八大典型APT 攻击过程详解 APT 攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,小编带你细数一下近年来比较典型的几个 APT 攻击,分析一下它们的攻击过程。 Go o gle 极光攻击 2010 年的Google Aurora(极光)攻击是一个十分著名的APT 攻击。Google 的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以 Google 和其它大约 20 家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。 该攻击过程大致如下: 1) 对 Google 的APT 行动开始于刺探工作,特定的Google 员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在 Facebook、Tw itter、LinkedIn 和其它社交网站上发布的信息。 2) 接着攻击者利用一个动态 DNS 供应商来建立一个托管伪造照片网站的Web 服务器。该Google 员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode 的JavaScript 程序码造成 IE 浏览器溢出,进而执行 FTP 下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora 字样,该攻击故此得名)。 3) 接下来,攻击者通过SSL 安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问 Google 服务器的帐号密码等信息。 4) 最后,攻击者就使用该雇员的凭证成功渗透进入 Google 的邮件服务器,进而不断的获取特定 Gmail 账户的邮件内容信息 超级工厂病毒攻击(震网攻击) 著名的超级工厂病毒攻击为人所知主要源于 2010 年伊朗布什尔核电站遭到 Stuxnet 蠕虫的攻击的事件曝光。 遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此为第一道攻击跳板,进一步感染相关人员的移动设备,病毒以移动设备为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,一点一点的进行破坏。这是一次十分成功的 APT 攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,...
