【IT168 编译】在上一篇文章中《APT攻击背后的秘密:攻击性质及特征分析》,我们介绍了APT攻击的性质及特征。本篇文章,我们将介绍APT攻击前的"敌情"侦察。"敌情"侦察是APT攻击的第一步,攻击者通过这个步骤确定其目标以及攻击方法。本篇文章,我们将详细了解攻击者的"敌情"侦察是怎样做的。
个人资料:人是最薄弱的环节
很多时候,导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据,以及企业高管的全名以及公司发展史等。
其中有些信息可以通过公共记录和网络搜索找到,但有时事实并非如此。公开的个人或企业的信息被称为开源情报(OSINT),因为任何人都可以免费公开地获取这些信息。问题是,对于大多数来说,来自单一来源的可用OSINT数量通常非常少。
由于这种稀缺性,很多网络罪犯会链接信息,即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前,就是利用“dox”来收集关于个人或事物的信息,这些“dox”就是信息链。然而,不只是黑客和犯罪分子,安全专家也会采用这种做法,包括执法机构。
这些向公众提供的信息包括:业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。
通过这些信息,攻击者将了解其攻击目标以及原因;更重要的是,他们将知道如何攻击这些目标,而不需要进行额外的背景研究。
谈到没有受到保护的数据,让我们先看看元数据。