专注于大数据可视化研究
攻击链简述(一)：APT的攻击阶段
&&&&&&如今，持续进化的网络威胁环境带来了更复杂攻击场景，除了商业化的攻击行为，以前所欠缺的攻击技术现在也发展得更加普遍。除此之外，为了达到专业化的战术目标并在企业内部创建一个持续的攻击据点，黑客的攻击行为也不再仅仅是普遍的破坏行为（如之前爆发的蠕虫风暴），而是采用了多目标、多阶段、更低调的攻击方式。
&&&&&&基于防御思维的攻击链将一次攻击划分为7个阶段，可以快速地帮助我们理解最新的攻击场景一级如何有效地进行防御，其过程如下图所示。
1. 侦查目标(Recon)：侦查目标，充分利用社会工程学了解目标网络。
2. 制作工具(Weaponize)：主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。
3. 传送工具(Deliver)：输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站（挂马）、U盘等。
4. 触发工具(Exploit)：利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。
5. 控制目标(Control)：与互联网控制器服务器建立一个C2信道。
6. 执行活动(Execute)：执行所需要得攻击行为，例如偷取信息、篡改信息等。
7. 保留据点(Maintain)：创建攻击据点，扩大攻击战果。
&&&&&&以上时STIX白皮书中描述的攻击链，与其参考的攻击链模型略有差异(见参考文献2)，原版的攻击链模型如下图所示。
1. 侦查目标(Reconnaissance)：侦查目标，充分利用社会工程学了解目标网络。
2. 制作工具(Weaponization)：主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。
3. 传送工具(Delivery)：输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站（挂马）、U盘等。
4. 触发工具(Exploitation)：利用目标系统的应用或操作系统漏洞，在目标系统触发攻击工具运行。
5. 安装木马(Installation)：远程控制程序（特马）的安装，使得攻击者可以长期潜伏在目标系统中。
6. 建立连接(Command and Control)：与互联网控制器服务器建立一个C2信道。
7. 执行攻击(Actions on Objectives)：执行所需要得攻击行为，例如偷取信息、篡改信息等。
&&&&&&在逐步完成上述的一系列攻击阶段后，黑客顺利地在受害者企业内网建立了攻击据点，这种攻击手法现在有个响亮的名字，叫做高级持续性威胁(Advanced Persistent Threat)，简称为APT。以往，APT都被认为是国家层面的攻击行为(代表了最高超的攻击手段，最严格的合作纪律)，但现在在网络空间犯罪、财务威胁、工业间谍活动、政治黑客入侵以及恐怖主义中也能发现类似的行为。
没有更多推荐了，
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！应对 APT 攻击的措施或方法有哪些？ - 知乎451被浏览<strong class="NumberBoard-itemValue" title="1分享邀请回答367 条评论分享收藏感谢收起7110 条评论分享收藏感谢收起揭秘APT攻击系列（一）:是隐藏太深还是防护失效
　　不得不防的APT攻击
　　谈到网络安全风险，不得不谈的一个热门名词就是APT(高级持续性威胁)攻击。很多人以为APT是一种新的黑客技术，实际上它是包含了社会工程学攻击、0day漏洞利用、应用层攻击在内的多种攻击手段的组合。
