被攻击者的私人邮箱自动发送邮件副本给攻击者;
通过植入恶意软件,如木马、后门、Downloader等恶意软件,回传大量的敏感文件(WORD、PPT、PDF、CAD文件等);
通过高层主管邮件,发送带有恶意程序的附件,诱骗员工点击并入侵内网终端。
典型的APT攻击流程
为什么Web Server会成为攻击者发起APT攻击起点?通常这里是公司邮件网络的集散地,这也验证了EMAIL电子邮件已沦为APT攻击最重要的途径之一,而且EMAIL中包含的各类重要信息更可能带来意想不到的收获。前面我们说到,攻击者攻击Web Server的主要目的是为了充当进一步入侵的跳板,因此针对EMAIL的攻击行为通常会执行如下工作:
发送钓鱼邮件:窃取用户ID与密码;
执行恶意脚本:扫描终端用户使用环境,发掘可利用的攻击资源;
植入恶意软件:针对用户环境中应用程序漏洞,注入恶意代码,构建僵尸网络。
在针对邮件系统的APT攻击的过程中,攻击者通常会利用各种办公系统所支持的各类文档0day,例如WORD、PDF、PPT等,越是频繁使用的文档,越有可能降低用户安全意识。
如何防御APT攻击
现在,相信博学渊博的您已经对APT攻击有了基础的认知,面对这种随时随地都可能发生的威胁,如何在长期的持续的威胁中实现满足企业安全生产所必需的IT生产环境呢?下面我们就来看看如何有效抵御APT攻击。
电影《角斗士》中,Maximus攻防兼备骁勇善战,无论是面对野蛮凶残的迦太基勇士,还是饥饿强壮的狮虎猛兽,Maximus总能凭借敏锐的洞察力和丰富的作战经验一一化解。对于APT攻击的防范同样需要深思熟虑,任何疏忽都可能让您的安全壁垒坍塌。
对于传统的攻击行为,安全专家仅需关注恶意程序的样本提取并做分析,便可以掌握攻击者的动机及传播渠道,但对于APT攻击以点概面的安全检测手段已显得不合时宜。面对APT攻击威胁,我们应当有一套更完善更主动更智能的安全防御体系。
必须承认APT攻击的发起者有着超群的智慧和丰富的经验,因此检测APT攻击就必须密切关注攻击者所释放的恶意代码的每一个细节,包括功能、0day信息、命令与控制、社工手法、受害人、攻击活动频率等信息。理论上针对单一攻击事件,安全人员可以快速定位攻击源头,并作出对应的安全防御策略,然而这些却无法准确提取APT攻击属性与特征。因此,针对APT攻击行为的检测,需要构建一个多维度的安全模型,这里既有技术层面的检测手段,也有包含深入产业链的动态分析追踪。为此,金山在针对APT攻击行为检测方面注重从三方面入手:
静态检测方式
从攻击样本中提取攻击特征与功能特性;
对攻击样本逆向分析;
动态检测方式
模拟用户环境,执行APT代码段,捕获并记录APT攻击的所有行为;
审计网络中应用程序的带宽占用情况;
