與傳統網絡攻擊相比,黑客所發動的APTs(高級持續性威脅)是一個新興的攻擊類型。APTs會給企業和網絡帶來持續不斷的威脅,能夠發動APTs攻擊的黑客,往往是一個有著良好紀律性的組織,作為一個專業團隊集中進行網絡活動。通常情況下,他們將寶貴的知識產權、機密的項目說明、合同與專利信息作為竊取目標。
發動APT的黑客在一般情況下所使用的方法便是用網絡釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息。若是發現一個非法入侵,但它唯一明顯的意圖就是去偷你企業的錢,那麼這很可能不是一個APT攻擊。那麼真正的APTs攻擊應該是什麼樣子呢?
因為APT黑客與普通黑客所用的技術不同,所以他們會留下不同的痕跡。在過去的十年裡,我發現了若是出現下列5種信號的話,你的企業很有可能已經遭到了 APTs攻擊。在一個企業中,每個業務都有一個固定的、合法的活動頻率,若其活動頻率突然發生異變,說不定這部分業務正在被APT所利用。
APT信號 NO.1:在晚上,日志登錄信息的暴增
APTs首先會攻陷一台電腦,然後會迅速接管整個網絡大環境。通過讀取數據庫的身份認證,竊取證書並反復利用這些權限,從而達到接管整個網絡的目的。他們了解哪些用戶(或者服務)賬戶擁有更高的權限,有了這些特權,他們就可以游走於網絡各方,危及企業的資產。因為攻擊者的生活時差與我們相反,所以通常情況下,日志中大量的登錄與注銷記錄的爆發都會發生在夜裡。如果你突然發現日志的登錄注銷記錄突然大量出現,而該時間段裡,這些員工應該是在家休息的,那麼你就需要警惕了!
APT信號 NO.2:廣泛的後門木馬
APT黑客經常在開發環境中在被感染的電腦裡面裝上後門木馬。他們這樣做是為了能夠確保隨時可以回來,即便是捕獲的日志認證發生了改變,他們也能夠通過此後門得到線索與信息。另一個相關的特征:一旦行蹤暴露,APT黑客不會像普通攻擊者那樣馬上逃走擦淨痕跡,為什麼會如此呢?他們在企業中操控了計算機等相關設備,而且只要他們本人不坦白,即使是走了法律流程,這些潛在的威脅也很難被發現。
這段時間以來,大多數被部署了木馬的企業,均是被社會工程學的攻擊手段鑽了空子。這種攻擊手段相當普遍,它們使APT攻擊的成功率提高了不少。
APT信號 NO.3:意想不到的信息流動
我能想到的,檢測APT活動的最好方法是:看到大量意想不到的數據流從內部計算機向外部流動。有可能是從服務器流向服務器,也有可能是從服務器流向客戶端或是從網絡移動到網絡。