網絡安全威脅——APT攻擊

APT攻擊

- 1. 基本概念
- 2. APT的攻擊階段
- 3. APT的典型案例
- 參考

1. 基本概念

高級持續性威脅（APT，Advanced Persistent Threat），又叫高級長期威脅，是一種復雜的、持續的網絡攻擊，包含高級、長期、威脅三個要素。

高級是指執行APT攻擊需要比傳統攻擊更高的定制程度和復雜程度，攻擊人員通常根據需要開發更高級的工具，這需要花費大量時間和資源對目標進行掃描分析，挖掘研究系統漏洞
長期是為了達到特定目的，過程中“放長線”，持續監控分析目標，確保對目標保有長期訪問權
威脅強調的是人為參與策劃的攻擊，攻擊目標是高價值的組織，攻擊一旦得手，往往會給攻擊目標造成巨大的經濟損失或政治影響

主要特點

攻擊者組織嚴密：有組織發起的攻擊，可能具有軍事或政治目的，有時會與某個國家關聯在一起，而且背后往往有強大的資金及資源支持。
針對性強：攻擊者不會盲目攻擊，一般會很有針對性的選擇一個攻擊目標，該目標往往具有軍事、政治、經濟上的較高價值。
技術先進：APT攻擊的惡意代碼變種多且升級頻繁，結合尚未發布的零日漏洞，使得基于特征匹配的傳統檢測防御技術很難有效檢測出攻擊。
隱蔽性強：APT攻擊者具有較強的隱蔽能力，不會像DDoS攻擊一樣構造大量的報文去累垮目標服務器，基于流量的防御手段很難發揮作用；在整個過程中都會使用高級逃逸技術來刻意躲避安全設備的檢查，在系統中并無明顯異常，基于單點時間或短時間窗口的實時檢測技術和會話頻繁檢測技術也難以成功檢測出異常攻擊。
持續時間長：攻擊者一般都很有耐心，滲透過程和數據外泄階段往往會持續數月乃至數年的時間。

2. APT的攻擊階段

APT攻擊者通常是一個組織（查看著名APT組織），從瞄準目標到大功告成，要經歷多個階段。洛克希德-馬丁公司提出的網絡攻擊殺傷鏈 Cyber-Kill-Chain包括以下七個階段。

在這里插入圖片描述

（1）信息收集

RECONNAISSANCE

攻擊者選定目標后，首先要做的就是收集所有跟目標有關的情報信息。這些情報可能是目標的組織架構、辦公地點、產品及服務、員工通信錄、管理層郵箱地址、高層領導會議日程、門戶網站目錄結構、內部網絡架構、已部署的網絡安全設備、對外開放端口、企業員工使用的辦公OS和郵件系統、公司web服務器的使用的系統和版本等等。

（2）武器構建

WEAPONIZATION

信息收集完成后，就要考慮如何滲透到組織內部。從釣魚郵件、web服務器還是U盤入手？如果是釣魚郵件，利用哪種客戶端軟件的零日漏洞？如果是web服務器，目標用戶最常去的網站有哪些？

收集信息越多，社會工程攻擊就越無縫可擊。通過員工在LinkedIn上的信息，可以用魚叉式釣魚獲得公司內部資源。或者可以把遠程訪問木馬提前嵌入可能會錄入重要信息的文件里，以誘使接收者運行它。如果知道用戶或服務器運行的軟件信息，比如操作系統版本和類型，在企業網絡里滲透和布置的機會就大大增加。

滲透手段確定后，下一步則需要制作特定的惡意軟件。通常，攻擊者所在組織會有專門的團隊從事零日漏洞的挖掘和利用，他們也會密切關注一些漏洞報告平臺上的最新公告，利用這種公開或半公開披露的漏洞原理以及可能的POC代碼來進一步制作自己的趁手武器，例如帶有惡意代碼的pdf文件或office文件。這種惡意代碼被稱作shellcode，往往短小精悍，采用代碼混淆、加殼、加密等反偵測手段，并在投遞之前用各種最新的防病毒軟件檢測一遍，以期在投遞到目標網絡之后盡可能不被發現。

（3）載荷投送

DELIVERY

惡意軟件制作好，下一步是把它投遞到目標網絡內。常用的手法包括郵件的附件、網站（掛馬）、U盤等。

對于釣魚郵件攻擊，黑客務必要精心構造一封足以亂真的郵件內容，郵件標題、郵件內容、附件的名稱和類型，都要讓收件者放松警惕，產生興趣，最終打開郵件附件或郵件正文中的URL鏈接。例如2020 年結合疫情熱點發送釣魚郵件或制作誘餌文件，成為了全球高級持續性威脅的普遍趨勢。
對于網站（掛馬），要根據攻擊目標的興趣愛好，選擇一個合適的網站下手，這個網站必須存在可被利用的零日漏洞，然后對網站展開滲透和攻擊，攻破后放上一個能自動在后臺進行下載的腳本，讓訪問該網頁的目標用戶在不知不覺中就把含有惡意軟件下載到本地，同時利用瀏覽器漏洞來安裝執行。
而使用U盤載體來投遞惡意軟件的攻擊行為，一般需要近距離的接觸。當攻擊目標不在internet上，不連接外網時，是一種手段。

