网络攻击分析 网络安全教学

1、1. 认识黑客2. 网络攻击一般步骤3. 新型网络攻击分析网络安全网络攻击分析1. 认识黑客中文“黑客”一词译自英文“hacker”。英语中，动词hack意为“劈，砍”，也就意味着“辟出，开辟”，进一步引申为“干了一件非常漂亮的工作”。“hacker”一词的出现可以追溯到20世纪60年代，当时麻省理工学院的一些学生把计算机难题的解决称为“hack”。在这些学生看来，解决一个计算机难题就像砍倒一棵大树，因此完成这种“hack”的过程就被称为“hacking”，而从事“hacking”的人就是“hacker”。1. 认识黑客因此，黑客一词被发明的时候，完全是正面意义上的称呼。在他们看来，要完成一个

2、“hack”，就必然具备精湛的技艺，包含着高度的创新和独树一帜的风格。后来，随着计算机和网络通信技术的不断发展，活跃在其中的黑客也越来越多，黑客阵营也发生了分化。人们通常用白帽、黑帽和灰帽来区分他们。1. 认识黑客白帽黑客。简单地说，这是一群因为非恶意的原因侵犯网络安全的黑客。他们对计算机非常着迷，对技术的局限性有充分认识，具有操作系统和编程语言方面的高级知识，他们热衷编程，查找漏洞，表现自我。他们不断追求更深的知识，并乐于公开他们的发现，与其他人分享；主观上没有破坏的企图。例如，有的白帽受雇于公司来检测其内部信息系统的安全性，也包括那些在合同协议允许下对公司等组织内部网络进行渗透测试和漏洞评

3、估的黑客。1. 认识黑客国外媒体还把那些具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人称为红客。1. 认识黑客黑帽黑客。在西方的影视作品中，反派角色，如恶棍或坏人通常会戴黑帽子。因此，黑帽被用于指代那些非法侵入计算机网络或实施计算机犯罪的黑客。美国警方把所有涉及到“利用”、“借助”、“通过”或“干扰”计算机的犯罪行为都定为hacking，实际上指的就是黑帽的行为。为了将黑客中的白帽和黑帽区分，英文中使用“Cracker”、“Attacker” 等词来指代黑帽。中文也译作骇客。1. 认识黑客目前，国内对于黑客一词主要是指“对计算机信息系统进行非授权访问的人员”（GA1

4、63-1997中华人民共和国公共安全行业标准），属于计算机犯罪的范畴。1. 认识黑客灰帽黑客。灰帽一词最早可以追溯到1977年，一个公司向美国专利局申请Greyhat商标，用于描述那些直接向软件供应商报告漏洞的黑客。1998年，著名的黑客组织L0pht在接受纽约时报采访时首次在媒体上用灰帽来指代他们的黑客行为。因此，灰帽被用于指代行为介于白帽和黑帽之间的技术娴熟的黑客。他们通常不为恶意或个人利益攻击计算机或网络，但是为了达到更高的安全性，可能会在发现漏洞的过程中打破法律或白帽黑客的界限。1. 认识黑客例如，白帽致力于自由地、完整地公开所发现的漏洞，黑帽则利用发现的漏洞进行攻击和破坏，而灰帽则介

5、于白帽和黑帽之间，他们会通过把发现的系统漏洞告知系统供应商来获得收入。1. 认识黑客黑客阵营中的白帽、黑帽和灰帽也不是一成不变的。世界上有许多著名的黑客原先从事着非法的活动，后来也改邪归正，成为了白帽或灰帽，当然也有一些白帽成为了黑帽，从事着法律禁止和打击的网络犯罪的勾当。凯文.米特尼克被认为是世界上最著名的黑客。他1964年出生在美国洛杉矶。在他15岁的时候，仅凭一台电脑和一部调制解调器就闯入了北美空中防务指挥部的计算机系统主机。美国联邦调查局将他列为头号通缉犯，并为他伤透了脑筋。1. 认识黑客1983年，好莱坞曾以此为蓝本，拍摄了电影战争游戏（又名骇客追缉令），演绎了一个同样的故事（在电影

