1 APT攻擊介紹

APT全稱為Advanced Persistent Threat（高級(jí)持續(xù)性威脅/滲透攻擊），是指組織（特別是政府）或者小團(tuán)體使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，它融合了情報(bào)、黑客技術(shù)、社會(huì)工程等各種手段，通過直接或者間接控制IT系統(tǒng)，針對(duì)有價(jià)值的信息資產(chǎn)發(fā)起復(fù)雜而專業(yè)的攻擊。

1.1 APT攻擊特點(diǎn)

APT攻擊常常具有以下幾個(gè)特點(diǎn)：

（1）攻擊者通常采用惡意網(wǎng)站，釣魚的方式誘使目標(biāo)上鉤。

（2）攻擊者通常采用惡意郵件的方式攻擊受害者，這些郵件會(huì)被包裝成合法的發(fā)件人，附件帶有隱含的惡意代碼（通常為0day漏洞），導(dǎo)致郵件網(wǎng)關(guān)等安全設(shè)備難以檢測。

（3）攻擊者通過 SQL注入等攻擊手段入侵企業(yè)的 Web Server，以此做跳板對(duì)內(nèi)網(wǎng)的其他服務(wù)器或終端不斷滲透入侵，直至到達(dá)攻擊目標(biāo)。

（4）入侵成功后，使用壓縮加密的方式向外傳輸數(shù)據(jù)，致使安全設(shè)備無法分析加密傳輸內(nèi)容。

（5）攻擊者通常不是直接攻擊最終目標(biāo)，而是通過外圍入侵層層滲透。

1.2 APT攻擊環(huán)節(jié)

APT攻擊可以分為事前準(zhǔn)備，滲透入侵，攻擊收獲三個(gè)環(huán)節(jié)。三個(gè)環(huán)節(jié)互相交織，沒有嚴(yán)格的分界線。在每個(gè)環(huán)節(jié)，攻擊者可能發(fā)起循環(huán)攻擊，這取決于攻擊范圍、目標(biāo)環(huán)境變化、攻擊是否成功等因素。

1.2.1 準(zhǔn)備工作

收集信息，了解目標(biāo)的系統(tǒng)架構(gòu)、人事管理、安全體系、重要資產(chǎn)。途徑可以是：網(wǎng)絡(luò)公開信息、社工庫、釣魚郵件、網(wǎng)站、漏洞掃描。這些信息會(huì)隨著時(shí)間不斷變化，所以收集信息也貫穿整個(gè)攻擊過程。

攻擊技術(shù)儲(chǔ)備，通過了解系統(tǒng)版本、應(yīng)用程序、安全軟件，自行開發(fā)0day惡意代碼、木馬、溢出漏洞代碼，設(shè)計(jì)攻擊路徑。

初步入侵外圍目標(biāo)，這些不是攻擊的最終目標(biāo)，但是可以被利用來做跳板，進(jìn)入系統(tǒng)內(nèi)部。外圍目標(biāo)可以包括：用戶終端、系統(tǒng)帳戶、外圍服務(wù)器、外部基礎(chǔ)設(shè)施、證書密碼。

1.2.2 滲透入侵

在這環(huán)節(jié)，攻擊者不斷滲透，使用各種方法展開持續(xù)攻擊：

常規(guī)手段：例如病毒傳播、安全管理薄弱環(huán)節(jié)、社會(huì)工程欺騙員工獲取目標(biāo)信息、嘗試弱密碼和默認(rèn)密碼暴力攻擊等。

利用漏洞：包括文件（DOC/PPT/PDF）漏洞、瀏覽器（ActiveX/CSS）漏洞、業(yè)務(wù)邏輯漏洞、提權(quán)漏洞、溢出漏洞、Web漏洞（SQL/XSS/CSRF）等。

木馬植入和提權(quán)：攻擊者在目標(biāo)服務(wù)器植入木馬，提權(quán)，獲取敏感數(shù)據(jù)。

1.2.3 攻擊收獲

攻擊者在竊取有用信息后，構(gòu)建隱蔽的數(shù)據(jù)傳輸通道，把數(shù)據(jù)傳送出來。此時(shí)，攻擊者可以選擇：繼續(xù)收集價(jià)值信息，等待合適時(shí)機(jī)破壞目標(biāo)，或者刪除病毒、木馬、服務(wù)器日志等攻擊痕跡。

2 APT檢測及防御方法

2.1 APT攻擊檢測方法

2.1.1 惡意代碼檢測

識(shí)別攻擊者發(fā)送的惡意代碼，是識(shí)別APT攻擊關(guān)鍵的一步。

（1）基于簽名特征

了解攻擊特征，提取攻擊特征簽名。對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包進(jìn)行匹配后，可以準(zhǔn)確、快速的檢測到此類惡意文件的傳輸。

（2）基于漏洞特征

了解漏洞觸發(fā)原理，提取漏洞觸發(fā)的關(guān)鍵代碼。一個(gè)漏洞特征可以識(shí)別所有利用該漏洞進(jìn)行攻擊的惡意代碼。

（3）基于行為特征

上面兩種檢測方法是基于已知（Nday）攻擊/漏洞的前提條件下進(jìn)行針對(duì)性的防御。但攻擊者利用未知（0day）漏洞開發(fā)惡意代碼，則可以輕易繞過這些方法。

