王在富

摘 要：PT攻擊對現(xiàn)有安全防護體系帶來了巨大的挑戰(zhàn)，成為信息安全從業(yè)人員重點關(guān)注的對象。本文分析了APT攻擊特點、流程，提出了相應(yīng)的檢測和防御思路。

關(guān)鍵詞：APT攻擊；攻擊檢測；攻擊流程；防護技術(shù)

1 引言

高級持續(xù)性威脅APT（Advanced Persistent Threat）是當前信息安全產(chǎn)業(yè)界的熱點，是指黑客針對特定目標以竊取核心資料為目的所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，這種行為往往經(jīng)過長期的經(jīng)營與策劃并具備高度的隱蔽性，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。目前，APT成為了網(wǎng)絡(luò)安全人員最受矚目的關(guān)鍵詞之一，在一些國家，APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)，針對APT攻擊行為的檢測與防御，也自然成為了至關(guān)重要也是最基礎(chǔ)的組成部分。

2 APT攻擊的技術(shù)特點

APT在攻擊的流程上，同普通網(wǎng)絡(luò)攻擊行為并無明顯區(qū)別，但APT的攻擊手法在于隱匿攻擊者的蹤跡并針對特定對象進行長期、有計劃性和組織性地滲透，直到成功竊取數(shù)據(jù)，因此具備更強的破壞性：

⑴攻擊技術(shù)的隱蔽性：為了躲避傳統(tǒng)檢測設(shè)備，APT更加注重攻擊技術(shù)及行為的隱蔽性。針對攻擊目標，發(fā)動APT攻擊的黑客往往不是為了在短時間內(nèi)獲利，甚至可以長期隱蔽。例如通過隱蔽通道、加密通道避免網(wǎng)絡(luò)行為被檢測，或者通過偽造合法簽名的方式避免惡意代碼文件本身被識別，這就給傳統(tǒng)基于簽名的檢測帶來很大困難。

⑵攻擊時間的持續(xù)性：APT攻擊分為多個步驟，攻擊者會進行長時間的潛心準備。在已經(jīng)發(fā)生的典型APT攻擊中，攻擊者從最初的信息搜集，到信息竊取并外傳往往要經(jīng)歷幾個月或者更長的時間，整體攻擊過程甚至持續(xù)數(shù)年之久。而傳統(tǒng)的檢測方式是基于單個時間點的實時檢測，難以對跨度如此長的攻擊進行有效跟蹤。如2011年8月，暗鼠行動（Operation Shady RAT）被發(fā)現(xiàn)并披露出來，調(diào)查發(fā)現(xiàn)該攻擊從2006年啟動，在長達數(shù)年的持續(xù)攻擊過程中，滲透并攻擊了全球多達72個公司和組織的網(wǎng)絡(luò)，包括美國政府、聯(lián)合國、紅十字會、武器制造商、能源公司、金融公司等等。

⑶攻擊目標的針對性：APT攻擊者通常帶有很強的目標針對性，通常帶有商業(yè)或政治目的，以竊取具備商業(yè)價值的信息或破壞目標系統(tǒng)為目的，整個攻擊過程都經(jīng)過攻擊者的精心策劃，攻擊一旦發(fā)起，攻擊者會針對目標網(wǎng)絡(luò)嘗試不同的攻擊技術(shù)和方式，直到目標達成。從發(fā)生的攻擊事件來看，APT攻擊是針對有重要價值資產(chǎn)或重要戰(zhàn)略意義的目標，其中大型互聯(lián)網(wǎng)服務(wù)機構(gòu)（如Google、Facebook、亞馬遜）、金融機構(gòu)（銀行、證券）、政府機構(gòu)、軍事、重要高科技企業(yè)及基礎(chǔ)工業(yè)機構(gòu)（電力能源）是APT攻擊的重災(zāi)區(qū)。

⑷攻擊手段的多樣性：APT攻擊者如同一個技術(shù)高超的隱形特種部隊一樣，利用一切可能的防御漏洞圍繞目標系統(tǒng)進行全方位打擊，在整個攻擊過程中通常會綜合利用釣魚、漏洞掃描、SQL注入、緩沖區(qū)溢出、暴力破解、加密傳輸?shù)榷喾N技術(shù)手段繞過目標系統(tǒng)的層層防線，從系統(tǒng)外圍到核心區(qū)域逐步攻克目標。目前被曝光的知名APT事件中，0DAY漏洞利用、社交攻擊、物理擺渡等方式層出不窮，讓傳統(tǒng)的檢測防不勝防。

