深入解析高级持续性威胁(APT):攻击技术与防御策略

本文详细介绍了高级持续性威胁(APT)的定义、攻击技术、动机与目标、攻击阶段、经典案例、特征及检测与防御措施,帮助读者全面理解APT攻击的复杂性和应对策略。

什么是高级持续性威胁(APT)?

高级持续性威胁(APT)是一种长期且有针对性的网络攻击,入侵者获取网络访问权限并在较长时间内保持未被检测状态。APT攻击通常由国家发起,旨在窃取高度敏感数据而非破坏目标组织的网络。大多数APT攻击的目标是实现并维持对目标网络的持续访问,而非快速进出。

与勒索软件即服务(Ransomware as a Service)等其他网络攻击不同,APT通过周密计划手动执行。由于APT攻击需要大量努力和资源,威胁行为者通常选择高价值目标(如大型组织)进行长期信息窃取。因此,APT攻击通常由资金充足的国家支持犯罪集团而非个人黑客策划。

APT是高度定制化的攻击,具有明确目标、高级漏洞利用和更高的人工控制可能性。它们比其他类型的网络攻击更长时间保持未被检测。事实上,APT的驻留时间或持续时间通常以周或月计。

APT攻击中使用的技术

为了获取访问权限,APT组织通常使用各种高级攻击方法,包括社会工程学技术。为了维持对目标网络的访问而不被发现,威胁行为者不断重写恶意代码以避免检测,并使用其他复杂的规避技术。事实上,一些APT如此复杂,需要全职管理员维护目标网络中受感染的系统和软件。

APT攻击中常用的技术包括:

  • 鱼叉式网络钓鱼(Spear phishing):APT行为者通常使用高度针对性的鱼叉式网络钓鱼电子邮件,欺骗人们泄露个人信息或点击有害链接,从而在其系统中执行恶意代码。这些电子邮件经过巧妙编写,看起来真实且针对收件人定制。
  • 零日漏洞利用(Zero-day exploits):APT行为者经常利用软件或硬件中最近发现但尚未修补的零日漏洞。通过在漏洞被解决之前利用它们,威胁行为者可以轻松获得对目标系统的未经授权访问。
  • 水坑攻击(Watering hole attacks):APT行为者使用水坑攻击来入侵其特定目标经常访问的网站。通过向这些网站注入恶意代码,他们可以感染毫无戒心的访问者的系统。
  • 供应链攻击(Supply chain attacks):供应链网络攻击针对特定组织的供应链,在软件或硬件到达预期接收者之前进行破坏。这使得APT行为者能够访问受害者的网络。
  • 凭据盗窃(Credential theft):APT行为者使用键盘记录、密码破解和凭据网络钓鱼等方法获取登录凭据。一旦获得合法凭据,他们就可以横向移动网络并访问敏感信息。
  • 命令与控制服务器(Command-and-control servers):使用C&C服务器,APT在被黑客入侵的系统与其网络之间创建通信路由。这使得攻击者能够维持对受感染网络的控制并窃取数据。
  • 规避策略(Evasion strategies):为了避免被安全系统发现,APT攻击者通常使用合法工具和流程、代码混淆和反分析措施来隐藏其操作。
  • 无文件攻击(Living off the land):在这种方法中,攻击者依靠使用现有的无文件恶意软件和受信任的应用程序来执行命令并隐藏恶意活动,而不是使用侵入性和直接的恶意软件部署。这些战略性攻击通常混入正常活动而不被检测。

APT攻击的主要动机和目标

高级持续性威胁行为者的动机各不相同。例如,国家支持的网络威胁可能针对知识产权(IP)或机密数据,以在某些行业获得竞争优势。其他目标行业通常包括配电和电信公用事业或其他基础设施系统、社交媒体、媒体组织、金融组织、高科技和政府机构。有组织犯罪集团赞助高级持续性威胁以获取可用于实施犯罪行为以获取经济利益的信息。

尽管APT攻击难以识别,但数据盗窃从未完全不可检测。意识到数据已被窃取可能是组织发现其网络受到攻击的唯一线索。网络安全专业人员通常专注于检测出站数据中的异常,以查看网络是否已成为APT攻击的目标。

APT攻击的阶段

APT通常包括以下五个阶段:

  1. 妥协(Compromise):远程攻击者直接配置恶意软件,以便他们可以提供更新或新的有效负载。
  2. 进程注入(Process injection):威胁行为者将自己附加到系统内存中运行的现有应用程序或进程。
  3. 隐藏(Cloaking):威胁行为者尝试对主机计算机的影响尽可能小,同时提取他们需要的内容。
  4. 数据窃取(Exfiltration):攻击者将数据发送回C&C服务器。
  5. 重新激活(Reignition):为了保持操作,APT必须在系统重新启动后或系统管理员尝试删除它时重新启动。

