APT攻击介绍ppt课件.pptx

《APT攻击介绍ppt课件.pptx》由会员分享，可在线阅读，更多相关《APT攻击介绍ppt课件.pptx（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、APT攻击介绍目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍什么是APT 高级持续性威胁(AdvancedPersistentThreat，APT)，APT（高级持续性渗透攻击）是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇。目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍APT 攻击阶段划分 APT攻击可划分为以下6个

2、阶段:情报搜集首次突破防线幕后操纵通讯横向移动资产/资料发掘资料外传情报收集 黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究，然后开发出客制化攻击。这个阶段 是黑客信息收集阶段，其可以通过搜索引擎，配合诸如爬网系统，在网上搜索需要的信息，并通过过滤方式筛选自己所需要的信息；信息的来源很多，包括社交网站，博客，公司网站，甚至通过一些渠道购买相关信息（如公司通讯录等）首次突破防线 黑客在确定好攻击目标后，将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括：电子邮件；即时通讯；网站挂马；通过社会工程学手段欺骗企业内部员工下载或执行包含零

3、日漏洞的恶意软件（一般安全软件还无法检测），软件运行之后即建立了后门，等待黑客下一步操作。幕后操纵通讯 黑客在感染或控制一定数量的计算机之后，为了保证程序能够不被安全软件检测和查杀，会建立命令，控制及更新服务器（C&C服务器），对自身的恶意软件进行版本升级，以达到免杀效果；同时一旦时机成熟，还可以通过这些服务器，下达指令。采用http/https标准协议来建立沟通，突破防火墙等安全设备；C&C服务器会采用动态迁移方式来规避企业的封锁 黑客会定期对程序进行检查，确认是否免杀，只有当程序被安全软件检测到时，才会进行版本更新，降低被IDS/IPS发现的概率；横向移动 黑客入侵之后，会尝试通过各种手段

4、进一步入侵企业内部的其他计算机，同时尽量提高自己的权限。黑客入侵主要利用系统漏洞方式进行；企业在部署漏洞防御补丁过程存在时差，甚至部分系统由于稳定性考虑，无法部署相关漏洞补丁 在入侵过程中可能会留下一些审计报错信息，但是这些信息一般会被忽略。资产/资料发掘 在入侵进行到一定程度后，黑客就可以接触到一些敏感信息，可通过C&C服务器下发资料发掘指令：采用端口扫描方式获取有价值的服务器或设备；通过列表命令，获取计算机上的文档列表或程序列表；资料外传 一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传。资料外传同样会采用标准协议(http/https

5、，SMTP等）信息泄露后黑客再更具信息进行分析识别，来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍APT 防御的建议 情报收集阶段：在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。内部教育：教育员工有关在社交网络上公开太多信息的风险，尤其是工作相关的信息。小心谨慎 切勿在公开的个人网页上透露自己的个人和工作信息。保持警戒 社交网络缺乏面对面接触的特性，很容易让人卸下心防，因而透露一些平常不会透露给陌生人的讯息。提防小人 因特网上遇到的人，很可能不是他们看起来的样子。公司政策：封锁社交

6、网站或许不是解决此问题的最佳办法。不过，订定一些有关社交网络使用方式的公司政策并加强倡导，将有助于大幅降低锁定目标攻击的风险。首次突破防线防御 针对黑客的首次突破，可采用以下方式进行防御 寻找遭到渗透的迹象 大多数 APT攻击都是使用鱼叉式网络钓鱼。因此，检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件，就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。安全弱点评估 发掘并修补对外网站应用程序和服务的漏洞。内部教育 教育员工有关鱼叉式网络钓鱼的攻击手法，要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。幕后操纵通讯防御 针对存在的幕后操