6、中一个少年黑客几乎引发了第三次世界大战）。/v_show/id_XMzQzOTU2MTQ0.html?from=y1.6-96.1.1.cc04e66c962411de83b1#paction1. 认识黑客之后，在凯文米特尼克身上还发生了很多具有传奇色彩的故事。大家可以阅读他的自传线上幽灵。目前，凯文米特尼克是一名网络安全咨询师，从事着维护互联网安全的工作。1. 认识黑客目前黑客已成为一个广泛的社会群体。在西方有完全合法的黑客组织、黑客学会，这些黑客经常召开黑客技术交流会。在因特网上，黑客组织有公开网站，提供免费的黑客工具软件，开放黑客课程，出版网上黑客杂志和书籍，但是他们所有的行为都要在法律

7、的框架下进行。1. 认识黑客这里，给大家介绍几个全球著名的黑客大会及他们的网站，大家可以进一步去了解世界上那些著名的黑客在关心什么，他们在做什么。/DEF CON由绰号为“Dark Tangent（黑暗切线）”的黑客Jeff Moss创办，是世界上最知名的“黑客大会”。 DEF CON每年在美国内华达州的拉斯维加斯举行，第一届在1993年6月举办。1. 认识黑客DEF CON名称源自军事上的“战备状态（Defense Condition）”的缩写，“Con”也可解读为“Conference（会议）”。此外，很多DEF CON小组的早期成员都是盗打电话的Cracker（破解者），他们喜欢的“DE

8、F”也是电话键盘数字“3”上面印着的字母。DEF CON吸引了世界上很多厉害的黑客参与，他们的兴趣在软件、计算机架构、硬件修改，以及任何可以被“破解或攻破”的东西。当然还有全球许多大公司的代表以及美国国防部、联邦调查局、国家安全局等政府机构的官员。前者大部分为了商业利益，后者则是出于对美国网络控件安全战略的需要。1. 认识黑客/可以认为黑帽大会是DEF CON的商业版本，两个会议都是Jeff Moss所创立（黑帽大会已被出售）。黑帽大会具有全球的吸引力，其参会者比较“企业、公司化”，而大量的DEF CON参会者则更加“街头化”和“黑客化”。黑帽大会有两个部分：黑帽培训和黑帽简报（Black H

9、at Briefings，演讲）。网络安全培训是所有安全会议的重点，黑帽大会作为世界上最大的IT安全会议，培训更是重头戏。1. 认识黑客要提醒大家的是，这个会议的名称或者说是商标叫做黑帽，并不代表这些参会的全是黑帽，他们的所有行为都要受到法律的监管、约束和惩罚。1. 认识黑客RSA大会开始作为一个密码学的会议，但后来演变成一个更广泛的信息安全会议，分为厂商展览和演讲议题两大部分。1. 认识黑客/index.php/Conference开放Web应用安全项目（简写为OWASP）是一个为了提高软件的安全性，不以营利为目的的组织。OWASP会议主题主要贴近Web应用安全内容。因为，编写安全的代码是应

10、用程序防止数据被窃取，提高整体安全性很重要的一部分。1. 认识黑客国内影响比较大的黑客大会：中国互联网安全大会会议创办于2013年，由360互联网安全中心与中国互联网协会网络与信息安全工作委员会主办，国家互联网信息办公室网络安全协调局工业和信息化部网络安全管理局、国家网络和信息安全信息通报中心（公安部网络安全保卫局）作为指导单位。1. 认识黑客这是有国家相关主管部门、专业安全组织、安全专家、高校研究机构及企业参与的盛会。中国互联网安全大会目前是亚太地区规格最高、规模最大、最具影响力及专业性的安全峰会。会议针对国家网络空间安全、移动安全、云与数据安全、企业安全、Web及应用安全、软件安全、APT

