網路資訊保安之APT攻擊

當今，網路系統面臨著越來越嚴重的安全挑戰，在眾多的安全挑戰中，一種具有組織性、特定目標以及長時間持續性的新型網路攻擊日益猖獗，國際上常稱之為 APT（Advanced Persistent Threat高階持續性威脅）攻擊 。

APT攻擊是一種以商業或者政治目的為前提的特定攻擊，其通過一系列具有針對性的攻擊行為以獲取某個組織甚至國家的重要資訊，特別是針對國家重要的基礎設施和單位開展攻擊，包括能源、電力、金融、國防等等。APT攻擊常常採用多種攻擊技術手段，包括一些最為先進的手段和社會工程學方法，並通過長時間持續性的網路滲透，一步步的獲取內部網路許可權，此後便長期潛伏在內部網路，不斷地收集各種資訊，直至竊取到重要情報。

對於APT攻擊比較權威的定義是由美國國家標準與技術研究所( NIST)提出的，該定義給出了APT攻擊的4個要素，具體如下。

(1)攻擊者：擁有高水平專業知識和豐富資源的敵對方。

(2)攻擊目的：破壞某組織的關鍵設施，或阻礙某項任務的正常進行。

(3)攻擊手段：利用多種攻擊方式，通過在目標基礎設施上建立並擴充套件立足點來獲取資訊。

(4)攻擊過程：在一個很長的時間段內潛伏並反覆對目標進行攻擊,同時適應安全系統的防禦措施,通過保持高水平的互動來達到攻擊目的。

二、APT攻擊過程

1.情報收集

在實施攻擊之前，攻擊者會針對特定組織的網路系統和相關員工展開大量的資訊蒐集。資訊蒐集方法多種多樣，通常包括搜尋引擎、爬網系統、網路隱蔽掃描、社會工程學方法等方式。資訊來源包括相關員工的微博、部落格、社交網站、公司網站，甚至通過某些渠道購買相關資訊(如公司通訊錄等)。攻擊者通過對這些資訊的分析，可以清晰地瞭解攻擊目標所使用的應用、防禦軟體，組織內部架構和人員關係，核心資產存放情況等等。於是，攻擊者針對特定目標(一般是內部員工)所使用的應用軟體尋找漏洞，並結合特定目標所使用的防毒軟體、防火牆等設計特定木馬/惡意程式碼以繞過防禦。同時，攻擊者搭建好入侵伺服器，開展技術準備工作。

2.防線突破

攻擊者在完成情報收集和技術準備後，開始採用木馬/惡意程式碼攻擊特定員工的個人電腦，攻擊方法主要有：①社會工程學方法，如電子郵件攻擊，攻擊者竊取與特定員工有關係的人員(如領導、同事、朋友等)電子郵箱，冒充發件人給該員工傳送帶有惡意程式碼附件的郵件，一旦該員 工開啟附件，員工電腦便感染了惡意軟體。②遠端漏洞攻擊方法，如網站掛馬攻擊，攻擊者在員工常訪問的網站上放置木馬，當員工再次訪問該網站時，個人電腦便受到網頁程式碼攻擊。由於這些惡意軟體針對的是系統未知漏洞並被特殊處理，因此現有的防毒軟體和防火牆均無法察覺，攻擊者便能逐漸獲取個人電腦許可權，最後直至控制個人電腦。

3.通道建立

攻擊者在突破防線並控制員工電腦後，在員工電腦與入侵伺服器之間開始建立命令控制通道。通常，命令控制通道採用HTTP/HTTPS等協議構建，以突破電腦系統防火牆等安全裝置。一旦攻擊者完成通道建立，攻擊者通過傳送控制命令檢查植入的惡意軟體是否遭受查殺，並在惡意軟體被安全軟體檢測到前，對惡意軟體進行版本升級，以降低被發現的概率。

4.橫向滲透

入侵和控制員工個人電腦並不是攻擊者的最終目的，攻擊者會採用口令竊聽、漏洞攻擊等多種滲透方法嘗試進一步入侵組織內部更多的個人電腦和伺服器，同時不斷地提升自己的許可權，以求控制更多的電腦和伺服器，直至獲得核心電腦和伺服器的控制權。

5.資訊收集及外傳

攻擊者常常長期潛伏，並不斷實行網路內部橫向滲透，通過埠掃描等方式獲取伺服器或裝置上有價值的資訊，針對個人電腦通過列表命令等方式獲取文件列表資訊等。攻擊者會將內部某個伺服器作為資料暫存的伺服器，然後通過整理、壓縮、加密、打包的方式，利用建立的隱蔽通訊通道將資訊進行外傳。在獲取這些資訊後，攻擊者會對這些資訊資料進行分析識別，並做出最終的判斷，甚至實施網路攻擊破壞。

三、APT攻擊和傳統攻擊的區別

APT攻擊具有不同於傳統網路攻擊的5個顯著特徵：針對性強、組織嚴密、持續時間長、高隱蔽性和間接攻擊。

1.針對性強

APT攻擊的目標明確，多數為擁有豐富資料/智慧財產權的目標，所獲取的資料通常為商業機密、國家安全資料、智慧財產權等。

相對於傳統攻擊的盜取個人資訊，APT攻擊只關注預先指定的目標，所有的攻擊方法都只針對特定目標和特定系統，針對性較強。

2.組織嚴密

APT攻擊成功可帶來巨大的商業利益，因此攻擊者通常以組織形式存在，由熟練黑客形成團體，分工協作，長期預謀策劃後進行攻擊。他們在經濟和技術上都擁有充足的資源，具備長時間專注APT研究的條件和能力。

