APT攻击的特点及防范.pptx

APT攻击的特点及防范

背景01指关系国家安全、国计民生的信息设施，一旦受损可能严重危害国家安全、公共利益。关键信息基础设施定义02随着信息技术发展，新型攻击技术针对关键信息基础设施，导致APT攻击常态化，威胁加剧。网络安全新挑战03遵循习近平总书记指示，全国范围内开展关键信息基础设施网络安全检查，防范潜在风险。国家防护战略04针对关键信息基础设施的APT攻击次数逐年上升，加强安全防护以保障社会经济稳定运行。安全防护重要性

APT攻击的特点APT攻击概述高级持续威胁，目标针对性强，主要针对关键信息基础设施，以破坏或窃取高价值数据为目的。攻击特性详解攻击者通常具有高技术能力，能长时间潜伏，且攻击活动隐蔽，难以被发现和防御。

1)高级大多利用0day漏洞，隐蔽性强，安全产品难检测。1day/Nday针对新公布漏洞，攻击窗口短暂。及时更新系统，快速修补新披露漏洞。安装安全软件，增强网络防御，提高应急响应能力。APT攻击特点防范APT策略

2)持续APT攻击特性时间跨度长，从信息收集到成功攻击可能持续数月到数年，隐蔽性强，增加告警日志关联与检测的复杂度。

3)有针对性针对能源、水电、银行、政府、通信等机构，主要窃取信息、破坏数据、盗取钱财。APT攻击目标加强行业员工安全意识培训，定期更新系统及安全防护措施，建立应急响应机制。防御策略

APT攻击的步骤APT攻击通常经历8个步骤，包括初始感染、持续访问等。

1)收集信息利用搜索引擎、子域名枚举、Whois查询和Nmap端口扫描，获取目标IP、开放端口及可能的漏洞信息。01通过公开平台、社交媒体、招聘网站、公众号等多途径收集目标的个人信息和社会关系。02根据收集的个人信息、社会关系及爱好，分析并找出攻击的薄弱点和突破口。03加强员工安全意识培训，限制敏感信息公开，定期更新安全防护措施，防止被攻击者利用。04技术手段信息收集社会工程学信息收集攻击突破口识别防御策略构建

2)钓鱼并确定对象发送鱼叉式钓鱼邮件，伪装成正规站点诱使员工下载含恶意代码附件或点击虚假链接。黑客攻击手段分析受害者网络习惯，入侵常访问网站植入攻击代码，待受害者访问时实施攻击。水坑式攻击策略

3)重定向钓鱼邮件可能利用重定向技术，将点击的链接悄悄转向恶意文档或病毒文件，需谨慎处理。

4)投放攻击利用目标安全意识薄弱，文档内含恶意代码，打开即触发系统漏洞，执行预设的Shellcode。Shellcode通常作为数据发送，被激活后会自动下载并执行木马程序，实现远程控制或数据窃取等攻击目的。恶意文档投递Shellcode行为解析

5)植入木马终端中隐蔽运行，利用DLL劫持技术逃避检测，首要是识别网络拓扑和收集计算机信息。木马程序行为分析01权限提升与信息窃取02通过漏洞破解密码，获取本地管理员权限，进一步尝试获取Windows域管理员权限，严重威胁系统安全。

6)木马内网传播、回传信息、远程控制木马利用移动设备传播，分析网卡和路由信息，推测内网结构，获取共享文件。U盘传播与内网渗透木马在内网中扫描远程端口，回传主机信息，实现对内网设备的远程控制和信息窃取。内网远程端口扫描

7)破坏或窃取信息主要针对政府高密信息和能源行业，通过入侵内网窃取或破坏关键信息，如乌克兰电力系统、伊朗核电站事件。黑客攻击目标

8)擦除日志黑客为反追踪，会擦除日志，彻底删除记录，使数据无法恢复。

传统防御方法的不足APT攻击能绕过防火墙、IPS、IDS，利用钓鱼渗透，加密信息流规避监测。传统防御策略的局限APT能迅速清除日志痕迹，使攻击行为隐蔽，导致数据泄露后难以追踪溯源。日志审计的挑战APT可利用MD5碰撞生成假证书，伪装成正常文件，逃避基于数字签名的检测。防病毒软件的弱点

APT防范新思路传统防范技术防御力弱，难以抵御APT组合攻击，需升级防御策略。落后防范技术现状01针对关键信息基础设施的APT攻击复杂，涉及多方位攻击，现有防御手段效果有限。APT攻击挑战02

APT防范新思路管理上增强员工安全意识，避免信息暴露，警惕网络威胁，及时更新安全防护。综合防范策略0304技术层面加强多方合作，运营商和安全厂商发挥关键作用，实施网络隔离，共享情报。技术合作防御利用大数据分析和安全厂商技术，如沙箱等，全面检测攻击行为，实现早期阻断。智能检测与阻断05