網路安全知識apt攻擊

㈠ APT攻擊的APT攻擊三個階段

1. 攻擊者發送惡意軟體電子郵件給一個組織內部的收件人。例如，Cryptolocker就是一種感染方式，它也稱為勒索軟體，其攻擊目標是Windows個人電腦，會在看似正常的電子郵件附件中偽裝。一旦收件人打開附件，Cryptolocker就會在本地磁碟上加密文件和映射網路磁碟。如果你不乖乖地交贖金，惡意軟體就會刪除加密密鑰，從而使你無法訪問自己的數據。2. 攻擊者會感染一個組織中用戶經常通過DNS訪問的網站。著名的端到端戰網Gameover Zeus就是一個例子，一旦進入網路，它就能使用P2P通信去控制受感染的設備。3. 攻擊者會通過一個直連物理連接感染網路，如感染病毒的U盤。下載真實的APT：一旦進入組織內部，幾乎在所有的攻擊案例中，惡意軟體執行的第一個重要操作就是使用DNS從一個遠程伺服器上下載真實的APT。在成功實現惡意目標方面，真實的APT比初始感染要強大許多。傳播和連回攻擊源：一旦下載和安裝之後，APT會禁用運行在已感染計算機上的反病毒軟體或類似軟體。不幸的是，這個操作並不難。然後，APT通常會收集一些基礎數據，然後使用DNS連接一個命令與控制伺服器，接收下一步的指令。數據盜取：攻擊者可能在一次成功的APT中發現數量達到TB級的數據。在一些案例中，APT會通過接收指令的相同命令與控制伺服器接收數據。然而，通常這些中介伺服器的帶寬和存儲容量不足以在有限的時間范圍內傳輸完數據。此外，傳統數據還需要更多的步驟，而步驟越多就越容易被人發現。因此，APT通常會直接連接另一個伺服器，將它作為數據存儲伺服器，將所有盜取的數據上傳到這個伺服器中。最後這個階段一樣會使用DNS。