攻击者按照典型的APT攻击生命周期采取以下顺序行动,以获取并维持对目标的持续访问:

  1. 获取访问权限:APT组织通过互联网获取对目标网络的访问权限。通常,他们通过鱼叉式网络钓鱼电子邮件向目标插入恶意软件或利用应用程序漏洞来实现这一点。
  2. 建立立足点:在获得对目标的访问权限后,威胁行为者使用其访问权限进行进一步侦察。他们使用已安装的恶意软件创建后门和隧道网络,以便 unnoticed 移动。
  3. 掩盖痕迹:APT通常使用高级恶意软件技术,如代码重写,以掩盖其痕迹并逃避检测。
  4. 获得更大访问权限:一旦进入目标网络,APT行为者使用密码破解等方法获得管理权限。这使他们能够更好地控制系统并获得更深层次的访问权限。
  5. 横向移动:一旦威胁行为者侵入其目标系统并获得管理员权限,他们就可以随意在企业网络中移动。他们还可以尝试访问其他服务器和网络的安全区域。
  6. 准备攻击:黑客集中、加密和压缩数据,以便可以窃取。
  7. 窃取数据:攻击者收集数据并将其传输到他们的系统。
  8. 保持未被检测:网络犯罪分子将长时间重复此过程,直到被检测,或者他们可以创建后门以便以后再次访问系统。

APT攻击通常遵循这些一般步骤,目标是持续窃取信息同时保持未被检测。

高级持续性威胁的示例

APT通常由发现它们的组织分配名称,尽管许多高级持续性威胁攻击已被多个研究人员发现,因此一些APT以多个名称闻名。

APT自2000年代初被检测到,其历史可追溯至2003年,当时中国黑客针对美国政府目标运行“Titan Rain”活动以窃取敏感国家机密。攻击者针对军事数据,并对美国政府机构的高端系统发起APT攻击,包括国家航空航天局和联邦调查局。安全分析师指出中国人民解放軍是这些攻击的来源。

APT示例包括:

  • Lazarus Group:这个朝鲜国家支持的APT自2009年以来一直活跃。它可能对2017年的WannaCry、2022年的Harmony Horizon桥加密货币盗窃以及2024年和2025年的一系列软件供应链攻击负责。
  • Gelsemium:这个与中国结盟的APT在2022年至2023年间针对东南亚政府进行了六个月的攻击。负责的网络间谍组织自2014年以来一直运作。它最初通过安装Web shell进行基本侦察来利用其目标。
  • APT41:这个APT使用恶意软件(包括数字签名的内核级rootkit)针对技术和制造公司的专有信息。这个与中国国家有关的组织,也称为Winnti,从至少2019年到2021年针对东亚、西欧和北美的公司。
  • APT37:也称为Reaper、ScarCruft和Group123,这个与朝鲜有关的高级持续性威胁据信起源于2012年左右。APT37与利用Adobe Flash零日漏洞的鱼叉式网络钓鱼攻击有关。
  • APT34:这个与伊朗有关的高级持续性威胁组织于2017年被FireEye(现为Trellix)的研究人员识别,但自至少2014年以来一直活跃。该威胁组织针对中东的公司,最近攻击了金融、政府、能源、化学和电信公司。
  • APT32:这个越南APT组织——也称为OceanLotus、SeaLotus和Cobalt Kitty——自至少2014年以来一直活跃。它专注于东南亚的组织,特别是那些与该地区政治或经济有联系的组织。APT32参与了间谍活动,领导针对私营部门公司、媒体机构和政府机构的运动。
  • APT29:俄罗斯高级持续性威胁组织APT29,也称为Cozy Bear,与多次攻击有关,包括2015年对五角大楼的鱼叉式网络钓鱼攻击,以及2016年对民主党全国委员会的攻击。
  • APT28:Trend Micro研究人员于2014年识别了APT28,这个俄罗斯高级持续性威胁组织也称为Fancy Bear、Pawn Storm、Sofacy Group和Sednit Gang。APT28与针对东欧军事和政府目标的攻击有关,包括乌克兰和格鲁吉亚,以及针对北大西洋公约组织和美国国防承包商的运动。
  • Sykipot APT恶意软件家族:这个恶意软件利用Adobe Reader和Acrobat中的缺陷。它在2006年被检测到,据报道进一步攻击持续到2013年。威胁行为者使用Sykipot恶意软件家族作为一系列长期网络攻击的一部分,主要针对美国和英国组织。黑客使用鱼叉式网络钓鱼攻击,包括包含零日漏洞利用的链接和恶意附件在目标电子邮件中。
  • GhostNet网络间谍操作:这个漏洞利用于2009年发现,从中国使用包含恶意附件的鱼叉式网络钓鱼电子邮件执行。攻击破坏了100多个国家的计算机。攻击者专注于获取政府部长和大使馆的网络设备的访问权限。这些攻击使黑客能够控制这些受感染的设备,通过远程打开其摄像头和音频录制功能将它们变成监听和录制设备。
  • Stuxnet蠕虫:这个用于攻击伊朗核计划的漏洞利用于2010年被网络安全研究人员检测到。尽管Stuxnet今天不被视为网络安全威胁,但它仍被认为是有史以来检测到的最复杂的恶意软件之一。该恶意软件针对西门子SCADA(监控和数据采集)系统,并通过受感染的USB设备传播。美国和以色列都与Stuxnet的开发有关。尽管两国均未正式承认其在开发中的作用,但已有非官方确认这些国家对Stuxnet负责。

