七个迹象说明你可能受到APT 攻击
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">
APT攻击。即进阶持续性渗透攻击 (Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方式,因此要侦測它们是一大挑战。
正如我们在之前关于APT 攻击常见五个误解的文章中所强调过的,没有放诸四海皆准的解决方式能够用来对付它。企业需在所须要的地方都放置传感器好加以防护。同一时候IT也要有足够的设备来识别网络的异常情况,并採取对应的措施。
然而,要及早发现异常状况。IT管理者须要知道首先要看到什么。
因为攻击一般会设计成仅仅有非常少或差点儿没有痕迹可循。重要的是要知道哪里能够找到入侵的可能指标。在此,我们将列出IT管理者所须要密切监视的网络部分以发觉不论什么入侵的迹象。
一、检查被注入的DNS记录
攻击者常常会篡改DNS记录以确保到他们的幕后操纵(简称C&C)联机不会被封锁,IT管理者能够检查记录中可能被攻击者注入的迹象。如未知网域增加IP地址、近期注冊的未知网域、看起来像是随机字符的网域、以及出现模仿知名网域的域名。
二、稽查和审核登录失败或不规则的账号
一旦攻击者可以进入网络和建立与其C&C的通讯。下一步一般是在网络内横向移动。攻击者会去找出ActiveDirectory、邮件或文件server,并攻击server漏洞来加以存取。然而。由于管理者会修补并防护重要server的漏洞,攻击者可能会尝试暴力破解管理者账号。
对于IT管理者来说,登录记录是这一行为最好的參考数据。检查失败的登录尝试。以及在不平常时间内的成功登录。可以显示攻击者试图在网络内移动。
三、研究安全解决方式的警报
有时候,安全解决方式会标示看来无害的工具为可疑,而使用者会忽略这警报,由于该档案可能对使用者来说非常熟悉或无害。
然而。我们在很多案例中发现出现警报意味着网络中有攻击者。攻击者可能使用恶意设计的黑客工具。甚至是来自Sysinternals套件的合法工具来运行系统或网络检查作业。假设这些非恶意工具并不是预安装在用户计算机里的话,有些安全解决方式会标示出来。IT管理者必须问。为什么使用者会使用这些工具。假设没有充分的理由。IT管理者可能撞见了攻击者的横向移动。
四、检查是否有奇怪的大文件
在系统内发现未知的大文件须要加以检查。由于里面可能包括了从网络中窃取的数据。攻击者通常在将文件取出前会先储存在目标系统内。往往通过“看起来正常"的文件名称和文件类型来加以隐藏。
IT管理者能够通过文件管理程序来检查。
五、稽查和审核网络日志中的异常联机
持续地稽查和审核网络监控日志很重要。由于它可以帮助识别网络中的异常联机。
想做到这一点,就须要IT管理者对于其网络和不论什么时间内会发生的活动都了如指掌。仅仅有通过对网络内"正常“状况的了解。才可以识别出异常。比如,发生在应该是空暇时间内的网络活动就可能是攻击的迹象。
六、异常协定
和异常联机有关。IT管理者还须要检查这些联机所用的协议。特别是那些来自网络内部的联机。攻击者一般会选择使用在网络内被同意的协议。所以检查联机非常重要,即便它们使用的是一般的协议。
七、电子邮件活动添加
IT管理者能够检查邮件日志,看看是否有个别使用者出现奇怪的高峰期。
电子邮件活动突然爆大量时就要检查该使用者是否被卷入针对性钓鱼攻击。有时候。假设攻击者研究发现一名员工将去參加某个重要会议,就会在会议前三个月就開始寄送钓鱼邮件。这也是还有一种线索。
细致阅读这份列表,想必IT管理者会认为有一大堆艰苦的事情等着去做,不能否认,防范APT针对性网络攻击的确是项艰巨的任务。但为攻击做好准备的成本和解决一次攻击的成本相比划算得多,所以作为公司防御的第一线,IT管理者做好万全准备是非常重要的。
解决对策
传统的防毒黑名单做法不再足以保护企业网络对付针对性攻击。为了降低此安全威胁所带来的风险,企业须要实现客制化防御,这是种採用进阶威胁侦測技术和共享入侵指标(IoC)情报的安全解决方式。用来侦測、分析和响应标准安全产品所看不见的攻击。
七个迹象说明你可能受到APT 攻击的更多相关文章
- 初探APT攻击
首发于i春秋 作者:joe 所属团队:Arctic Shell 团队博客地址:https://www.cnblogs.com/anbus/ 0x1:关于APT的相关介绍: APT是 ...
