七个迹象说明你可能受到APT 攻击
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">
APT攻击。即进阶持续性渗透攻击 (Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方式,因此要侦測它们是一大挑战。
正如我们在之前关于APT 攻击常见五个误解的文章中所强调过的,没有放诸四海皆准的解决方式能够用来对付它。企业需在所须要的地方都放置传感器好加以防护。同一时候IT也要有足够的设备来识别网络的异常情况,并採取对应的措施。
然而,要及早发现异常状况。IT管理者须要知道首先要看到什么。
因为攻击一般会设计成仅仅有非常少或差点儿没有痕迹可循。重要的是要知道哪里能够找到入侵的可能指标。在此,我们将列出IT管理者所须要密切监视的网络部分以发觉不论什么入侵的迹象。
一、检查被注入的DNS记录
攻击者常常会篡改DNS记录以确保到他们的幕后操纵(简称C&C)联机不会被封锁,IT管理者能够检查记录中可能被攻击者注入的迹象。如未知网域增加IP地址、近期注冊的未知网域、看起来像是随机字符的网域、以及出现模仿知名网域的域名。
二、稽查和审核登录失败或不规则的账号
一旦攻击者可以进入网络和建立与其C&C的通讯。下一步一般是在网络内横向移动。攻击者会去找出ActiveDirectory、邮件或文件server,并攻击server漏洞来加以存取。然而。由于管理者会修补并防护重要server的漏洞,攻击者可能会尝试暴力破解管理者账号。
对于IT管理者来说,登录记录是这一行为最好的參考数据。检查失败的登录尝试。以及在不平常时间内的成功登录。可以显示攻击者试图在网络内移动。
三、研究安全解决方式的警报
有时候,安全解决方式会标示看来无害的工具为可疑,而使用者会忽略这警报,由于该档案可能对使用者来说非常熟悉或无害。
然而。我们在很多案例中发现出现警报意味着网络中有攻击者。攻击者可能使用恶意设计的黑客工具。甚至是来自Sysinternals套件的合法工具来运行系统或网络检查作业。假设这些非恶意工具并不是预安装在用户计算机里的话,有些安全解决方式会标示出来。IT管理者必须问。为什么使用者会使用这些工具。假设没有充分的理由。IT管理者可能撞见了攻击者的横向移动。
四、检查是否有奇怪的大文件
在系统内发现未知的大文件须要加以检查。由于里面可能包括了从网络中窃取的数据。攻击者通常在将文件取出前会先储存在目标系统内。往往通过“看起来正常"的文件名称和文件类型来加以隐藏。
IT管理者能够通过文件管理程序来检查。
五、稽查和审核网络日志中的异常联机
持续地稽查和审核网络监控日志很重要。由于它可以帮助识别网络中的异常联机。
想做到这一点,就须要IT管理者对于其网络和不论什么时间内会发生的活动都了如指掌。仅仅有通过对网络内"正常“状况的了解。才可以识别出异常。比如,发生在应该是空暇时间内的网络活动就可能是攻击的迹象。
六、异常协定
和异常联机有关。IT管理者还须要检查这些联机所用的协议。特别是那些来自网络内部的联机。攻击者一般会选择使用在网络内被同意的协议。所以检查联机非常重要,即便它们使用的是一般的协议。
七、电子邮件活动添加
IT管理者能够检查邮件日志,看看是否有个别使用者出现奇怪的高峰期。
电子邮件活动突然爆大量时就要检查该使用者是否被卷入针对性钓鱼攻击。有时候。假设攻击者研究发现一名员工将去參加某个重要会议,就会在会议前三个月就開始寄送钓鱼邮件。这也是还有一种线索。
细致阅读这份列表,想必IT管理者会认为有一大堆艰苦的事情等着去做,不能否认,防范APT针对性网络攻击的确是项艰巨的任务。但为攻击做好准备的成本和解决一次攻击的成本相比划算得多,所以作为公司防御的第一线,IT管理者做好万全准备是非常重要的。
解决对策
传统的防毒黑名单做法不再足以保护企业网络对付针对性攻击。为了降低此安全威胁所带来的风险,企业须要实现客制化防御,这是种採用进阶威胁侦測技术和共享入侵指标(IoC)情报的安全解决方式。用来侦測、分析和响应标准安全产品所看不见的攻击。
七个迹象说明你可能受到APT 攻击的更多相关文章
- 初探APT攻击
首发于i春秋 作者:joe 所属团队:Arctic Shell 团队博客地址:https://www.cnblogs.com/anbus/ 0x1:关于APT的相关介绍: APT是 ...
