行业垂直门户网站

设为首页 | 加入收藏

您当前的位置:北极星智能电网在线 > 正文

大数据分析——安全防御的核武器(2)

北极星智能电网在线  来源:互联网周刊    2014/3/10 13:34:15  我要投稿  

APT攻击缘何难防?

APT攻击行为具有以下特点:首先是目标性强,APT攻击往往针对具体的目标(企业、组织甚至是国家)进行,目的是获取某一类重要信息;其次是手段先进,APT攻击会利用多种攻击手段,包括各类零日漏洞和其他的网络入侵技术,有时候甚至用到社会工程学方法;第三是持续性强,有的APT攻击会持续数年之久,攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报;第四是危险性高,APT攻击主要针对国际巨头企业、国家重要基础设施和单位进行,包括能源、电力、金融、国防等关系国计民生以及国家核心利益的基础设施。

APT攻击缘何难防?用中国一句老话来讲叫做:“不怕贼偷,就怕贼惦记。”攻防双方的信息不对称性,隐蔽性和持续性是APT攻击具有的最大的威胁。请看两个典型的攻击案例(来自网络):

1、RSASecureID窃取攻击

攻击者给RSA的母公司EMC的4名员工发送了恶意邮件。邮件标题为“2011RecruitmentPlan”,寄件人是webmaster@Beyond.com,正文写着“Iforwardthisfiletoyouforreview.Pleaseopenandviewit.”,里面有个EXCEL附件名为“2011Recruitmentplan.xls”。

其中一位员工感兴趣并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的AdobeFlash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有,除了在一个表单的第一个格子里面有个“X”,而这个叉实际上就是内嵌的一个Flash,该主机被植入臭名昭著的PoisonIvy远端控制工具,并开始自BotNet的C&C服务器(位于good.mincesur.com)下载指令进行任务。

首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑。RSA发现开发用服务器(Stagingserver)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹,在拿到了SecurID的信息后,攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。

分享到:
北极星投稿热线:陈女士 13693626116 邮箱:chenchen#bjxmail.com(请将#换成@)

特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。

凡来源注明北极星*网的内容为北极星原创,转载需获授权。

热点关注
国网826号文解读

国网826号文解读

昨天国网公司下发了《关于进一步严格控制电网投资的通知》(国家电网办【2019】826号文)。文中提出了“三严禁、二不得、二不再”的投资建设思路。个人认为,这不仅仅是一个文件,而是国网公司整体发展战略转型的一个标志。作为世界上最大的电网企业,国网公司每年因投资建设所需的采购数额巨大,对电

--更多
最新新闻
新闻排行榜

今日

本周

本月

深度报道
相关专题

关闭

重播

关闭

重播