什么是高级持续性威胁?

作者

Gregg Lindemulder

Staff Writer

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

什么是高级持续性威胁?

高级持续性威胁 (APT) 是指未被发现的网络攻击,它旨在长期窃取敏感数据、开展网络间谍活动或破坏关键系统。与勒索软件等其他网络威胁不同,APT 攻击团伙的目标是:在渗透和扩大其在目标网络中的存在范围时,能不引起注意。

由国家提供资助的网络罪犯常会发起 APT 攻击,以便访问其他国家的敏感信息或大型组织的知识产权。虽然它们最初可能会使用传统的社会工程技术,但这些威胁参与者却以定制开发先进的工具和方法来利用特定组织的特有漏洞而为人所知。一次成功的 APT 攻击可能会持续数月甚至数年。

Think 时事通讯

您的团队能否及时捕获下一个零日?

加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息,请参阅我们的 IBM 隐私声明

https://www.ibm.com/cn-zh/privacy

APT 攻击的不同阶段

渗透

APT 组织常通过社会工程网络钓鱼来获取对目标网络的初始访问权限。借助从组织内外部所收集的情报,APT 攻击者会创建复杂的网络钓鱼电子邮件,以诱骗高管或高级领导者点击恶意链接。

此外,攻击者还可能会追踪其他入口点和攻击面以渗透该网络。例如,他们可能会对 Web 应用程序中未修补的漏洞发起零日攻击,或在已知员工会访问的公共网站中嵌入恶意软件。

探索和扩展

在完成初始入侵后,APT 团伙会探索并映射网络,以确定在整个组织中实现水平移动的后续最佳步骤。通过安装一系列后门程序,他们便可从多个入口点访问该网络,以便继续执行侦察并安装隐藏的恶意软件

此外,他们还可能会尝试破解密码,并获取敏感数据所在安全区域的管理权限。最为重要的是,攻击者会创建与外部命令和控制服务器的连接,以便远程管理遭入侵的系统。

渗漏

为应对首次数据窃取,APT 团伙会将其一段时间内所收集的信息转移到网络内的某一集中且安全的位置。此外,他们还可加密和压缩这些数据,以便进行渗漏。

然后,为了分散安全人员的注意力并转移资源,他们可能会发起“白噪音”事件,例如分布式拒绝服务 (DDoS) 攻击。此时,他们就能将窃取的数据传输到外部服务器而不被发现。

维护

APT 团伙可能会在遭入侵的网络中停留很长一段时间或无限期停留,以便等待发动攻击的新机会。在此期间,他们可能会通过重写代码来隐藏恶意软件并安装 Rootkit 来保持其隐藏状态,而这些 Rootkit 可在不被发现的情况下访问敏感系统。有时他们可能会删除攻击证据,并在实现目标后彻底离开该网络。

常见 APT 攻击技术

社会工程

通过使用广泛分布的网络钓鱼电子邮件、高度个性化的网络钓鱼电子邮件或其他社交操纵计策,APT 团伙可诱骗用户点击恶意链接或泄露信息,从而允许其访问受保护的系统。

零日攻击

通过部署可扫描网络以查找未修补的软件漏洞的恶意 shellcode,APT 团伙可在 IT 管理员做出反应之前利用薄弱环节。

供应链攻击

APT 团伙可能会将目标对准组织中受信任的业务、技术或供应商合作伙伴,从而通过共享的软件或硬件供应链来获取未经授权的访问权限。

Rootkit

Rootkit 可提供对受保护系统的隐藏后门访问权限,因而是帮助 APT 团伙隐藏和管理远程操作的得力工具。

指挥和控制服务器

一旦 APT 团伙在遭入侵的网络中站稳脚跟,他们便会与自己的外部服务器建立连接,以便远程管理攻击并渗漏敏感数据。

其他技术

APT 团伙可能会利用一系列其他工具来扩展和隐藏自身在网络中的存在,例如蠕虫病毒、键盘记录、机器人、密码破解、间谍软件和代码混淆。

APT 团伙示例

APT34 (Helix Kitten)

Helix Kitten 以其极具诱惑性且经过充分研究的网络钓鱼电子邮件而为人所知,据称其运营是在伊朗政府的监督下开展的。该团伙主要针对中东地区各行业的公司,其中包括航空航天、电信、金融服务、能源、化工和酒店等行业。分析人士认为,这些攻击旨在让伊朗的经济、军事和政治利益从中受益。

APT41 (Wicked Panda)

Wicked Panda 是一个臭名昭著且十分活跃的中国 APT 团伙,据称它与中国国家安全部和中国共产党存在联系。除开展网络间谍活动外,其成员还因攻击公司以谋取经济利益而为人所知。据信,他们对入侵医疗供应链、窃取生物技术公司的敏感数据以及在美国盗窃新冠疫情救济金负有责任。

