APT 攻擊都有哪些入侵途徑

APT 攻擊都有以下這些入侵途徑：

• 水坑攻擊：水坑攻擊，顧名思義，就是在您每天的必經之路挖幾個坑，等您踩下去。水坑攻擊是APT常用的手段之一，通常以攻擊低安全性目標來接近高安全性目標。攻擊者會在攻擊前搜集大量目標的信息，分析其網絡活動的規律，尋找其經常訪問的網站弱點，并事先攻擊該網站，等待目標來訪，伺機進行攻擊。由于目標使用的系統環境多樣、漏洞較多，使水坑攻擊較易得手，且水坑攻擊的隱蔽性較好，不易被發現。

• 路過式下載：路過式下載就是在用戶不知情的情況下，下載間諜軟件、計算機病毒或任何惡意軟件。被攻擊的目標在訪問一個網站、瀏覽電子郵件或是在單擊一些欺騙性的彈出窗口時，可能就被安裝了惡意軟件。

• 網絡釣魚和魚叉式網絡釣魚：釣魚式攻擊是指攻擊者企圖通過網絡通信，偽裝成一些知名的社交網站、政府組織、機構等來獲取用戶的敏感信息。在APT攻擊中，攻擊者為了入侵目標所在的系統，可能會對目標系統的員工進行釣魚攻擊，引導用戶到URL和頁面布局與源頭網站看起來幾乎一樣的釣魚網站，欺騙用戶輸入敏感信息，達到信息竊取的目的。魚叉式網絡釣魚則是指專門針對特定對象的釣魚式攻擊。魚叉式網絡釣魚通常會鎖定一個目標，可能是某一個組織的某個員工。一般而言，攻擊者首先會制作一封附帶惡意代碼的電子郵件，一旦攻擊目標單擊郵件，惡意代碼就會執行，攻擊者相當于暗自建立了一條到達目標網絡的鏈路，以便實施下一步攻擊。普通釣魚的終極目的一般就是獲取用戶的用戶名和登錄口令等敏感信息，但獲取用戶登入憑證等信息對魚叉式網絡釣魚而言只是第一步，僅僅是攻擊者進入目標網絡的一種手段，隨后將想方設法實施更大規模、更深層次、更具危害的攻擊。因而，魚叉式網絡釣魚常被應用于APT高級入侵。

• 零日漏洞：零日漏洞就是指還沒有補丁的安全漏洞。攻擊者在進入目標網絡后，可輕易利用零日漏洞對目標進行攻擊，輕松獲取敏感數據。由于此漏洞較新，不易發現，并且沒有補丁，所以危險性極高。APT攻擊前期會搜集目標的各種信息，包括使用的軟件環境，如JRE、Structs開發等，以便更有針對性地聚集尋找零日漏洞，繞過系統部署的各種安全防護體系發動有效的破壞性攻擊。

企業監測APT攻擊的方式有以下這些：

• 異常檢測：這一方案是同時解決兩大問題的，即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型，通過將所有數據量與這一標準模型進行對比，從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的，由于警察并不知道壞人的姓名，性別，長相已經其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個可行的標準模型，當一個人的行為特征與現有的好人的行為特征模型大部分不相符時，警察就可以判斷這個人不是個好人，是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。

• 基于連接特征的惡意代碼檢測：是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。

• 全流量審計：這一方案是解決 A，P 問題的，即是為了解決傳統特征匹配不足而產生的解決方案。這一方案的核心思想是通過對檢測到的流量進行應用識別，還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原，識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時，回溯分析與之相關的流量。包含了大數據存儲處理，應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力，是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。

• 基于記憶的檢測系統：這是一個由全流量審計與日志審計相結合形成的系統，APT 攻擊發生的時間很長，我們應該對長時間內的數據流量進行更加深入，細致的分析。

• 沙箱：這一方案是為了解決高級入侵手段引起的問題的，即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用 0day 漏洞，使特征碼的匹配不成功，這樣我們就可以對癥下藥使用非特征匹配，利用沙箱技術識別 0day 漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。

• 基于深層次協議解析的異常識別：可以仔細檢查發現是哪一種協議，一個數據在哪個地方出現了異常，直到找出它的異常點時停止檢測。

• 攻擊溯源：通過已經提取出來的網絡對象，可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序，可以幫助我們迅速的發現攻擊源。

回答所涉及的環境：聯想天逸510S、Windows 10。