你的网络上是否有重要的数据?察觉到有奇怪的网络状况?那么你可能已经沦为APT攻击的受害者了……
与传统网络攻击相比,黑客所发动的APTs(高级持续性威胁)是一个新兴的攻击类型。APTs会给企业和网络带来持续不断的威胁,能够发动APTs攻击的黑客,往往是一个有着良好纪律性的组织,作为一个专业团队集中进行网络活动。通常情况下,他们将宝贵的知识产权、机密的项目说明、合同与专利信息作为窃取目标。
发动APT的黑客在一般情况下所使用的方法便是用网络钓鱼邮件或其他的技巧来欺骗用户下载恶意软件。但其最终目的往往是极其核心的信息。若是发现一个非法入侵,但它唯一明显的意图就是去偷你企业的钱,那么这很可能不是一个APT攻击。那么真正的APTs攻击应该是什么样子呢?
因为APT黑客与普通黑客所用的技术不同,所以他们会留下不同的痕迹。在过去的十年里,我发现了若是出现下列5种信号的话,你的企业很有可能已经遭到了APTs攻击。在一个企业中,每个业务都有一个固定的、合法的活动频率,若其活动频率突然发生异变,说不定这部分业务正在被APT所利用。
APT信号 NO.1:在晚上,日志登录信息的暴增
APTs首先会攻陷一台电脑,然后会迅速接管整个网络大环境。通过读取数据库的身份认证,窃取证书并反复利用这些权限,从而达到接管整个网络的目的。他们了解哪些用户(或者服务)账户拥有更高的权限,有了这些特权,他们就可以游走于网络各方,危及企业的资产。因为攻击者的生活时差与我们相反,所以通常情况下,日志中大量的登录与注销记录的爆发都会发生在夜里。如果你突然发现日志的登录注销记录突然大量出现,而该时间段里,这些员工应该是在家休息的,那么你就需要警惕了!
APT信号 NO.2:广泛的后门木马
APT黑客经常在开发环境中在被感染的电脑里面装上后门木马。他们这样做是为了能够确保随时可以回来,即便是捕获的日志认证发生了改变,他们也能够通过此后门得到线索与信息。另一个相关的特征:一旦行踪暴露,APT黑客不会像普通攻击者那样马上逃走擦净痕迹,为什么会如此呢?他们在企业中操控了计算机等相关设备,而且只要他们本人不坦白,即使是走了法律流程,这些潜在的威胁也很难被发现。
这段时间以来,大多数被部署了木马的企业,均是被社会工程学的攻击手段钻了空子。这种攻击手段相当普遍,它们使APT攻击的成功率提高了不少。
APT信号 NO.3:意想不到的信息流动
我能想到的,检测APT活动的最好方法是:看到大量意想不到的数据流从内部计算机向外部流动。有可能是从服务器流向服务器,也有可能是从服务器流向客户端或是从网络移动到网络。
这些数据流可能是有限的,但是却具备非常强的针对性。比如会有些人专门收取一些国外发来的邮件。我希望每个邮件客户端都能够显示最新的用户登录地点以及最后访问的登录地点。Gmail和其他一些云电子邮件系统已经能够实现这一点。
当然,为了更准确地判断APT攻击,你必须能够从数据流中判断是否存有异常,那么现在就开始了解你的数据流基准信息吧。
APT信号 NO.4:发现意外的大数据包
APTs攻击通常将窃取的信息在内部进行整合,然后再传输到外部。如果发现大块数据(这里指的是千兆字节的数据)出现在不该出现的地方,特别是那种在企业内部不常出现的压缩格式,或是不需要压缩的文件。发现这些数据后,你千万需要小心了。
APT信号 NO.5:检测哈希传递(pass-the-hash)黑客工具
虽然APTs攻击中不是总是使用哈希值传递工具,这个工具却会经常弹出。奇怪的是,黑客使用这个工具后,往往会忘记将其删除。如果你发现了一个孤零零的哈希工具挂在那里,那他们肯定是有一点慌张了,或许至少可以证明他们确实是有所动作,你应该进一步深入调查。
如果非要让我总结出APT攻击的第6个信号的话,那么我将会强烈反对企业使用变态的Adobe Acrobat PDF文件,因为它是引起鱼叉式网络钓鱼活动的重点。它是诱发APT攻击的根源,我并没有将其写进上面5个信号中,因为Adobe Acrobat在任何地方都会被利用上。但是,如果你发现了一个鱼叉式网络钓鱼攻击,尤其是在一些高管不慎点击了附加PDF文件后,你一定要开始着手寻找其他的攻击特征。这很可能是APT攻击的前奏。
话虽如此,但我希望你永远不需要面对APT攻击,它是你和你的企业最难以做到的事情之一。预防和早期检测将会减轻你的痛苦与压力。
