电子说
APT事件
此类事件本人接触的并不多,实际遭遇目前差不多就两三次的样子。首先明确一下什么样的事件可以被归类为APT事件,借鉴一下百度百科的说明,APT攻击的主要特征有
针对性强、组织严密、持续时间长、高隐蔽性和间接攻击
详细可以参考百度百科
高级长期威胁(英语:Advanced Persistent Threat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
简单讲述一下本人遭遇过的一个事件为例,接到应急通知,某军工相关单位,更新了软件后安全设备一直告警。
到现场查看,杀软当前更新到最新版本,扫描到的木马日期在两年之前,此前一直没有发现(环境为内网环境,无法连接外网,近期才更新了杀软病毒库)(持续性),说明木马具有一定的免杀性(隐蔽性),考虑到目标系统在内网(间接攻击)并且为敏感单位(针对性),基本确认为APT事件。
由于时间太久远,网站没有日志记录,通过沟通确认网站使用了某知名OA系统,查看webshell时间与当年该OA系统爆出RCE漏洞时间基本吻合,大致确认是由于该漏洞导致的入侵,由此得出结论,鉴于事件性质,后续工作移交了对应部门进行处理。
总得来说,如果真怀疑遇到了APT,还是建议找专业公司来进行解决。
全部0条评论
快来发表一下你的评论吧 !