11、攻击与新兴威胁、工控安全、网络犯罪等前瞻议题展开思想与技术的碰撞。1. 认识黑客这一节的最后再跟大家聊一聊黑客文化。黑客是神还是恶魔？有人说黑客是神，因为这些牛人编程序写代码样样精通，不管你网络系统有多高端，他们都可以找到漏洞攻破你，得到他们想要的东西。热映的美剧天蝎（Scorpion）里就展示了这些神人级的黑客，他们完成了一个又一个不可能完成的任务，打败敌手，战胜邪恶，维护正义，他们的能力让大家惊叹和羡慕不已。1. 认识黑客也有人说黑客是恶魔。因为黑客无时无刻都在搞破坏，例如他们不仅可以盗取我们的QQ等社交网络账号，还可以控制我们的家用摄像头侵犯我们个人的隐私；他们不仅可以利用社交网络对个人

12、进行欺凌，还可以控制舆论影响社会和国家稳定；他们已经不仅可以入侵任何一个网络系统，甚至可以劫持一个国家的卫星。他们的存在使得这个世界不再安宁。1. 认识黑客那么黑客到底是神还是恶魔的答案，根据我们今天的讲解，大家应该有了答案。因为黑客可以分为三类，白帽和灰帽以及黑帽。可以说，他们分别扮演着大神和恶魔的角色。还有，我们必须认识到，无论哪类黑客，对技术的崇拜和对创新的不断追求，始终是黑客的共同点。黑帽的存在促使我们不断革新技术、更新系统，追求更加完美的功能，白帽和灰帽的存在帮助我们在与黑帽对抗的过程中不断追求完美。1. 认识黑客对与错、正义与邪恶的对抗将始终是这个世界的主题。黑客的“平等”、“自由

13、”、“开放”、“共享”和“创新”的精神，促使我们不断创造，不断追求美好的世界和未来，同时，潜伏着的黑客依然时刻提醒我们，保持对各种恶势力的警惕，不断对抗侵犯我们自由和开放的这些敌对力量，维护我们自由美好的生活。2. 网络攻击一般步骤为什么？在因特网上的主机均有自己的网络地址，因此攻击者在实施攻击活动时的首要步骤是设法隐藏自己所在的网络位置，如IP地址和域名，这样使调查者难以发现真正的攻击来源。怎么做？利用被侵入的主机（俗称“肉鸡”）作为跳板进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。使用多级代理，这样在被入侵主机上留下的是代理计算机的IP地址。伪造IP地址。假冒用户账号。隐藏攻击源2.

14、 网络攻击一般步骤为什么？攻击者搜集目标的信息，并进行综合、整理和分析后，能够初步了解一个机构的安全态势，并能够据此拟定出一个攻击方案。怎么做？确定攻击目标。踩点。通过各种途径收集目标系统的相关信息，包括机构的注册资料、公司的性质、网络拓扑结构、邮件地址、网络管理员的个人爱好等。隐藏攻击源信息搜集2. 网络攻击一般步骤怎么做？确定攻击目标。踩点。扫描。利用扫描工具在攻击目标的IP地址或地址段的主机上，扫描目标系统的软硬件平台类型，并进一步寻找漏洞如目标主机提供的服务与应用及其安全性的强弱等等。嗅探。利用嗅探工具获取敏感信息，如用户口令等。视频：顶级黑客米特尼克演示无线网中嗅探银行账号隐藏攻击源

15、信息搜集2. 网络攻击一般步骤为什么？一般账户对目标系统只有有限的访问权限，要达到某些攻击目的，攻击者只有得到系统或管理员权限，才能控制目标主机实施进一步的攻击。怎么做？系统口令猜测种植木马会话劫持等隐藏攻击源信息搜集掌握系统控制权2. 网络攻击一般步骤为什么？不同的攻击者有不同的攻击目的，无外乎是破坏机密性、完整性和可用性等怎么做？下载、修改或删除敏感信息。攻击其它被信任的主机和网络。瘫痪网络或服务。其它非法活动。隐藏攻击源信息搜集掌握系统控制权实施攻击2. 网络攻击一般步骤为什么？一次成功的入侵通常要耗费攻击者的大量时间与精力，所以精于算计的攻击者在退出系统之前会在系统中安装后门，以保持对