　　2011年3月，RSA公司遭到APT攻击，部分动态令牌的ID文件和客户资料被窃取，并最终导致很多家使用动态令牌作为VPN网络认证手段的“美国国防外包商”大量重要资料被窃取。而在2013年8月，Adobe成为APT攻击的又一个受害者，有290万含有信用卡账号的用户信息、以及包含Photoshop在内的几十G源代码被非法窃取。由此可见，APT攻击带来的危害是不容小觑的。
　　它做好了长期潜伏的准备，只待关键数据出现
　　2014年2月，卡巴斯基实验室发现了一种被称为Careto(或者The Mask)的APT攻击，31个国家的政府机构、驻外机构和大使馆、研究机构、私募股份投资公司,以及能源、石油和天然气公司都是此次APT的目标，这个网络间谍活动潜伏长达7年之久。
　　APT是一种对特定目标进行长期、持续性的网络攻击形式。在发动攻击之前，黑客会对攻击对象的业务流程和目标系统进行精确的情报收集，主动挖掘对方的各种业务系统和应用程序的漏洞，并利用这些漏洞进入组织内部窃取所需的信息、产生特定的破坏。在没有挖掘到有用信息之前，它可以悄悄潜伏在攻击对象的主机中。
　　它具有很强的隐蔽性，悄然间便可窃取你的核心数据
　　下面让我们具体看一个APT攻击的实例。企业组织都有对外发布业务的Web服务器，黑客很容易利用SQL注入等手段往服务器上挂马，然后等着用户来访问，用户只要一访问这些网页，电脑就会被黑客远程控制，黑客能够仿冒内部人员的合法身份，向高层、管理员进一步发送木马邮件，从而控制这些高层和系统管理员的电脑，更轻易地接触到各种敏感数据，或者对某些数据进行恶意破坏。最后，黑客还能通过搭建隐蔽的数据通道，把窃取到的重要数据传送出去。由此可见，APT攻击的隐蔽性是相当好的。
　　传统安全手段已无法抵御APT攻击
　　过去我们很容易通过网络和电脑的异常来发现问题，而当下，安全风险比以往更加难以察觉。现在黑客已经把目标转向更有商业价值的数据，以往随处可见的安全问题就慢慢变少了，给我们一种网络安全正在得到改善的错觉。而实际上黑客可能早就潜伏进我们的网络，正悄悄的把我们最宝贵的数据窃取出去，传统的安全设备在这种情况下很难发现这些可怕的数据偷窃行为。
　　APT攻击防护利器应需而生
　　深信服下一代防火墙(NGAF)是面向应用层设计，能精确识别用户、应用和内容，具备完整的安全防护能力，是国内唯一同时融合FW、IPS、WAF、AV功能并能形成智能联动的安全产品，为APT防护提供从主机层(恶意代码防护、僵尸网络隔离)、网络层(访问控制、边界隔离、入侵防护、漏洞扫描、内网嗅探)到应用层(恶意网址识别、OWASPTOP应用协议攻击、管理认证登陆、DLP)的 L2-L7层一体化安全防护。您当前的位置:->->
APT攻击监测与防护系统
APT攻击监测与防护系统
◆ 产品介绍背景与需求分析
什么是APT攻击？
被称为高级复杂的，持续的，目标针对性很强的这种攻击。
高级 - 是指其利用复杂的攻击手段，甚至会利用到了0day和Nday漏洞，使传统安全产品难以防范；
持续 - 是指攻击持续，不达目的不罢休，并通过各种隐蔽技术，进行长期潜伏；
目标 - 是指其攻击目标明确，针对重要系统，主机，服务器等，具有高价值的对象，窃取和破坏为主。
为什么传统手段防不住APT
传统安全产品共同特点都是&监测&产品，监测产品都是规则或以特征匹配的方式进行判断，既然已经知道特征，那就代表已经获得样本，已经是已知的攻击或木马病毒。而APT大多会利用0day或Nday漏洞进行攻击。（0day是还没有被公开的漏洞，0day指0天，即公开漏洞的时间为0天。）
既然漏洞没被公开，那该漏洞利用，就是未知方式的攻击，这是传统安全产品难以匹配到的。
其次，由于这些传统产品都没有全包的存储进行深度分析，所以，也难以发现新的安全痕迹；
APT攻击监测的主要思路及挑战
分布式APT监测与防护系统
APT监测与防护系统，从多方位对APT攻击行为进行了辨别，不完全依赖于后台的分析。
APT监测与防护系统并不去做传统安全产品已经做得很好的功能，如入侵监测，如防火墙等，对传统安全产品是一个必要的补充，是重要网络的安全必备产品。