㈡ 先認識再防範：如何抵禦APT攻擊

據或者知識產權信息的威脅。而准確地說，高級持續性威脅（Advanced Persistent Threat）是指組織（特別是政府）或者小團體使用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。 本文中，我們將看看APT（高級持續性威脅）是如何演變的以及你需要如何抵禦這種類型的威脅。 哪些人受到威脅？ 一些網路管理員看完APT的定義後，得出的結論是他們的網路並沒有受到威脅。中小型企業怎麼可能成為大型網路犯罪團伙或國家的攻擊對象？實際上，APT剛開始主要是政府機構為國防需要採取的攻擊手段，後來APT攻擊者將他們的范圍擴大到了攻擊公司，例如谷歌，但並不是只有大型高科技公司才會成為攻擊目標。雖然對於APT攻擊者而言，政府機構或者涉及國家安全或者國防承包項目的大型跨國企業更具吸引力，但企業規模並不是關鍵，因為近來，很多小公司也開始負責存儲情報片段數據來獲得政治或經濟利益。還有那些處於一定職位，能夠訪問情報信息的個人也可能成為攻擊目標。 即使是在安全方面投入血本的大型企業仍然可能受到APT攻擊，通過各種不同的手段，例如有時候只需要簡單地利用尚未修補的已知漏洞。在企業環境中，政策通常會規定新的補丁在部署到生產機器前必須進行全面的測試，這樣做無疑可以避免不兼容的問題，但這卻讓你的系統處於威脅之中。在其他情況下，無線安全漏洞、智能手機橋接，甚至雲供應商網路滲透都可能為APT攻擊者敞開大門。 任何規模的公司，只要員工可以訪問網站、使用電子郵件（尤其是HTML郵件）、傳輸文件等，就有可能受到APT威脅，這些活動可以被利用來傳輸APT組件，例如惡意軟體可以通過路過式下載、感染附件或文件進行傳輸。即使是部署了強大的邊緣保護的企業仍然無法逃過APT攻擊，例如通過內部接入被感染的可移動驅動器（U盤、快閃記憶體卡）、其他地方被感染的筆記本電腦等。 APT採取怎樣的形式？ 高級持續性攻擊的「高級」是指，這種攻擊形式的攻擊者有一個基於特定戰略的縝密的計劃，即使他們使用的是相對簡單的機制來實施。換句話說，APT攻擊者不一定是嫻熟的黑客，他們可以利用互聯網上現成的腳本，和修改別人的惡意軟體，或者他們可以創建自定義惡意軟體來攻擊特定目標。通常，他們使用許多不同攻擊類型來攻擊同一目標，並且不斷來回攻擊，也就是所謂的「持續性」。並且，這種攻擊通常是以隱形且低調的方式進行的，APT攻擊者都是隱形專家，他們採取措施來掩蓋他們的蹤跡，避免在日誌中留下入侵的證據。 APT攻擊者也使用社會工程技術和/或招募內部人員來獲取有效登錄憑證。分支機構通常沒有總部那麼嚴格的安全防範措施，因此有時會被利用來通過遠程訪問向目標系統植入惡意軟體。一旦安裝了惡意軟體，攻擊者就能夠從任何地方訪問和控制你的系統，或者採用自動化程序，這樣惡意軟體就會將你的重要數據發送給攻擊者。 APT攻擊者選擇使用何種工具主要取決於他們的攻擊目標是什麼以及其網路配置和安全狀況。這里有個簡單的比喻：竊賊可能可以使用信用卡打開簡單鎖的房門，但是如果所有門都是呆鎖，他就要找不同的工具來進去了。同樣的，APT攻擊者通常會盡可能使用最簡單的工具來進行攻擊。為什麼要浪費一個定製的先進工具在不必要的工作上呢？而且這種工具只會給APT攻擊者留下馬腳。 APT攻擊者經常利用僵屍網路，僵屍網路能夠給他們提供更多資源來發動攻擊，並且很難追蹤到攻擊的源頭。雖然僵屍網路經常與垃圾郵件聯系在一起，但它們可以用於多種類型的攻擊。一個簡單的命令和控制伺服器就可以控制位於數百個不同公司的電腦，這些電腦上的惡意軟體可以不斷更新，一直「領先於」你的檢測工具。即使你的公司不是APT攻擊的目標，你的網路也可能在你不知情的情況下被用來作為犯罪工具：作為僵屍網路的一部分，用來攻擊其他網路。 檢測APT 必須明確的是，APT並不是一種特定攻擊方法，它描述了「誰、什麼和為什麼」而沒有說明「如何」。市面上並沒有商業解決方案可以真正檢測或者抵禦APT，然而，APT卻淪為了眾多安全供應商的營銷短語和流行用語（雖然他們甚至不知道它的含義）。 針對已知攻擊的解決方案可能無法檢測先進的APT攻擊，因為這種攻擊是以「隱形模式」進行的。檢測APT需要一個良好的監控解決方案，能夠識別和分析伺服器和客戶端的微妙變化和異常。無論攻擊者的犯罪計劃多麼縝密，他必然會留下點蹤跡，也就是刑事調查中的痕跡證據，這種證據並不明顯，甚至可能是肉眼看不見的。在數字世界中，APT攻擊者為了發動攻擊（進入網路、植入惡意軟體、復制數據）肯定會在系統的某處留下一些模糊的蹤跡。你的安全軟體必須能夠識別這些標記，將其作為潛在惡意活動的指示。與手動檢查文件相比，軟體不僅更快而且更有效，因為APT攻擊者通常會使用這樣的詭計：惡意程序文件名與常見Windows文件類似。軟體可以識別文件名的細微區別（例如使用大寫I代替小寫L等），而肉眼很難識別。 一旦發現了異常行為，就會引發對受感染機器進行更進一步的檢查。另一個關鍵要素是及時通知，這樣的話，就可以盡快對機器進行全面檢查，而且應該及時保存APT攻擊的證據，因為聰明的APT攻擊者會嘗試刪除他們的蹤跡以避免被檢測到。 軟體是檢測網路中異常的最好工具，而APT檢測的另一方面則需要人為因素，也就是指你可以收集關於網路犯罪的最新情況。正如傳統恐怖分子通常會通過 「聊天框」來發出信號，APT攻擊者可能會通過不同的通信渠道發出信號，說明攻擊正在計劃中或者已經取得進展等。但你並不需要安排一個人來攔截和分析這些聊天信息，但是你需要清楚網路犯罪世界發生了什麼事情。 保護你的網路 很多抵禦APT攻擊的防禦措施與你可能已經部署的用來抵禦一般惡意軟體和入侵威脅的措施相同。良好的防病毒和防惡意軟體是很重要的，但同樣重要的是，你要明白在APT攻擊中，滲透者的資源通常要比那些一般攻擊者要多得多。這意味著他們可以僱傭專門的程序員隨時來創建或者修改惡意軟體，根本沒有安全供應商創建了定義，也就是零日威脅。 根據定義，APT是一種有針對性的攻擊，公司的公共事業和聲譽都可能導致公司成為APT攻擊目標。因此聲譽/品牌監控和管理可以是抵禦這種攻擊的重要因素。「邪惡公司（Evil corporations）」和那些立場（政治立場、社會立場或其他）不受APT攻擊者歡迎的公司很可能成為攻擊目標。而在某些情況下，處於某一行業（油公司、銀行等）就足以讓你成為攻擊對象。然而，你可以通過精心培養公司的公眾形象來減少風險。