（4）漏洞利用

EXPLOITATION

當目標用戶使用含有漏洞的客戶端程序或瀏覽器打開帶有惡意代碼的文件時，就會被惡意代碼擊中漏洞，下載并安裝惡意軟件，惡意軟件通常是一個體積很小的遠程控制工具，業內簡稱為RAT（即Remote Administration Tool，或Remote Access Trojan），用于與控制服務器建立C&C信道。惡意程序一般還會提升權限或添加管理員用戶，把自己設置為開機啟動，甚至在后臺悄悄關閉或修改主機防火墻設置，以讓自己盡可能不被發現。

（5）安裝植入

INSTALLIATION

通常情況下，攻擊方安裝一個持續后門或植入，可以長時間訪問目標的工具終端防御檢測和記錄“異常”安裝活動。

同一個組織機構內部的辦公主機往往都是相同的系統、類似的應用軟件環境，因此很大程度上具備相同的漏洞，攻陷一臺內網主機后，惡意程序會橫向擴散到子網內其他主機或縱向擴散到企業內部服務器。由于RAT具備鍵盤記錄和屏幕錄像功能，因此很容易獲取用戶的域密碼、郵箱密碼及各類服務器密碼。

（6）命令控制

COMMAND & CONTROL

一旦威脅軟件在目標的網絡環境里扎根，惡意軟件將打開通信信道，以使攻擊方遠程操作目標。它可能下載額外的組件，更有可能的是通過C&C通道聯系一個僵尸網絡主控機。

（7）完成目標

ACTION ON OBJECTIVES

攻擊者成功地破壞、癱瘓或滲入系統后，攻擊者可轉移到另一個階段——盈利。攻擊者可能采取任意形式的組合，比如，通過破壞基礎設施來進行廣告欺詐或發送垃圾郵件、向企業勒索贖金、出售他們在黑市上獲得的數據，甚至劫持基礎設施出租給其他罪犯。

攻擊者的每一步過程中都通過匿名網絡、加密通信、清除痕跡等手段來自我保護，在機密信息外發的過程中，也會采用各種技術手段來避免被網絡安全設備發現。一方面化整為零，將機密信息打散、加密或混淆，避免DLP設備通過關鍵字掃描發現泄密；另一方面會限制發送的速率，以盡量不超過各類安全設備的檢測閾值。

3. APT的典型案例

Google Aurora極光攻擊、震網攻擊是2010年著名的APT攻擊，也是APT攻擊的典型案例。而近年來，供應鏈、遠程辦公、移動終端成為攻擊的切入點，例如2020年末的SolarWinds供應鏈事件。

（1）Google Aurora極光攻擊

Google Aurora極光攻擊是由一個有組織的網絡犯罪團伙精心策劃的有針對性的網絡攻擊，攻擊團隊向Google發送了一條帶有惡意連接的消息，當Google員工點擊了這條惡意連接時，會自動向攻擊者的C&C Server（Command and Control Server）發送一個指令，并下載遠程控制木馬到電腦上，成為“肉雞”，再利用內網滲透、暴力破解等方式獲取服務器的管理員權限，員工電腦被遠程控制長達數月之久，其被竊取的資料數不勝數，造成不可估量的損失。

（2）震網攻擊

2010年，“震網”病毒（Stuxnet）成功攻擊了伊朗核設施的離心機，僅僅2個月，報廢離心機約1000臺。據報道，“震網”是由多個國家發起的針對伊朗核設施的定向網絡攻擊事件，但一個編程錯誤使蠕蟲擴散到了其它不支持的操作系統上，才導致其在2010年6月被捕獲。

“震網”利用了7個漏洞，其中4個是零日漏洞。由于攻擊目標不在Internet上，不連接外網，與外界物理隔離，理論上不會遭遇外界攻擊。初期“震網”是經由特工之手將U盤插入目標系統或網絡的。“震網”還應用了非常多的隱身、偽裝、欺騙手法，例如，它的漏洞利用程序瞄準的是系統內核級別，以此逃脫反病毒軟件的掃描，實現“隱身”；它會仔細跟蹤自身在計算機上占用的處理器資源情況，只有在確定震網所占用資源不會拖慢計算機速度時才會將其釋放，以免被發現，它還盜用了兩家公司的數字簽名。