&&&&&&& APT监测与防护系统分为发现、追踪、取证、防御四个步骤，实现安全平台的完整体系从部署结构来看，平台采用的是分布式部署，集中管理的设计。
&&&&&&& 前端可以部署在任意网络位置，包括网络出口或其它重要链路。中心和后台都部署于用户的核心机房，为用户提供私有云的方式，与其它公司采用的公有云相比，私有云更强调安全性，符合等保分保对文档安全管理的要求。后台只与中心相连，专门针对0day或未知恶意代码的。
&&&&&&& 发现：前端设备会从数据流里提取出各种文件或样本，首先，对于已知的攻击，通过前端提取的样本文件会转到分析中心，中心会将这些样本送到后台检测，已知的病毒或木马，在预检测系统就能被检测出来。
&&&&&&& 追踪、取证：而APT最大的价值是在未知木马的发现能力，同样通过前端提取的样本文件会转到分析中心，中心会将这些样本送到后台检测，预检测系统无法检测出未知的恶意样本，样本会传到后台的深度检测系统。深度检测系统先会采用shellcode进行检查，判断是否存在shellcode指令或代码，之后会进行动态检测，通过虚拟机技术，模拟用户真实环境，激发样本行为，进行未知恶意样本检测，并自动形成安全检测报告。
&&&&&&& 防御：无论已知还是未知恶意样本，后台都能提取出恶意行为的特征，形成特征库或策略库，并通过中心管理分发到前端。前端接收安全策略，对相应规则进行拦截，并形成整体防御体系
&&&&&&& 无论是在之前的地方，还是其它的子网，都无法通过类似的攻击。这形成了整体的一个防御体系，即一个地方受攻击，会让整个网络都具备免疫能力，达到防御保护的结果。
1.基于硬件模拟的虚拟化动态分析技术
&&&&&&&&硬件模拟技术区别于传统的虚拟化技术，CPU、内存等核心部件以及光驱、网卡等外围设备全部由软件模拟实现，所有指令必须经过模拟CPU翻译执行，所有数据都存储在模拟硬件中，硬件模拟器可以观察到虚拟系统中执行的每一条指令，并可获取虚拟系统中的任何数据，因此，基于硬件模拟技术开展动态分析不需要对虚拟系统进行任何修改，也不需要在虚拟系统内部安装任何辅助分析工具。
虚拟技术的发展历程：
&&&&&&& 第一代技术，我们称为系统沙箱技术，以影子技术和Sandboxie为代表，这类技术需要用到系统钩子，并且分析工具和样本文件运行在同一个操作系统环境里面，技术很容易识别；
&&&&&&&&第二代技术，我们称为虚拟软件技术，以VMWare和Vitualbox为代表，是以通用的虚拟化工具，仍然需要在系统内部安装辅助分析工具才能实现分析，技术很容易识别；
&&&&&&& 第三种技术，我们称为硬件模拟技术，分布式APT监测与防护系统就是采用的这种技术，其目的，就是为了做木马的动态分析，能够模拟硬件的所有指令，让木马无法检测是一个虚拟环境。具有防木马反检测的能力。
&&&&&&& 以虚拟机作为动态检测技术是APT检测的主要手段之一，也有国内一些公司也推出了APT检测产品。但不同的技术，其检测效果完全不一样，这也是为什么Fireeye能比其它公司技术更强的地方。所以，判断动态检测技术，最重要的就是看其使用的是怎样的虚拟技术。
2.&高性能的服务器
&&&&&&& APT监测与防护系统对专属服务器针对虚拟机做了性能上的优化。能为用户提供单台普通服务器同时运行40个虚拟机的能力
&一天能处理更多的样本分析；
&节约机柜和电费，一年下来，节约的费用就是12万左右。（一个标准机柜42U，能放12台2U设备，IDC的大概价格是11.25万/年）
节省8~10台服务器的硬件成本。
&能为用户提供更丰富的模拟环境，包括各种office版本，只有版本匹配正确，会激发样本的行为。
样本方面，强调不同木马会攻击不同版本的WORDS, PDF，系统版本等。所以需要多种组合。
3.&基于行为异常的流量检测技术
