七跡象說(shuō)明你可能受到APT攻擊

APT 攻擊，即進(jìn)階持續(xù)性滲透攻擊(Advanced Persistent Threat, APT)或目標(biāo)攻擊，被設(shè)計(jì)用來(lái)在目標(biāo)網(wǎng)絡(luò)里躲避現(xiàn)有的管理政策和解決方案，因此要偵測(cè)它們是一大挑戰(zhàn)。正如文章中所強(qiáng)調(diào)過(guò)的，沒(méi)有放諸四海皆準(zhǔn)的解決方案可以用來(lái)對(duì)付它；企業(yè)需在所需要的地方都放置傳感器好加以防護(hù)，同時(shí)IT 也要有足夠的設(shè)備來(lái)識(shí)別網(wǎng)絡(luò)的異常情況，并采取相應(yīng)的措施。

然而，要及早發(fā)現(xiàn)異常狀況，IT 管理者需要知道首先要看到什么。由于攻擊通常會(huì)設(shè)計(jì)成只有很少或幾乎沒(méi)有痕跡可循，重要的是要知道哪里可以找到入侵的可能指標(biāo)。在此，我們將列出IT 管理者所需要密切監(jiān)視的網(wǎng)絡(luò)部分以發(fā)覺(jué)任何入侵的跡象。

一、檢查被注入的DNS 記錄

攻擊者經(jīng)常會(huì)篡改DNS 記錄以確保到他們的幕后操縱（簡(jiǎn)稱C&C）聯(lián)機(jī)不會(huì)被封鎖，IT 管理者可以檢查記錄中可能被攻擊者注入的跡象，如未知網(wǎng)域加入IP 地址、最近注冊(cè)的未知網(wǎng)域、看起來(lái)像是隨機(jī)字符的網(wǎng)域、以及出現(xiàn)模仿知名網(wǎng)域的域名。

二、稽查和審核登錄失敗或不規(guī)則的賬號(hào)

一旦攻擊者能夠進(jìn)入網(wǎng)絡(luò)和建立與其C&C 的通訊，下一步通常是在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。攻擊者會(huì)去找出ActiveDirectory、郵件或文件服務(wù)器，并攻擊服務(wù)器漏洞來(lái)加以存取。然而，因?yàn)楣芾碚邥?huì)修補(bǔ)并防護(hù)重要服務(wù)器的漏洞，攻擊者可能會(huì)嘗試暴力破解管理者賬號(hào)。對(duì)于IT 管理者來(lái)說(shuō)，登錄記錄是這一行為最好的參考數(shù)據(jù)。檢查失敗的登錄嘗試，以及在不尋常時(shí)間內(nèi)的成功登錄，可以顯示攻擊者試圖在網(wǎng)絡(luò)內(nèi)移動(dòng)。

三、研究安全解決方案的警報(bào)

有時(shí)候，安全解決方案會(huì)標(biāo)示看來(lái)無(wú)害的工具為可疑，而使用者會(huì)忽略這警報(bào)，因?yàn)樵摍n案可能對(duì)使用者來(lái)說(shuō)很熟悉或無(wú)害。然而，我們?cè)谠S多案例中發(fā)現(xiàn)出現(xiàn)警報(bào)意味著網(wǎng)絡(luò)中有攻擊者。攻擊者可能使用惡意設(shè)計(jì)的黑客工具，甚至是來(lái)自Sysinternals 套件的合法工具來(lái)執(zhí)行系統(tǒng)或網(wǎng)絡(luò)檢查作業(yè)。如果這些非惡意工具并非預(yù)安裝在用戶計(jì)算機(jī)里的話，有些安全解決方案會(huì)標(biāo)示出來(lái)。IT 管理者必須問(wèn)，為什么使用者會(huì)使用這些工具，如果沒(méi)有充分的理由，IT 管理者可能撞見(jiàn)了攻擊者的橫向移動(dòng)。

四、檢查是否有奇怪的大文件

在系統(tǒng)內(nèi)發(fā)現(xiàn)未知的大文件需要加以檢查，里面可能包含從網(wǎng)絡(luò)中竊取的數(shù)據(jù)。攻擊者通常在將文件取出前會(huì)先儲(chǔ)存在目標(biāo)系統(tǒng)內(nèi)，往往通過(guò)“看起來(lái)正常" 的文件名和文件類型來(lái)加以隱藏。IT 管理者可以通過(guò)文件管理程序來(lái)檢查。

五、稽查和審核網(wǎng)絡(luò)日志中的異常聯(lián)機(jī)

持續(xù)地稽查和審核網(wǎng)絡(luò)監(jiān)控日志非常重要，因?yàn)樗梢詭椭R(shí)別網(wǎng)絡(luò)中的異常聯(lián)機(jī)。想做到這一點(diǎn)，就需要IT 管理者對(duì)于其網(wǎng)絡(luò)和任何時(shí)間內(nèi)會(huì)發(fā)生的活動(dòng)了如指掌。只有通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)"正?！盃顩r的了解，才能夠識(shí)別出異常。例如，發(fā)生在應(yīng)該是空閑時(shí)間內(nèi)的網(wǎng)絡(luò)活動(dòng)就可能是攻擊的跡象。

六、異常協(xié)定

和異常聯(lián)機(jī)有關(guān)，IT 管理者還需要檢查這些聯(lián)機(jī)所用的協(xié)議，特別是那些來(lái)自網(wǎng)絡(luò)內(nèi)部的聯(lián)機(jī)。攻擊者通常會(huì)選擇使用在網(wǎng)絡(luò)內(nèi)被允許的協(xié)議，所以檢查聯(lián)機(jī)很重要，即便它們使用的是一般的協(xié)議。

七、電子郵件活動(dòng)增加

IT 管理者可以檢查郵件日志，看看是否有個(gè)別使用者出現(xiàn)奇怪的高峰期。電子郵件活動(dòng)突然爆大量時(shí)就要檢查該使用者是否被卷入針對(duì)性釣魚攻擊。有時(shí)候，如果攻擊者研究發(fā)現(xiàn)一名員工將去參加某個(gè)重要會(huì)議，就會(huì)在會(huì)議前三個(gè)月就開(kāi)始寄送釣魚郵件。這也是另一種線索。

想必IT 管理者會(huì)覺(jué)得有一大堆艱苦的事情等著去做，不 能否認(rèn)，防范APT 針對(duì)性網(wǎng)絡(luò)攻擊 的確是項(xiàng)艱巨的任務(wù)。但為攻擊做好準(zhǔn)備的成本和解決一次攻擊的成本相比劃算得多，所以作為公司防御的第一線，IT 管理者做好萬(wàn)全準(zhǔn)備是很重要的。

解決對(duì)策

傳統(tǒng)的防毒黑名單做法不再足以保護(hù)企業(yè)網(wǎng)絡(luò)對(duì)付針對(duì)性攻擊。為了減少此安全威脅所帶來(lái)的風(fēng)險(xiǎn)，企業(yè)需要實(shí)現(xiàn)客制化防御，這是種采用進(jìn)階威脅偵測(cè)技術(shù)和共享入侵指標(biāo)（IoC）情報(bào)的安全解決方案，用來(lái)偵測(cè)、分析和響應(yīng)標(biāo)準(zhǔn)安全產(chǎn)品所看不見(jiàn)的攻擊。