什么是高级持续性威胁（APT）？

高级持续性威胁（APT）通常隐藏在后台，收集数据并隐藏自己的活动。这些威胁被那些专制政府或犯罪组织所利用，它们会导致数据泄露、系统崩溃以及经济损失。了解APT的工作原理、不同类型以及应对APT的措施吧。

高级持续性威胁的定义

高级持续性威胁（APT）是一种网络攻击类型。犯罪分子会在目标网络系统中长期潜伏。攻击者利用隐藏在系统中的恶意软件来监控用户的活动，并窃取机密数据。

APT攻击总是经过精心策划和设计的。攻击者必须能够悄无声息地渗透到目标网络中，并植入恶意程序。此外，在攻击过程中，收集到的数据也必须能够避开各种安全防护措施。

由于这些技术上的要求，那些拥有丰富资源且具备高技能的网络犯罪团伙往往会实施高级持续性威胁攻击。他们对企业的网络安全构成巨大威胁，甚至可能导致严重的后果。

• 网站被劫持，以及对企业资产的控制权丧失
• 数据泄露与隐私侵犯
• 侵犯知识产权，并将其出售给竞争对手
• 对数据库及其他关键资源的破坏。

APT攻击的各个阶段

高级持续性威胁攻击过程非常复杂，且需要经过精心策划。这类攻击通常不是凭空产生的，不会依靠偶然的机会来突破目标网络的防御。

APT攻击的阶段通常包括：

1. 渗透网络

APT攻击通常始于对网络的渗透。攻击者必须先突破防火墙和威胁检测系统，才能将恶意软件植入到目标系统中。

大多数攻击都是通过网络钓鱼或类似手段来渗透目标网络的。社会工程学技术APT攻击者会研究网络用户的个人信息，然后制作与他们的职业或私人生活相关的内容。这些精心设计的内容会诱使接收者点击恶意链接或下载被感染的附件。

在某些情况下，攻击者会选择那些价值较高的目标作为攻击对象。这种被称为“鲸鱼式攻击”的社会工程手段，通常能够让攻击者获得更广泛的网络访问权限。拥有更多的访问权限后，攻击者就可以将他们的代理人安排在合适的位置，从而避免被察觉，同时收集更多的数据。

其他例子则利用SQL注入技术来破坏网页表单。内部人员还可以通过物理设备发起攻击。发动攻击的方式有很多，企业必须考虑每一种可能的情况。

2. 传输APT恶意载荷

第二阶段则开始进行数据收集和监控工作。攻击者会在网络中横向移动，寻找用于存储数据的容器以及收集高价值流量的地点。

攻击者还会在可能的情况下收集用户的凭证信息。通常情况下，入侵者会试图逐步攀升到公司的高层管理职位， thereby获得更多的权限。通过收集这些凭证信息，攻击者可以绕过认证系统，从而访问网络中的敏感数据。

在这个阶段，APT攻击者通常会设置后门。这些后门使得攻击者在被检测到之后能够重新启动他们的恶意程序，从而延长APT攻击的持续时间。

3. 数据提取

当准备工作完成后，APT攻击者就会开始收集数据并将其传输到安全的位置。

在这个阶段，攻击者采用隐秘的攻击手段，利用像PowerShell这样的合法工具来收集信息。攻击者还可能使用多态式恶意软件，通过不断改变其结构来避免被检测出来。此外，他们还可以通过隐藏技术，将代理程序隐藏在视频、文档或图片中。

一旦数据被隐藏起来，它就会从高级持续性威胁系统中传输到安全的外部位置。一旦数据离开网络，受害者就无法再访问这些数据了，而攻击者则可以自由地使用这些数据，随心所欲地操作它们。

内部安全团队能够检测到数据提取行为，并立即采取应对措施。不过，APT攻击者可以通过拒绝服务攻击来突破这些防御措施。DDoS攻击会消耗系统资源，同时还会产生“白噪声”，从而分散安全人员的注意力。

