上一篇我們探討了 MITRE ATT&CK 框架的技術,相信大家對駭客領域有了更深入一點的認識了。在之前的文章中,常提到一些像是零日攻擊、APT...之類的名詞,那這些到底是什麼,而我一直都沒特別提出來說的主要原因便是他們都是屬於較高階的駭客技術,都不再是簡單的網絡入侵,而是更為複雜且持續的攻擊形式。為了避免大家在學習時忽略了這些重要的東西,我會分成兩天來分享關於零日漏洞跟APT這兩個在網絡攻防中極具威脅的概念。
Advanced Persistent Threat 是一種針對性極強的攻擊方式,通常由高級駭客組織發起,針對政府機構、大型企業或有戰略價值的目標。APT 不同於普通的駭客攻擊,它並不是一次性快速打擊,而是有計劃、有步驟地進行長期滲透,駭客會使用多種技術,保持持續的存在,並在目標系統內進行長期活動。通常這種攻擊的核心目的是蒐集機密數據或破壞關鍵系統。
不會在一夜之間完成他們的任務,而會在系統中潛伏數週、數月甚至數年,逐步蒐集情報,準備達成最終目標。這種持久性讓防禦者難以發現攻擊,因為駭客會在不觸發警報的情況下,小心翼翼地行動。
APT 攻擊使用的是複雜且高級的技術,包括零日漏洞利用、Rootkit、後門、社交工程等。攻擊者會根據目標的系統特徵來定制化攻擊手段,並經常使用非常規的技術來保持隱匿性,繞過傳統的安全防護措施。
APT 攻擊的首要目標是保持長時間的隱匿,不讓受害者察覺。所以攻擊者會精心掩飾自己的行為,避免觸發安全警報。他們通常會清理日誌、使用加密技術、隱藏進程,以確保長期潛伏而不被檢測到。
APT 攻擊者通常會對特定的目標進行長時間的情報收集,確保他們選擇的攻擊對象是具有高價值的。這與大範圍隨機發動的惡意軟件或釣魚攻擊不同,APT 更專注於特定的行業或組織,如國防、能源、金融、政府機構等。
偵查階段(Reconnaissance)
駭客們首先會對目標進行全面的情報蒐集,包括收集系統結構、網絡配置、軟體版本、公開的員工資料等信息。駭客會根據這一步的偵查結果選擇最合適的攻擊方法,例如社交工程或漏洞利用。
初始滲透(Initial Access)
一旦駭客蒐集到足夠的情報,便會嘗試進行初步滲透。常見的方法像是釣魚郵件、漏洞利用、社交工程或通過暴力破解方式獲取系統訪問權限。如果初始滲透階段成功便表示駭客成功打開了進入目標網絡的「大門」。
建立持久性(Establish Persistence)
為了確保不被發現,駭客通常會在系統中安裝後門或利用漏洞來保持持續的存取權限。這些後門通常是隱蔽且難以檢測的,駭客能夠通過這些後門反覆進入系統,而不被日常的安全工具發現。
權限提升(Privilege Escalation)
當駭客在系統中獲取到初步的訪問權限後,他們會尋找機會提升權限,從普通用戶逐步晉升到擁有管理員的訪問權限。這樣一來,駭客可以控制更多系統資源,並操縱關鍵設置。
橫向移動(Lateral Movement)
APT 攻擊的其中一個關鍵特點是駭客不會只停留在單一設備上,他們會嘗試橫向移動到其他設備或伺服器,進而擴大攻擊範圍。通常是通過受感染系統中的憑證來訪問其他設備,直到獲取整個網絡的控制權。
數據竊取或破壞(Exfiltration or Destruction)
APT 攻擊的終極目標通常是獲取機密數據、商業機密或對關鍵系統進行破壞。駭客會長期潛伏,將敏感信息慢慢導出到他們控制的伺服器,而不引起系統管理員的警覺。
清理行蹤(Covering Tracks)
為了避免被追踪,攻擊者通常會清理他們的行蹤,包括擦除系統日誌、隱藏惡意軟件的執行痕跡,甚至進行文件的時間篡改,以模糊取證過程。
零日漏洞利用
利用尚未被公開或修補的漏洞進行攻擊。這些漏洞通常尚未被防禦系統識別,因此難以被檢測。APT 組織常通過零日漏洞獲得初始訪問權限或進行權限提升。
社交工程
利用社交工程來欺騙目標打開惡意附件或訪問惡意網站。他們會製作精心設計的釣魚郵件,偽裝成可信來源來誘騙目標用戶。
供應鏈攻擊
攻擊者經常針對企業的供應鏈進行攻擊,通過破壞供應商的軟件或服務,將惡意軟件植入到目標系統中。這種方式常常可以有效避開企業的安全防護,因為供應鏈中的軟件通常被視為可信的。
C2
攻擊者通常會設置一個命令與控制伺服器,用於遠程控制被感染的系統。他們可以通過 C2 伺服器向被感染的設備發送指令,並收集數據。這使他們能夠隨時操控系統進行進一步的攻擊。
橫向移動
攻擊者會使用受感染系統中的憑證進行橫向移動。他們可能利用 NTLM 突破、RDP、PowerShell 或 WMI等工具,移動到網絡中的其他系統。