APT攻击_IT168
8月4日，2016中国网络主管论坛南京站如期举行，东巽科技杨鑫发表演讲。他表示近年来发现APT攻击案例越来越多，从近期被曝出的美国总统候选人希拉里团队电脑疑遭俄黑客攻击事件，俄罗斯20多个政府机构被植入间谍软件，菲律宾机场被黑客入侵并播音等多个事件中可以看到，有预谋、有目标、有计划、甚至有组
7月14日，在第12届网络主管论坛成都站，东巽科技王超发表演讲。他表示目前国际上针对政府、金融、能源、企业、军方等网络的APT攻击事件越来越多。在最近备受关注的“南海仲裁”事件中，一个与东南亚和中国南海问题相关的APT攻击被发现，该APT攻击以包括美国在内的各国政府和公司为目标。该攻击利用CVE-
在429首都网络安全日的这天，恰好也是东巽科技成立六周年的日子。这家被称为“黑马”的安全厂商，瞄准了网络安全中最火的细分领域――APT(高级持续性威胁)防护，近年来相继承接了几十项部委级安全研究课题及项目，形成多项科研成果，受到人们的关注。
就像是“鳄鱼还是木头”的寓言一样，大多数APT攻击并不会直接暴露真实面目，而是会很好的在用户经常访问的可信网站上或是分支机构中伪装起来，等待粗心的企业用户，这类的攻击也被叫做 “水坑攻击”(Water hole attack)。为了防范此类攻击，亚信安全建议用户改变“单点作战”的传统做法，更加重视威胁情
当网络罪犯了解了更多普通的安全检测方法时， 他们往往会将更多的投入放在安全规避方法的研发上。
当网络罪犯了解了更多普通的安全检测方法时， 他们往往会将更多的投入放在安全规避方法的研发上。”---FortiGuard安全研究实验室
APT攻击早已经是安全从业者耳熟能详的话题，高级持续性威胁的出现改变了原有的安全攻防理念，传统的安全防护也开始逐渐引入针对高级持续性威胁的防护手段，沙箱技术、威胁情报开始在行业前沿出现，并广泛应用到具体的安全解决方案中。
6月11日，阿里巴巴集团宣布收购国内一流的安全公司翰海源，被誉为“中国的FireEye”的翰海源将整体加入到阿里巴巴安全部，借助阿里云计算和集团大数据的资源继续研究安全技术，应对包括APT攻击(高级持续性威胁攻击)在内的下一代安全威胁的挑战，后续将推出面向更多企业的APT云防御、威胁情报体系等产品
时至今日，众多从业企业都在争先恐后地将高级持续性威胁(简称APT)作为首要关注重点，而这一切让基于特征机制的反病毒方案显得陈旧而过时。
APT无疑是近几年来最火的安全词汇了。APT(Advanced Persistent Threats)，高级持续性威胁，在过去两三年带动了很多的公司和产品发展，当然随着时间的推移，这个词也发生了一些变化，这背后，则是网络攻击的驱动力，更重要的是使用“威胁”这个词不足以说明问题，因为APT带来的是实际的攻击，以及安全问
根据最新的趋势科技《APT攻击趋势：2014年度报告》显示，从2014年到2015年，企业信息资产已成为网络犯罪者的金矿。过去一年，APT攻击因为新技巧的出现而愈演愈烈，包括疑似政府在背后支持的攻击，以及一些非政府支持的攻击。趋势科技的报告分析了各类型的 APT 以及这些攻击背后的意图，并且监控其造成大
日，华为在美国旧金山RSA2015展会上，发布了面向高级可持续威胁(Advanced Persistent Threat,APT)攻击检测的新品沙箱FireHunter，并同步推出华为APT安全防护解决方案。
新年伊始，从自动化网络控制公司Infoblox Inc传来消息，公司已正式推出业界首创的Infoblox DNS Traffic Control解决方案，这是首个将广域网服务器负载均衡(GSLB)技术添加到企业级DNS设备的创举。
刚刚过去的2014年是信息安全形势极为复杂的一年，大量影响到我们切身生活的信息安全事件频繁出现，尤其是各种APT攻击事件趋于爆发式增长，传统的安全威胁方式已经渐渐消失，具有持续性、针对性和隐蔽性的新一代网络安全威胁日趋常态化，越来越多的出现在我们的周围，影响到我们的信息系统安全。
以往的那些APT攻击只存在于报道之中，如震网攻击、极光攻击、夜龙攻击等针对的都是较大规模的组织或企业。而近两年来APT攻击开始出现在普通的企业中，黑客的攻击手段越来越高明，企业传统的安全防护手段已无法有效的应对APT攻击，在未来企业如何有效防护APT已迫在眉睫。
1月14日消息，今日，安恒信息正式对外发布了其2014年互联网安全年报，对2014年整个互联网安全行业的国内外热点安全事件、安全漏洞、安全威胁变化以及APT攻击做了全面的分析。以下是报告的全文：
最近一段时间，索尼被黑事件持续发酵，美联社称之为企业安全史上损失最惨重的黑客攻击事件，这次事件对索尼造成了严重的创伤，黑客获取了索尼大量内部资料，其中包括员工及明星信息、合约和其他敏感文件。索尼被黑事件再次给中国企业和机构敲响了警钟，随着互联网和信息技术的纵深发展，高级威胁将成为
随着IT基础架构的不断升级变化，传统的安全防御措施开始显得捉襟见肘。而在面对未知威胁和高级持续威胁(APT)的挑战时，笔者不禁想到富兰克林的著名格言：一分预防胜似十分治疗！
14日，美国一家信息安全公司iSight发布的一份报告显示，俄罗斯黑客利用微软office系统中的漏洞对欧美国家政府、北约，以及乌克兰政府展开间谍活动。目标包括一些能源、电信和学术机构。APT攻击再一次引发了网络安全界的高度重视，
9月25日，中国互联网安全大会(ISC 2014)继续在北京国家会议中心召开。在APT防御技术分论坛上，国内知名反病毒专家、安天实验室首席技术架构师肖新光(网名“江海客”)，发表名为《APT事件样本集的度量》的主题演讲，针对APT事件样本集等方面进行技术分析与阐述，并现场演示APT攻击的整个过程。概念/APT攻击
高级持续性威胁(Advanced Persistent Threat，APT)，威胁着企业的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。
类型/APT攻击
