網站建設����,我們怎么處理網絡APTs攻擊
作者:網站建設出處:學眾科技發(fā)布時間:2020年06月17日點擊數(shù):1786
你的網絡上是否有重要的數(shù)據(jù)�����?察覺到有奇怪的網絡狀況���?那么你可能已經淪為APT攻擊的受害者了……
與傳統(tǒng)網絡攻擊相比����,黑客所發(fā)動的APTs(高級持續(xù)性威脅)是一個新興的攻擊類型�����。APTs會給企業(yè)和網絡帶來持續(xù)不斷的威脅���,能夠發(fā)動APTs攻擊的黑客�����,往往是一個有著良好紀律性的組織�����,作為一個專業(yè)團隊集中進行網絡活動���。通常情況下���,他們將寶貴的知識產權、機密的項目說明��、合同與專利信息作為竊取目標�。
發(fā)動APT的黑客在一般情況下所使用的方法便是用網絡釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息���。若是發(fā)現(xiàn)一個非法入侵����,但它唯一明顯的意圖就是去偷你企業(yè)的錢�,那么這很可能不是一個APT攻擊。那么真正的APTs攻擊應該是什么樣子呢����?
因為APT黑客與一般 黑客所用的技術不同,所以他們會留下不同的痕跡����。在過去的十年里���,我發(fā)現(xiàn)了若是出現(xiàn)下列5種信號的話,你的企業(yè)很有可能已經遭到了APTs攻擊���。在一個企業(yè)中,每個業(yè)務都有一個固定的��、合法的活動頻率�����,若其活動頻率突然發(fā)生異變���,說不定這部分業(yè)務正在被APT所利用�。
APT信號 NO.1:在晚上��,日志登錄信息的暴增
APTs首先會攻陷一臺電腦����,然后會迅速接管整個網絡大環(huán)境。通過讀取數(shù)據(jù)庫的身份認證��,竊取證書并反復利用這些權限,從而達到接管整個網絡的目的��。他們了解哪些用戶(或者服務)賬戶擁有更高的權限��,有了這些特權���,他們就可以游走于網絡各方�����,危及企業(yè)的資產���。因為攻擊者的生活時差與我們相反,所以通常情況下����,日志中大量的登錄與注銷記錄的爆發(fā)都會發(fā)生在夜里。如果你突然發(fā)現(xiàn)日志的登錄注銷記錄突然大量出現(xiàn)�,而該時間段里,這些員工應該是在家休息的�����,那么你就需要警惕了!
APT信號 NO.2:廣泛的后門木馬
APT黑客經常在開發(fā)環(huán)境中在被感染的電腦里面裝上后門木馬。他們這樣做是為了能夠確保隨時可以回來�,即便是捕獲的日志認證發(fā)生了改變,他們也能夠通過此后門得到線索與信息���。另一個相關的特征:一旦行蹤暴露�,APT黑客不會像一般 攻擊者那樣馬上逃走擦凈痕跡�����,為什么會如此呢�?他們在企業(yè)中操控了計算機等相關設備���,而且只要他們本人不坦白�,即使是走了法律流程��,這些潛在的威脅也很難被發(fā)現(xiàn)�。
這段時間以來,大多數(shù)被部署了木馬的企業(yè)�,均是被社會工程學的攻擊手段鉆了空子。這種攻擊手段相當普遍�����,它們使APT攻擊的成功率提高了不少。
APT信號 NO.3:意想不到的信息流動
我能想到的���,檢測APT活動的最好方法是:看到大量意想不到的數(shù)據(jù)流從內部計算機向外部流動����。有可能是從服務器流向服務器���,也有可能是從服務器流向客戶端或是從網絡移動到網絡�。
這些數(shù)據(jù)流可能是有限的���,但是卻具備非常強的針對性���。比如會有些人專門收取一些國外發(fā)來的郵件。我希望每個郵件客戶端都能夠顯示最新的用戶登錄地點以及最后訪問的登錄地點�。Gmail和其他一些云電子郵件系統(tǒng)已經能夠實現(xiàn)這一點。
當然�,為了更準確地推斷 APT攻擊,你必須能夠從數(shù)據(jù)流中推斷 是否存有異常����,那么現(xiàn)在就開始了解你的數(shù)據(jù)流基準信息吧。
APT信號 NO.4:發(fā)現(xiàn)意外的大數(shù)據(jù)包
APTs攻擊通常將竊取的信息在內部進行整合��,然后再傳輸?shù)酵獠俊H绻l(fā)現(xiàn)大塊數(shù)據(jù)(這里指的是千兆字節(jié)的數(shù)據(jù))出現(xiàn)在不該出現(xiàn)的地方�����,特別是那種在企業(yè)內部不常出現(xiàn)的壓縮格式����,或是不需要壓縮的文件。發(fā)現(xiàn)這些數(shù)據(jù)后�,你千萬需要小心了。
APT信號 NO.5:檢測哈希傳遞(pass-the-hash)黑客工具
雖然APTs攻擊中不是總是使用哈希值傳遞工具��,這個工具卻會經常彈出��。奇怪的是�,黑客使用這個工具后�,往往會忘記將其刪除。如果你發(fā)現(xiàn)了一個孤零零的哈希工具掛在那里��,那他們肯定是有一點慌張了��,或許至少可以證明他們確實是有所動作���,你應該進一步深入調查��。
如果非要讓我總結出APT攻擊的第6個信號的話��,那么我將會強烈反對企業(yè)使用變態(tài)的Adobe Acrobat PDF文件���,因為它是引起魚叉式網絡釣魚活動的重點�。它是誘發(fā)APT攻擊的根源���,我并沒有將其寫進上面5個信號中�����,因為Adobe Acrobat在任何地方都會被利用上���。但是,如果你發(fā)現(xiàn)了一個魚叉式網絡釣魚攻擊�,尤其是在一些高管不慎點擊了附加PDF文件后,你一定要開始著手尋找其他的攻擊特征����。這很可能是APT攻擊的前奏。
話雖如此����,但我希望你永遠不需要面對APT攻擊���,它是你和你的企業(yè)最難以做到的事情之一。預防和早期檢測將會減輕你的痛苦與壓力�。
豫公網安備41018402000614號