最近
奇虎360的天眼实验室发布的:OceanLotus(海莲花)APT报告
安天:一例针对中国政府机构的准APT攻击中所使用的样本分析
给了我们很多APT攻击检测做出了率先学习的榜样,以下为浅谈从攻击者的角度从哪些方面来检测遭受APT攻击的痕迹:
1、首先第一原因可能一个普通的员工的电脑通过邮件或其它攻击会被植入木马程序
2、获取与某些计算机管理权限的用户的密码。例如,技术支持工程师的密码
3、获得合法权限访问内部或外部的服务器。
4、获取来自服务器的域管理员密码。
5、获取访问域控制器和影响所有活动的域帐户。
6、获取访问电子邮件、办公网络及SVN服务器。
7、获得访问服务器和各种业务系统管理员工作站的权限。
8、安装软件来监控重要的系统操作员的活动。记录密码、屏幕录制或屏幕截图。
9、配置远程访问重要的服务器,包括防火墙配置,以便长期控制。
10、清除所有入侵的日志
APT是无法确定的,人的因素很大。这只是其中一种
APT是一种攻击模式,是战略,不是战术。