㈢ 應對APT 攻擊的措施或方法有哪些

我認為防禦APT攻擊，和增強一個企業的信息安全程度是一致的。信息安全的整體思想其實就在對抗APT。下面都是雜談。

（1）網路設備和服務
1. 合理配置邊防設備，例如防火牆。具備基本的出入過濾功能，條件允許的實況下使用屏蔽子網結構。防火牆策略按照默認拒絕。如果願意安裝入侵檢測系統更好。
2. 使用有相關安全技術的路由器，例如很多新的路由器有一定的抗ARP攻擊的能力。
3. 善於使用代理伺服器（例如反向代理）、web網關（例如一些檢測xss的軟體）
4. 內部的辦公工作，設計為只有內網用戶可以進行。有子公司的情況下，使用VPN技術。
5. 郵件系統要具有防假冒郵件、防垃圾郵件的基本能力。
6. 全網內的終端機器，至少使用可靠可更新的安全反病毒軟體。
7. 不必要的情況下，企業內部不要配置公共Wifi。如果需要，限制公共Wifi的許可權，使用有效密碼，至少使用WPA2的安全設置，條件允許可以隱藏SSID。
8. 企業內部的通訊使用加密，對抗監聽和中間人。

（2）安全管理
1. 企業建立安全策略，分配職責，僱傭背景清晰的安全工作人員。
2. 企業制度允許的情況下，合理運用強制休假、崗位輪換的方法。
3. 企業有一定許可權的管理人員（例如人事部門），要合理分權，最小許可權，不能集中某一些人都有最高的許可權，特別領導同志要主動放棄最高許可權。
4. 入職和離職的時候要仔細檢查，例如離職時要有人監督他收拾東西離開，避免最後一刻留下後門，還要及時清除他的賬戶。使用證書的企業，還要停止他的證書。
5. 要建立日誌審核的制度，有專門的人員審核邊防設備記錄的重要信息。
6. 企業架設合理的打卡、門禁制度，作為確定用戶的上下班時間，在其不在職時間的奇怪訪問，很可能是攻擊。
7. 員工定期清理自己的桌面（不是電腦桌面），目的是確保秘密的文件沒有被隨意放置。
8. 員工系統使用強密碼，使用要求密碼的電腦屏保。
9. 員工使用的電子設備有基本的防盜能力，至少有鎖屏圖案，最好有遠程數據抹除，如果有全設備加密更好。
10. 及時更新公司的操作系統到穩定的安全版本，這樣可以有效對抗新攻擊。特別是web伺服器。
11. 設立一定的監督記錄，例如員工不要使用電驢這些可能泄漏敏感信息的內容。
12. 僱傭有資質的單位，對員工進行安全培訓，使員工明白基本的安全知識。