⑸攻擊隱蔽的合法性：攻擊者訪問到重要信息后，往往通過控制的客戶端，分布使用合法加密的數(shù)據(jù)通道，將信息竊取出來，以繞過嚴格的審計和異常檢測的防護。

⑹特征識別的滯后性：APT普遍采用0DAY漏洞獲取權(quán)限、通過未知木馬進行遠程控制，而傳統(tǒng)基于特征匹配的檢測設(shè)備總是要先捕獲惡意代碼樣本，才能提取特征并基于特征進行攻擊識別，這就存在先天的滯后性。正是因為難以快速提取APT攻擊行為的技術(shù)特征，使得傳統(tǒng)以實時檢測、實時阻斷為主體的防御方式難以有效發(fā)揮作用。

3 APT攻擊流程

整個APT攻擊流程包括：選定攻擊目標、實施單點攻擊、控制目標通道、滲透攻擊范圍、回傳數(shù)據(jù)信息和實施后續(xù)攻擊等步驟：

⑴選定攻擊目標，即攻擊者有針對性的選擇攻擊的目標，搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。一般從組織員工入手，搜集組織員工的個人和工作信息，并進一步了解目標系統(tǒng)的網(wǎng)絡(luò)架構(gòu)部署、應(yīng)用系統(tǒng)架構(gòu)、常用軟件、人員組織架構(gòu)及關(guān)鍵信息的存儲位置與通信方式，然后通過社會工程方法來攻擊該員工電腦，選定攻擊發(fā)起的突破口，從而進入組織網(wǎng)絡(luò)。

⑵實施單點攻擊，即攻擊者收集了足夠的信息后，通過釣魚、遠程漏洞、email惡意代碼、SQL注入、緩沖區(qū)溢出等手段，繞過現(xiàn)有殺毒和個人防火墻安全工具，以單點方式攻擊組織員工的個人電腦，使員工個人電腦感染惡意代碼，從而被攻擊者完全控制。

⑶控制目標通道，即攻擊者控制了員工個人電腦后，以員工個人電腦為跳板對組織內(nèi)部其它主機展開攻擊并嘗試獲取更多內(nèi)部主機的控制權(quán)，搜索所有被控制的主機的敏感信息，從而創(chuàng)建下一步攻擊的命令控制通道。

⑷滲透攻擊范圍，即攻擊者通過控制更多的員工個人電腦，以員工個人電腦為跳板，將攻擊范圍進一步擴大和滲透，利用口令竊聽和漏洞攻擊等方法，獲取更多的信息，進而攻擊組織內(nèi)部重要信息的目標服務(wù)器。

⑸回傳數(shù)據(jù)信息，即攻擊者通過控制員工個人電腦和相關(guān)服務(wù)器，搜集重要數(shù)據(jù)信息，并通過進某個隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

⑹實施后續(xù)攻擊，即攻擊者利用獲取的目標數(shù)據(jù)信息，對目標組織展開下一輪攻擊。

4 APT攻擊檢測

從APT攻擊流程發(fā)現(xiàn)，實施單點攻擊、控制目標通道、滲透攻擊范圍、竊取數(shù)據(jù)信息等幾個步驟是APT攻擊實施的關(guān)鍵，因此應(yīng)該圍繞這幾個步驟進行對APT攻擊的檢測。

⑴檢測惡意代碼，控制APT攻擊過程中的惡意代碼傳播，阻擊攻擊者實施的單點攻擊。

⑵檢測網(wǎng)絡(luò)入侵，通過采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道，在網(wǎng)絡(luò)邊界處部署入侵檢測系統(tǒng)來檢測APT攻擊的命令，阻擊APT攻擊過程中的控制目標通道。

⑶分析檢測大數(shù)據(jù)，通過構(gòu)建大數(shù)據(jù)存儲和分析平臺，全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進行集中的海量數(shù)據(jù)存儲和深入分析，覆蓋整個APT攻擊過程，進一步阻擊攻擊者控制目標通道和滲透攻擊范圍。

