【引言】如果要实现apt攻击防护的最好效果,首先要对apt攻击有深入、全面的理解。结合热播电影《金蝉脱壳》,让我们一同看一下apt是如何一步步深入我们的网络,完成信息窃取的。
【正文】
《金蝉脱壳》这部电影讲述了由史泰龙主演的雷·布雷斯林作为美国监狱安管专家,在执行最后一个监狱安保漏洞检查任务时,遇到了前所未有的困难,挑战传说中的超级监狱“坟墓”。当他发现这其实是为了将他彻底囚禁于此的阴谋时,他决定与由施瓦辛格扮演的狱友埃米尔想尽一切办法逃出这个建立在海上的监狱。电影镜头中对越狱的情节做了细致的交代,让观众对他们每一步的行动都清晰明了,也为他们整个险象环生的越狱过程增加了观赏性。
其实,网络世界的攻防过程和现实生活中的安保环节很多相似之处,都是一方通过找出对方的各种漏洞进行攻击或逃脱,而另一方要想出各种方法避免安全防护出现漏洞。因此,我们今天通过《金蝉脱壳》剧情的类比分析,来介绍apt攻击的整个过程。
第一步:千方百计,搜索目标信息
在电影中,越狱专家雷在进入监狱前,经纪人克里克已经为其准备好了所有能够进入监狱的信息,从姓名到联系人,因此顺利进入测试监狱也是顺理成章的事。
黑客在攻击企业网络之前,也会通过各种方法搜集相关信息,例如:网上信息、文件垃圾、内网间谍、社工方法等,找出网络中的可乘之机。
第二步:小试牛刀,获取“肉鸡”跳板
雷的举动很快吸引到了有着共同越狱想法的狱友埃米尔,并成功说服埃米尔为其提供越狱过程中可能需要的材料及必要的掩护。
黑客会利用一些常见的漏洞攻击、web攻击等引诱安全防护意识薄弱的用户主机或服务器,使其成为僵尸主机,并以此作为反弹跳板,频繁进行内网隐私数据的信息嗅探。
第三步:步步紧逼,盗取更高权限
电影中,监狱中的雷做的最多的一件事情就是观察整个环境,了解设计结构、狱卒换班时间等各种可以利用的信息。
黑客利用僵尸主机,通过扫描等方式了解组织的网络架构、组织结构等,锁定拥有更高网络访问权限的目标。
第四步:锁定目标,展开全方位攻势
电影中,雷发现典狱长希望得到“曼海姆”信息,便利用这一弱点,成功为自己越狱争取了充足的时间。
黑客锁定拥有高级权限的用户或主机后,便可以对目标进行持续性的账户/口令猜解或者数据监听,最终获取更高的目标登陆权限,窃取商业机密
第五步:得到机密数据,获取非法商业利益
雷步步为营,最终逃脱了绰号为“坟墓”的海上监狱。同时,真实身份为曼海姆的“埃米尔”也终于获救。真相此时也大白于世人:曼海姆的女儿假冒中央情报局的人雇佣雷,名义上是探测监狱的安全性,实际是为了救出其父曼海姆。
在网络世界中,黑客可以通过上述一步步攻击,成功窃取企业的机密数据,进而贩卖给其他组织完成黑色交易。
apt攻击就是这样,黑客前期会搜集的大量信息,企图突破企业网络的安全屏障,并以内网中某一主机为跳板长期潜伏和信息嗅探,获取更高的系统登录权限,最终获得有价值的商业信息,其示意图如下:
在彻底弄清楚apt整个攻击过程之后,作为it管理者,您知道什么样的防御措施才是有效的呢?
且看sangfor小编下期与您分享!^_^