安全笔记|神秘的APT攻击安全笔记|安全

文章目录

前言
APT起源
APT定义
APT生命周期
防御方法
总结

前言最近在看ATT&CK的文章，里面有提到针对目标主要是APT组织，针对的攻击方法也主要为APT攻击，那么什么是APT呢
APT起源 2006年，APT被正式提出，用以描述自20世纪90年代末至21世纪初在美国政府和军事网络中发现的强大而持续的网络攻击。
美国中情局将经典情报周期划分为5个阶段：规划、收集、处理、分析和生产、传播，并明确APT攻击属情报收集范畴。美国国防部的高级网络作战原则中明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要的组成部分。可见，APT攻击侧重于敏感数据获取与关键情报收集。
APT定义自APT术语诞生至今，依然没有权威统一的定义，但不同研究机构和研究者相继提出了各自对于APT的理解与描述。
下面是维基百科对于APT的定义：
高级长期威胁（英语：advanced persistent threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。
高级长期威胁包含三个要素：高级、长期、威胁高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。
【安全笔记|神秘的APT攻击】APT发起方，如政府，通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁，尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动，但也适用于传统的间谍活动之类的威胁。其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人，如个人黑客，通常不被称作APT，因为即使个人有意攻击特定目标，他们也通常不具备高级和长期这两个条件。
APT生命周期 APT的生命周期即为一次攻击入侵的流程，下面介绍一下美国网络安全公司麦迪安（Mandiant）发布的一个APT组织的生命周期

初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。
站稳脚跟 – 在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。
提升特权 – 通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。
内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
横向发展 – 将控制权扩展到其他工作站、服务器及设施，收集数据。
保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
任务完成 – 从受害者的网络中传出窃取到的数据。

我觉得最后一步，可以添加一步安全撤出的流程。
防御方法目前各大院校的研究院和各大厂商也正在做APT攻击的监测方法和抵抗方法，可以在各大文献平台进行检索。
下面是一些厂商做的APT威胁的年度报告：
奇安信2021年APT年度报告：https://ti.qianxin.com/uploads/2022/03/25/68f214e06e1983b73b7d0f2e075a5fa8.pdf
360安全2020年全球APT研究报告：
http://pub1-bjyt.s3.360.cn/bcms/2020%E5%85%A8%E7%90%83%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81APT%E7%A0%94%E7%A9%B6%E6%8A%A5%E5%91%8A.pdf
360安全2021年上半年全球APT研究报告：
http://pub1-bjyt.s3.360.cn/bcms/2021%E5%B9%B4%E4%B8%8A%E5%8D%8A%E5%B9%B4%E5%85%A8%E7%90%83%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81%EF%BC%88APT%EF%BC%89%E7%A0%94%E7%A9%B6%E6%8A%A5%E5%91%8A.pdf
绿盟2022年APT组织情报研究：
http://blog.nsfocus.net/wp-content/uploads/2022/01/APT.pdf
总结 APT是有针对有组织的黑客攻击，目前主流的防守方法是采用ATT&CK模型，进行有针对的防御。