&&&&&&&&异常行为检测，其目的是发现更为隐藏的木马和入侵，在实战中，更多的是木马已经植入进来了，如何发现？基于行为异常的流量检测技术，则是一个通过数据行为的可疑现象进行的定向分析。异常行为模型，的困难点在于：如果定义个简单，有效的行为模型，证明其文件是有问题的。太简单会疏漏不少，太复杂则难以执行；
根据通讯协议的规范，检测发现非规范协议的通信流量
检测的异常行为：木马私有控制协议；隐蔽信道；
根据网络运行状态的历史数据统计，形成正常行为轮廓，以此为基础检测异常检测的
异常行为：内网探测；应用数据异常
根据业务应用特点定义正常行为轮廓，以此为基础检测异常
检测的异常行为：跳板攻击；应用访问异常
4.全数据分析技术
&&&&&&&&全流量数据审计，是APT分析的重要保障，也是对未知攻击分析取证的必要手段。全流量数据记录，就象公安的天网监控，银行的监控录像，飞机的黑匣子，只要是从网络上进行的攻击，无论已知还是未知，必然产生网络流量，只要记录下来，既便当时无法报警，但只要数据存在，便为后续研究，分析提供了数据依据。
&&&&&&& 从1T到100T数据，都可瞬间进行回查分析，可以进行任意时间段的数据筛选，过滤，进一步挖掘可疑内容。同时支持五元组索引和多种方式的索引能力。
基于索引的海量数据快速检索
自主设计的海量数据存储结构和预处理算法
1TB数据的检索时间低于3秒钟
多维度的网络流量线索分析
支持从时间、会话、协议、事件等不同维度进行网络流量追踪分析
可根据发现的异常事件进行深度追踪、溯源，快速确定潜在的威胁，全面评估事件的危害一次模拟APT攻击计划 - 简书
一次模拟APT攻击计划
0x00 前言：此次模拟APT攻击，前前后后大约持续3个月左右，信息搜集，踩点大致在2个月左右。正式开始于3月中旬敲定计划开始实施。通过此次的模拟，更清晰的对目前企业现状的规划与建设更具有行业针对性。更清晰清楚，针对不同行业的网络建设是不具备统一规划与建设方案的。注：模拟APT计划：模拟一次虚拟任务，来真实攻击目标（非破坏，非窃取等）。0x01 序言：目前市场上的企业网络安全规划与建设大部分存在统一实施方案，或者是模板方案。而非针对特定行业，特定客户群体来制定针对方案。而不同行业，不同背景的规划方案也一定是不相同的。如传统行业（医药，食品，汽车）对待企业安全的建设是起跑阶段。如金融行业（证券，银行，保险）对待企业安全的建设是规划与实施阶段。如互联网行业（某度，某巴，某鹅）对待企业安全建设是自研或商业化阶段。为了更好的了解，所以制定了一次模拟计划，在计划中，更能清楚的看到，未来企业网络安全对待企业发展的重要性，以及特定行业特定规划方案，特定行业特定防御对象。由于此次计划时间过长，导致部分无截图。或者后补截图（可能是本地模拟的截图）0x02 故事1：故事就这样开始了，针对传统行业，药企。起初定的计划是以配方为任务结点，也就是看到或者可以确定到具体存放位置就点到为止，但是随时目标的深入（为了避嫌），临时更改了计划，任务背景临时更改成，定向打击该企业的某人，那么整体APT攻击流程如下：（由于第一阶段时间跨度较长，大部分截图丢失）点1-------&面2-------&点3-------&面4-------&点5-------&总结点1：某个点漏洞面2：由点漏洞开始渗透面，该企业（传统行业医药，企业安全建设起跑阶段）点3：由面，该企业中的某人，定向打击面4：针对目标人物的行踪，定向打击某航空公司（重视企业安全建设，实施阶段）点5：最终了解了该人的全部资料与行程计划。
针对该国的药企排名信息搜集，定该国的top1为目标开始定向搜集，分为被动信息搜集，与主动信息搜集。其中主动信息搜集又分为，外部主动搜集与后期的内部主动信息搜集。并且把先期所有外围主动与被动信息搜集入库。与后期的内部信息搜集入库。形成完整的攻击方向链。
根据攻击方向链，制定攻击方向计划
并且根据目前入库数据分析，很快得到了某台DMZ区域的windows主机权限。
上文已分析得出，该药企目标为传统行业，一般传统行业的安全网络设备较差，部分涉及到核心的数据库会有网闸，恰恰该目标某些设备具备网闸。
任何的本地访问都会到内网中的254。
