APT 攻擊采用的技術有哪些

APT攻擊采用的技術有以下這些：

• 屏幕記錄：某些特定的敏感信息可能不方便使用簡單的文檔方式記錄。例如，發現受害主機中特定進程或者窗口激活情況的信息，可以通過創建一系列用戶屏幕快照實現收集。

• 交互式操作：攻擊者更多地使用交互式工具，而不是完全自動化的工具來實施信息過濾，確保隱蔽性。

• 加密通信：通過加密網絡協議建立與C&C服務器之間的加密連接，躲避常規的基于特征簽名的安全機制。

• 匿名網絡：通過Tor等匿名網絡，隱藏C&C服務器的位置，以增大追查的難度。

• 聲波通信：使用受害主機上附帶的傳聲器（俗稱麥克風）記錄周圍環境中的聲波，以實現擺渡攻擊。

• 清除痕跡：某些特定的APT攻擊使用附加的模塊來執行精心設計的清除痕跡子任務，例如徹底擦除攻擊存在的蛛絲馬跡，或者大規模惡意擦寫受害主機上的文件。

預防抵抗APT攻擊的方法有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息；從分析惡意軟件獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。