簡介
高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱 高級持續性威脅、 先進持續性威脅等。APT發起方,如政府,通常具備持久而有效地針對特定主體的能力及意圖。此術語一般指網路威脅,尤其是指使用眾多情報收集技術來獲取敏感信息的網路間諜活動,但也適用於傳統的間諜活動之類的威脅。其他攻擊面包括受感染的媒介、入侵供應鏈、社會工程學。個人,如個人黑客,通常不被稱作APT,因為即使個人有意攻擊特定目標,他們也通常不具備高級和長期這兩個條件。
歷史
2005年時,英國及美國的一些計算機應急回響組織發布報告,提醒人們注意某些針對性的釣魚電子郵件會釋放木馬,外泄敏感信息,但“APT”一詞還未被使用。普遍認為“高級長期威脅”這個術語是在2006年由美國空軍創造,而格雷格·拉特雷上校一般被認為是該術語的發明人。
震網蠕蟲是APT的一個例子,此蠕蟲專門針對伊朗核設施的電腦硬體。此事件中,伊朗政府可能就把震網蠕蟲的創造者視為一個高級長期威脅。
在計算機安全社群及媒體中,此術語常指針對政府、公司、政治活躍分子的長期而複雜的黑客攻擊,廣泛來講也指發起這些攻擊的幕後團體。日趨頻繁的高級長期威脅(APT)可能會逐漸只用於指代計算機黑客入侵。據《PC World》雜誌統計,從2010年到2011年,針對性的高級電腦黑客攻擊增長了81%。
對於APT的一個常見誤解是,APT僅僅針對西方政府。雖然針對西方政府的APT事件在西方廣為流傳,但許多國家的黑客也會通過網路空間收集個人或一群個人的情報。美國網戰司令部負責協調美國軍方對網路攻擊作出的回響。
有說法稱一些APT團體直屬於或受僱於民族國家。掌握大量可辨識的個人身份信息的行業極有可能遭受高級長期威脅,如:高等教育,金融機構。
特點
Bodmer、Kilger、Carpenter和Jones的研究將APT的標準定義如下:
•目標 – 威脅的最終目標,即你的對手
•時間 – 調查、入侵所花的時間
•資源 – 所涉及的知識面及工具(技能和方法也有所影響)
•風險承受能力 – 威脅能在多大程度上不被發覺
•技能與方法 – 所使用的工具及技術
•行動 – 威脅中採取的具體行動
•攻擊源頭 – 攻擊來源的數量
•牽涉數量 – 牽涉到多少內部或外部系統,多少人的系統具有不同重要性
生命周期
APT的幕後黑手會對組織團體的金融財產、智慧財產權及名譽造成持續變化的威脅,其過程如下:
因一個目標開始盯上特定組織團體
試圖入侵到其環境中(如傳送釣魚郵件)
利用入侵的系統來訪問目標網路
部署實現攻擊目標所用的相關工具
隱藏蹤跡以便將來訪問
1.因一個目標開始盯上特定組織團體
2.試圖入侵到其環境中(如傳送釣魚郵件)
3.利用入侵的系統來訪問目標網路
4.部署實現攻擊目標所用的相關工具
5.隱藏蹤跡以便將來訪問
2013年,美國網路安全公司麥迪安(Mandiant)發布了關於2004至2013年間疑似來源於中國的APT攻擊的研究結果,其中的生命周期與上述相似:
•初始入侵– 使用社會工程學、釣魚式攻擊、零日攻擊,通過郵件進行。在受害者常去的網站上植入惡意軟體(掛馬)也是一種常用的方法。
•站穩腳跟– 在受害者的網路中植入遠程訪問工具,打開網路後門,實現隱蔽訪問。
•提升特權– 通過利用漏洞及破解密碼,獲取受害者電腦的管理員特權,並可能試圖獲取Windows域管理員特權。
•內部勘查– 收集周遭設施、安全信任關係、域結構的信息。
•橫向發展– 將控制權擴展到其他工作站、伺服器及設施,收集數據。
•保持現狀– 確保繼續掌控之前獲取到的訪問許可權和憑據。
•任務完成– 從受害者的網路中傳出竊取到的數據。
麥迪安所分析的這起入侵事件中,攻擊者對受害者的網路保有控制權的平均時間為一年,最長時間為五年。此次滲透攻擊據稱是位於上海的中國人民解放軍61398部隊所為。中國官方否認參與了這些攻擊。
緩解策略
惡意軟體的變種數以千萬計,因此要保護組織團體免於APT攻擊極為困難。雖然APT活動十分隱蔽,但與APT相關的命令與控制網路流量卻很容易在網路層檢測。深入的日誌分析和比對有助於檢測APT活動。儘管要從正常流量中分離出異常流量有一定難度,但這一工作可以藉助完善的日誌分析工具來完成,以便安全專家調查異常流量。