技术细节略过，在过网闸后，定向查找跨B段域控，在得到域控后，继续搜集信息入库分析并且完善攻击方向链，也就是需要分析出攻击方向，如财务，研发。避免IT等内部安全部门。
得到域控后，临时更改了以配方为主的计划方案。因为：
并且在net group /domain得到返回信息如下：
如果目前终止计划，那么此次仅仅是一次即时渗透，非APT定向攻击。临时更改计划，该企业中的某人X，在OA得知，X人，某天乘坐飞机到某地，具体业务并没有更为详细的说明。那么计划临时更改为，需要了解该人去某地的具体意图。0x03 阶段性1总结：目前大部分网络攻击主要分为：黑产，政治黑客攻击，商业黑客攻击，其他攻击。而针对传统企业（如医药，食品，汽车，传统国有企业，军工企业等）面临的攻击大部分来自商业黑客与政治黑客攻击。这2种类型的攻击，特点是时间换空间攻击，以最小化发现为主拉长时间抽的APT方式攻击。针对这种类型的企业，除了有效的安全产品外，而更多的是针对员工的安全意识培训。尤其是车企，并且部分车企的图纸，或者参与军工研发，甚至次年的发展规划，报表，都是黑客的主要攻击对象。由于部分车企采取多地甚至跨国联合办公，移动办公，移动用户，包括许多方面的合作伙伴。（如下图）导致了攻击点不仅仅在是针对企业面的攻击，更多的是以员工点方式的攻击。从而快速有效并且跳过部分防火墙，直接搜集敏感数据。
0x04 故事2：在故事1中得结尾得知X人要乘坐某航空到某地。具体做什么，从OA中无法得知。为了定向打击X人，开始针对对某航空公司的外围，主动/被动信息搜集，以及内部信息刺探。在航空行业中重视企业安全建设，实施阶段。其实并没有把这条规则入库到攻击链中，导致在入侵中发生了许多不必要的问题，如外网信息刺探的某web服务，部分有sql注入，但是一直把时间浪费在与waf的对抗中，而在这类行业中，都会部署着规则强大并且性能较好的waf。大部分对外的网站中，没有明显漏洞。后期，把行业性质入库到攻击方向。重新定制计划，继续搜集信息，定向打击该航空员工。从而绕过安全设备。那么整体攻击流程如下：点1-------&点2-------&面3-------&点4点1：搜集外围信息，主动/被动点2：针对爬虫信息入库，分析公司员工，职务人员。面3：根据该点员工，攻击该航空公司。点4：在航空数据中，查找药企X人的下一步的去向。在外围信息搜集中得到某json接口返回，得到该公司全部员工代号，又在某接口返回得到无代号返回的全部员工邮箱账号。二者入库匹配，来获取username，mail，职务。（以下图片已经处理，无敏感，由于目标敏感，域内信息，以及数据库信息无图）
重新入库分析攻击链方向整理后，得到全部员工信息后开始匹配，打开某员工邮箱，并且在附件中得到vpn.apk，逆向得到相关api，导致可爆破。后在某处得到新版本VPN.apk
新版本的vpn有双因子劫持跳过。遂连，触发远程加载。得到内网，拓展域权限。（以下图经过处理，无铭感，可能打乱顺序）
在结尾处，发现X人是去度假去了。（捂脸，后飞至某国）0x05 阶段性总结2：目前的航空行业，金融行业都是黑产黑客的高发地，以窃取数据为核心攻击。而此类行业中，所有数据库又具备数据的完整性。如身份证，姓名，电话，照片等。数据较为敏感。此类行业每年都会有建设的大量预算，这种类型的目标，往往打点极其困难，大部分的waf或监控流设备就拦截了非法信息，并且有专门的信息安全部门对内部进行安全测试与部分整改意见。而针对大型该行业企业，由于员工众多，导致部分信息不能及时共享与整改。甚至会出现本公司的网络资产表覆盖不全面。以点溃面。0x06 总结由于信息化，自动化的办公，企业成本的考虑，传统的“以点打面”的点会越来越分散与难以集中管理，如跨国办公，移动办公等。那么可预知的攻击方式将会以人为突破口的事越来越多。安全的本质又不能仅仅靠预算与设备的投入而杜绝，尤其是在未来的大型甲方公司，都会有着自己的安全团队，那么如何把网络安全发展成未来甲方公司的企业文化，将会是一个漫长的过程。