APT(Advanced Persistent Threat)
高级可持续威胁攻击,简称APT攻击,利用先进的攻击手段对特定对象展开持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
APT Report
一般来说,学习APT最常见方式是认真研读国内外安全机构的针对各类APT组织和攻击的分析报告。
| 报告地址 | 备注 |
|---|---|
| Operation Dragon Castling | 利用CVE-2022-24934,针对东南亚菠菜公司 |
术语
CNO
Computer network operations,是指计算机和网络行动(具有军事和民用双重用途的广义术语)。
CND
computer network defense
CNA
computer network attack
CNE
computer network exploitation
常用APT分析模型
1.PTES
Penetartion Testing Execution Standard,中文名称为渗透测试执行标准,目标是为企业组织和安全服务商设计并制定渗透测试工作的通用描述准则,一般包括7个标准动作,即前期交互、情报搜集、威胁建模、漏洞分析、渗透利用、后渗透、报告输出。
早年流行过,目前已相对过时。
2.Kill Chain模型
Kill Chain将攻击划分为7个阶段:侦查跟踪,武器构建,载荷投递,漏洞利用,安装植入,命令控制(C2),目标达成。
3.ATT&CK模型
Adversarial Tactics, Techniques, and Common Knowledge,由MITRE公司对抗战术、技术、常识框架。
详细笔记见ATT&CK笔记
更多内容见词条
推荐阅读
| 地址 | 备注 |
|---|---|
| Micro8_专注APT攻击与防御(可在线阅读) | 曾经霸榜Git Trend,后因影响太大,作者停止更新 |
| APTnotes | 公开的APT报告,涵盖08到19年,近年来未更新 |
| 移动APT 威胁情报分析与数据防护 | 针对移动智能终端的 APT 事件,并深入讲解了此类事件的分析方法、溯源手段和建模方法 |
| [网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例 | 原作者那里已需付费订阅 |