当前位置:   article > 正文

APT攻击详解_如何进行apt分析

如何进行apt分析

0x01.APT到底是什么?
APT:高级持续威胁(Advanced Persistent Threat),普遍认可的定义是,利用各种先进的攻击手段,对高价值目标进行的有组织、长期持续性网络攻击行为。也就是说很难去确定是不是APT攻击,只能从已发生过的APT攻击事件,分析其特点,进而与上述解释性概念相关联,得出APT攻击的一般规律。大致有这些规律:

1)高度目的性
2)高度隐蔽性
3)高度危害性
4)目标实体化
5)极强的持续性

APT攻击大致包含以下内容:

目标 - 威胁的最终目标
时效性 - 探测和访问系统的时间
资源 - 事件中使用的知识和工具的级别(技能和方法将会影响到这一点)
风险容忍度 - 为了不被发现而受到威胁的程度
技巧和方法 - 整个活动中使用的工具和技巧
行动 - 威胁或许多威胁的确切行动
攻击起点 - 事件发生点的数量

参与攻击的人数 - 事件涉及多少个内部和外部系统,有多少人的系统具有不同的影响/重要性权重

信息来源 - 通过在线信息收集来识别关于任何特定威胁的任何信息的能力(可以通过一点积极主动的方式找到)

0x02.APT的一些知名论坛,团体
目前业界比较流行的防御APT思路有三种:

1、采用高级检测技术和关联数据分析来发现APT行为,典型的公司是FireEye;
2、采用数据加密和数据防泄密(DLP)来防止敏感数据外泄,典型的公司是赛门铁克;
3、采用身份认证和用户权限管理技术,严格管控内网对核心数据和业务的访问,典型的公司是RSA。

至于其他说什么人工智能,机器学习防止APT,都还在发展阶段,而题主觉得防御应该是从基础传统防御到到云大物移四个层面,最后到人工智能,这些都是基础环境,技术层面的防御措施。

0x03.APT有哪些攻击阶段?
所谓攻击阶段只是在进行黑客攻击中典型的攻击手段和形式,不一定界限清晰,但都有迹可循。

题主最早了解阶段是从我们最常见的大规模,也是比较简单的一个类似于黑客渗透攻击阶段模型:信息收集,攻击阶段,提权阶段,后渗透阶段,销声匿迹。

但APT攻击会更加系统,分布,协作,一般分成信息收集,武器化部署,传递载荷,利用,安装,命令和控制,执行

而杀伤链一般是6个阶段:发现-定位-跟踪-瞄准-入侵-完成,APT攻击模型Cyber-Kill-chain与之对应

0x04.APT分析模型
这里借用两个分析模型,一个是kill-chain七层模型,一个是钻石模型

4.1Cyber-Kill-Chain攻击杀伤链
对于混迹于安全圈的我们来说,洛克希德-马丁的网络杀伤链(Cyber-Kill-Chain,也被我们称网络攻击生命周期),专门用来识别和防止入侵。然而,攻击模式会一直变化,就拿Valut7来说,里面提到的攻击模型,都是在08年就已经开始在使用,而却在16年,17年才被曝光,可想而知,攻防之间的时间差是多么的严峻,所以我不给予希望一个Kill-Chain能够带来多大的安全防护,而重在开拓视野,最好能未雨绸缪,如今,Valut8已经曝光,企业安全,似乎远远没有我们想象的那么安静。

网络攻击杀伤链模型用于拆分恶意软件的每个攻击阶段,在每个阶段有对应的特征用于识别,但用我后面会提到的一句:堵不如疏,殊途同归,具体如何,后面会具体说说我自己的理解,现在先简单说说Cyber-Kill-Chain的每个阶段。

4.2什么是网络攻击杀伤链(Cyber-Kill-Chain)?
“杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,理论上也可以用来预防此类攻击(即反杀伤链)。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。

在越早的杀伤链环节阻止攻击,防护效果就越好。例如,攻击者取得的信息越少,这些信息被第三人利用来发起进攻的可能性也会越低。
洛克希德-马丁公司提出的网络攻击杀伤链Cyber-Kill-Chain与此类似,本质是一种针对性的分阶段攻击。同样,这一理论可以用于网络防护,具体阶段如下图所示:

Cyber-Kill-Chain

这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境,需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后,企业需要第一时间获悉,为此企业可以设置攻击警报。

另一个需要牢记的点是:在越早的杀伤链环节阻止攻击,修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止,那么企业就不得不修理设备并核验泄露的信息。

要想明确杀伤链技术是否适合自己的企业,不妨通过杀伤链模型的几个阶段入手,来发现企业应当核实的问题。

0x05.被透露的APT攻击
https://github.com/kbandla/APTnotes

0x06.一些APT信息获取渠道
1.第一类:Github
APT大事件:https://github.com/kbandla/APTnotes

2.第二类:互联网安全商
360威胁情报中心:https://ti.360.net/
IBM:https://exchange.xforce.ibmcloud.com/

3.第三类:开源安全威胁情报
Threatminer:https://www.threatminer.org/
ThreatBook:https://x.threatbook.cn/

4.付费类威胁情报
知道创宇:https://www.yunaq.com/gpt/
NOSEC:https://nosec.org/

5.资讯类威胁情报
安全牛:http://www.aqniu.com/category/threat-alert
安全客:http://bobao.360.cn/news/index

secwiki:https://www.sec-wiki.com/index.php
Tools:https://www.t00ls.net/
sec-un:https://www.sec-un.org/category/安全威胁情报/
IBM:https://securityintelligence.com/
天际友盟:https://www.sec-un.com/post_queryByPage.action?pager.page=1
Freebuf:http://www.freebuf.com/
ichunqiu:https://www.ichunqiu.com/
cybernews:https://www.cyberwarnews.info/
Secrss:https://www.secrss.com/
Exploit-DB:https://www.exploit-db.com/
TheHacknews:https://thehackernews.com/
Hack news:http://hackernews.cc/

6.网络空间搜索引擎威胁情报
Shodan:https://www.shodan.io/
censys:https://www.censys.io/
Fofa:https://fofa.so/
Zoomeye:https://www.zoomeye.org/

在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/2023面试高手/article/detail/731294
推荐阅读
相关标签
  

闽ICP备14008679号