- APT攻击基础科普
0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名 ...
- 初探APT 攻击
作者:joe 所属团队:Arctic Shell 本文编写参考: https://www.freebuf.com/vuls/175280.html https://www.freebuf. ...
- 从APT攻击中学习
0x01. 什么是APT? 可以看出APT攻击,叫高级可持续威胁攻击,也称为定向威胁攻击:什么是定向,也就是指定目标行业而发起进攻 这边又提到供应链和社会工程学,那是什么? 社会工程学,也就是社工,通 ...
- 水坑式攻击-APT攻击常见手段
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客 ...
- APT攻击将向云计算平台聚焦
APT攻击作为一种高效.精确的网络攻击方式,在近几年被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全最大的威胁之一. 近日,飞塔中国首席技术顾问X在谈及APT攻击时表示,随着云计算的不断发展普及 ...
- 梭子鱼:APT攻击是一盘更大的棋吗?
随着企业对IT的依赖越来越强,APT攻击可能会成为一种恶意打击竞争对手的手段.目前,APT攻击目标主要有政治和经济目的两大类.而出于经济目的而进行的APT攻击可以获取竞争对手的商业信息,也可使用竞争对 ...
- 饼干怪兽和APT攻击
APT攻击就像一个孩子,你通过各种方式窃取他们的大脑要拿出饼干,为了防止恶意攻击,过失作为母亲未能发现和防止饼干盗窃贼如.于她仅仅监视厨房椅子.衣柜门或烤箱门的开启.建立起有效防御目标攻击与APT攻击 ...
- 带你走进二进制-一次APT攻击分析
原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻译整理,首发i春秋 引言; 这是一次来自遥远国 ...
随机推荐
- window安装mysql5.7.11
1.到mysql官网(http://dev.mysql.com/downloads/mysql/)下载压缩包,我的是win7 64位的,根据自己的系统进行下载 2.解压到自己的目录,我的是 E:\so ...
- (转)spring boot实战(第三篇)事件监听源码分析
原文:http://blog.csdn.net/liaokailin/article/details/48194777 监听源码分析 首先是我们自定义的main方法: package com.lkl. ...
- iOS 调用第三方地图进行导航
//支持的地图 { _model = model; //支持的地图 NSMutableArray *maps = [NSMutableArray array]; //苹果原生地图-苹果原生地图方法和其 ...
- 1364:Field 'sex' doesn't have a default value [ SQL语句 ]
1364:Field 'sex' doesn't have a default value [ SQL语句 ] 错误解决方法: 关闭MySQL的strict mode的具体做法: 找到MySQL目 ...
- homestead虚拟机,通过npm下载依赖包和解决运行gulp报错问题 yarn出错问题
homestead虚拟机,通过npm下载依赖包和解决运行gulp报错问题 yarn出错问题 1. 在虚拟器运行 npm 下载依赖组件时报错: npm ERR! EPROTO: protocol err ...
- lodash capitalize 首字母大写
_.capitalize([string='']) 转换字符串首字母为大写,剩下为小写. _.capitalize('FRED'); // => 'Fred'
- git merge rebase的区别及应用场景
前两天和同事交流发现他在日常开发中跟上游保持同步每次都是用git pull操作,而我一直习惯git fetch然后rebase,发现这两种操作后的log是有些区别的.他每次pull操作之后都会自动生成 ...
- TLS
1. SSL简介 SSL(SecureSocket Layer)安全套接层,是网景公司提出的用于保证Server与client之间安全通信的一种协议,该协议位于TCP/IP协议与各应用层协议之间,即S ...
- 使用caffe 的 python接口测试数据,选定GPU编号
只需要在python脚本中添加两行代码: caffe.set_device(0) #使用第一块显卡 caffe.set_mode_gpu() #设为gpu模式 这样,就可以在默认显卡被占用(第一块显卡 ...
- javascript中window与document对象、setInterval与setTimeout定时器的用法与区别
一.写在前面 本人前端菜鸟一枚,学习前端不久,学习过程中有很多概念.定义在使用时容易混淆,在此给向我一样刚踏入前端之门的童鞋们归纳一下.今天给大家分享一下js中window与document对象.se ...