7、纵通讯，可采用以下措施进行检测和防御 监控网络流量是否出现幕后操纵通讯 建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施，有助于企业发掘遭到入侵的主机，并且切断这类通讯。识别判断攻击者幕后操纵服务器的通讯 企业可在沙盒隔离环境(sandbox)当中分析内嵌恶意软件的文件(如鱼叉式网络钓鱼电子邮件的附件)来判断幕后操纵服务器的 IP地址和网域。更新网关安全政策截幕后通讯 一旦找出幕后操纵服务器的网域和 IP地址，就可更新网关的安全政策来拦截后续的幕后操纵通讯。横向移动防护 针对APT攻击的横向移动，可采取以下措施进行防护 漏洞防护 漏洞防护是一种主机式技术，能侦测任何针对主机漏洞的攻

8、击并加以拦截，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知和零时差(zero-day)漏洞攻击。档案/系统一致性监控 黑客有可能留下一些蛛丝马迹，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客有可能也会触动一些警示。限制并监控使用者存取与权限的使用 黑客常用的一种手法是，搜集技术支持系统管理员的登入信息，因为他们经常要权限较高的账号来登入出现问题的端点系统/主机。将系统管理员的访问权限与关键系统/数据的访问权限分开，能有效预防黑客透过端点上的键盘侧录程序搜集高权限的账号登入信息。运用安全信息与事件管理(SecurityInformation&Ev

9、entsManagement，简称 SIEM)工具来辅助记录文件/事件分析 对网络上的事件进行交叉关联分析，有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多，就可能是问题的征兆。资产/资料发掘防御 针对APT对内部资料进行挖掘和探测的防御，可采用以下防护措施：运用安全信息与事件管理(SecurityInformation&EventsManagement，简称 SIEM)工具来辅助记录文件/事件分析 对网络上的事件进行交叉关联分析，有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多，就可能是问题的征兆。漏洞防

10、护 漏洞防护是一种主机式技术，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知和零时差(zero-day)漏洞攻击。档案/系统一致性监控 黑客有可能留下一些蛛丝马迹，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客有可能也会触动一些警示。资料外传防护 针对资料外传的风险，一般可采用以下措施进行防护：加密和资料外泄防护(DLP)将关键、敏感、机密的数据加密，是降低数据外泄风险的一种方法 DLP可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则。事件管理

11、制度建立 制定一套事件管理计划来处理 APT相关攻击。针对 APT的每一个攻击阶段清楚定义并实行因应计划，包括：评估、监控与矫正。目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍典型案例 Google极光攻击：2019年的GoogleAurora（极光）攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终获成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。RSASecurID窃取攻击：2019年3月，EMC公司下属的RSA公司遭受入侵，公司关键技术及客户资

12、料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的PoisonIvy远端控制工具在受感染客户端，并开始自僵尸网络的命令控制服务器下载指令进行任务。超级工厂病毒攻击（震网攻击）：超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种0day一点一点的进行破坏。韩国黑客入侵事件：2013年3月20，韩国多家银行与其国内三大电视台大量计算机出现无法开机的问题，受影响计算机超过3万台，韩国花费超过3天以上时间才恢复正常运行。Google 极光攻击 1.搜集Goog

13、le员工在Facebook、Twitter等社交网站上发布的信息；2.利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造成IE浏览器溢出，远程下载并运行程序；3.通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问Google服务器的帐号密码等信息；4.使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定Gmail账户的邮件内容信息。RSASecurID 窃取攻击 1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2019Recrui

14、tmentplan.xls”；2.在拿到SecurID信息后，攻击者开始对使用SecurID的公司展开进一步攻击。3.其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的 AdobeFlash的0day漏洞（CVE-2019-0609）命中；4.该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务；5.首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；6.RSA发现开发用服务器（Stagingserver）遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹；韩国黑客入侵事件 根据韩国最终发布的分析报告认为，此次攻击持续时间长达8个月，从最初的入侵到最后爆发，黑客先后在韩国计算机中植入了76中恶意程序，其中9中具有破坏性，其余主要用于监控，扫描，入侵使用。是一起典型的APT攻击行为。4月韩国发布的最终受影响计算机数量由之前的3万2千台上升至4万8千台。docin/sanshengshiyuandoc88/sanshenglu 更多精品资源请访问