高持续性威胁(APT)是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划,并具备高度的隐蔽性,才可能取得成功。这种攻击方式往往不会追求短期的经济收益和单纯的系统破坏,而是专注于步步为营的系统入侵,每一步都要达到一个目标,而不会做其他多余的事来打草惊蛇。
APT旨在突破企业防御系统的高明攻击,今年,出现了许多针对公司和政府的高级攻击(例如Gauss和Flame)。这些攻击被称为高级持续性威胁(APT)。他们高度复杂并经过仔细构建。APT攻击背后的意图是获得网络访问权限并偷偷地窃取信息。高级持续性威胁(APT)采取low-and-slow的方式,常常难以被发现,成功率很高。
APT入侵客户的途径多种多样,主要包括以下几个方面。其一是以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。另外,社交工程的恶意邮件是许多APT攻击成功的关键因素之一。
随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。
总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。“潜伏性和持续性”是APT攻击最大的威胁。
高级持续性威胁(APT)的潜伏性,主要表现在这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
APT的持续性则表现在,该类攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
高级持续性威胁(APT)基本上都会锁定明确目标,针对特定政府或企业,长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。
在成功侵入目标系统以后,高级持续性威胁(APT)一般都会安装远程控制工具。攻击者建立一个类似僵尸网络Botnet的远程控制架构,攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。
虽然APT的恶意软件可以一直潜伏在主机里面,然而其远程控制等相关网络活动则相对容易被发现。所以,APT攻击的有效防范就是在网络层进行控制和中断。也有不少人认为,数据盗窃者绝不可能完全不被看到。在输出数据中查找异常现象可能是管理员发现网络成为APT目标的最好方式。