有时候，数据提取并不是主要目标。攻击者可能会删除关键数据，以破坏目标企业的运营，或者控制网络基础设施，从而干扰正常的工作流程。

常见的APT攻击方式

存在许多APT攻击手段。如果攻击者使用某种方法失败了，他们很可能会尝试另一种方法。因此，安全策略必须包含针对各种攻击手段的防护措施。

• spear phishing“Spear phishing”是一种利用有针对性的电子邮件来诱导受害者点击链接或下载附件的攻击方式。虚假网站可以通过欺骗性的在线表单来传播恶意软件或获取用户的敏感信息。这些附件会直接将恶意程序传输到目标网络中的设备上。
• 捕鲸捕鲸公司会利用经过仔细筛选的电子邮件、电话记录或面对面会议等资料来锁定目标高管。这些公司还会寻求获得管理账户的权限，从而能够自由地在网络中移动。
• 供应链攻击。犯罪分子利用第三方网络访问手段来传播高级持续性威胁。企业虽然能够保护员工的账户和设备，但却无法有效监控合作伙伴的访问行为。
• 凭证攻击攻击者利用已知的凭证信息来猜测用户的密码。这种攻击方式通常会在员工在不同服务中重复使用相同密码的情况下奏效。
• 浇水坑攻击。在这些攻击中，犯罪分子通常会瞄准公司员工使用的网站。例如，攻击者可以攻陷专业的技术支持论坛。犯罪分子可以直接窃取用户的登录凭据，或者创建类似的虚假网站来收集信息。
• 壮举/成就这些漏洞主要存在于那些需要与公共互联网进行通信的应用程序或操作系统中。如果软件没有及时得到修复且仍然使用过时的版本，那么网络访问就会变得可能，从而为APT攻击者提供了实施攻击的基础。

APT攻击有哪些迹象呢？

安全团队必须了解在识别高级持续性威胁时应该寻找哪些迹象。APT攻击的特点包括：

• 可疑的用户行为。攻击者可能会劫持合法用户的账户，但他们的行为方式会与正常用户的行为有所不同。例如，攻击者可能会在夜间不确定的时间登录系统，或者从不同的地点进行连接。
• 特洛伊病毒检测数量的增加Trojan恶意软件的出现，常常成为APT攻击的典型特征。因为攻击者通常会利用Trojan程序来创建所需的“后门”，从而维持他们的攻击活动。
• 数据整合攻击者可能会在目标网络上的数据上进行处理，以便于数据的转移。安全团队应检查是否存在异常的数据打包行为，并试图找出这些变化的业务上的合理性原因。
• 意外的交通流量增加。网络流量通常是可预测的，数据流量的增加往往有特定的原因。如果数据流量出现无法解释的突然增加，那么就应该触发警报，因为这可能意味着存在高级持续性威胁。
• 关于网络钓鱼行为的疫情报告安全团队还应密切关注网络钓鱼事件。如果用户将许多商业邮件标记为可疑，那么这可能表明存在有组织的APT攻击活动。

高级持续性威胁的示例

最近出现了许多高级持续性威胁的案例。每个此类威胁都有其独特的特征和目标。有些威胁的目的是获取敏感数据或知识产权以进行出售；而另一些则属于政治性破坏行为。

以下是几个著名的案例研究。

• 邪恶的熊猫在2010年代从中国出现的Wicked Panda（或APT41），利用SQL注入技术来攻击目标系统。当这种攻击手段被破解后，攻击者会发送一个被分割后的Cobalt Strike Beacon，然后重新组装该Beacon并开始收集数据。由于这种分割式的Beacon设计，Wicked Panda的攻击方式很难被检测出来，尽管它的出现时间已经很久了。
• 螺旋小猫据推测，Helix Kitten（APT34）属于伊朗组织。该恶意程序利用PowerShell漏洞以及应用程序的后门机制进行攻击，而其主要的入侵途径则是通过钓鱼邮件以及被感染的Microsoft Excel宏文件来实现。这种APT组织主要针对中东地区以及国际机构展开间谍活动，为私人和政府客户提供间谍服务。
• 海洋水牛越南的APT组织“Ocean Buffalo”（APT32）自2012年以来一直活跃于网络攻击活动。该高级持续性威胁组织攻击了包括中国和西方在内的多个目标，其目的既涉及国家间谍活动，也涉及金融领域的利益。与其他被列出的APT组织不同，“Ocean Buffalo”通过Android应用市场上的虚假应用程序来传播自己的恶意软件。
• GhostNet。GhostNet于2009年被首次发现。它最初针对的是西藏地区的组织，通过收集原始数据以及录制音频和视频的方式来实施攻击，从而将APT攻击技术提升到了一个新的水平。自2009年之后，其攻击目标范围不断扩大，最终涵盖了超过100个大使馆。不过不幸的是，在过去的10年里，GhostNet所使用的攻击技术已经发生了迅速的演变。

