新型攻击方法分析

新型攻击方法分析

鉴于 APT 攻击的对象和目的可能存在差异，不同的 APT 攻击所采用的技术和方法也存 在较大的不同；而且随着 APT 攻防的升级，新的攻击技术和方法也会不断涌现。根据对大量 APT 攻击事件的跟踪和分析，我们发现：虽然 APT 攻击具有明显的定制化特征，但是一般来 说，所使用技术和方法的差异主要出现在“突破防线”和“完成任务”两个阶段。本节首先 枚举影响较大或者具有显著特征的 APT 事件，然后归纳出若干我们认为应该引起业界重点关 注的新攻击技术和方法。
3.2.2.1 APT 攻击事件**
自 2010 年 APT 出现在公众视野之后，安全业界已经陆续报道了数十起 APT 攻击事件， 图 3.3 中部分枚举了其中影响较大或具有较明显新型攻击方法和特征的事件，这些事件的详情 参见表 3-2。
图 3.3 2010 年以来重要 APT 事件
表 3-2 重要 APT攻击事件的特征枚举
|时间 |名称 |目标 |重要影响或者显著特征|
|2010-1 |Aurora |Google 等 20 多 家 IT 公司 |

1、水坑攻击，利用 IE 漏洞 MS010-002 得到执行 2、利用 SSL 加密隧道传输数据

3、窃取 GMAIL 邮件账户和内容

|
| 2010-6 |Stuxnet |中东能源行业|

1、使用可移动存储实现摆渡攻击

2、用 5 个微软漏洞（包括 4 个零日）：MS10-046， MS10-061，两个未公开的提权，MS08-067

3、使用 Realtek、JMicron 公司的数字签名

4、攻击物理设备

||**2011-2** |Night Dragon |全球石油[天然气](http://github5.com/search?f=p&wd=天然气) 和石化公司|1、利用 SQL 注入突破防线 2、利用鱼叉式钓鱼邮件进行