apt組織攻擊常用的技術手段有哪些

常見的APT攻擊手段有以下三種：

• 攻擊者發送惡意軟件電子郵件給一個組織內部的收件人。例如，Cryptolocker就是一種感染方式，它也稱為勒索軟件，其攻擊目標是Windows個人電腦，會在看似正常的電子郵件附件中偽裝。一旦收件人打開附件，Cryptolocker就會在本地磁盤上加密文件和映射網絡磁盤。如果你不乖乖地交贖金，惡意軟件就會刪除加密密鑰，從而使你無法訪問自己的數據。

• 攻擊者會感染一個組織中用戶經常通過DNS訪問的網站。著名的端到端戰網Gameover Zeus就是一個例子，一旦進入網絡，它就能使用P2P通信去控制受感染的設備。

• 攻擊者會通過一個直連物理連接感染網絡，如感染病毒的U盤。將這些帶有病毒的U盤連接到互聯網或者局域網后就會成功完成攻擊。

預防抵抗APT攻擊的方法有以下這些：

• 使用威脅情報：這包括APT操作者的最新信息、從分析惡意軟件獲取的威脅情報、已知的C2網站、已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行、以及惡意鏈接和網站。威脅情報在進行商業銷售，并由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。

• 建立強大的出口規則：除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。

• 收集強大的日志分析：企業應該收集和分析對關鍵網絡和主機的詳細日志記錄以檢查異常行為。日志應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。

• 聘請安全分析師：安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關鍵是經驗。

• 對未知文件進行檢測：一般通過沙箱技術罪惡意程序進行模擬執行，通過對程序的行為分析和評估來判斷未知文件是否存在惡意威脅。

• 對終端應用監控：一般采用文件信譽與嘿白名單技術在終端上檢測應用和進程。

• 使用大數據分析方法：基于大數據分析的方法，通過網路取證，將大數據分析技術和沙箱技術結合全面分析APT攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。