高级持续威胁（APT）是公司可能面临的最危险的网络威胁。这些攻击很难检测到，并且可以使入侵者在网络中隐藏数月之久。当黑客留在系统中时，公司会遭受定期的数据丢失和中断，却不知道问题的原因。

本文是对APT攻击的介绍。我们将说明什么是APT，教导如何识别感染迹象，并说明为此类攻击做好准备的方法。

什么是APT攻击？

高级持续威胁（APT）是一种网络攻击，入侵者在其中获得并维持网络中的长期存在。APT攻击的后果是巨大的，包括：

● 数据和知识产权损失。

● 基础设施破坏。

● 服务中断。

● 网站总数。

APT是多阶段攻击，需要花费数周的时间才能建立，并且持续数月甚至数年。APT与常见的网络攻击在四个关键方面不同：

● APT比通常的在线威胁更为复杂。攻击需要专职团队在目标网络中维护隐蔽的存在。

● APT并非即时攻击。黑客访问网络后，他们的目标是尽可能长时间地呆在内部。

● APT主要是不依赖自动化的手动攻击。

● APT不会对大量目标构成威胁。攻击是针对特定公司的，因此每次违规都有一个仅适合目标防御的自定义计划。

APT攻击需要大量的精力和资源。黑客通常会追逐诸如企业和公司之类的高价值目标。但是，APT攻击者经常将目标锁定在大型组织的供应链中。

黑客使用防御程度较低的公司作为切入点，因此各种规模的企业必须知道如何识别APT攻击。

APT攻击的主要目标是什么？

APT攻击的目标是在不向系统发出警报的情况下闯入网络，并在内部花费足够的时间来窃取数据。所有有价值的数据都是APT的潜在目标，包括：

● 知识产权。

● 用户PII。

● 分类数据。

● 基础结构数据。

● 访问凭证。

● 敏感的沟通。

除了窃取数据之外，APT的目标还可以包括破坏基础设施，破坏单个系统或完成站点接管。每种攻击都有其独特的目的，但目标始终是数据泄露，间谍活动和破坏活动的混合。

APT攻击检测：APT攻击的迹象是什么？

APT黑客使用高级方法隐藏其活动，但是某些系统异常可能表明攻击正在进行。

意外登录

登录凭证被盗是APT攻击者获得网络访问权的主要方法之一。在奇数小时频繁登录服务器可能表明正在进行APT攻击。黑客可能在其他时区工作或在夜间工作，以减少被检测到的机会。

