【IT168 编译】在之前的两篇文章中《APT攻击背后的秘密:攻击前的"敌情"侦察》《APT攻击背后的秘密:攻击性质及特征分析》,我们介绍了APT攻击的性质、特征,以及攻击前的"敌情"侦察。本篇文章,我们将继续介绍APT攻击时使用的武器和手段,这是真正开始发动攻击的阶段,也是攻击者需要通过的第一道"关卡"。
正如在前面文章我们提到的,APT攻击和普通攻击之间的区别是目的,或者说背后操作者的具体目标,而不是工具、策略或流程。
一般的攻击主要依赖于数量,攻击者会成百上千次的发送相同的链接或是恶意软件,在大多数情况下,这个过程是自动化的,攻击者使用机器人或基于web脚本来推动攻击,如果攻击了大量的潜在受害者,那么攻击者可能获得已经获得了一半的成功。而APT攻击则会使用多个链接、不同类型的恶意软件,并控制攻击量,因此,APT攻击很难被传统的安全防御手段所发现。
启动攻击
在侦察阶段,攻击者会收集尽可能多的关于目标的信息,这些信息在攻击开始阶段将发挥重要作用。这些信息可以让攻击者能够设计和开发一个恶意有效载荷,并选择最好的方法来传送。
对于攻击工具包,有很多低成本的选择,并且还可以随后添加自定义模块或功能。这些工具可以托管在任何位置,但攻击者通常会将它们放在有着良好声誉的合法域名,利用路过式下载攻击。
水坑攻击通常采用两种攻击方式。一种方式是通过网络钓鱼电子邮件将目标带到攻击者的利用工具包。
另一种方式是瞄准共享资源。这些资源通常对于目标有着一定价值,并有良好的声誉。对于这种这种方式来说,攻击者没有直接瞄准目标,而是感染目标将要访问的网站,等着目标被感染。
我们需要了解水坑攻击和路过式下载攻击的区别,其中一种可用于发起一般攻击,而这种攻击很容易被发现,另一种则更加隐蔽。
攻击者还会利用零日漏洞,但并非总是如此。当使用零日漏洞时,主要原因是攻击者攻击目标实现概率增加。这些目标可能是安装Paid-Per-Install恶意软件、信息窃取、构建僵尸网络或间谍活动。然而,利用现有漏洞要比零日漏洞更加容易,因为企业和个人用户经常没有修复系统和第三方软件的漏洞。
回顾在侦察阶段,还有一些其他信息可能帮助攻击者展开攻击。假设攻击者发现可信业务合作伙伴网站中的漏洞,或者目标企业的漏洞,攻击将变得更加容易,因为攻击者既可以利用水坑攻击,也可以利用单一的可信资源。在这种情况下,SQL注入、跨站脚本(XSS)等常见漏洞都可以攻击者的切入点,默认或有漏洞的服务器配置同样如此。
此外,攻击者会将精力集中在容易实现的目标上,因此,内部开发的有漏洞的应用程序或添加到公司博客或内网的第三方脚本,都可能用来发动攻击。最后,如果目标企业使用的CMS或主机平台已经过时或未修复,这也会成为攻击的关注点。