APT攻擊是比一般網路攻擊更複雜、更加難以防範的資安攻擊,往往會造成企業或政府組織的嚴重損失。本文將說明APT攻擊流程、常見的APT攻擊手法和APT攻擊案例,幫助你更加了解如何防禦APT攻擊,最後再推薦防範APT攻擊軟體。
一、什麼是 APT 攻擊(進階持續性威脅)?和一般駭客入侵差在哪?
(一)APT 是什麼?
APT 全名是 Advanced Persistent Threat,中文是進階持續性威脅,是一種高度複雜且持續性的網路攻擊方式,主要目的是滲透並持續獲取機密資訊,例如政府或企業的機密文件,通常由技術高超、資源豐富的駭客團隊執行。
不同於一般的網路攻擊,APT 進階持續性威脅會在滲透入侵目標後持續潛伏,並逐步竊取敏感資料,這個過程可能會持續幾周、幾個月,甚至更長的時間。在這段時間裡面,攻擊者會利用各種方式避免自己被偵測,並定期更新攻擊策略,確保自己可以持續存取入侵目標的系統。
由於 APT 攻擊很難被發現,且可能造成相當嚴重的影響,因此面對 APT 攻擊,政府和企業需要採取多層防禦機制和更先進的做法,例如採用結合 EDR 和 SIEM 的及時威脅偵測與回應(MDR),以降低受到 APT 攻擊的風險。
(二)APT 攻擊有哪些特性?
APT 攻擊和一般的駭客攻擊不同,目的並不僅是單純的勒索金錢、破壞系統或炫耀技術,也不會在攻擊的當下立刻引起注意,而是會持續潛伏在攻擊目標的系統中。從本質來看,APT 攻擊會具備以下 5 種特點:
- 攻擊目標:大部分 APT 攻擊的目標都是政府機構、大型企業或特定行業,且意圖為竊取機密資料,或是破壞關鍵基礎設施。
- 高技術性:APT 攻擊通常由經驗豐富的駭客團隊,甚至是國家級組織精心策畫,會使用各種先進的工具與技術,並結合各種網路攻擊手法(如零日攻擊、社交工程等)。
- 具持續性:攻擊者成功滲透後,會長期藏匿在目標系統中,並逐步蒐集數據或控制系統,不會在攻擊的第一時間就引起注意。
- 多層次滲透:APT 攻擊會採用多個不同步驟,包括初始滲透、橫向移動和持續操控,過程中也會使用不同工具或技術,以保持攻擊鏈完整。
- 威脅性:不同於一般的網路攻擊有可能僅是想要宣揚政治理念、惡作劇或展示自己的技術,APT 攻擊的目標明確,往往是針對攻擊目標重要、敏感的資訊,或是關鍵的基礎設施,會造成實質且嚴重的威脅。
防止 APT 攻擊,就找集時安全
二、APT 攻擊流程有哪些?解析 APT 攻擊 8 步驟
完整的 APT 攻擊流程包括研究入侵目標、進行初始入侵、持續站穩腳跟、提升特權、進行內部勘查、橫向發展、持續潛伏與任務完成等 8 個步驟。
APT 攻擊步驟 1:研究入侵目標
當攻擊者鎖定目標後,就會開始針對目標進行研究,並蒐集企業或組織的網路系統架構、內部員工信息、資安防禦系統的弱點等,藉此找出最容易下手的弱點,以制定更精準的攻擊策略。
APT 攻擊步驟 2:進行初始入侵
完成資訊的蒐集後,攻擊者接著會從網站、系統或內部人員著手,藉由釣魚郵件、社交工程或零日漏洞等方式,取得攻擊目標初步的存取權限,並在系統中植入惡意軟體。於此同時,攻擊者可能還會同時發動 DDoS 或其他形式的網路攻擊,以掩護真實的意圖。
APT 攻擊步驟 3:持續站穩腳跟
順利在系統中植入惡意軟體,並取得初步的存取權限後,駭客就可以在入侵的系統中建立後門,並透過植入的惡意程式遠端控制系統,持續存取重要資料。通常 APT 攻擊的駭客植入的惡意軟體還可以改寫程式碼,隱藏駭客的足跡。
APT 攻擊步驟 4:提升特權
滲透進目標系統後,攻擊者接下來就會利用系統漏洞來竊取管理員的權限,或是進一步感染其他設備,進一步提高自己對整體系統的掌控程度,以便自己滲透進更深層次的系統,或是竊取更多敏感資訊。
APT 攻擊步驟 5:進行內部勘查
在攻擊者進一步擴大權限的同時,也會持續收集系統設施、安全信任關係,以及網域結構等訊息,為後續的攻擊行為預做準備。
APT 攻擊步驟 6:橫向發展
一旦攻擊者釐清目標系統的整體結構,並取得更高的權限以後,就能在內部網路中橫向移動,擴大可以竊取資料的範圍,竊取更多敏感資料。
APT 攻擊步驟 7:持續潛伏
駭客在入侵系統以後,會在系統中部署後門,或是修改系統的設定,讓自己即使受到偵測,仍然可以重新獲得訪問權限,確保自己可以持續掌控之前收集到的訪問權限和憑證。
APT 攻擊步驟 8:任務完成
當攻擊者取得需要的資訊,或是完成此次攻擊的目標後,有些駭客會直接離開,不過也有許多駭客會選擇在系統中保留後門,為之後再次入侵做準備,甚至是持續潛伏在系統中竊取資料,繼續進行下一波攻擊。
三、常見 APT 攻擊手法有哪些?
想要避免遭遇 APT 攻擊,首先就要先釐清常見的 APT 攻擊手法有哪些,接著再針對這些攻擊手法對症下藥,事先採取措施預防。以下為你整理 4 種常見的 APT 攻擊手法,幫助你更好地防範 APT 攻擊!