Stuxnet

Stuxnet 是一种计算机蠕虫病毒,它可用于通过攻击监督控制和数据采集 (SCADA) 系统来破坏伊朗的核计划。虽然它如今已不再活跃,但在 2010 年被发现时,却被广泛视为一种极为有效的威胁,且对其攻击目标造成了巨大破坏。分析人士认为,Stuxnet 由美国和以色列共同开发,但两国均未公开承认对其负责。

Lazarus Group

Lazarus Group 是一个总部位于朝鲜的 APT 团伙,且据信它对盗窃数亿美元的虚拟货币负有责任。美国司法部称,这些犯罪行为还只是破坏全球网络安全并为朝鲜政府谋取收入的相关战略的一部分。2023 年,美国联邦调查局指控 Lazarus Group 从某一在线赌场窃取了 4,100 万美元的虚拟货币。

检测 APT 攻击

由于 APT 攻击旨在模拟正常的网络操作,因此很难被发现。在怀疑自己成为攻击目标时,专家建议安全团队向自己提出几个问题。

用户帐户是否有异常活动?

APT 威胁参与者将有权访问敏感信息的高价值用户帐户视为目标。攻击期间,这些帐户可能会出现异常大量的登录尝试。由于 APT 团伙通常会在不同时区开展运作,因而这些登录可能会发生在深夜。组织可使用端点检测和响应 ( EDR) 或用户和实体行为分析 (UEBA) 等工具来分析和识别用户帐户中的异常或可疑活动。
后门木马程序是否大幅增加?

大多数 IT 环境均会遭遇后门木马程序,但在 APT 攻击期间,它们可能会变得无处不在。APT 团伙依靠后门木马程序作为其备份手段,以便在受感染的系统遭到入侵后重新进入其中。
是否存在异常的数据传输活动?

如果数据传输活动明显偏离正常基线水平,则表示可能存在 APT 攻击。其中可能包括数据库操作突然激增,以及大量信息在内外部进行传输。用于监控和分析来自数据源的事件日志的工具(例如,安全信息和事件管理 (SIEM) 或网络检测和响应 (NDR))有助于标记此类事件。

数据是否被汇总并转移到某一奇怪位置?

APT 团伙通常会从整个网络收集大量数据,然后将这些信息移至某一中心位置,然后再渗漏出去。若有大量数据囤积在某一奇怪位置,尤其是采用压缩格式的数据,则可能表示存在 APT 攻击。
部分高管是否曾收到网络钓鱼电子邮件?

针对少数高层领导的网络钓鱼攻击是 APT 团伙惯用的一个常见计策。此类电子邮件通常包含机密信息,并采用 Microsoft Word 或 Adobe Acrobat PDF 等文档格式来启动恶意软件。文件完整性监控 (FIM) 工具可帮助组织检测关键 IT 资产是否已因网络钓鱼电子邮件中嵌入的恶意软件而被篡改。

防范 APT 攻击

组织可采取某些安全措施来降低 APT 黑客未经授权访问其系统的风险。由于 APT 团伙会针对每种攻击媒介不断采用新的方法,因此专家建议采用一种结合了多种安全解决方案和策略的广泛方法,其中包括:

  • 为软件安装补丁,以免网络与操作系统漏洞遭遇针对零日漏洞的利用。
  • 实时监控网络流量,以便发现恶意活动;例如,安装后门程序或对窃取的数据进行渗漏。
  • 在网络端点上使用 Web 应用程序防火墙,以便过滤 Web 应用程序与互联网之间的流量,从而抵御传入的攻击。
  • 实施严格的访问控制,以免未经授权的用户访问敏感或高级系统与数据。
  • 开展渗透测试,以确定 APT 团伙在攻击期间可能利用的薄弱环节和漏洞。
  • 利用威胁情报更好地了解 APT 攻击的生命周期,并在 APT 攻击似已发起的情况下制定有效的事件响应计划。
相关解决方案
威胁管理服务

预测、预防并应对现代威胁,提高业务弹性。

 

 探索威胁管理服务
威胁检测和响应解决方案

使用 IBM 威胁检测和响应解决方案来加强您的安全性并加速威胁检测。

 深入了解威胁检测解决方案
移动威胁防御 (MTD) 解决方案

使用 IBM MaaS360 的全面移动威胁防御解决方案,保护您的移动设备环境。

 深入了解移动威胁防御解决方案
采取后续步骤

获得全面的威胁管理解决方案,专业地保护您的企业免受网络攻击。

 探索威胁管理服务 预订以威胁为中心的简报会