找回密码
 立即注册

揭秘APT攻击: 网络世界的高级间谍

2018-9-13 15:15| 发布者: 索拉| 查看: 54| 评论: 0

摘要: “提到APT攻击,很多人可能并不熟悉,但提到它的斑斑劣迹,大家绝不陌生。”“像伊朗核电站工控系统遭遇‘震网’病毒袭击,以及专门攻击我国海事部门的黑客组织‘海莲花’,两起事件本质上都是APT攻击。”普通的黑客 ...

“提到APT攻击,很多人可能并不熟悉,但提到它的斑斑劣迹,大家绝不陌生。”



“像伊朗核电站工控系统遭遇‘震网’病毒袭击,以及专门攻击我国海事部门的黑客组织‘海莲花’,两起事件本质上都是APT攻击。”


普通的黑客攻击就像现实生活中常见的坑蒙拐骗,商业模式追求的是感染量,以量的优势获取更多利益,例如盗取QQ号、作流氓推广等。而APT则是以网络为媒介的间谍行为,一切以拿下对象为目标,结果常常是窃密或破坏。二者最本质的区别就是定向性。



而APT攻击之所以不常见,甚至让很多人觉得距自己比较遥远,正因为它是网络世界的高级间谍。基础设施成本高、资源投入大、恶意代码需专业团队开发维护,再加上攻击持续久、潜伏时间长,每一次功能的增加、版本的更迭都要大把“烧钱”。这把“牛刀”注定不大可能用来烹制小鱼小虾。


实际上,APT攻击多以政治、高价值经济目标为主,特别是国家重点要害部门,有的甚至会涉及网络战的范畴。从天眼未知威胁检测系统获知的情况看,APT攻击一般仅瞄准少量目标,感染量最少的仅有1个终端,最多的1047个。像之前曝光的“海莲花”组织,就是瞄准中国海事机构,试图窃取与海洋相关的政策信息。

“无论是资金还是基础设施,绝大多数APT团伙都具有政府背景,基本可体现为一种国家级的对抗。”


如果把APT攻击作一个排序,政府机关是绝对的重点,几乎所有境外APT组织都会将中国政府机构列入战略攻击目标。紧随其后的是科研教育机构,接下来是特定行业,以及更尖端的军工领域。作为政治中心的北京,毫无疑问是攻击的焦点。而理工和军工背景的科研院校,往往因为承担较敏感的课题,也成为APT团伙的目标。同理,某些社科类课题组作为政府的智囊,建议建言很可能影响国家对内对外相关政策,这些情报同样是APT团伙所关心的。



APT组织窃取的敏感数据以文档为主,也包括账号密码、截图等。这些攻击的针对性非常强,只要文件中出现某些关键词,就会统统被打包,再伺机向外传输。特别是Office和WPS等文档文件,无论内容几何,只要扩展名是.doc、.ppt、.xls、.wps格式就照单全收。


APT组织如何频频得手


APT组织就像网络世界神秘莫测的刺客,而它的高级性恰好体现在能绕过现有防御措施,长期隐藏在网络中。传统防护系统的设计擅长对已知威胁进行有效拦截,而对未知的漏洞、木马程序、攻击手法等常常无法检测和定位,在应对APT攻击时显得力不从心。加之APT攻击仅在非常小的范围内扩散,行动难以察觉,分析研究更是难上加难。


从感染方式而言,鱼叉邮件、水坑攻击、U盘及网络劫持是最主要的4种进入渠道。其中,鱼叉邮件的常见做法是:将木马程序作为电子邮件的附件,加上一个极具欺骗性的名称,发送给目标电脑,引诱目标人群“中招”,这一方式定向性最强,命中率高,使用也最频繁。例如,他们曾利用社会高度关注的热点,发送名为“新疆暴恐事件最新通报”“公务员工资收入改革方案”等邮件,屡试不爽。

水坑攻击,顾名思义就是在受害者经常访问的网站设置“水坑”。黑客根据攻击目标的上网活动规律在某网站植入恶意代码,等待猎物入网。例如,黑客曾攻陷某单位内网,将其中一份供下载的软件偷换成木马程序,所有感染木马的电脑就会被远程操控,向黑客发送涉密资料。


U盘攻击定向性也很强,比如,黑客在目标单位门口故意丢弃U盘,被人拾到后就有可能插入办公计算机,使恶意代码获得执行机会。

鲜花
鲜花
握手
握手
雷人
雷人
路过
路过
鸡蛋
鸡蛋