- APT攻击基础科普
0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名 ...
- 初探APT 攻击
作者:joe 所属团队:Arctic Shell 本文编写参考: https://www.freebuf.com/vuls/175280.html https://www.freebuf. ...
- 从APT攻击中学习
0x01. 什么是APT? 可以看出APT攻击,叫高级可持续威胁攻击,也称为定向威胁攻击:什么是定向,也就是指定目标行业而发起进攻 这边又提到供应链和社会工程学,那是什么? 社会工程学,也就是社工,通 ...
- 水坑式攻击-APT攻击常见手段
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客 ...
- APT攻击将向云计算平台聚焦
APT攻击作为一种高效.精确的网络攻击方式,在近几年被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全最大的威胁之一. 近日,飞塔中国首席技术顾问X在谈及APT攻击时表示,随着云计算的不断发展普及 ...
- 梭子鱼:APT攻击是一盘更大的棋吗?
随着企业对IT的依赖越来越强,APT攻击可能会成为一种恶意打击竞争对手的手段.目前,APT攻击目标主要有政治和经济目的两大类.而出于经济目的而进行的APT攻击可以获取竞争对手的商业信息,也可使用竞争对 ...
- 饼干怪兽和APT攻击
APT攻击就像一个孩子,你通过各种方式窃取他们的大脑要拿出饼干,为了防止恶意攻击,过失作为母亲未能发现和防止饼干盗窃贼如.于她仅仅监视厨房椅子.衣柜门或烤箱门的开启.建立起有效防御目标攻击与APT攻击 ...
- 带你走进二进制-一次APT攻击分析
原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻译整理,首发i春秋 引言; 这是一次来自遥远国 ...
随机推荐
- sqls
ALTER TABLE `shh_data`.`topic_floor` ADD COLUMN `updated_date` DATETIME NULL AFTER `publish_date`,AD ...
- nmap小技巧[1] 探测大网络空间中的存活主机
url: nmap是所有安全爱好者应该熟练掌握的扫描工具,本篇介绍其在扫描大网络空间时的用法. 为什么要扫描大网络空间呢? 有这样的情形: 内网渗透 攻击者单点突破,进入内网后,需进一步扩大成果, ...
- 利用Json_encode解决中文问题
利用Json_encode解决中文问题 public function return_json($data=array()){ echo json_encode($data ...
- lodash 提取前N个元素 take
_.take(array, [n=1]) 从数组的起始元素开始提取 N 个元素. <!DOCTYPE html> <html lang="zh"> < ...
- Vue 常用属性汇总
1.Vue实例常用属性 (1)数据 data:Vue 实例的数据对象 components:Vue实例配置局部注册组件 (2)类方法computed:计算属性 watch:侦听属性 filters:过 ...
- JUnit4.8.2源码分析-1 说明
阅读本系列文章时须要知道的: JUnit是由GOF 之中的一个的Erich Gamma和 Kent Beck 编写的一个开源的单元測试框架,分析JUnit源码的主要目的是学习当中对设计模式的运用.JU ...
- Spring整合Activiti工作流
代码地址如下:http://www.demodashi.com/demo/11911.html 一. 前期准备 安装必要的开发环境 eclipse/intellij+maven 3.5.x + tom ...
- Phalcon 訪问控制列表 ACL(Access Control Lists ACL)
Phalcon在权限方面通过 Phalcon\Acl 提供了一个轻量级的 ACL(訪问控制列表). Access Control Lists (ACL) 同意系统对用户的訪问权限进行控制,比方同意訪问 ...
- <转>sock代理服务原理(TCP穿透)
原文转自:http://www.cppblog.com/zuhd/archive/2010/06/08/117366.html sock代理分为sock4代理和 sock5代理.sock4支持TCP( ...
- curl 重定向问题
今天在curl一个网站的时候遇到一个奇怪的问题,下面是输出: lxg@lxg-X240:~$ curl -L http://www.yngs.gov.cn/ -v * Hostname was NOT ...