而近些年无论是国内还是国外的官方部门开始重视网络安全，但是效果不明显，同样这里借用某大佬的总结，同样部分也适用于企业：1领导不重视2岗位无编制3专业能力弱4攻防更新快5人才留不住可见，不同的行业，企业安全规划建设是不同的并且不具备模板化建设，也不适用安全设备堆建做防护，如果在行中在按照地域划分也有着部分的不同特征，比如一些地方以国企（大量工控），重工业为支撑，一些沿海地区有着发达的金融业的企业安全建设。针对的主要攻击对象不同，针对的防护内容不同。来制定适合本企业的安全建设规划方案。但是有一点一定是相同的，把企业的网络安全发展成企业文化。
风控，渗透测试，攻防，安全产品 ，做业务安全小学生，玩的就是心态，你有你的背景，我有我的故事！
猎头别找我，第一我不缺钱，第二，你出不起我得费用。网名：pkx1
传授各种 手相、思路整理、 情报、情感沟通等绝技，你懂得，非传统社工思路！
前言 中医药是中华民族的瑰宝，是我国医药卫生体系的特色和优势，是国家医药卫生事业的重要组成部分。日，十二届全国人大常委会第二十五次会议审议通过了《中华人民共和国中医药法》。这是中医药发展史上具有里程碑意义的大事，将产生深远的国内国际影响。 立法背景 新中...
世界上总有一些品牌，让我们为之倾倒，心甘情愿地追随它们，成为它们的忠实粉丝，无怨无悔地充当它们的义务推销员。这些品牌无一不是有故事的品牌，而且是会讲故事的品牌。这样的品牌不止有产品，还有魅力。它们的产品和故事完美地融合为一体，形成了独特的品牌气质。事实上，一个成功的品牌也是...
大数据：抓住机遇、保存价值 美国总统行政办公室浙江大学历史数据2014 年 5 月 大数据：抓住机遇、保存价值“即使大数据技术重塑了我们周围的世界，今天的发言也将帮助我们持续贯彻自身的价值观念。”“这份评估报告本质上被认为是一种对大数据作用范围的调查。在过去的 90 天中，...
章录内部控制的基础 ····················································· ····················································3 会计基础工作内部控制制度 ······...
第一章借鸡生蛋，无本生万利 借力生财，一举两得 “借别人的手帮自己干活儿，就等于找人为己干活儿。”在现在这样一个竞争日益激烈的市场经济时代，想要在商场上干出一番成就，仅靠单打独斗是行不通的，我们应该学会“借力”，让别人替自己赚钱。 犹太人做生意全世界有名，在生意场上，他们常...
东方神起将于28号下午17点通过虾米音乐、Melon、genie、NAVER MUSIC等各大网站公开包括主打歌《The Chance of Love》在内总共收录了11首各色歌曲的正规8辑《New Chapter #1 : The Chance of Love》全曲音源，...
From Transfusion Therapy in OrthopaedicSurgical Procedures 指导性原则 1.保证足够循环的血液容积；一般不输全血，除非病人出现急性、大量的血液流失2.输入红细胞的目的是增加提供给组织的氧气3.血红蛋白水平不能作为精确...
叫汤姆不历险 叫三毛不流浪 叫爱丽丝不梦游 叫鲁滨逊不漂流
【一】花凉 我叫花凉，姜国皇帝唯一的子嗣，未来继承王位的不二人选，所以我打小纵横姜国王宫，骄纵跋扈，到处惹事，却没有一个人敢跟我叫板。 然而这样的好日子持续到我十六岁那年，陡然生了变故，一个自称是我父王流落在外的私生子找上了门。 这摆明了就是诈骗！ 虽然父王风流成性，但他后...
幻觉是很多人都听过的一个心理学词汇，诸如幻视、幻听，这样比较通俗易懂喜闻乐见的幻觉类型，大家基本上能够从字面上”望文生义“就可以知道其大致内涵。 当然了，幻觉作为一种十分重要的精神病性症状，其类型不止于幻视、幻听这样简单的类型。今天就跟大家唠唠幻觉这个大家庭都有哪些成员。 ...}