后门木马的增加

如果工具检测到的后门木马数量比平时多，则可能是APT攻击。APT攻击者使用后门特洛伊木马程序来确保在登录凭据更改时继续访问。

鱼叉式网络钓鱼电子邮件

鱼叉式网络钓鱼电子邮件是潜在APT的明显标志。黑客可能会将这些电子邮件发送给高层管理人员，以期获得受限数据。

数据包

APT攻击者经常将要窃取的数据复制并存储到网络中的其他位置。一旦隔离并捆绑在一起，文件将成为更容易的传输目标。

攻击者将捆绑软件放置在团队通常不存储数据的地方。定期扫描并检查任何放错位置或异常的数据文件。

奇怪的数据库活动

奇数数据库活动可能是APT的指标。注意涉及大量数据的数据库操作的突然增加。

管理员帐户的可疑行为

记录管理员帐户行为的任何变化。APT黑客依靠管理员权限在网络中横向移动并感染较大的表面。与陌生父母一起创建新帐户也表明潜在的APT。

APT攻击生命周期：APT攻击的四个阶段

APT攻击涉及多个阶段和多种攻击技术。典型的攻击分为四个阶段：计划，渗透，扩展和执行。

阶段1：规划

每个APT项目都需要针对如何击败目标保护系统的自定义计划。黑客必须在计划阶段执行以下步骤：

● 定义操作的目标和目的。

● 确定必要的技能并雇用团队成员。

● 查找（或创建）适合该工作的工具。

● 了解目标体系结构，访问控制以及所有硬件和软件解决方案。

● 定义如何最好地设计攻击。

一旦他们收集了所有信息，攻击者便会部署该软件的小型版本。该侦察程序有助于测试警报并识别系统弱点。

阶段2：渗透

攻击者可以访问网络。渗透通常通过以下三个攻击面之一发生：

● 网络资产。

● 网络资源。

● 授权人类用户。

为了获得初始访问权限，APT黑客使用各种攻击方法，包括：

● 零日漏洞的高级利用。

● 社会工程技术。

● 高目标鱼叉式网络钓鱼。

● 远程文件包含（RFI）。

● RFI或SQL注入。

● 跨站点脚本（XSS）。

● 物理恶意软件感染。

● 利用应用程序弱点（尤其是零日错误）。

● 域名系统（DNS）隧道。

渗透期间的常见策略是发动同时的DDoS攻击。DDoS分散了工作人员的注意力并削弱了外围功能，从而更容易破坏网络。

一旦获得初始访问权限，攻击者便会迅速安装后门恶意软件，该恶意软件会授予网络访问权限并允许远程操作。

第三阶段：扩展

建立立足点后，攻击者会扩大其在网络中的影响力。扩展涉及提升用户层次结构，并损害员工访问有价值数据的能力。在此阶段，暴力攻击是一种常见的战术。

恶意软件对APT至关重要，因为它使黑客能够保持访问而不被发现。该恶意软件可帮助攻击者：

● 在系统控件中隐藏。

● 在网段之间导航。

● 收集敏感数据。

● 监视网络活动。

● 如果现有的入口点无法访问，请检测新的入口点。

在此阶段，攻击者具有可靠的长期网络访问权限。安全控制没有意识到这种危险，入侵者可以开始完成攻击目标。如果目标是窃取数据，则攻击者将信息捆绑存储，并将其隐藏在网络的一部分中，几乎没有流量。

阶段4：执行

一旦他们收集了足够的数据，小偷就会尝试提取信息。典型的提取策略是使用白噪声分散安全团队的注意力。数据传输发生在网络人员和系统防御繁忙的时候。

APT团队通常会尝试完成提取而不会放弃他们的存在。攻击者通常在退出系统后离开后门，目的是将来再次访问该系统。

如果APT攻击的目标是破坏系统，则执行阶段的执行方式会有所不同。黑客巧妙地控制了关键功能并对其进行操作以造成损害。例如，攻击者可以破坏整个数据库，然后破坏通信，以防止灾难恢复服务。

同样，目标是在没有安全团队发现入侵者的情况下造成破坏。这种隐身方法允许重复攻击。

如何防止APT攻击

诸如防病毒程序之类的标准安全措施不能有效地保护公司免受APT攻击。APT的检测和保护需要各种防御策略，并需要网络管理员，安全团队和所有用户之间的协作。

监控流量

监控流量对于以下方面至关重要：

● 防止后门设置。

● 阻止窃取的数据提取。

● 识别可疑用户。

检查网络外围内部和外部的流量有助于检测任何异常行为。网络边缘的Web应用程序防火墙（WAF）应该过滤所有到服务器的流量。WAF可以防止RFI和SQL注入之类的应用层攻击，这是APT渗透阶段的两种常见攻击。

内部流量监控也至关重要。网络防火墙提供了用户交互的概述，并有助于识别不规则的登录或奇怪的数据传输。内部监控还使企业可以监视文件共享和系统蜜罐，同时检测和移除后门外壳。

白名单域和应用

白名单是一种控制可从网络访问哪些域和应用程序的方法。通过将攻击面最小化，白名单可降低APT成功率。

为了使白名单生效，团队必须仔细选择可接受的域和应用程序。严格的更新策略也是必要的，因为您必须确保用户始终运行所有应用程序的最新版本。

建立严格的访问控制

员工通常是安全范围内最脆弱的地方。APT入侵者经常试图将员工变成一个轻松的网关，以绕过防御。

保护企业免受恶意内部人员侵害的最佳方法是依靠“零信任”策略。零信任安全性限制了每个帐户的访问级别，仅授予对用户执行作业所需资源的访问权限。

在零信任环境中，受到破坏的帐户会限制入侵者在网络中移动的能力。

另一个有用的安全措施是使用两因素身份验证（2FA）。2FA要求用户在访问网络的敏感区域时提供第二种形式的验证。每个资源上的附加安全层会降低入侵者在系统中的移动速度。

保持安全补丁为最新

保持补丁更新对于防止APT攻击至关重要。确保网络软件具有最新的安全更新，可以减少出现弱点和兼容性问题的机会。

防止网络钓鱼的企图

网络钓鱼欺诈是APT攻击的通常入口点。培训员工识别网络钓鱼的企图，并教他们遇到网络钓鱼时该怎么办。

电子邮件过滤有助于防止网络钓鱼攻击的成功率。过滤和阻止电子邮件中的恶意链接或附件可阻止渗透尝试。

对后门执行常规扫描

APT黑客在获得非法访问后会在网络上留下后门。扫描并删除后门是停止电流并防止将来进行APT尝试的有效方法。

专家建议寻找：

● 建立网络连接的命令外壳（WMI，CMD和PowerShell）。

● 非管理员系统上的远程服务器或网络管理工具。

● 调用新进程或生成命令外壳的Microsoft Office文档，Flash或Java事件。

切记扫描端点设备以查找后门和其他恶意软件。APT攻击通常涉及终端设备的接管，因此，检测和响应威胁是当务之急。

了解APT的重要性并准备好进行攻击

APT攻击的后果可能是极端的。数据丢失和信誉几乎是保证，因此请尽一切努力防止攻击。幸运的是，现在您知道了什么是APT以及如何识别APT，因此可以随时加强和保护您的工作负载。