网络安全威胁——APT攻击

APT攻击

- 1. 基本概念
- 2. APT的攻击阶段
- 3. APT的典型案例
- 参考

1. 基本概念

高级持续性威胁（APT，Advanced Persistent Threat），又叫高级长期威胁，是一种复杂的、持续的网络攻击，包含高级、长期、威胁三个要素。

高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度，攻击人员通常根据需要开发更高级的工具，这需要花费大量时间和资源对目标进行扫描分析，挖掘研究系统漏洞
长期是为了达到特定目的，过程中“放长线”，持续监控分析目标，确保对目标保有长期访问权
威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响

主要特点

攻击者组织严密：有组织发起的攻击，可能具有军事或政治目的，有时会与某个国家关联在一起，而且背后往往有强大的资金及资源支持。
针对性强：攻击者不会盲目攻击，一般会很有针对性的选择一个攻击目标，该目标往往具有军事、政治、经济上的较高价值。
技术先进：APT攻击的恶意代码变种多且升级频繁，结合尚未发布的零日漏洞，使得基于特征匹配的传统检测防御技术很难有效检测出攻击。
隐蔽性强：APT攻击者具有较强的隐蔽能力，不会像DDoS攻击一样构造大量的报文去累垮目标服务器，基于流量的防御手段很难发挥作用；在整个过程中都会使用高级逃逸技术来刻意躲避安全设备的检查，在系统中并无明显异常，基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。
持续时间长：攻击者一般都很有耐心，渗透过程和数据外泄阶段往往会持续数月乃至数年的时间。

2. APT的攻击阶段

APT攻击者通常是一个组织（查看著名APT组织），从瞄准目标到大功告成，要经历多个阶段。洛克希德-马丁公司提出的网络攻击杀伤链 Cyber-Kill-Chain包括以下七个阶段。

在这里插入图片描述

（1）信息收集

RECONNAISSANCE

攻击者选定目标后，首先要做的就是收集所有跟目标有关的情报信息。这些情报可能是目标的组织架构、办公地点、产品及服务、员工通信录、管理层邮箱地址、高层领导会议日程、门户网站目录结构、内部网络架构、已部署的网络安全设备、对外开放端口、企业员工使用的办公OS和邮件系统、公司web服务器的使用的系统和版本等等。

（2）武器构建

WEAPONIZATION

信息收集完成后，就要考虑如何渗透到组织内部。从钓鱼邮件、web服务器还是U盘入手？如果是钓鱼邮件，利用哪种客户端软件的零日漏洞？如果是web服务器，目标用户最常去的网站有哪些？

收集信息越多，社会工程攻击就越无缝可击。通过员工在LinkedIn上的信息，可以用鱼叉式钓鱼获得公司内部资源。或者可以把远程访问木马提前嵌入可能会录入重要信息的文件里，以诱使接收者运行它。如果知道用户或服务器运行的软件信息，比如操作系统版本和类型，在企业网络里渗透和布置的机会就大大增加。

渗透手段确定后，下一步则需要制作特定的恶意软件。通常，攻击者所在组织会有专门的团队从事零日漏洞的挖掘和利用，他们也会密切关注一些漏洞报告平台上的最新公告，利用这种公开或半公开披露的漏洞原理以及可能的POC代码来进一步制作自己的趁手武器，例如带有恶意代码的pdf文件或office文件。这种恶意代码被称作shellcode，往往短小精悍，采用代码混淆、加壳、加密等反侦测手段，并在投递之前用各种最新的防病毒软件检测一遍，以期在投递到目标网络之后尽可能不被发现。

（3）载荷投送

DELIVERY

恶意软件制作好，下一步是把它投递到目标网络内。常用的手法包括邮件的附件、网站（挂马）、U盘等。

对于钓鱼邮件攻击，黑客务必要精心构造一封足以乱真的邮件内容，邮件标题、邮件内容、附件的名称和类型，都要让收件者放松警惕，产生兴趣，最终打开邮件附件或邮件正文中的URL链接。例如2020 年结合疫情热点发送钓鱼邮件或制作诱饵文件，成为了全球高级持续性威胁的普遍趋势。
对于网站（挂马），要根据攻击目标的兴趣爱好，选择一个合适的网站下手，这个网站必须存在可被利用的零日漏洞，然后对网站展开渗透和攻击，攻破后放上一个能自动在后台进行下载的脚本，让访问该网页的目标用户在不知不觉中就把含有恶意软件下载到本地，同时利用浏览器漏洞来安装执行。
而使用U盘载体来投递恶意软件的攻击行为，一般需要近距离的接触。当攻击目标不在internet上，不连接外网时，是一种手段。

