高持续性威胁(APT)是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划,并具备高度的隐蔽性,才可能取得成功。这种攻击方式往往不会追求短期的经济收益和单纯的系统破坏,而是专注于步步为营的系统入侵,每一步都要达到一个目标,而不会做其他多余的事来打草惊蛇。
想要给APT(Advanced Persistent Threat)做一个定义是非常困难的事情,但是我们能从字面上来简单理解一下高持续性威胁(Advanced Persistent Threat)的涵义:
A-Advanced:入侵团队会在背地里动手动脚,采用全方位的计算机入侵技术。有时候个别部分的攻击技术可能无法去把它归类,这一点特别体现在"高级(Advanced)"上,(例如恶意软件组件常会用到的DIY工具箱,或者是使用容易产生此类漏洞的工具),入侵团队通常需要自己开发那些更先进的工具,他们结合了多种攻击方法和工具,以便达到预先设定好的目标。
P-Persistent:他们通常会优先考虑制定的任务,而不是机会主义者追求的即时经济效益。这种区别意味着,所发动的攻击是由外部实体人员监控指导的。通过连续不断的检测和侦查,实现目标的确定与攻击。而不是用持续不断的攻击或者是不断更新恶意软件来发动攻势,事实上,这种"低慢"的攻击方式,是比较成功的。
T-Threat:这是一个由组织者进行协调和指挥的人为攻击,而不是用无意识的自动代码发起的攻击。入侵团队会有一个具体的目标,这个团队也会非常的有上进心,有组织性,并且有充足的资金。
APT入侵企业的途径
即便有一个很好的安全策略与防护体系的存在,通过各种各样的载体,APT也可以入侵到企业内部。
◆基于互联网恶意软件的感染
◆物理恶意软件的感染
◆外部入侵
有很好资金支持的APT对手不一定要从边界网络进行入侵,他们经常会充分利用具有"内部威胁"和"受信链接"的定向访问和目标系统的漏洞。
滥用和泄露"受信链接"是许多APT攻击成功的关键因素。虽然被攻击的企业可以采用非常高端的技术来防止信息泄露,但犯罪团伙往往会通过企业的某个雇员或者是商业伙伴的远程办公来劫持敏感的数据(例如合法的身份凭证等)。所以,几乎每个企业的远程站点都有可能成为数据泄漏的牺牲品。
APT成功的另一个关键因素就是它够隐蔽,尽可能地不被任何人发现。为此,APT犯罪团伙往往把攻击的重点放在"低慢"上面--慢慢地,悄悄地从一个被入侵的主机移动到下一个主机上面,其中也不会产生可被监测的网络流量,从而寻找自己需要的数据和目标系统。
恶意软件也是APT攻击成功与否的核心要素。这些恶意软件包括一些必须特性和功能,它们能够感染系统,并且隐藏在具有检测系统的主机上面,从而扫描网络和捕获关键数据,提供视频监控,通过远程控制通道隐蔽地发送出信息。如果有必要,APT入侵者会自己开发具有特定功能的恶意软件来达到目标,从而非法获取系统数据,这也是每个APT攻击的核心控制功能。通过恶意软件的部署,攻击者可以操纵本地系统,并获得持续访问的权限。
如果APT的恶意软件不能和其攻击者保持连接的话,它就不能发送任何已获取的情报。实际上,这就像是它被做了绝育手术一样。也有人说,这一点使得APT被当做了僵尸网络的子类,虽然APT的恶意软件可以一直潜伏在主机里面,然而其远程控制等相关网络活动则相对容易被发现。所以,APT攻击的有效防范就是在网络层进行控制和中断。也有不少人认为,数据盗窃者绝不可能完全不被看到。在输出数据中查找异常现象可能是管理员发现网络成为APT目标的最好方式。