APT(Advanced Persistent Threat,APT攻击)

APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

APT攻击有以下3个特点:

隐蔽性:攻击者通常潜伏在目标网络中进行数月甚至更长时间,收集用户信息,掌握攻击目标的情况。

目标专一:在彻底掌握目标的精确信息后,寻找系统或者软件的漏洞,构造专门代码,对锁定的目标发送恶意链接、邮件等程序,攻击时只针对一个目标,这一点和以前遇到的蠕虫病毒不同。

持续性:在不被察觉的情况下,攻击者会不断尝试各种攻击手段,甚至被阻断后,还会采用全新的方式再次发起攻击。

典型的APT攻击主要包括下列5个阶段:

1. 情报收集:攻击者有针对性地搜集特定组织的网络系统和人员信息。

2. 攻击突破:攻击者在收集了足够的情报信息之后,开始采用恶意代码、漏洞攻击等方式攻击组织目标的终端设备。

3. 控制通道:攻击者在控制终端设备之后,会创建从被控终端到控制服务器之间的命令控制通道,以获得进一步攻击指令,在维护该通道正常访问的基础上,还要不断提升访问权限,以获取更大的系统操作权限。

4. 内部渗透:攻击者会优先攻陷普通PC(防御体系最差),作为攻击跳板,利用口令窃听和漏洞攻击等方法,在系统内部进行横向渗透,从而获取组织内部其它包含重要资产的服务器的控制权限。

5. 数据收集:攻击者在攻击过程中,会不断将搜集到的各服务器上的重要数据资产,进行压缩、加密和打包,然后通过控制通道将数据回传。