APT攻击阶段划分,每个阶段分区方法
根据现有资料,APT(高级持续性威胁)攻击的阶段划分主要基于两种主流模型:洛克希德-马丁的杀伤链模型和生命周期模型。以下是分阶段详解及分区依据:
一、洛克希德-马丁杀伤链模型(7阶段)
核心逻辑:将攻击过程拆分为可识别、可阻断的环节,早期阻断能降低攻击危害。
- 侦查跟踪(Reconnaissance)
- 分区依据:攻击者通过公开信息(如社交媒体、企业网站)或隐蔽手段(网络扫描)收集目标信息,包括网络架构、员工信息、漏洞等。
- 典型活动:分析目标防御体系、挖掘员工社交关系链、识别潜在漏洞。
- 武器构建(Weaponization)
- 分区依据:基于情报制作针对性攻击工具,如带有恶意代码的文档(利用零日漏洞)或定制化木马。
- 典型活动:开发或购买漏洞利用工具,规避杀毒软件检测。
- 载荷投递(Delivery)
- 分区依据:通过社会工程学或技术手段将恶意载荷传递到目标网络,如钓鱼邮件、水坑攻击、U盘植入。
- 典型活动:伪装可信来源(如领导邮件)、利用合法网站挂马。
- 漏洞利用(Exploitation)
- 分区依据:触发目标系统漏洞,执行恶意代码以获取初始访问权限。
- 典型活动:利用浏览器或办公软件漏洞加载Shellcode,绕过安全防护。
- 安装植入(Installation)
- 分区依据:在目标系统部署持久化后门(如RAT工具),建立隐蔽控制通道。
- 典型活动:提权、修改防火墙规则、设置自启动项。
- 命令与控制(Command & Control, C2)
- 分区依据:攻击者通过加密通信(如HTTPS/DNS隧道)远程操控受控设备,维持长期访问。
- 典型活动:发送心跳包、下发指令、窃取数据。
- 目标达成(Actions on Objectives)
- 分区依据:完成攻击目标(如窃取数据、破坏系统),并清除攻击痕迹。
- 典型活动:数据加密外传、删除日志、销毁证据。
二、生命周期模型(5阶段)
核心逻辑:强调攻击的持续性,覆盖从准备到收尾的全过程。
| 阶段 | 关键分区依据及活动 |
|---|---|
| 侦察阶段 | 情报收集(网络扫描、社交工程)与攻击可行性评估。 |
| 入侵阶段 | 突破防线(如钓鱼邮件、漏洞利用),获取初始立足点。 |
| 横向扩散 | 内部渗透(提权、漏洞利用)以扩大控制范围。 |
| 数据窃取 | 敏感信息收集与隐蔽传输(如分块加密、伪装正常流量)。 |
| 清除足迹 | 销毁日志、修改时间戳,避免被发现。 |
三、阶段分区的核心逻辑
- 功能差异性:每个阶段对应不同的攻击目标(如情报收集→攻击执行→数据窃取)。
- 技术特征:各阶段技术手段不同(如漏洞利用需代码开发,C2依赖隐蔽通信)。
- 时间连续性:阶段间存在依赖关系,例如未完成载荷投递则无法触发漏洞利用。
四、防御建议
- 早期阶段阻断:在侦查和武器构建阶段加强威胁情报分析,拦截钓鱼邮件和恶意域名。
- 行为监测:关注异常流量(如非工作时间的数据外传)、横向移动行为(如内部端口扫描)。
- 零信任架构:限制用户权限,防止单点突破引发横向扩散。