如何防范APT攻击

APT可以获取您的财务信息、客户资料、知识产权，甚至员工或客户之间的视频对话内容。

阻止和消除APT攻击是所有组织的网络安全工作中的重要任务。幸运的是，安全团队可以通过加强边界防御以及持续扫描潜在威胁来降低持续存在的威胁风险。以下是一些实现这一目标的方法：

保护攻击面

先进的威胁防护措施，始于确保您的攻击入口处的安全性。

强大的密码安全性这一点非常重要。攻击者不应该能够在没有合法凭证的情况下访问网络资源。用户应该定期更改密码，使用强密码，并且永远不要重复使用同一个密码来进行多次登录。

多因素认证在网络边缘增加了更多的安全性。MFA要求每次登录时提供超过两个凭据，包括独特的身份信息或一次性验证码。即使攻击者拥有合法的密码和身份凭证，也无法成功访问系统。

强大的防火墙保护功能它们能够阻止那些可疑的访问请求，同时允许经过授权的流量通过。下一代防火墙则更进一步，能够扫描网络中的恶意软件——其中包括许多与APT攻击相关的恶意程序。

安保团队应当严格执行相关规定。设备姿态检查只有经过批准的设备才能使用网络资源。这包括移动设备和可以远程访问的笔记本电脑。

实施补丁管理政策

许多APT攻击者使用漏洞利用或注入技术来入侵网络。通过减少这些攻击手段带来的风险，可以有效应对这些威胁。定期更新固件以及与互联网相关的应用程序。请尽快安装推荐的操作系统和Web应用程序更新。

监控网络威胁

除了确保网络边缘的安全性之外，各组织还必须……监控网络流量，检测潜在的APT攻击。高级持续性威胁会在后台持续存在很长时间，因此很难被检测到。不过，你可以在情况变得严重之前，及时发现数据提取过程中的早期迹象。

内部网络防火墙以及威胁管理工具跟踪数据流动以及访问请求。他们会监控并记录用户所访问的数据。利用这些来自监控工具的数据来进行分析。检测异常的行为模式以及需要调查的那些区域。

尤其是，应设置自动警报机制来……处理大量数据传输或者，也可以对文件进行批量重新分类。网络中的蜜罐也可能起到作用，因为它们能够吸引恶意行为者的注意。

实施基于角色的访问控制机制

高级持续性威胁只有在提升访问权限的情况下才能成功实施。如果许多用户都拥有管理权限的话，那么提升权限就相对容易；但如果目标系统拥有复杂的权限结构的话，那么提升权限就会变得非常困难。应用/使用 零信任原则以及尽量减少分配给单个用户的权限。.

根据业务角色分配权限，并在必要时实施临时处理措施。对那些不再需要的账户进行审计，以去除这些账户中的无效用户——因为这些账户往往是非法网络入侵的常用途径。

对敏感数据进行加密处理

如果目标网络上的数据能够得到有效加密保护，那么网络犯罪分子可能会放弃发起APT攻击。务必对机密数据进行加密处理，并将其存储在与低价值网络资产分离的安全区域中。此外，还应对远程连接进行加密处理，以避免中间人攻击的发生。

培训工作人员识别网络钓鱼攻击的方法。

最后，请记住，许多APT攻击都是由于社会工程学手段导致的。应教育员工识别可疑的链接、附件以及联系人信息。同时，应建立报告机制，以便向安全团队提供有关网络钓鱼行为的详细信息。此外，还需要定期加强员工的培训，以确保安全体系的有效性。