高级持续性威胁的特征

高级持续性威胁通常表现出某些特征,反映了入侵高价值目标所需的高度协调。

APT的常见特征包括:

  • 顺序性:大多数APT分多个阶段执行,反映了相同的基本序列:获取访问权限、维持和扩展访问权限,并尝试在目标网络中保持未被检测,直到攻击目标完成。
  • 多个妥协点:高级持续性威胁还以其专注于建立多个妥协点而区分。它们通常尝试建立多个进入目标网络的入口点。这使得它们即使恶意活动被发现并触发事件响应,网络安全防御者关闭一个妥协点,也能保留访问权限。
  • 具体目标和目的:APT有具体的目标和动机,这可能因涉及的行为者而异。这些目标可能涉及进行间谍活动、影响政治进程或窃取机密信息、财务数据或IP。它们还可能涉及干扰业务运营。
  • 延长的时间框架:虽然传统网络攻击(如勒索软件)通常在相对较短的时间框架内展开,最多持续数天或数周,但APT攻击可以持续数月甚至数年。
  • 协调和资源充足:APT经常由具有强大组织和财务能力的威胁行为者执行,如国家支持的有组织犯罪团伙或高度熟练的黑客团体。他们可以创建独特工具、进行深入侦察并计划复杂攻击。
  • 执行成本高:APT的创建和传播可能花费数百万美元。大型、资金充足的公司和网络犯罪集团经常选择使用APT攻击,因为它们是财务要求最高的网络犯罪类型。
  • 冗余入口点:一旦APT渗透网络,它通常建立与其家庭服务器的多个连接, enabling 潜在部署额外恶意软件。这种策略确保冗余入口点,减轻网络管理员关闭的风险。
  • 使用合法工具:APT通常使用本机系统工具来逃避检测。这种方法也称为无文件攻击(living off the land),使威胁行为者能够混入正常系统活动,避免安全警报。

检测高级持续性威胁

高级持续性威胁有某些警告 signs,尽管通常难以检测。组织在成为APT目标后可能会注意到某些症状,包括:

  • 用户账户上的异常活动。
  • 广泛使用后门特洛伊木马恶意软件,这是一种使APT能够维持访问权限的方法。
  • 奇怪或不典型的数据库活动,例如涉及大量数据的数据库操作突然增加。
  • 针对性鱼叉式网络钓鱼尝试突然增加。
  • 异常数据文件或大块文件出现在异常位置,这可能表明数据已被捆绑到文件中,准备导出以协助窃取过程。

如果网络监控系统识别出已安装的恶意软件尝试连接到其C&C系统,APT也可以被检测到。

检测出站数据中的异常可能是网络安全专业人员确定网络是否已成为APT攻击目标的最佳方式。专注于解决网络杀伤链每个阶段的控制同样可以提供早期检测的机会。

APT安全措施

防御APT攻击是困难的。它们经常成功,因为检测它们的平均时间通常以月计。

为了避免和减轻APT,安全团队必须制定全面的安全策略。防御APT的关键安全措施包括:

  • 修补网络软件和操作系统(OS)漏洞:尽快修补网络软件和OS中的漏洞有助于防止攻击者利用已知弱点。
  • 保护远程连接:加密通过阻止潜在入侵者利用这些连接来防止对站点的未经授权访问。使用多因素认证、虚拟专用网络和零信任网络访问。
  • 过滤传入电子邮件:过滤传入电子邮件是防止网络上的垃圾邮件和网络钓鱼攻击的关键步骤,因为它防止可疑电子邮件通过。
  • 安全事件及时记录:安全事件发生后立即记录可以改进允许列表和其他安全策略。
  • 实时流量监控:公司应监控其网络边界内的入站和出站流量,以防止后门安装和窃取数据的提取。
  • 设置Web应用程序防火墙:在网络端点和边缘网络上安装Web应用程序防火墙可以帮助保护Web服务器和Web应用程序免受渗透。
  • 实施威胁狩猎软件:主动工具,如威胁狩猎软件,可以通过持续监控任何妥协迹象和可疑网络行为来帮助检测隐藏的APT活动。

企业IT必须保持警惕,以保护其数据和网络免受复杂和不断演变的网络威胁。学习识别和防止IT团队面临的主要安全威胁。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次