5 APT攻擊防范策略

分析APT攻擊事件及其特點可以看出，APT攻擊主要依賴于：一是攻擊者對被攻擊者的信息了解，這是實施單點攻擊策略的前提；二是有針對性的0DAY漏洞，這是突破當前防護體系和有一些安全意識的人員的利器；三是有針對性的木馬和行為的對抗，特別是殺毒及網(wǎng)絡(luò)審計產(chǎn)品的對抗。所以，APT攻擊不是單一型安全產(chǎn)品、單層防御能解決的問題，綜合性防御、多層網(wǎng)絡(luò)防御與檢測技術(shù)、本地與云端資源的調(diào)用才是防御之道，需要構(gòu)建一個多維度的安全模型，既有技術(shù)層面的檢測手段，也要包含用戶安全意識的提高。

⑴提高人員安全防范意識。安全是一個系統(tǒng)工程，通過安全防范教育計劃提升人員安全防范意識是這個工程中一個重要的環(huán)節(jié)。攻擊者在選擇目標和單點攻擊階段，我們可以依托安全威脅檢測、預(yù)警系統(tǒng)，定期對員工進行安全意識培訓(xùn)，提高員工的安全防范意識，提高初始攻擊的難度，主動識別攻擊者對組織網(wǎng)絡(luò)的嗅探、掃描行為，加強對信息系統(tǒng)的安全管理，避免使用系統(tǒng)默認配置及過于簡單的密碼，不要在網(wǎng)絡(luò)中泄漏個人信息，不要隨便打開陌生的郵件或訪問未知的URL鏈接，這些簡單的安全防范意識可以幫助我們避免遭受釣魚、仿冒欺騙等社會工程學(xué)攻擊，使APT攻擊的發(fā)起者因找不到突破口而放棄攻擊。

⑵合理構(gòu)建端到端立體安全防護網(wǎng)絡(luò)。通過部署分層控制來實現(xiàn)深度網(wǎng)絡(luò)安全防御的方法是幫助組織抵御APT攻擊的最佳方法，不管攻擊者通過何種渠道向員工個人電腦發(fā)送惡意代碼，這個惡意代碼必須在員工個人電腦上執(zhí)行才能控制整個電腦。因此，合理構(gòu)建端到端立體安全防護網(wǎng)絡(luò)，則可以有效防御APT攻擊，即在關(guān)鍵路徑上層層把關(guān)，增加入侵者對內(nèi)部網(wǎng)絡(luò)進行探測及侵入核心數(shù)據(jù)的難度，覆蓋APT攻擊過程中的單點攻擊突破和回傳數(shù)據(jù)信息階段，加強系統(tǒng)內(nèi)各主機節(jié)點的安全措施，確保員工個人電腦以及服務(wù)器的安全。

⑶重視系統(tǒng)的安全審計和權(quán)限管理。網(wǎng)絡(luò)數(shù)據(jù)、用戶行為及系統(tǒng)運行狀態(tài)的審計與分析是預(yù)防安全風(fēng)險的有效補充。特別是滲透階段與進入階段，攻擊者都會嘗試不同的攻擊技術(shù)、攻擊手段對目標系統(tǒng)進行入侵，因此，要定期進行系統(tǒng)安全風(fēng)險評估，及時更新系統(tǒng)相關(guān)安全補丁，構(gòu)建安全配置基線并定期進行審視，通過SOC系統(tǒng)收集匯總?cè)W(wǎng)日志進行智能關(guān)聯(lián)分析，通過合理規(guī)劃安全域、加強系統(tǒng)賬戶的安全審計、系統(tǒng)賬號及權(quán)限管理、系統(tǒng)安全策略優(yōu)化等手段提高攻擊者繼續(xù)滲透的難度，及時發(fā)現(xiàn)可疑行為并通過有效的技術(shù)手段進行封堵，有效阻止攻擊者。

6 結(jié)束語

APT的出現(xiàn)，給傳統(tǒng)檢測技術(shù)帶來了新的挑戰(zhàn)，由于其攻擊的復(fù)雜性、隱蔽性，所以無法通過單一的安全產(chǎn)品和安全技術(shù)進行有效的檢測、防護，只有建立以安全技術(shù)與安全管理相結(jié)合的縱深防護體系，及時調(diào)整系統(tǒng)以適應(yīng)新的安全形勢需要，防患于未然，才能抵御APT攻擊的威脅，使系統(tǒng)得以安全有效的運行。

[參考文獻]

[1]張帥.對APT攻擊的檢測與防御.信息安全與技術(shù)，2011.（09）.

[2]周濤.大數(shù)據(jù)與APT攻擊檢測.信息安全與通訊保密，2012.（07）.

[3]陳陽.中小企業(yè)如何應(yīng)對APT攻擊.硅谷，2012.（08）.