（3）物理安全
1. 建築要有一定的防盜設計，例如人造天花板的設計、重要的門有B型以上的鎖。
2. 高度機密的環境下，可以使用電磁屏蔽的技術，一般用於機房。
3. 僱傭必要的保安人員，設置攝像頭。

（4）Web安全
1. 企業的Web伺服器很可能受到攻擊，應該配置基本的安全防護軟體，盡量使用適當硬化的系統（有條件的情況下配置Linux而不是Windows，並刪除不必要的功能和服務）。
2. 企業的Web應用，如果自身沒有安全開發的能力，應該外包給有資質，特別是經濟情況正常的企業完成。要避免為了節省費用，使用小家的企業去做。
3. 內網如果有Web服務（如內部辦公，應該和外網適當分離。
4. 隱藏一些可能泄漏伺服器軟體類型和版本的信息。

（5）長期的安全維護
1. 僱傭有能力的、安全底細清楚的安全人員，或者咨詢外面的公司。
2. 定期使用缺陷掃描儀、埠掃描儀等等進行檢查。
3. 有條件的企業，應該配置蜜罐或者蜜網。
4. 建立安全基準，有助於識別未知的安全攻擊。

㈣ APT攻擊的APT攻擊防範方式

使用威脅情報。這包括APT操作者的最新信息；從分析惡意軟體獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，並由行業網路安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立「絆網」來提醒你網路中的活動。建立強大的出口規則。除網路流量（必須通過代理伺服器）外，阻止企業的所有出站流量，阻止所有數據共享、誒網站和未分類網站。阻止SSH、FTP、Telnet或其他埠和協議離開網路。這可以打破惡意軟體到C2主機的通信信道，阻止未經授權的數據滲出網路。收集強大的日誌分析。企業應該收集和分析對關鍵網路和主機的詳細日誌記錄以檢查異常行為。日誌應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。聘請安全分析師。安全分析師的作用是配合威脅情報、日誌分析以及提醒對APT的積極防禦。這個職位的關鍵是經驗。

㈤ APT攻擊的概念

高級持續性威脅(Advanced Persistent Threat，APT)，威脅著企業的數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網路攻擊和侵襲行為，是一種蓄謀已久的「惡意商業間諜威脅」。這種行為往往經過長期的經營與策劃，並具備高度的隱蔽性。APT的攻擊手法，在於隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種「網路間諜」的行為。

㈥ apt攻擊過程中哪步是最為重要的

APT攻擊特點

1. 極強的隱蔽性

2. 對此可這樣理解，APT攻擊已經與被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合，在組織內部，這樣的融合很難被發現。例如，2012年最火的APT攻擊「火焰(Flame)」就是利用了MD5的碰撞漏洞，偽造了合法的數字證書，冒充正規實現了欺騙攻擊。

3. 2.潛伏期長，持續性強

4. APT攻擊是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環境中存在一年以上，他們不斷收集用戶信息，直到收集到重要情報。他們往往不是為了在短時間內獲利，而是把「被控主機」當成跳板，持續搜索，直到充分掌握目標對象的使用行為。所以這種攻擊模式，本質上是一種「惡意商業間諜威脅」，因此具有很長的潛伏期和持續性。

5. 3.目標性強

6. 不同於以往的常規病毒，APT製作者掌握高級漏洞發掘和超強的網路攻擊技術。發起APT攻擊所需的技術壁壘和資源壁壘，要遠高於普通攻擊行為。其針對的攻擊目標也不是普通個人用戶，而是擁有高價值敏感數據的高級用戶，特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感數據持有者。