APT入侵客户的途径多种多样，主要包括以下几个方面。——以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。——社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。——利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。总之，高级持续性威胁(APT)正在通过一切方式，绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测。“潜伏性和持续性”是APT攻击最大的威胁，其主要特征包括以下内容。——潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。——持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种“持续性”体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。——锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。——安装远程控制工具：攻击者建立一个类似僵尸网络Botnet的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。
APT攻击三个阶段/APT攻击
初始感染初始感染可以有以下三种方式1. 攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如，Cryptolocker就是一种感染方式，它也称为勒索软件，其攻击目标是Windows个人电脑，会在看似正常的电子邮件附件中伪装。一旦收件人打开附件，Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金，恶意软件就会删除加密密钥，从而使你无法访问自己的数据。2. 攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子，一旦进入网络，它就能使用P2P通信去控制受感染的设备。3. 攻击者会通过一个直连物理连接感染网络，如感染病毒的U盘。下载真实的APT：一旦进入组织内部，几乎在所有的攻击案例中，恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面，真实的APT比初始感染要强大许多。传播和连回攻击源：一旦下载和安装之后，APT会禁用运行在已感染计算机上的反病毒软件或类似软件。不幸的是，这个操作并不难。然后，APT通常会收集一些基础数据，然后使用DNS连接一个命令与控制服务器，接收下一步的指令。数据盗取：攻击者可能在一次成功的APT中发现数量达到TB级的数据。在一些案例中，APT会通过接收指令的相同命令与控制服务器接收数据。然而，通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。此外，传统数据还需要更多的步骤，而步骤越多就越容易被人发现。因此，APT通常会直接连接另一个服务器，将它作为数据存储服务器，将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS。
APT攻击防范方式/APT攻击
使用威胁情报。这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。
&|&相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和专业认证智愿者沟通。
此词条还可添加&
编辑次数：10次
参与编辑人数：6位
最近更新时间： 12:22:59
贡献光荣榜APT攻击大致可分为6个阶段_薇虹沙漏_天涯博客
今日访问：[$DayVisitCount$]
总访问量：14252
开博时间：
博客排名：111455
(1)(3)(5)(11)(4)(7)(10)(23)(7)(19)(5)(1)(3)
第1阶段，情报收集：攻击者会锁定的公司和资源采用针对性APT攻击，通常将目标锁定到企业员工的身上作为开端，并通过社交工程攻击开启一连串攻击。第2阶段，进入点：利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。第3阶段，命令与控制 （C&C 通信）：APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后，APT攻击活动利用网络通 信协议来与C&C服务器通讯，并确认入侵成功的计算机和C&C服务器间保持通讯。第4阶段，横向扩展：在目标网络中找出放有敏感信息的重要计算机，使用包括传递哈希值算法的技巧和工具，将攻击者权限提升到跟管理者一样，让他可以轻松的去访问和控 制关键目标（如：公司的邮件服务器）。第5阶段，资产/资料发掘：为确保以后的数据窃取行动中会得到最有价值的数据，APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点，来挖掘出最多的资料，而且在 这个过程当中，通常不会是重复自动化的过程，而是会有人工的介入对数据做分析，以做最大化的利用。第6阶段，资料窃取：APT是一种高级的、狡猾的伎俩，高级黑客可以利用APT入侵网络、逃避&追捕&、悄无声息不被发现、随心所欲对泄露数据进行长期访问，最终挖掘到攻 击者想要的资料信息。日下午，韩国多家大型银行及数家媒体相继出现多台电脑丢失画面的情况，有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为&WhoIs& 团体的警告信息，继而无法启动。然而，此攻击仅仅是韩国在同一时间遭受的多起攻击之一，甚至还导致很多企业业务运行出现中断，最终这些企业耗费4~5天时间才完全 恢复业务。在此次韩国APT攻击事件中，攻击者入侵客户内部的韩国本地最大防病毒厂商安博士（AhnLab）更新服务器，利用更新服务器下发恶意程序到终端，其中包 含MBR修改木马。自我毁灭：一般APT均是低调丏隐蔽，以不被发现为主，长期窃取资料。此次韩国APT攻击事件宣示警告意味居多；复写主机主引导记录（Master Boot Record，MBR），让后续的分析调查难以迚行；攻击者充分了解目标使用操作系统，针对不同版本Unix或Linux服务器撰写MBR破坏程序，意图中断重要IT业务服务。相关链接： &&分类： |