16、已经入侵主机的长期控制。怎么做？放宽系统许可权。重新开放不安全的服务。修改系统的配置，如系统启动文件、网络服务配置文件等。替换系统本身的共享库文件。安装各种木马，修改系统的源代码。隐藏攻击源信息搜集掌握系统控制权实施攻击安装后门2. 网络攻击一般步骤为什么？一次成功入侵之后，通常攻击者的活动在被攻击主机上的一些日志文档中会有记载，如攻击者的IP地址、入侵的时间以及进行的操作等等，这样很容易被管理员发现。为此，攻击者往往在入侵完毕后清除登录日志等攻击痕迹。怎么做？清除或篡改日志文件。改变系统时间造成日志文件数据紊乱以迷惑系统管理员。利用前面介绍的代理跳板隐藏真实的攻击者和攻击路径。隐藏攻击源信息

17、搜集掌握系统控制权实施攻击安装后门隐藏攻击痕迹2. 网络攻击一般步骤上面介绍的是一次完整的攻击过程攻击者通常采取的步骤，实际上攻击过程中的每一步都可以看做是一种攻击。在上述的攻击过程中涉及的具体攻击手段主要包括：1）伪装攻击。通过指定路由或伪造假地址，以假冒身份与其它主机进行合法通信、或发送假数据包，使受攻击主机出现错误动作。如IP欺骗。2. 网络攻击一般步骤2）探测攻击。通过扫描允许连接的服务和开放的端口，能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号，以及系统漏洞情况。黑客找到有机可乘的服务、端口或漏洞后进行攻击。常见的探测攻击程序有：Nmap、Nessus、Meta

18、sploit、Shadow Security Scanner、X-Scan等。3）嗅探攻击。将网卡设置为混杂模式，对以太网上流通的所有数据包进行嗅探，以获取敏感信息。常见的网络嗅探工具有：SnifferPro、Tcpdump、Wireshark等。2. 网络攻击一般步骤4）解码类攻击。用口令猜测程序破解系统用户帐号和密码。常见工具有：L0phtCrack、John the Ripper、Cain&Abel、Saminside、WinlogonHack等。还可以破解重要支撑软件的弱口令，例如使用Apache Tomcat Crack破解Tomcat口令。5）缓冲区溢出攻击。通过往程序的缓冲区写超

19、出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它的指令。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能，使攻击者获得程序的控制权。2. 网络攻击一般步骤6）欺骗攻击。利用TCP/IP协议本身的一些缺陷对TCP/IP网络进行攻击，主要方式有：ARP欺骗、DNS欺骗、Web欺骗等。2. 网络攻击一般步骤7）拒绝服务和分布式拒绝服务攻击。这种攻击行为通过发送一定数量一定序列的数据包，使网络服务器中充斥了大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。近些年，DoS攻击有了新的发展，攻击者通过入侵大量有安全漏洞的主机并获

20、取控制权，在多台被入侵的主机上安装攻击程序，然后利用所控制的这些大量攻击源，同时向目标机发起拒绝服务攻击，我们称之为分布式拒绝服务(Distribute Denial of Service，DDoS)攻击。2. 网络攻击一般步骤7）拒绝服务和分布式拒绝服务攻击。一群“恶意访问”、“堵店门”、“占空间”、还“调戏店员”的非法流量。他们是黑客通过网络上事先留了木马后门的僵尸主机发动的，只不过他们装的和正常访问的数据几乎一样，使得网络防火墙或其他防护设备根本无法识别哪些是非法的数据流量。而真正的顾客连进店的地方都没有了！这就是所谓的DDoS攻击。2. 网络攻击一般步骤8）Web脚本入侵。由于使用不同