來自網路

㈦ 什麼是 APT 攻擊

是Advanced Persistent
Threat的簡寫，意思是高級持續性威脅，APT攻擊是將所有網路攻擊手段綜合起來的一種長期、持續性的網路攻擊形式，它的攻擊手法十分隱蔽，能夠給攻擊目標帶來巨大的傷害。攻擊目標通常是政府機構、具有高價值的公司，主要目的是竊取情報、破壞關鍵基礎設施。
一直以來，APT攻擊對於國家和企業來說都是一個巨大的網路安全威脅，而且，APT攻擊已經隨著互聯網滲透到社會的各個角落。當我們的網路遭受到APT攻擊後，會帶來哪些影響?
APT攻擊有哪些危害?
⒈監控
黑客會對攻擊目標發送含有木馬病毒的釣魚郵件、文件等，一旦點開，受害者就會成為黑客長期監控的對象，監控的內容包括簡訊、通話、視頻等。
⒉竊取數據
當我們的網路系統出現漏洞時，黑客就會利用該漏洞發起APT攻擊，進而竊取數據，並且，APT攻擊具有很強的隱蔽性，能夠輕易進入核心資料庫。
⒊勒索
部分組織的防禦性不夠強，就會被APT攻擊攻破，這時，黑客就會向組織開出高額贖金，否則就將組織的數據外傳或者銷毀。
⒋摧毀
當組織的網路系統被APT攻擊摧毀，將無法對請問訪問、服務的流量做出回應，會對企業和國家造成危害。
APT攻擊防範措施
⒈APT攻擊的隱蔽性強，要抵禦它，就要先找到它，通過對組織網路系統進行檢測，可以在第一時間發現它並及時防禦。
⒉組織還可以通過部署雲防產品，對檢測到的數據進行深度分析，也能監控、攔截不安全的訪問流量。
⒊將敏感且涉密的數據進行加密，能夠保證數據不外泄，也能保證數據不被非法訪問。
最重要的是，面對APT攻擊，組織要有安全意識，加強對網路系統的保護，也要制定好防範

㈧ apt攻擊是什麼

APT攻擊
高級持續性威脅(Advanced Persistent Threat，APT)，威脅著企業的數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網路攻擊和侵襲行為，是一種蓄謀已久的「惡意商業間諜威脅」。這種行為往往經過長期的經營與策劃，並具備高度的隱蔽性。APT的攻擊手法，在於隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種「網路間諜」的行為。
APT入侵客戶的途徑多種多樣，主要包括以下幾個方面。
——以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。
——社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。
——利用防火牆、伺服器等系統漏洞繼而獲取訪問企業網路的有效憑證信息是使用APT攻擊的另一重要手段。
總之，高級持續性威脅(APT)正在通過一切方式，繞過基於代碼的傳統安全方案(如防病毒軟體、防火牆、IPS等)，並更長時間地潛伏在系統中，讓傳統防禦體系難以偵測。
「潛伏性和持續性」是APT攻擊最大的威脅，其主要特徵包括以下內容。
——潛伏性：這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利，而是把「被控主機」當成跳板，持續搜索，直到能徹底掌握所針對的目標人、事、物，所以這種APT攻擊模式, 實質上是一種「惡意商業間諜威脅」。
——持續性：由於APT攻擊具有持續性甚至長達數年的特徵，這讓企業的管理人員無從察覺。在此期間，這種「持續性」體現在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網路內部後長期蟄伏。
——鎖定特定目標：針對特定政府或企業，長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信,取得在計算機植入惡意軟體的第一個機會。
——安裝遠程式控制制工具：攻擊者建立一個類似僵屍網路Botnet的遠程式控制制架構，攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。將過濾後的敏感機密數據，利用加密的方式外傳。

㈨ APT攻擊造成危害有哪些

企業信息安全得不到保障，嚴重者會影響企業自身發展，同時泄露企業敏感信息也會給企業帶來不可估量的負面社會影響和損失。
查看原文：http://www.cww.net.cn/tech/html/2015/12/22/201512221622468350.htm

㈩ apt攻擊從美國大片到網路現實 人的弱點.指什麼人

APT攻擊 高級持續性威脅(Advanced Persistent Threat，APT)，威脅著企業的數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網路攻擊和侵襲行為，是一種蓄謀已久的「惡意商業間諜威脅」。這種行為往往經過長期的經營與策劃