FireEye遭APT攻擊？！針對企業的APT攻擊是如何發生的？

本週二，全球領先的APT防禦企業FireEye透露其系統遭到APT攻擊。作為最早提出APT-1報告的安全廠商，FireEye多次透過報告的形式，針對地區網路發展、國家網路戰略、新型APT組織等發聲。該公司表示，駭客利用“新穎技術”竊取了滲透測試工具包，而這可能會在全球範圍內引發新的攻擊。

（圖片來源於網路）

APT事件並不是新鮮事，就在本月歐盟某國家外交部計算機被發現植入後門，長達5年的APT攻擊行動揭秘。在過去的幾年中，網路攻擊的數量和複雜性一直在不斷提升，APT攻擊事件的普遍性預示著更不可估計的威脅，現在正是檢測系統是否遭到網路攻擊的好時機。

瞭解APT攻擊

對於任何公司而言，保護自己免受攻擊的最佳方法是瞭解攻擊的運作方式。APT攻擊指的是高階可持續威脅攻擊,也稱為定向威脅攻擊，指某組織對特定物件展開的持續有效的攻擊活動。

典型的APT攻擊通常分為五個階段：

1、初始訪問：APT攻擊者獲得對目標網路的訪問許可權。這是透過網路釣魚電子郵件，惡意附件或應用程式漏洞來完成的。攻擊者的目標是使用此訪問許可權將惡意軟體植入網路。在此初始階段，網路受到威脅，但尚未被破壞。

2、惡意軟體部署：植入到系統中的惡意軟體探針可檢測網路漏洞。它與外部命令和控制（CnC）伺服器通訊，以獲取有關如何利用這些漏洞並接收其他惡意軟體的指導。

3、訪問擴充套件：惡意軟體檢測其他漏洞，這些漏洞可用於在無法訪問現有入口點時查詢新入口點。即使安全措施禁用了入口點，這也可以確保攻擊繼續進行。

4、檔案探索：在此階段，攻擊者已經建立了可靠的長期網路訪問。惡意軟體會尋找使用者憑證和敏感資料檔案等。

5、資料收集和傳輸：惡意軟體將敏感資料儲存在登入伺服器上。然後，資料被洩漏到外部伺服器。此時，目標網路已被破壞。攻擊者將掩蓋自己的足跡，使網路受到威脅，並在下一次攻擊時重複該過程。

遭受APT攻擊的跡象

即使APT攻擊使用複雜的手段來隱藏活動，也有一些跡象可以幫助識別APT攻擊，如下所示：

1、意外的登入：在辦公時間之外意外登入到伺服器可能表明一項APT攻擊正在發生。攻擊者入侵網路的方法之一是使用其竊取的憑據。攻擊者可能在不同的時區工作，或者嘗試在夜間工作，以減少發現其活動的機會。

2、檢測到的後門木馬數量增加：如果網路安全工具檢測到的後門木馬數量比平時多，則可能是由於APT攻擊所致。APT攻擊者會安裝後門木馬程式，以確保即使更改了登入憑據也可以繼續訪問受感染的裝置。

3、魚叉式網路釣魚電子郵件的增加：查詢包含只能由入侵者獲取的文件的魚叉式網路釣魚電子郵件。這些電子郵件可能會被髮送給高階管理人員，以便攻擊者訪問他們的電腦或受限制的資料。

4、無法解釋的資料轉換：APT攻擊策略的一部分是將他們要竊取的資料複製到網路中的另一個位置，並僅在確信無法檢測到時才將其傳輸到網路之外。它可以是伺服器到伺服器，伺服器到客戶端或網路到網路的資訊流。

如何預防APT攻擊？

APT攻擊非常複雜，但是可以透過採取安全措施來進行防禦。以下有幾個方法：

1、提高預防網路釣魚意識，網路釣魚詐騙常常被用作APT攻擊的切入點。企業應該對員工進行培訓，以識別網路釣魚企圖以及遇到的網路釣魚行為。

2、APT攻擊常常利用應用程式漏洞，透過確保所有應用程式都已更新了最新的安全補丁，可以減少此類漏洞的風險。

3、當前的APT 攻擊愈演愈烈，攻擊手段更加先進、持久、有效，而攻擊者在入侵實施階段往往會用到記憶體攻擊、無檔案攻擊等先進攻擊手段，原因是這些攻擊手段相較於其他手段更容易成功。那麼記憶體保護具備執行時安全防護能力，提供漏洞防禦、資料保護、威脅防禦三大防禦能力，當攻擊者利用新型攻擊方式，或利用系統、應用漏洞繞過傳統防護手段，將惡意程式碼悄無聲息的植入到記憶體時，記憶體保護系統會對其進行實時監測與攔截，從而保護客戶資料安全及業務連續性。

參考文獻

[1]https://medium.com/@eddies_47682/apt-attacks-101-what-they-are-and-how-they-work-393c09f55eae

[2]https://www.darkreading.com/how-cyberattacks-work-/a/d-id/1339300

[3]https://threatpost.com/fireeye-cyberattack-red-team-security-tools/162056/