APT 攻擊手法 1:盜版網站
APT 攻擊其中一種常見的手法,就是針對攻擊目標客製化嵌有惡意程式碼的盜版網站。這些網站可能偽裝成和正常網站無異,或是使用聳動、吸引人的標題,一旦目標沒有察覺,不小心點擊進入盜版網站,植入盜版網站中的惡意程式就可以侵入目標系統。
APT 攻擊手法 2:釣魚郵件
附帶惡意連擊的釣魚郵件是駭客最常使用、也最簡單有效的攻擊手法,攻擊者可能會針對目標進行詳細的調查,並假冒成目標的主管或合作夥伴寄發電子郵件,或是利用收件者可能感興趣的話題,如 104 年政府行政機關行事曆出爐,共有 X 天連假等。
APT 攻擊手法 3:水坑式攻擊
水坑攻擊是指透過研究目標經常訪問的網站,再將惡意程式植入該網站中,以藉此感染目標的攻擊方式。由於這種手法是利用目標平時信任的網站做媒介,因此成功機率相當高,且還能確保攻擊者的隱匿性。
APT 攻擊手法 4:零日攻擊
APT 攻擊另外一種手法,就是主動發掘目標系統中尚未被發現或修補的安全漏洞,並透過這些漏洞迅速攻擊系統。由於系統的漏洞無法事先知道,且通常直擊系統核心,因此難以事先部署防禦措施,傳統的防護工具(如防毒軟體)也比較難識別。
擔心企業受到 APT 攻擊?快找集時安全免費檢測
四、APT 攻擊案例說明:駭客如何進行 APT 攻擊?
APT 攻擊的規模相當龐大,且手法相當多元,又經常有各種變化,普通人可能比較難想像 APT 攻擊具體會如何運作。不過實際上,台灣總統府 2020 年就曾經遭遇過 APT 攻擊。
2020 年 5 月,我國總統府電腦系統被不明駭客入侵,導致部分媒體收到偽造的電子郵件,內容涉及時任總統蔡英文與時任行政院長蘇貞昌的會議記錄。調查局事後研判,攻擊者可能透過社交工程、釣魚攻擊以及系統本身的漏洞入侵系統,取得未經授權的存取權限,並在系統中植入惡意軟體。
資安專家分析,攻擊者很可能在透過各種攻擊手法入侵系統後,持續潛伏相當長的時間,並在這段時間中利用總統府外網接內網的特性,繞開傳統的防毒軟體攻擊系統,並在系統中橫向移動,收集並竊取各種機密資料,並於事後散布竊取到的機密資料,試圖影響民心。
此次事件顯示,APT 攻擊具有高度針對性和隱蔽性,且可能造成實質的傷害,政府組織及企業需要綜合採取多層次的防禦策略,才能有效地應對 APT 攻擊。
五、如何抵擋 APT 攻擊?5 招教你做好 APT 攻擊防禦
APT 攻擊手法多變,且不同於單一的網路攻擊,往往會持續相當長的一段時間,對於負責管理資安防禦機制的人員來說,是相當大的一個挑戰。建議企業平時可以做好以下 5 點,以幫助組織抵擋 APT 攻擊。
(一)安裝防毒軟體
想防範 APT 攻擊,首先可以先從安裝防毒軟體開始。藉由確實的安裝防毒軟體,可以協助企業擋下大部分的惡意軟體,避免攻擊者透過惡意軟體入侵系統。
(二)建立電子郵件過濾機制
除了安裝防毒軟體外,也可以使用電子郵件過濾系統,事先阻擋含有惡意連結與附件的信件,,避免攻擊者透過釣魚郵件、魚叉式釣魚郵件等方式入侵系統。
(三)提高資安意識
除了安裝防毒軟體和建立過濾電子郵件的機制外,企業也可以定期安排內部的資安教育訓練課程,提升內部員工的資安意識,以及對於釣魚信件、盜版網站和社交工程等網路攻擊方式的警覺性。
(四)定時檢查與更新漏洞
除了使用防毒軟體外,企業也應定期檢測系統內部是否有未發現的安全漏洞,並及時修補,以免攻擊者藉由這些系統的弱點發動零日攻擊。
(五)部署多層次防禦架構
除了安裝防毒軟體外,面對手段多變的 APT 攻擊,企業可以部署多層次的防禦,例如選擇結合 SIEM 安全資訊與事件管理和 EDR 端點偵測與回應功能的 MDR 服務,來完善自身的防禦架構,並在遇到 APT 攻擊時及早偵測與處理。
六、防範 APT 攻擊軟體推薦集時安全,協助您守護企業機密
APT 攻擊的手段多變且難以察覺,面對專業駭客組織發動的 APT 攻擊,有時單純地加強員工的資安意識,或是安裝防毒軟體,已經不足以應付。建議企業可以選擇專業資安團隊提供的 MDR 服務,以幫助企業快速識別可疑活動,並及時做出應對。
集時安全 InTimeSec 是國內唯一提供 24 小時全天候的即時威脅偵測與應變服務的資安團隊,能夠幫助企業隨時監測網路和系統安全,一旦發現異常,就能及早發現並反制威脅,同時還能深入分析勒索病毒攻擊路徑、徹底清除攻擊的影響,並提供內容精準的資安威脅警報,幫助企業應付日新月異的網路攻擊。
無論是面對惡意軟體還是進階持續性威脅,集時安全都能夠提供全方位的保護,確保企業不受網路攻擊的影響。在資訊安全越來越重要的時代,面對日新月異的資安攻擊,推薦選擇集時安全提供的 MDR 服務,讓您能夠確保資訊安全無虞。
正在尋找防範 APT 攻擊軟體?快諮詢集時安全