（3）SolarWinds供應鏈事件

2020年12月網絡安全公司 FireEye披露其公司購置的網管軟件廠商SolarWinds相關軟件中存在后門，該后門通過HTTP與第三方服務器進行通信。SolarWinds對全球客戶展開排查，經排查發現，多家大公司均被攻擊者通過該軟件作為入口而成功滲透。此外，多個政府機構也可能已經淪陷；世界500強企業中，也有超過9成受到影響；全球至少30萬家大型政企機構受到影響。

參考

360安全大腦
知道創宇安全威脅情報
安全資訊平臺
安全牛威脅情報

網絡安全學習路線&學習資源

網絡安全的知識多而雜，怎么科學合理安排？

下面給大家總結了一套適用于網安零基礎的學習路線，應屆生和轉行人員都適用，學完保底6k！就算你底子差，如果能趁著網安良好的發展勢頭不斷學習，日后跳槽大廠、拿到百萬年薪也不是不可能！

初級網工

1、網絡安全理論知識（2天）

①了解行業相關背景，前景，確定發展方向。
②學習網絡安全相關法律法規。
③網絡安全運營的概念。
④等保簡介、等保規定、流程和規范。（非常重要）

2、滲透測試基礎（一周）

①滲透測試的流程、分類、標準
②信息收集技術：主動/被動信息搜集、Nmap工具、Google Hacking
③漏洞掃描、漏洞利用、原理，利用方法、工具（MSF）、繞過IDS和反病毒偵察
④主機攻防演練：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系統基礎（一周）

①Windows系統常見功能和命令
②Kali Linux系統常見功能和命令
③操作系統安全（系統入侵排查/系統加固基礎）

4、計算機網絡基礎（一周）

①計算機網絡基礎、協議和架構
②網絡通信原理、OSI模型、數據轉發流程
③常見協議解析（HTTP、TCP/IP、ARP等）
④網絡攻擊技術與網絡安全防御技術
⑤Web漏洞原理與防御：主動/被動攻擊、DDOS攻擊、CVE漏洞復現

5、數據庫基礎操作（2天）

①數據庫基礎
②SQL語言基礎
③數據庫安全加固

6、Web滲透（1周）

①HTML、CSS和JavaScript簡介
②OWASP Top10
③Web漏洞掃描工具
④Web滲透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏掃等）

恭喜你，如果學到這里，你基本可以從事一份網絡安全相關的工作，比如滲透測試、Web 滲透、安全服務、安全分析等崗位；如果等保模塊學的好，還可以從事等保工程師。薪資區間6k-15k

到此為止，大概1個月的時間。你已經成為了一名“腳本小子”。那么你還想往下探索嗎？

【“腳本小子”成長進階資源領取】

7、腳本編程（初級/中級/高級）

在網絡安全領域。是否具備編程能力是“腳本小子”和真正黑客的本質區別。在實際的滲透測試過程中，面對復雜多變的網絡環境，當常用工具不能滿足實際需求的時候，往往需要對現有工具進行擴展，或者編寫符合我們要求的工具、自動化腳本，這個時候就需要具備一定的編程能力。在分秒必爭的CTF競賽中，想要高效地使用自制的腳本工具來實現各種目的，更是需要擁有編程能力.

零基礎入門，建議選擇腳本語言Python/PHP/Go/Java中的一種，對常用庫進行編程學習；搭建開發環境和選擇IDE,PHP環境推薦Wamp和XAMPP， IDE強烈推薦Sublime； ·Python編程學習，學習內容包含：語法、正則、文件、網絡、多線程等常用庫，推薦《Python核心編程》，不要看完； ·用Python編寫漏洞的exp,然后寫一個簡單的網絡爬蟲； ·PHP基本語法學習并書寫一個簡單的博客系統；熟悉MVC架構，并試著學習一個PHP框架或者Python框架 (可選)； ·了解Bootstrap的布局或者CSS。

8、超級網工

這部分內容對零基礎的同學來說還比較遙遠，就不展開細說了，貼一個大概的路線。感興趣的童鞋可以研究一下，不懂得地方可以【點這里】加我耗油，跟我學習交流一下。

網絡安全工程師企業級學習路線

如圖片過大被平臺壓縮導致看不清的話，可以【點這里】加我耗油發給你，大家也可以一起學習交流一下。

一些我自己買的、其他平臺白嫖不到的視頻教程：

需要的話可以掃描下方卡片加我耗油發給你（都是無償分享的），大家也可以一起學習交流一下。

結語

網絡安全產業就像一個江湖，各色人等聚集。相對于歐美國家基礎扎實（懂加密、會防護、能挖洞、擅工程）的眾多名門正派，我國的人才更多的屬于旁門左道（很多白帽子可能會不服氣），因此在未來的人才培養和建設上，需要調整結構，鼓勵更多的人去做“正向”的、結合“業務”與“數據”、“自動化”的“體系、建設”，才能解人才之渴，真正的為社會全面互聯網化提供安全保障。