在之前的文章中(APT攻擊背后的秘密：攻擊性質(zhì)及特征分析;攻擊前的"敵情"偵察;攻擊時(shí)的武器與手段;攻擊時(shí)的漏洞利用;攻擊時(shí)的命令和控制)，我們已經(jīng)了解了APT攻擊的特征、"敵情"偵察、攻擊的武器和手段、漏洞利用以及攻擊時(shí)的命令和控制。本文我們將探討APT攻擊后期的數(shù)據(jù)滲出。在這個(gè)階段，也是APT攻擊的最后階段，如果APT攻擊活動(dòng)還沒(méi)有被阻止，那么數(shù)據(jù)很可能即將被泄漏出去。

數(shù)據(jù)滲出是APT攻擊的最后一步，如果攻擊者完成這一步，你企業(yè)將面臨巨大損失。在目標(biāo)數(shù)據(jù)被確定后，這些數(shù)據(jù)將被復(fù)制并通過(guò)C2通道移出網(wǎng)絡(luò)，或者可能被復(fù)制到網(wǎng)絡(luò)中的另一區(qū)域，然后再被移出。從這一點(diǎn)來(lái)看，企業(yè)應(yīng)該容易發(fā)現(xiàn)被動(dòng)攻擊和有針對(duì)性攻擊。

正如前面提到的，被動(dòng)攻擊動(dòng)靜很大，分層防御措施很容易發(fā)現(xiàn)這種攻擊。另一方面，有針對(duì)性攻擊完全相反。

有針對(duì)性攻擊活動(dòng)背后的攻擊者會(huì)盡可能保持低調(diào)，所以不可能出現(xiàn)大規(guī)模數(shù)據(jù)轉(zhuǎn)儲(chǔ)。在有針對(duì)性攻擊中，我們會(huì)看到數(shù)據(jù)偽裝成正常流量通過(guò)C2通道離開(kāi)網(wǎng)絡(luò)。

在前面C2文章中，我們談到了機(jī)會(huì)攻擊通常會(huì)利用有著不良聲譽(yù)的通信信道。對(duì)于每個(gè)感染的主機(jī)，攻擊者會(huì)使用了相同的容易識(shí)別的通道。

這種機(jī)會(huì)攻擊會(huì)將數(shù)據(jù)滲出到其他國(guó)家的數(shù)據(jù)中心的服務(wù)器，當(dāng)?shù)胤煽赡軟](méi)有禁止這種數(shù)據(jù)使用。在這些情況下，你不要指望ISP提供幫助。所以，如果你不阻止數(shù)據(jù)離開(kāi)網(wǎng)絡(luò)，即使你發(fā)現(xiàn)數(shù)據(jù)的滲出，這種信息從法律上看也沒(méi)多大用處。

有針對(duì)性攻擊會(huì)攻擊合法服務(wù)器來(lái)存儲(chǔ)數(shù)據(jù)。在很多情況下，受感染的服務(wù)器管理員可能不知道他們正在托管不屬于自己的數(shù)據(jù)，而當(dāng)他們意識(shí)到有什么不對(duì)勁時(shí)，攻擊者已經(jīng)早已離去。

在滲出階段，最好的防御措施就是感知。你需要知道哪些數(shù)據(jù)進(jìn)出你的網(wǎng)絡(luò)，監(jiān)控出站流量和入站流量都很重要。

DLP解決方案也可以用于應(yīng)對(duì)滲出階段。如果配置得到，DLP產(chǎn)品可以幫助監(jiān)控網(wǎng)絡(luò)流量，并控制流量。它們能夠發(fā)現(xiàn)未經(jīng)授權(quán)的加密，被動(dòng)和有針對(duì)性攻擊會(huì)利用加密來(lái)隱藏通信。還能夠發(fā)現(xiàn)異常流量模式。

另外，監(jiān)控用戶賬戶活動(dòng)也可以作為防御措施，有些合法賬戶可能出現(xiàn)異?；顒?dòng)。

在C2階段使用的防御措施同樣可用于滲出階段，包括根據(jù)IP地址、IPS和IDS系統(tǒng)(可以調(diào)整為監(jiān)控所有階段的活動(dòng))以及應(yīng)用防火墻規(guī)則(控制哪些程序允許發(fā)送流量到外部)阻止訪問(wèn)。這些規(guī)則還可以應(yīng)用到工作站或網(wǎng)段。

假設(shè)你捕捉到滲出過(guò)程，日志記錄將成為事件響應(yīng)的關(guān)鍵資源，因?yàn)槿罩灸軌虼_定發(fā)生了什么、如何發(fā)生等。通常情況下，在被動(dòng)或有針對(duì)性攻擊中，確定攻擊者是很重要的，但實(shí)際上這是不可能的，這個(gè)問(wèn)題我們主要是靠猜測(cè)而不是事實(shí)。

無(wú)論采用何種防御措施，最好的辦法是在事故發(fā)生前阻止事故。這正是澳大利亞信號(hào)理事會(huì)(ASD)的主要工作，其網(wǎng)絡(luò)不斷有攻擊者試圖訪問(wèn)敏感信息。ASD采用了四種防御措施，并指定它們作為其網(wǎng)絡(luò)的強(qiáng)制性要求。這四個(gè)強(qiáng)制性措施包括：

1. 應(yīng)用程序白名單

2. 第三方軟件補(bǔ)丁管理

3. 操作系統(tǒng)補(bǔ)丁管理

4. 權(quán)限管理(限制使用域或本地管理員權(quán)限的用戶數(shù)量)

在本系列文章的開(kāi)始，我們探討了有針對(duì)性攻擊和被動(dòng)攻擊的目的的區(qū)別，以及這些攻擊者的總體目標(biāo)。工具、戰(zhàn)略和程序并不重要。你的企業(yè)更有可能成為機(jī)會(huì)攻擊的受害者，而不是受民族國(guó)際資助的有針對(duì)性攻擊的受害者。

應(yīng)對(duì)這兩種攻擊的最好辦法就是分層防御。感知和可視性是快速反應(yīng)以及減少損失的關(guān)鍵。雖然持續(xù)性攻擊活動(dòng)最終會(huì)成功，但我們可以提高攻擊者的難度，以及減少損失。關(guān)鍵是要權(quán)衡風(fēng)險(xiǎn)，制定符合企業(yè)需求的安全計(jì)劃，不要恐懼APT。