APT攻击过程的六个阶段
第1阶段:情报收集
在趋势科技的调查数据中,只有31%的企业会惩罚将公司机密资料贴到公众社交平台上的员工,这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。攻击者针对需要窃取数据的企业或个人,将第一个目标锁定到企业员工的身上作为情报开端,并通过社交工程攻击开启一连串攻击。
第2阶段:利用社会工程学
利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。趋势科技的调查结果显示,在87%的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT社交工程的诱饵。另外,95%的APT攻击利用了社交工程钓鱼邮件,这是针对性最强、设计最缜密的攻击,但却是简单的技巧。
第3阶段:命令与控制 (C&C 通信)
但阅读或点击了“诱饵”,攻击者需要通过在主机上安装后门程序,以达到持久驻留在内部网络的目的,并潜入尽可能多的主机。APT攻击活动利用这些后门程序,首先在目标网络中找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通讯,并确认入侵成功的计算机和C&C服务器间保持通讯。
由于 C&C 通信的特征与正常流量不同,因此这通常可能是APT攻击的第一个迹象。但是,攻击者演进了技术,通过降低通信频率以及在极短的时间内改变域名和 IP 地址,让 C&C 通信变得难以检测。
第4阶段:横向移动
攻击者会开始潜入更多的内部设备,收集凭证、提升权限级别,实现持久控制。为此,攻击者会试图获取大量的普通帐户以及管理员帐户。因此,攻击者通常会跟踪 Active Directory 之类目录服务或Root权限的账号,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样。这个过程一旦成功,攻击者便会为自己创建合法的帐户和访问权限,以访问托管所需信息的服务器,从而加快数据隐蔽泄露。由于最终数据窃取利用了合法的管理凭证,这使得数据窃取检测变得更加困难。
第5阶段:资产/资料发掘
为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据做分析,他们寻找雇佣者需要的,或是可以贩卖高价的“数据”。
第6阶段:资料窃取
APT是一种高级的、狡猾的伎俩,高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。而在收集了敏感信息之后,攻击者将把数据归集到内部暂存服务器,并在这里对数据进行压缩和加密,以传输至外部位置。
经过前面6个阶段,攻击者后面主要的行为将放在长期控制上,一旦他们发现事件暴露,便会破坏信息的完整性及可用性,以起到“毁尸灭迹”的目的。但此时,泄密信息早已进入到地下黑市交易,或是被雇佣方非法占有。