APT高级持续性威胁入侵检测

APT攻击，即高级可持续威胁攻击，也被称为定向威胁攻击，是近几年来出现的一种高级攻击，具有难检测、持续时间长和攻击目标明确等特征。该攻击方式是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的恶意商业间谍威胁。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。



APT攻击会造成的危害与影响

1.APT攻击窃取目标的敏感信息和机密信息

它利用最先进的网络技术和社会工程学等方法，一步步入侵目标系统，不断搜集目标的敏感信息。同时，APT攻击的隐蔽性较好，窃取敏感数据的过程一般是长期的，攻击过程甚至可以持续多年，一旦APT攻击病毒被发现时其目标往往已被成功入侵。

2.APT攻击的目标影响巨大

APT攻击的发起者一般都是政府组织或大企业，攻击目标也是同类对象。攻击主要针对国家重要基础设施和组织进行，包括能源、电力、金融、国防等关系到国计民生或国家核心利益的网络基础设施或相关领域的大型企业。因此，APT攻击的后果和影响通常是巨大的，伊朗的震网病毒就是一个典型的例子。

APT攻击的主要特征

APT攻击具有不同于传统网络攻击的5个显著特征：针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。

1.针对性强

APT攻击的目标明确，多数为拥有丰富数据/知识产权的目标，所获取的数据通常为商业机密、国家安全数据、知识产权等。相对于传统攻击的盗取个人信息，APT攻击只关注预先指定的目标，所有的攻击方法都只针对特定目标和特定系统，针对性较强。

2.组织严密

APT攻击成功可带来巨大的商业利益，因此攻击者通常以组织形式存在，由熟练黑客形成团体，分工协作，长期预谋策划后进行攻击。

3.持续时间长

APT攻击具有较强的持续性，经过长期的准备与策划，攻击者通常在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续攻击，如零日漏洞攻击等。

4.高隐蔽性

APT攻击根据目标的特点，能绕过目标所在网络的防御系统，极其隐蔽地盗取数据或进行破坏。在信息收集阶段，攻击者常利用搜索引擎、高级爬虫和数据泄露等持续渗透，使被攻击者很难察觉;在攻击阶段，基于对目标嗅探的结果，设计开发极具针对性的木马等恶意软件，绕过目标网络防御系统，隐蔽攻击。

5.间接攻击

APT攻击不同于传统网络攻击的直接攻击方式，通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中，可由攻击者在远端进行遥控攻击，也可由被攻击者无意触发启动攻击。
 

APT入侵方式

1. 以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

2. 社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。

3. 利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

以上内容由信安客（xinanke.com）整理发布。