（4）漏洞利用

EXPLOITATION

当目标用户使用含有漏洞的客户端程序或浏览器打开带有恶意代码的文件时，就会被恶意代码击中漏洞，下载并安装恶意软件，恶意软件通常是一个体积很小的远程控制工具，业内简称为RAT（即Remote Administration Tool，或Remote Access Trojan），用于与控制服务器建立C&C信道。恶意程序一般还会提升权限或添加管理员用户，把自己设置为开机启动，甚至在后台悄悄关闭或修改主机防火墙设置，以让自己尽可能不被发现。

（5）安装植入

INSTALLIATION

通常情况下，攻击方安装一个持续后门或植入，可以长时间访问目标的工具终端防御检测和记录“异常”安装活动。

同一个组织机构内部的办公主机往往都是相同的系统、类似的应用软件环境，因此很大程度上具备相同的漏洞，攻陷一台内网主机后，恶意程序会横向扩散到子网内其他主机或纵向扩散到企业内部服务器。由于RAT具备键盘记录和屏幕录像功能，因此很容易获取用户的域密码、邮箱密码及各类服务器密码。

（6）命令控制

COMMAND & CONTROL

一旦威胁软件在目标的网络环境里扎根，恶意软件将打开通信信道，以使攻击方远程操作目标。它可能下载额外的组件，更有可能的是通过C&C通道联系一个僵尸网络主控机。

（7）完成目标

ACTION ON OBJECTIVES

攻击者成功地破坏、瘫痪或渗入系统后，攻击者可转移到另一个阶段——盈利。攻击者可能采取任意形式的组合，比如，通过破坏基础设施来进行广告欺诈或发送垃圾邮件、向企业勒索赎金、出售他们在黑市上获得的数据，甚至劫持基础设施出租给其他罪犯。

攻击者的每一步过程中都通过匿名网络、加密通信、清除痕迹等手段来自我保护，在机密信息外发的过程中，也会采用各种技术手段来避免被网络安全设备发现。一方面化整为零，将机密信息打散、加密或混淆，避免DLP设备通过关键字扫描发现泄密；另一方面会限制发送的速率，以尽量不超过各类安全设备的检测阈值。

3. APT的典型案例

Google Aurora极光攻击、震网攻击是2010年著名的APT攻击，也是APT攻击的典型案例。而近年来，供应链、远程办公、移动终端成为攻击的切入点，例如2020年末的SolarWinds供应链事件。

（1）Google Aurora极光攻击

Google Aurora极光攻击是由一个有组织的网络犯罪团伙精心策划的有针对性的网络攻击，攻击团队向Google发送了一条带有恶意连接的消息，当Google员工点击了这条恶意连接时，会自动向攻击者的C&C Server（Command and Control Server）发送一个指令，并下载远程控制木马到电脑上，成为“肉鸡”，再利用内网渗透、暴力破解等方式获取服务器的管理员权限，员工电脑被远程控制长达数月之久，其被窃取的资料数不胜数，造成不可估量的损失。

（2）震网攻击

2010年，“震网”病毒（Stuxnet）成功攻击了伊朗核设施的离心机，仅仅2个月，报废离心机约1000台。据报道，“震网”是由多个国家发起的针对伊朗核设施的定向网络攻击事件，但一个编程错误使蠕虫扩散到了其它不支持的操作系统上，才导致其在2010年6月被捕获。

“震网”利用了7个漏洞，其中4个是零日漏洞。由于攻击目标不在Internet上，不连接外网，与外界物理隔离，理论上不会遭遇外界攻击。初期“震网”是经由特工之手将U盘插入目标系统或网络的。“震网”还应用了非常多的隐身、伪装、欺骗手法，例如，它的漏洞利用程序瞄准的是系统内核级别，以此逃脱反病毒软件的扫描，实现“隐身”；它会仔细跟踪自身在计算机上占用的处理器资源情况，只有在确定震网所占用资源不会拖慢计算机速度时才会将其释放，以免被发现，它还盗用了两家公司的数字签名。

（3）SolarWinds供应链事件

2020年12月网络安全公司 FireEye披露其公司购置的网管软件厂商SolarWinds相关软件中存在后门，该后门通过HTTP与第三方服务器进行通信。SolarWinds对全球客户展开排查，经排查发现，多家大公司均被攻击者通过该软件作为入口而成功渗透。此外，多个政府机构也可能已经沦陷；世界500强企业中，也有超过9成受到影响；全球至少30万家大型政企机构受到影响。

参考

360安全大脑
知道创宇安全威胁情报
安全资讯平台
安全牛威胁情报

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。