21、的Web网站服务器、不同的开放语言，使网站存在的漏洞也不相同，所以使用 Web脚本攻击的方式也很多。如黑客可以从网站的文章系统下载系统留言板等部分进行攻击；也可以针对网站后台数据库进行攻击，还可以在网页中写入具有攻击性的代码；甚至可以通过图片进行攻击。Web脚本攻击常见方式有：注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。2. 网络攻击一般步骤9）0 day攻击。0 day通常是指还没有补丁的漏洞，而0 day攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0 day漏洞的利用程序对网络安全具有巨大威胁，因此0 day不但是黑客的最爱，掌握多少0 day

22、也成为评价黑客技术水平的一个重要参数。2. 网络攻击一般步骤10）社会工程学攻击。社会工程学是一种利用人的弱点，如人的本能反应、好奇心、信任、贪便宜等进行诸如欺骗等危害手段，获取自身利益的手法。现实中运用社会工程学的犯罪很多。短信诈骗如诈骗银行信用卡号码，电话诈骗如以知名人士的名义去推销诈骗等，都运用到社会工程学的方法。更多的黑客转向利用人的弱点即社会工程学方法来实施网络攻击。利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。例如，免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用。2. 网络攻击一般

23、步骤10）社会工程学攻击。网络钓鱼（Phishing，与钓鱼的英语fishing发音相近）的一种方式是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件、短信或是社交网络信息，意图引诱收信人访问一个钓鱼网站上，并给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。2. 网络攻击一般步骤10）社会工程学攻击。凯文米特(Kevin Mitnick) 出版的欺骗的艺术(The Art of Deception)堪称社会工程学的经典。书中详细地描述了许多运用社会工程学入侵网络的方法，这些方法并不需要太多的技术基础，但可怕的是，一旦懂得如何利用人的弱点

24、如轻信、健忘、胆小、贪便宜等，就可以轻易地潜入防护最严密的网络系统。他曾经在很小的时候就能够把这一天赋发挥到极致。像变魔术一样，不知不觉地进入了包括美国国防部、IBM等几乎不可能潜入的网络系统，并获取了管理员特权。3. APT攻击分析（1）定义2011年美国国家标准与技术研究院NIST发布了SP800-39管理信息安全风险，其中对APT的定义为攻击者掌握先进的专业知识和有效的资源，通过多种攻击途径（如网络、物理设施和欺骗等），在特定组织的信息技术基础设施建立并转移立足点，以窃取机密信息，破坏或阻碍任务、程序或组织的关键系统，或者驻留在组织的内部网络，进行后续攻击。3. APT攻击分析（1）定义

25、可以从“A”、“P”、“T”三个方面来理解NIST对APT的定义:1）A（Advanced）：技术高级。攻击者掌握先进的攻击技术，使用多种攻击途径，包括购买或自己开发0 day漏洞，而一般攻击者却没有能力使用这些资源。而且，攻击过程复杂，攻击持续过程中攻击者能够动态调整攻击方式，从整体上掌控攻击进程。2）P（Persistent）：持续时间长。与传统黑客进行网络攻击的目的不同，实施APT攻击的黑客组织通常具有明确的攻击目标和目的，通过长期不断的信息搜集、信息监控、渗透入侵实施攻击步骤，攻击成功后一般还会继续驻留在网络中，等待时机进行后续攻击。3. APT攻击分析3）T（Threat）：威胁性大

26、。APT攻击通常拥有雄厚的资金支持，由经验丰富的黑客团队发起，一般以破坏国家或是大型企业的关键基础设施为目标，窃取内部核心机密信息，危害国家安全和社会稳定。3. APT攻击分析（2）APT攻击产生的背景1）APT攻击成为国家层面信息对抗的需求。当前，国际形势正经历“冷战”结束以来最为深刻复杂的变化。金融危机以来的世界形势如同二十世纪初一样，出现新一轮的动荡不安，全球经济复苏缓慢，西亚北非政局动荡，军备竞赛愈演愈烈。各国展开了政治、经济、文化、军事和科技全方位的较量。如今，各国的关键部门、重要产业等经济社会领域，正在被互联网联成一体，形成各个国家的“关键性基础设施”，包括政务、电力、交通、能源、

