定向威胁攻击方式及防范措施 ? – 作者:郑州埃文科技

初始感染

初始感染可以有三种方式:

攻击者发送恶意软件电子邮件给一个组织内部的收件人。

例如，Cryptolocker就是一种感染方式，它也称为勒索软件，其攻击目标是Windows个人电脑，会在看似正常的电子邮件附件中伪装。一旦收件人打开附件，Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金，恶意软件就会删除加密密钥，从而使你无法访问自己的数据。

攻击者会感染一个组织中用户经常通过DNS访问的网站。

著名的端到端战网Gameover Zeus就是一个例子，一旦进入网络，它就能使用P2P通信去控制受感染的设备。

攻击者会通过一个直连物理连接感染网络，如感染病毒的U盘。

下载真实的APT:一旦进入组织内部，几乎在所有的攻击案例中，恶意软件执行的第一个重要操作就是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面，真实的APT比初始感染要强大许多。

折叠传播和连回攻击源。传播和连回攻击源:一旦下载和安装之后，APT会禁用运行在已感染计算机上的反病毒软件或类似软件。不幸的是，这个操作并不难。然后，APT通常会收集一些基础数据，然后使用DNS连接一个命令与控制服务器，接收下一步的指令。

数据盗取:攻击者可能在一次成功的APT中发现数量达到TB级的数据。在一些案例中，APT会通过接收指令的相同命令与控制服务器接收数据。然而，通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。此外，传统数据还需要更多的步骤，而步骤越多就越容易被人发现。因此，APT通常会直接连接另一个服务器，将它作为数据存储服务器，将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS。

一般的防范方式包含以下方面

使用威胁情报。

这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立”绊网”来提醒你网络中的活动。

建立强大的出口规则。

除网络流量(必须通过代理服务器)外，阻止企业的所有出站流量，阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。

收集强大的日志分析。

企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。

聘请安全分析师。

安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

来源：freebuf.com 2021-03-16 17:29:00 by: 郑州埃文科技