沙箱技術(shù)就是應(yīng)對(duì) 0day惡意代碼提出的檢測方法。它的原理就是構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在這個(gè)模擬環(huán)境運(yùn)行，通過觀察文件行為來判定是否為惡意代碼。

2.1.2 異常流量檢測

傳統(tǒng)IDS是基于攻擊特征簽名的技術(shù)進(jìn)行監(jiān)控分析，它把流量與特征庫簽名進(jìn)行比對(duì)，“匹配成功為非法，否則為正?！?。面對(duì)APT攻擊，IDS可以做一些優(yōu)化。我們選擇基于Netflow的流量監(jiān)測技術(shù)來采集網(wǎng)絡(luò)流量，建立流量行為和流量分布的數(shù)學(xué)模型，學(xué)習(xí)企業(yè)網(wǎng)絡(luò)的“正常流量”，從而鑒別出“異常流量”，發(fā)現(xiàn)APT的攻擊痕跡。

2.1.3 信譽(yù)技術(shù)檢測

在面對(duì) APT攻擊的時(shí)候，可以借助信譽(yù)技術(shù)進(jìn)行檢測。建立惡意WEB URL庫，C&C地址庫，僵尸網(wǎng)絡(luò)地址庫，文件MD5代碼庫，都是識(shí)別APT攻擊的有效輔助手段。

2.1.4 關(guān)聯(lián)分析

無論是惡意代碼檢測、異常流量檢測、或是木馬病毒告警，都只是單一安全設(shè)備的告警。APT攻擊者會(huì)嘗試多種路徑和方法進(jìn)行不斷滲透入侵，單一設(shè)備的告警都是管中窺豹，無法判定是一次普通攻擊還是APT攻擊。

我們必須建立一套覆蓋傳統(tǒng)檢測技術(shù)，可以橫向貫穿分析的系統(tǒng)。通過收集所有安全告警信息并進(jìn)行關(guān)聯(lián)分析，還原 APT攻擊的所有或者大部分入侵環(huán)節(jié)，有效區(qū)分普通攻擊和 APT攻擊。

關(guān)聯(lián)分析首先需要全面地收集安全信息（例如網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)防火墻、WEB應(yīng)用防火墻、內(nèi)網(wǎng)審計(jì)系統(tǒng)、服務(wù)器日志、防病毒等）；其次需要安全人員具有從零散的安全告警中拼湊出 APT攻擊鏈路的方法和經(jīng)驗(yàn)，包括識(shí)別組合攻擊、長時(shí)間跨度攻擊、態(tài)勢分析等技能，要求比較高。

2.2 APT攻擊的防御

2.2.1 防御手段

在攻擊準(zhǔn)備階段，通過 IDS、IPS、Web應(yīng)用防火墻等安全設(shè)備識(shí)別攻擊者對(duì)企業(yè)外圍設(shè)備、系統(tǒng)、應(yīng)用的掃描行為；定期對(duì)企業(yè)系統(tǒng)、應(yīng)用程序加固，對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)。

在攻擊階段，合理配置內(nèi)網(wǎng)安全設(shè)備安全策略，在不同區(qū)域間設(shè)置防火墻，在服務(wù)器、終端安裝防病毒軟件并及時(shí)更新特征庫，加強(qiáng)系統(tǒng)的安全審計(jì)、系統(tǒng)賬號(hào)管理等，提高攻擊者滲透入侵難度。對(duì)重要信息、敏感信息，使用高強(qiáng)度加密算法，讓攻擊者無法識(shí)別和判斷攻擊目標(biāo)。

在攻擊收獲階段，對(duì)異常流量、加密流量加強(qiáng)監(jiān)控，特別對(duì)于傳出流量的識(shí)別和分析是檢測APT攻擊行為的有效途徑。

總體來說，合理利用安全設(shè)備，建立關(guān)聯(lián)分析模型，實(shí)時(shí)分析安全告警，對(duì) APT攻擊的每個(gè)關(guān)鍵環(huán)節(jié)都給予高度重視，主動(dòng)發(fā)現(xiàn)和及時(shí)處理，是APT防御的關(guān)鍵所在。

2.2.2 團(tuán)隊(duì)建設(shè)

要實(shí)現(xiàn) APT攻擊的防御，必須培養(yǎng)專業(yè)的安全團(tuán)隊(duì)。通過借助廠商的最佳實(shí)踐，不斷完善安全知識(shí)庫，進(jìn)行實(shí)時(shí)代碼分析、滲透測試、漏洞驗(yàn)證、系統(tǒng)修補(bǔ)、安全應(yīng)急等等工作，建立一套完整的安全防御體系和專業(yè)團(tuán)隊(duì)。經(jīng)驗(yàn)豐富的安全團(tuán)隊(duì)是任何技術(shù)無法取代的。

3 結(jié)束語

在互聯(lián)網(wǎng)+時(shí)代，政府、大型機(jī)構(gòu)、企業(yè)已經(jīng)離不開IT系統(tǒng)。APT攻擊防御則是IT安全的核心內(nèi)容之一。建立一套完善的APT檢測與防御的安全系統(tǒng)，保護(hù)好自己的IT資產(chǎn)，是所有企業(yè)必須面臨和解決的問題。