27、通信、航空、金融、传媒、军事等领域的网络系统。因而，各国都十分看重网络空间的跨国属性和战略价值。国家之间的对抗也由原来的军事对抗转变为信息对抗；国家之间的打击也从传统的物理打击变为如今数字战场。在这些复杂因素的驱动下，APT攻击成为国家层面信息对抗的需求。3. APT攻击分析（2）APT攻击产生的背景2）社交网络的广泛应用为APT攻击提供了可能。社交网络正在从根本上改变我们办公、交友、生活的方式，它消除了由网络设备形成的有形边界，成为跨越传统网络安全边界的无形通道。Carl Timm在2010年出版的Seven Deadliest Social Network Attacks一书中详细分析了社

28、交网络的七大威胁：社交网络基础设施攻击、恶意软件攻击、钓鱼攻击、冒充攻击、身份窃取、网上欺凌、物理威胁；著名的网络安全公司Blue Coat在2011年发布的Web Security Report中列出了社交网络中存在的一些潜在威胁：动态链接、钓鱼攻击、点击劫持、数据泄露。社交网络通过广泛存在的社交交友关系，为APT攻击搜集信息、持续渗透提供了可能。3. APT攻击分析（2）APT攻击产生的背景3）复杂脆弱的IT环境还没有做好应对的准备，造成APT攻击事件频发。传统的网络安全防御虽然在网络安全边界、可信内网、终端等关键区域构建了分层的防御体系，并且建立了风险评估、攻击防护、入侵检测、响应恢复等

29、动态安全机制，但是防护的整体性一直没有达到应对不断变化安全威胁的需求。例如，虽然防火墙能够检测到的大量端口扫描，用户能够发现收到钓鱼邮件，管理层用户发现社交账号有莫名的好友申请，但是目前的防护体系中还不能将这些安全事件进行有效关联，从而发现APT攻击的迹象进行阻止。此外，目前公司复杂的网络环境、大量有漏洞的应用软件，使得攻击者更加容易找到薄弱环节和安全漏洞，再加上员工普遍使用智能终端和社交应用，为攻击者提供了多种攻击途径。3. APT攻击分析如2009年被曝光的鬼网（Ghost Net）攻击，专门盗取各国大使馆、外交部等政府机构，以及银行的机密信息，两年内就已渗透到至少103个国家的1295台

30、政府和重要人物的计算机中；2010年被曝光的极光行动（Operation Aurora）攻击，攻击了包括谷歌（Google）、奥多比（Adobe）、瞻博网络（Juniper Networks）、雅虎（Yahoo!）、赛门铁克（Symantec）和陶氏化工（DOW Chemical Company）在内的20多家大型跨国公司，使它们遭受了重大资产和信誉的损失。3. APT攻击分析2010年6月，震网（Stuxnet）首次被发现，是已知的第一个以关键工业基础设施为目标的蠕虫，其感染并破坏了伊朗纳坦兹核设施，并最终使伊朗布什尔核电站推迟启动。2011年3月，国际著名安全公司RSA也公开声称遭受了AP

31、T攻击，Secure ID令牌技术文件被窃取，数百万用户面临安全风险；2011年9月发现的Duqu病毒，被用来从工业控制系统制造商收集情报信息，目前已监测到来自法国、荷兰、瑞士及印度等8个国家的6家组织受到该病毒感染。3. APT攻击分析2012年5月发现的Flamer攻击，相对于Stuxnet攻击复杂数十倍，被称为有史以来最复杂的恶意软件，而且据猜测其已经潜伏了数年。据报道，遭受Flamer攻击的国家包括伊朗（189个目标）、巴勒斯坦地区（98个目标）、苏丹（32个目标）、叙利亚（30个目标）、黎巴嫩（18个目标）等。当然，安全专家认为，一定还有APT攻击没有被人们发现，还有更多的公司由于种

