入侵者在系统中的移动速度。

使安全补丁保持最新

保持补丁更新对于防止 APT 攻击至关重要。确保网络软件具有最新的安全更新可减少出现弱点和兼容性问题的机会。

防止网络钓鱼尝试

网络钓鱼欺诈是 APT 攻击的常见切入点。培训员工识别网络钓鱼企图，并教他们在遇到网络钓鱼企图时该怎么做。电子邮件过滤有助于防止网络钓鱼攻击的成功率。过滤和阻止电子邮件中的恶意链接或附件可以阻止渗透尝试。

定期扫描后门程序

APT 黑客在获得非法访问权限后，会在整个网络中留下后门。扫描和删除后门是阻止当前和防止未来 APT 尝试的有效方法。

专家建议寻找：

• 建立网络连接的命令外壳（WMI、CMD 和 PowerShell）。
• 非管理员系统上的远程服务器或网络管理工具。
• 调用新进程或生成命令 shell 的 Microsoft Office 文档、Flash 或 Java 事件。

请记住扫描端点设备以查找后门和其他恶意软件。APT 攻击通常涉及对端点设备的接管，因此检测和响应入侵是当务之急。

了解 APT 的重要性并为攻击做好准备

APT 攻击的后果可能是极端的。丢失数据和声誉几乎是一种保证，因此请尽一切努力防止攻击。幸运的是，现在您知道 APT 是什么以及如何识别它，因此您已准备好加强和保护您的工作负载。