网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

我相信很多人在发文章的时候，都写了关于APT攻击相关的文章！在这里我也发一篇该文章！哈！但是我比较喜欢实战，不太喜欢理论上的东西。相信大家也跟我一样喜欢实战，恰巧在读研的时候研究方向是APT攻击的检测和防御。在本文中会以模拟2011年10月末的Nitro攻击（APT攻击之一）做一次实战模拟。

APT攻击（英文：Advanced Persistent Threat），中文叫做“高级持续性攻击”。是一种点对点的，有明确目标，有明确意图发起的一次带有恶意行为的网络攻击行为！攻击者经常利用社会工程学，远程控制木马伪装，鱼叉式钓鱼攻击等手段，对目标企业发起攻击。运用的技术都是信息安全界的高端手段对目标企业发起的攻击。

APT攻击既然被成为高级持续性攻击，说明它是很高级的，也是持续性的。

其特性主要为：潜伏性，持续性长，难以被发现，长时间远控，不易被查杀。

特性分析：由于攻击者利用0day漏洞，对企业发起攻击，所以又被成为“零式攻击”，0day很难被发现，而且远控木马被做了免杀处理，所以杀毒软件很难对其进行查杀，这样攻击者就可以长时间对企业进行远控操作，窃取企业信息。

0day，是一个目前没有发现的一个新的漏洞，由于该漏洞，厂商还没有发现也没有写出补丁修复，所以被称为“零式漏洞”，利用此漏洞进行攻击行为的又被称为“零式攻击”。由于是一个新漏洞，厂商如果长时间没有发现就无法出新的补丁去修复漏洞。利用此漏洞并对远控木马做了“免杀”（免杀这个技术会在实战中讲解）。杀毒软件也不易查杀，这就是所谓的“APT攻击原理”。

我知道很多网站有介绍APT攻击的案例，在这里我再总结一次。总结之后，我们直接进入模拟实战。

该攻击为2010年最著名的APT攻击，没有之一。是由一个有组织的网络犯罪团伙精心策划的一个有针对性的网络攻击，攻击团队向Google发送了一条带有恶意连接的消息，当该员工点击了这条恶意连接，员工的电脑就被远程控制长达数月之久。其被窃取的资料数不胜数，造成的损失也是不可估量的。

攻击原理如下：

上图解释：

该攻击为2010年伊朗布什尔核电站遭到一个名为Stuxnet蠕虫病毒的感染，被称为超级工厂病毒攻击

震网攻击：该攻击是一个很奇妙的攻击方式。奇妙点在于，该核电站的计算机与外界是呈现一种隔离状态。既然是隔离状态，又如何被黑客团队盯上并且被攻击的呢？这是一个很奇妙的地方。首先我们先来看个图。

攻击方式：

Stuxnet蠕虫病毒是如何发现的呢？

Stuxnet蠕虫病毒是一种windows平台上的计算机蠕虫。据恶意软件研究者Tillmann和Felix Leder介绍称，该病毒延缓了伊朗核项目长达2年，最终因一段代码的原因而被暴露了。由于一个编程错误导致它可以蔓延一些低版本的windows系统的电脑中，从而系统崩溃，引起了伊朗Natanz核试验室的发现。

夜龙攻击：McAfee在2011年2月发现一个针对全球能源公司的攻击行为。发表的报告称，5家西方跨国能源公司遭到来自中国“黑客的有组织，有纪律切有针对性的攻击。超过千兆的字节的敏感文件被窃取，McAfee的报告称这次行动代号为”夜龙行动（Night Dragon）“最早开始于2007年

夜龙攻击的攻击流程