一般来说,传统的木马病毒攻击采用的是 “广撒网”的方式,他们更加在意这张“网”的范围有多大,而很少在意哪些具体的鱼会被捕上来。与传统的网络威胁不同,APT攻击十分狡猾,彻底颠覆了我们对木马病毒、黑客攻击的认识。
如何抓住狐狸的尾巴?
黑客发动APT攻击,往往会精心选择隐匿行踪的技巧,通过有组织的行动将攻击分散开来,以躲避查杀。此外,黑客一旦进入到企业内部网络,多数会采用深度潜伏的方式。这些特点,让我们很难发现遭遇APT攻击,但狡猾的狐狸终究会露出尾巴。
要抓狐狸,就要了解它的习性。APT攻击共有6个阶段,这包括:情报收集、单点突破、命令与控制(C&C 通信)、横向移动、资产/资料发掘、资料窃取。在一些受雇佣的黑客队伍中,常常分工明确,不同阶段甚至会有不同的黑客负责完成。这虽然增加了企业防御APT攻击的难度,但如果熟悉每个阶段的攻击特征,就可以做到有的放矢。
发现APT攻击者在企业内部的藏身之处有一定的难度,但不是说企业就束手无策。企业用户要实现APT攻击的有效治理,最佳方案就是根据这6个阶段建立一一对应的抑制点。不仅需要在‘单点突破’这个阶段利用沙箱技术发现恶意代码,发现‘横向移动’阶段中的黑客扫描流量也很重要。沿用传统设备的“单兵作战”势必无法与黑客团体抗衡。
APT攻击“简化版”—— 勒索软件
如今,很多政府机构和全球化企业在安全控管上都投入了巨大的人力和物力,但是APT攻击仍然渗透进这些组织,并且,许多黑客团体将这种进攻方案变得更加“简单粗暴”。
一种非常简易的APT攻击已经开始大规模泛滥,这就是加密勒索软件。它具备APT攻击第2个阶段的典型特征,即利用社交工程邮件突破企业边界防护,进而控制企业的终端和服务器,最终获取并加密核心数据,恐吓勒索用户。所以说,表面看起来只是企业员工感染了勒索软件,但其实还是笼罩在APT攻击之下。
| 
发表于 2017-3-21 17:56:31
收藏
|