萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> APTs攻擊的5個網絡症狀

APTs攻擊的5個網絡症狀

  與傳統網絡攻擊相比,黑客所發動的APTs(高級持續性威脅) 是一個新興的攻擊類型。APTs會給企業和網絡帶來持續不斷的威脅,能夠發動APTs攻擊的黑客,往往是一個有著良好紀律性的組織,作為一個專業團隊集中 進行網絡活動。通常情況下,他們將寶貴的知識產權、機密的項目說明、合同與專利信息作為竊取目標。

  發動APT的黑客在一般情況下所使用 的方法便是用網絡釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息。若是發現一個非法入侵,但它唯一明顯的意圖就是去偷你 企業的錢,那麼這很可能不是一個APT攻擊。那麼真正的APTs攻擊應該是什麼樣子呢?

  因為APT黑客與普通黑客所用的技術不同,所以 他們會留下不同的痕跡。在過去的十年裡,我發現了若是出現下列5種信號的話,你的企業很有可能已經遭到了APTs攻擊。在一個企業中,每個業務都有一個固 定的、合法的活動頻率,若其活動頻率突然發生異變,說不定這部分業務正在被APT所利用。

  APT信號 NO.1:在晚上,日志登錄信息的暴增

   APTs首先會攻陷一台電腦,然後會迅速接管整個網絡大環境。通過讀取數據庫的身份認證,竊取證書並反復利用這些權限,從而達到接管整個網絡的目的。他 們了解哪些用戶(或者服務)賬戶擁有更高的權限,有了這些特權,他們就可以游走於網絡各方,危及企業的資產。因為攻擊者的生活時差與我們相反,所以通常情 況下,日志中大量的登錄與注銷記錄的爆發都會發生在夜裡。如果你突然發現日志的登錄注銷記錄突然大量出現,而該時間段裡,這些員工應該是在家休息的,那麼 你就需要警惕了!

  APT信號 NO.2:廣泛的後門木馬

  APT黑客經常在開發環境中在被感染的電腦裡面裝上後門木 馬。他們這樣做是為了能夠確保隨時可以回來,即便是捕獲的日志認證發生了改變,他們也能夠通過此後門得到線索與信息。另一個相關的特征:一旦行蹤暴 露,APT黑客不會像普通攻擊者那樣馬上逃走擦淨痕跡,為什麼會如此呢?他們在企業中操控了計算機等相關設備,而且只要他們本人不坦白,即使是走了法律流 程,這些潛在的威脅也很難被發現。

  這段時間以來,大多數被部署了木馬的企業,均是被社會工程學的攻擊手段鑽了空子。這種攻擊手段相當普遍,它們使APT攻擊的成功率提高了不少。

  APT信號 NO.3:意想不到的信息流動

  我能想到的,檢測APT活動的最好方法是:看到大量意想不到的數據流從內部計算機向外部流動。有可能是從服務器流向服務器,也有可能是從服務器流向客戶端或是從網絡移動到網絡。

copyright © 萬盛學電腦網 all rights reserved