浅谈APT相关的新型威胁的技术特点

54pany

作者：Sys0p（風）
近期的时间关于APT的攻击与防御话题已经逐渐变得热门。那么我就把我对APT的相关理解分享给大家。

（1）：攻击者的诱骗手段往往来自于恶意网站，一般都是用钓鱼的方面让攻击目标上钩。企业等组织目前的安全防御体系中对于钓鱼网站等恶意网站的认识程度还不够深入，缺乏权威的黑名单库。对于内部人员的安全意识培训也不够到位

（2）：很多攻击都是直接用对目标的公网网站通过SQL等手法实现入侵的，很多企业等组织的网站在web方面的防范显然没有做足功课

（3）：在攻击者入侵并且控制目标的PC时，一般使用SSH连接，导致现有的大部分的内容检测系统无法分析检测到传输内容，并且缺乏一定量对于可以连接的分析能力

（4）：攻击者会使用恶意邮件的方式去攻击受害者，并且这些邮件都被伪装成合法的发件人，目前大部分企业等组织的右键过滤系统基本无法识别，显然，这些合法的邮件很容易被受害者所信任。再者，右键中的附件中隐藏的恶意代码等往往都是0day漏洞，传统的右键内容分析也难以奏效。

（5）：很多攻击都是通过0day漏洞攻击实现的，大部分企业缺乏对0day漏洞的识别能力

（6）有些企业部署了内网审计系统，日志分析系统。但这些更高级的系统主要是从内控和合法的角度来分析事件，而没有真正的形成对外部入侵的综合分析。我认为包括安管平台等系统还需进一步的提高。

以上所述，很多企业在面对APT这种新型的攻击面前，很多的安全防御体系都失灵了。保障网络安全我们需要全新的思路！！！

针对以上案例的分析，我最近收集了各方面专家对APT等新型威胁的防御系列，附加我个人对这些观念的理解：

(1)：想必社会工程学无人不知了吧。在面对新型攻击时，社会工程学往往也担任重要的角色，或者说已经成为APT攻击的第一威胁。当网络发展到我们身边任何一个地方，人也成为了网络边界，只要有恰当的思路，任何人都可能会成为受害者。而目前企业人员对社会工程学的认识度却没有得到普及。我认识企业有必要对员工进行社会工程学方面的教学。从基层员工做起！

(2)通过谷歌极光攻击等攻击特点，我们并不能认为这些APT攻击是目前唯一的方法，显然，还有更多的apt攻击并没有展现在我们的面前，除了关注数据窃取，还要关注其他目的的APT攻击。比如：embarrassment、disruption…..我只能说现在目前已知的APT攻击只是冰山一角！

(3)：关于突发事件的响应问题。这事关乎整个企业的事情，而不仅仅是安全工程师的问题。一定要加大对突发事件的演习程序/计划。

(4)：即时的发现攻击是十分有必要的。有句话不是说防范与未来吗？必须要想尽办法组织破坏攻击的路径

(5)：企业等组织间的合作，技术是用来共享的。每个企业或者组织能想到的防御方法可能仅仅是有限的，那么加强企业等组织间的技术交流合作是否十分有必要，这里就不提了，你们都懂的！



以上是我所总结的防御措施，如有不足望各位斧正。

顺便我们一起看看APT等新型威胁的几个技术发展方向吧：

第一：精准钓鱼

第二：高级隐遁技术

第三：沙箱逃避

第四：水坑式攻击

简单的介绍下上面的几种发展方向吧，应该很多朋友都还不明白吧。

精准钓鱼：精准钓鱼就是一种精确的制导的钓鱼方式攻击，和普通的钓鱼方式最大的特点就是更聚焦了。只有被攻击者才能看到钓鱼网页，而其他人可能看到的只是AV。这方面的攻击精准度更高，并且也更加的保密了。

高级隐遁技术：高级隐遁技术就是一种通过伪装或者装饰网站攻击用来躲避信息安全需要的检测和组织的手段

沙箱逃避：新型的恶意代码已经往精巧设计的方向追足。想办法躲避沙箱技术的检测。比如说有的恶意代码只有在用户鼠标移动的时候才能被执行，这个大家也许听说过的。从而使得很多自动化执行的沙箱毫无办法检测到可疑的行为。

水坑式攻击：亲们，看过动物世界吗？捕食者在水下埋伏等待猎物的到来，然后才开始发起攻击。嗯，对。鳄鱼就是这样的。所以说你们懂什么叫水坑式攻击了吧。

0xTback

已阅~！！！谢谢分享