针对性攻击和高级持续威胁 (APT) 是有组织、有重点的定制攻击,目的是为了入侵企业和政府机构以访问内部系统、数据和其他有价值的资产。每次攻击都是针对目标自定义的,但遵循一致的生命周期潜入组织内部运行。
在针对性攻击中,APT 生命周期遵循由六个主要阶段组成的持续流程。
APT 攻击序列
情报收集
|
攻击者利用公共资源(例如,社交媒体网站)识别和研究目标个体,并准备定制攻击。
|
进入点
|
最初的危害通常来自通过社交工程(电子邮件/IM 或偷渡式下载)交付的零时差恶意软件。后门程序已创建,现在可以潜入网络中。或者,可能会利用 Web 站点漏洞入侵或直接通过网络黑客攻击。
|
命令和控制 (C&C) 通信
|
C&C 通信通常在攻击期间使用,它允许攻击者指示和控制使用的恶意软件,入侵受到危害的计算机,在网络中横向移动以及盗出数据。
|
横向移动
|
攻击者进驻网络后,就会危害其他计算机来搜集凭证、提升权限级别并维持持续控制。
|
资产/数据发现
|
多项技术(例如端口扫描)用于识别值得注意的服务器和保存目标数据的服务。
|
数据渗漏
|
收集到机密信息后,会将数据汇集到内部开发用服务器,其中数据已分块、压缩且通常已加密,以在攻击者的控制下传输到外部位置。
|
威胁发现设备是特别构建的,用于检测 APT 和针对性攻击。它可以识别恶意内容、通信以及行为,这些线索可能指示攻击序列每个阶段中的高级恶意软件或攻击者活动。
