[資安小常識] 認識進階持續性滲透攻擊 (APT)

  • Article

作者:Chohan Wu

 

圖一、認識進階持續性滲透攻擊 (APT) (圖片來源)

 

進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 是一種最近常見的網路攻擊型態,攻擊者往往都是相當龐大且有組織的駭客集團,而並非像一般的駭客事件可由單一駭客所為。駭客集團會針對特定的攻擊對象設計一套專屬的攻擊策略,攻擊的手法除了以電腦入侵方式外,也會透過其他的傳統的手法達到竊取資料的目的(如電話竊聽等)。

APT 的攻擊者往往都會透過長時間且持續性的潛伏及監控,趁使用者稍有疏忽時撈取其所需要的資訊。在一篇網路報導ADT 攻擊如何癱瘓您的網路安全(英文)中可以窺見 APT 攻擊的手法和策略。

 

根據美國資訊網路公司 Mandiant 在2013年所提出的 調查報告(英文) 中可將 APT 攻擊歸類成以下的生命週期來進行:

 

1) 初步的入侵:利用一些釣魚網站或電子郵件來做為入侵的媒介。

2) 建立立足點:植入 Rootkit 等惡意程式以掌握使用者系統。

3) 取得管理者權限:利用破解密碼等方式取得該電腦管理者權限。

4) 內部偵查與平行擴散:找尋該主機附近的其他主機或伺服器,並伺機取得其內部資料庫儲存之機密資料。

5) 持續監控並完成任務:持續掌控資料庫伺服器或是主機,並將資料匯出達到竊取機密的目的。

 

圖二、 APT 攻擊的生命週期(圖片來源)

 

APT 攻擊為一種相當有策略性且多面相的入侵,且其入侵的通常都是長時間且持續性的,並非單一事件,也因此其防範方法也必須在各種細節中嚴加堤防注意,並不能因為單一危機解除後就掉以輕心,必須要從養成良好的資訊操作習慣開始做起。

在面對釣魚網站或是電子郵件的防治部分可以參考本部落格文章 [資安小常識] 最新的釣魚攻擊 以及 [資安小常識] 玩線上遊戲也要小心釣魚攻擊 ,以了解最新的釣魚形式。而關於惡意程式的入侵,也可以參考本站文章 [資安小常識] 惡意程式Rootkit的認識及防範 來處理。

 

 

圖三、圖片來源

 

對於資訊管理的人員來說, APT 的防禦模型 顯得更加的重要,基本上面對如此有組織的滲透攻擊,管理人員能做的就是勤加監控網站或是資料庫的存取記錄,以便能從記錄中辨識出攻擊的事件,並阻擋該來源的讀取權限。常說知己知彼、百戰百勝,能夠知道駭客組織的常用攻擊模式之後,就能夠將對方入侵的企圖瓦解,維護資訊安全。

 

 

參考資料