3.持續時間長

APT攻擊具有較強的持續性，經過長期的準備與策劃，攻擊者通常在目標網路中潛伏几個月甚至幾年，通過反覆滲透，不斷改進攻擊路徑和方法，發動持續攻擊，如零日漏洞攻擊等。

4.高隱蔽性

APT攻擊根據目標的特點，能繞過目標所在網路的防禦系統，極其隱藏地盜取資料或進行破壞。在資訊收集階段，攻擊者常利用搜索引擎、高階爬蟲和資料洩漏等持續滲透，使被攻擊者很難察覺；在攻擊階段，基於對目標嗅探的結果，設計開發極具針對性的木馬等惡意軟體，繞過目標網路防禦系統，隱蔽攻擊。

5.間接攻擊

APT攻擊不同於傳統網路攻擊的直接攻擊方式，通常利用第三方網站或伺服器作跳板，佈設惡意程式或木馬向目標進行滲透攻擊。惡意程式或木馬潛伏於目標網路中，可由攻擊者在遠端進行遙控攻擊，也可由被攻擊者無意觸發啟動攻擊。

| 對比內容 |傳統攻擊 |APT攻擊 |

|–|–|–|

| 攻擊者特徵 | 個體或小組織網路犯罪分子 | 全球性、有組織、有紀律的不法團體、公司、敵對者 |

| 攻擊目標 | 隨機性選擇攻擊，通常以個體為主，以達到獲取金錢、盜竊身份、欺詐等 | 特定攻擊目標，通常針對國家安全資訊、重要行業商業機密資訊等 |

| 攻擊手段 | 攻擊手段比較單一，常基於已有的惡意軟體展開攻擊 | 攻擊手段複雜，形式多樣，結合0day攻擊、特種木馬攻擊、社會工程學等展開攻擊 |

| 攻擊時間 | 攻擊時間較短，以一次性、大範圍攻擊為主 | 攻擊時間較長，長期潛伏、多次滲透攻擊 |

| 攻擊痕跡 | 攻擊特性很強，容易在較短時間內被檢測和捕獲 | 攻擊特徵弱，比較隱蔽，缺少樣本資料，很難被檢測和捕獲 |

四、如何防範APT攻擊

隨著人們對APT攻擊的研究不斷深入，已經出現一些有效的防禦技術來對抗APT攻擊，其核心思想大多是針對APT“攻擊鏈”的某一步驟展開防禦。這些技術主要包括：沙箱技術、信譽技術、異常流量分析技術、大資料分析技術等等。

1.沙箱技術

沙箱，又叫做沙盤，被認為是當前防禦APT攻擊的最有效技術之一。沙箱即是通過虛擬化技術形成一個模擬化的環境，同時將本地系統中的程序物件、記憶體、登錄檔等與模擬環境相互隔離，以便在這個虛擬化環境中測試和觀察檔案、訪問等執行行為。沙箱通過重定向技術，將測試過程中生成和修改的檔案定向到特定資料夾中，避免了對真是登錄檔、本地核心資料等的修改。當APT攻擊在改虛擬環境發生時，可以及時地觀察並分析其特徵碼，進一步防禦其深入攻擊。

2.信譽技術

安全信譽是對網際網路資源和服務相關實體安全可信性的評估和看法。信譽技術是應用於APT攻擊檢測具有較好輔助功能的一項技術，通過建立信譽庫，包括WEB URL信譽庫、檔案MD5碼庫、殭屍網路地址庫、威脅情報庫等，可以為新型病毒、木馬等APT攻擊的檢測提供強有力的技術輔助支撐，實現網路安全裝置對不良信譽資源的阻斷或過濾。信譽庫的充分利用，將進一步提高安全新品的安全防護能力。

3.主機漏洞防護技術

針對橫向移動與內部資料進行挖掘和探測的防禦，可採用主機漏洞防護技術，能偵測任何針對主機漏洞的攻擊並加以攔截，進而保護未修補的主機。這類解決方案可實現檔案 / 系統一致性監控，保護未套用修補程式的主機，防止已知和0day 漏洞攻擊。

4.異常流量分析技術

這是一種流量檢測及分析技術，其採用旁路接入方式提取流量資訊，可以針對幀數、幀長、協議、埠、標識位、IP路由、物理路徑、CPU/RAM消耗、寬頻佔用等進行監測，並基於時間、拓撲、節點等多種統計分析手段，建立流量行為輪廓和學習模型來識別流量異常情況，進而判斷並識別0Day漏洞攻擊等。

5.資料防洩漏技術（DLP）

針對資料外傳的風險，一般可採用加密和資料外洩防護 (DLP)技術，將關鍵、敏感、機密的資料加密，是降低資料外洩風險的一種方法，DLP 可提供一層額外的防護來防止資料外洩。然而，這類工具通常很複雜，而且有些部署條件，例如：資料要分類，要定義政策和規則等。

6、大資料分析技術

APT攻擊防禦離不開大資料分析技術，無論是網路系統本身產生的大量日誌資料，還是SOC安管平臺產生的大量日誌資訊，均可以利用大資料分析技術進行大資料再分析，運用資料統計、資料探勘、關聯分析、態勢分析等從記錄的歷史資料中發現APT攻擊的痕跡，以彌補傳統安全防禦技術的不足。

我們熟知的APT防禦產品主要針對的都是APT攻擊鏈上的某個環節來展開防禦，目前來說這是遠遠不夠的。APT攻擊防禦應該是覆蓋APT攻擊所有環節，未來發展的趨勢，是需要構建基於APT攻擊鏈的多層次、多維度、多角度的縱深防禦體系，如態勢感知平臺等。

部落格： http://xiejava.ishareread.com/