32、种原因而没有公布它们遭到APT攻击以及造成的损失。可以说，APT攻击已经成为近几年给国家、社会、企业、组织及个人造成了重大损失和影响的攻击形式。3. APT攻击分析（3）APT攻击一般过程1）信息侦查：在入侵之前，攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。侦查内容主要包括两个方面，一是对目标网络用户的信息收集，例如高层领导、系统管理员或者普通职员等员工资料、系统管理制度、系统业务流程和使用情况等关键信息；二是对目标网络脆弱点的信息收集，例如软件版本、开放端口等。随后，攻击者针对目标系统的脆弱点，研究0 day漏洞、定制木马程序、制订攻击计划，用于在下一阶段实施精确攻击。一般用户特

33、权用户关键信息资产1 信息侦查1 信息侦查3. APT攻击分析（3）APT攻击一般过程2）持续渗透：利用目标人员的疏忽、不执行安全规范，以及利用系统应用程序、网络服务或主机的漏洞，攻击者使用定制木马等手段不断渗透以潜伏在目标系统，进一步地在避免用户觉察的条件下取得网络核心设备的控制权。一般用户特权用户关键信息资产1 信息侦查1 信息侦查2 持续渗透2 持续渗透3. APT攻击分析（3）APT攻击一般过程2）持续渗透：例如，通过SQL注入等攻击手段突破面向外网的Web服务器，或是通过钓鱼攻击发送欺诈邮件获取内网用户通信录并进一步入侵高管主机，采用发送带漏洞的Office文件诱骗用户将正常网址请求

34、重定向至恶意站点。3. APT攻击分析（3）APT攻击一般过程3）长期潜伏：为了获取有价值信息，攻击者一般会在目标网络长期潜伏，有的达数年之久。潜伏期间，攻击者还会在已控制的主机上安装各种木马、后门，不断提高恶意软件的复杂度，以增强攻击能力并避开安全检测。一般用户特权用户关键信息资产1 信息侦查1 信息侦查2 持续渗透2 持续渗透3 长期潜伏3 长期潜伏3. APT攻击分析（3）APT攻击一般过程4）窃取信息：目前绝大部分APT攻击的目的都是为了窃取目标组织的机密信息。一般用户特权用户关键信息资产1 信息侦查1 信息侦查2 持续渗透2 持续渗透3 长期潜伏3 长期潜伏4 窃取信息3. APT攻

35、击分析（3）APT攻击一般过程4）窃取信息：攻击者一般采用SSL VPN连接的方式控制内网主机，对于窃取到的机密信息，攻击者通常将其加密存放在特定主机上，再选择合适的时间将其通过隐蔽信道传输到攻击者控制的服务器。由于数据以密文方式存在，APT程序在获取重要数据后向外部发送时，利用了合法数据的传输通道和加密、压缩方式，管理者难以辨别出其与正常流量的差别。3. APT攻击分析（5）APT攻击与传统攻击比较描述属性APT攻击传统攻击Who攻击者资金充足、有组织、有背景的黑客团队黑客个人或组织What目标对象国家重要基础设施，重点组织和人物大范围寻找目标，在线用户目标数据价值很高的电子资产，如知识产权、国家安全数据、商业机密等信用卡数据、个人信息等Why目的提升国家的战略优势，操作市场，摧毁关键设施等获得经济利益，身份窃取等How手段深入调查研究公司员工信息、商业业务和网络拓扑，攻击终端用户和终端设备传统技术手段，重点攻击安全边界工具针对目标漏洞定制攻击工具常用扫描工具、木马0day攻击使用普遍极少遇到阻力构造新的方法或工具转到其它脆弱机器3. APT攻击分析（5）APT攻击与传统攻击比较通过表的比较可以更加清晰