你的網(wǎng)絡(luò)上是否有重要的數(shù)據(jù)？察覺到有奇怪的網(wǎng)絡(luò)狀況？那么你可能已經(jīng)淪為APT攻擊的受害者了……

與傳統(tǒng)網(wǎng)絡(luò)攻擊相比，黑客所發(fā)動的APTs（高級持續(xù)性威脅）是一個(gè)新興的攻擊類型。APTs會給企業(yè)和網(wǎng)絡(luò)帶來持續(xù)不斷的威脅，能夠發(fā)動APTs攻擊的黑客，往往是一個(gè)有著良好紀(jì)律性的組織，作為一個(gè)專業(yè)團(tuán)隊(duì)集中進(jìn)行網(wǎng)絡(luò)活動。通常情況下，他們將寶貴的知識產(chǎn)權(quán)、機(jī)密的項(xiàng)目說明、合同與專利信息作為竊取目標(biāo)。

發(fā)動APT的黑客在一般情況下所使用的方法便是用網(wǎng)絡(luò)釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息。若是發(fā)現(xiàn)一個(gè)非法入侵，但它唯一明顯的意圖就是去偷你企業(yè)的錢，那么這很可能不是一個(gè)APT攻擊。那么真正的APTs攻擊應(yīng)該是什么樣子呢？

因?yàn)锳PT黑客與普通黑客所用的技術(shù)不同，所以他們會留下不同的痕跡。在過去的十年里，我發(fā)現(xiàn)了若是出現(xiàn)下列5種信號的話，你的企業(yè)很有可能已經(jīng)遭到了APTs攻擊。在一個(gè)企業(yè)中，每個(gè)業(yè)務(wù)都有一個(gè)固定的、合法的活動頻率，若其活動頻率突然發(fā)生異變，說不定這部分業(yè)務(wù)正在被APT所利用。

APT信號 NO.1：在晚上，日志登錄信息的暴增

APTs首先會攻陷一臺電腦，然后會迅速接管整個(gè)網(wǎng)絡(luò)大環(huán)境。通過讀取數(shù)據(jù)庫的身份認(rèn)證，竊取證書并反復(fù)利用這些權(quán)限，從而達(dá)到接管整個(gè)網(wǎng)絡(luò)的目的。他們了解哪些用戶（或者服務(wù)）賬戶擁有更高的權(quán)限，有了這些特權(quán)，他們就可以游走于網(wǎng)絡(luò)各方，危及企業(yè)的資產(chǎn)。因?yàn)楣粽叩纳顣r(shí)差與我們相反，所以通常情況下，日志中大量的登錄與注銷記錄的爆發(fā)都會發(fā)生在夜里。如果你突然發(fā)現(xiàn)日志的登錄注銷記錄突然大量出現(xiàn)，而該時(shí)間段里，這些員工應(yīng)該是在家休息的，那么你就需要警惕了！

APT信號 NO.2：廣泛的后門木馬

APT黑客經(jīng)常在開發(fā)環(huán)境中在被感染的電腦里面裝上后門木馬。他們這樣做是為了能夠確保隨時(shí)可以回來，即便是捕獲的日志認(rèn)證發(fā)生了改變，他們也能夠通過此后門得到線索與信息。另一個(gè)相關(guān)的特征：一旦行蹤暴露，APT黑客不會像普通攻擊者那樣馬上逃走擦凈痕跡，為什么會如此呢？他們在企業(yè)中操控了計(jì)算機(jī)等相關(guān)設(shè)備，而且只要他們本人不坦白，即使是走了法律流程，這些潛在的威脅也很難被發(fā)現(xiàn)。

這段時(shí)間以來，大多數(shù)被部署了木馬的企業(yè)，均是被社會工程學(xué)的攻擊手段鉆了空子。這種攻擊手段相當(dāng)普遍，它們使APT攻擊的成功率提高了不少。

APT信號 NO.3：意想不到的信息流動

我能想到的，檢測APT活動的最好方法是：看到大量意想不到的數(shù)據(jù)流從內(nèi)部計(jì)算機(jī)向外部流動。有可能是從服務(wù)器流向服務(wù)器，也有可能是從服務(wù)器流向客戶端或是從網(wǎng)絡(luò)移動到網(wǎng)絡(luò)。

這些數(shù)據(jù)流可能是有限的，但是卻具備非常強(qiáng)的針對性。比如會有些人專門收取一些國外發(fā)來的郵件。我希望每個(gè)郵件客戶端都能夠顯示最新的用戶登錄地點(diǎn)以及最后訪問的登錄地點(diǎn)。Gmail和其他一些云電子郵件系統(tǒng)已經(jīng)能夠?qū)崿F(xiàn)這一點(diǎn)。

當(dāng)然，為了更準(zhǔn)確地判斷APT攻擊，你必須能夠從數(shù)據(jù)流中判斷是否存有異常，那么現(xiàn)在就開始了解你的數(shù)據(jù)流基準(zhǔn)信息吧。

APT信號 NO.4：發(fā)現(xiàn)意外的大數(shù)據(jù)包

APTs攻擊通常將竊取的信息在內(nèi)部進(jìn)行整合，然后再傳輸?shù)酵獠?。如果發(fā)現(xiàn)大塊數(shù)據(jù)（這里指的是千兆字節(jié)的數(shù)據(jù)）出現(xiàn)在不該出現(xiàn)的地方，特別是那種在企業(yè)內(nèi)部不常出現(xiàn)的壓縮格式，或是不需要壓縮的文件。發(fā)現(xiàn)這些數(shù)據(jù)后，你千萬需要小心了。

APT信號 NO.5：檢測哈希傳遞（pass-the-hash）黑客工具

雖然APTs攻擊中不是總是使用哈希值傳遞工具，這個(gè)工具卻會經(jīng)常彈出。奇怪的是，黑客使用這個(gè)工具后，往往會忘記將其刪除。如果你發(fā)現(xiàn)了一個(gè)孤零零的哈希工具掛在那里，那他們肯定是有一點(diǎn)慌張了，或許至少可以證明他們確實(shí)是有所動作，你應(yīng)該進(jìn)一步深入調(diào)查。

如果非要讓我總結(jié)出APT攻擊的第6個(gè)信號的話，那么我將會強(qiáng)烈反對企業(yè)使用變態(tài)的Adobe Acrobat PDF文件，因?yàn)樗且痿~叉式網(wǎng)絡(luò)釣魚活動的重點(diǎn)。它是誘發(fā)APT攻擊的根源，我并沒有將其寫進(jìn)上面5個(gè)信號中，因?yàn)锳dobe Acrobat在任何地方都會被利用上。但是，如果你發(fā)現(xiàn)了一個(gè)魚叉式網(wǎng)絡(luò)釣魚攻擊，尤其是在一些高管不慎點(diǎn)擊了附加PDF文件后，你一定要開始著手尋找其他的攻擊特征。這很可能是APT攻擊的前奏。

話雖如此，但我希望你永遠(yuǎn)不需要面對APT攻擊，它是你和你的企業(yè)最難以做到的事情之一。預(yù)防和早期檢測將會減輕你的痛苦與壓力。