曹順超 王翔宇 唐剛

關(guān)鍵詞：APT;高級持續(xù)性威脅；Oday；供應(yīng)鏈攻擊；監(jiān)測和防御

1APT攻擊概述

1.1APT攻擊特點

APT一詞最早是在2006年由美國空軍分析師針對未知入侵活動提出。近年來，隨著全球通信及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，社會生產(chǎn)、生活方式發(fā)生巨大變化，竊取機(jī)密情報、破壞基礎(chǔ)設(shè)施的各類APT攻擊事件頻發(fā)，對全球經(jīng)濟(jì)和國家安全造成嚴(yán)重影響，APT攻擊已經(jīng)成為網(wǎng)絡(luò)空間最嚴(yán)重的安全威脅之一。

美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute ofStandards and Technology，NIST）對APT的定義為攻擊者掌握復(fù)雜的專業(yè)知識和重要資源，通過多種攻擊途徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在目標(biāo)組織的信息技術(shù)基礎(chǔ)設(shè)施上建立和擴(kuò)展立足點，以竊取機(jī)密信息，破壞或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進(jìn)行后續(xù)攻擊。

APT攻擊具有攻擊者組織嚴(yán)密、針對性強(qiáng)、技術(shù)高超、隱蔽性強(qiáng)、持續(xù)時間長等特點。

（1）組織嚴(yán)密：APT攻擊一般具有軍事、政治或經(jīng)濟(jì)上的目的，攻擊者團(tuán)隊作戰(zhàn)，分工明確，具有嚴(yán)密的組織。

（2）針對性強(qiáng)：APT攻擊的目標(biāo)明確，攻擊者一般只針對特定的目標(biāo)機(jī)構(gòu)、目標(biāo)網(wǎng)絡(luò)和目標(biāo)信息資產(chǎn)開展攻擊。

（3）技術(shù)高超：APT組織在人才、資金方面擁有豐富的資源，在漏洞挖掘、惡意代碼編寫、滲透測試等方面擁有高超的技術(shù)能力。

（4）隱蔽性強(qiáng)：APT攻擊者具有極高的隱蔽能力，在整個攻擊過程中會想方設(shè)法繞過目標(biāo)單位安全設(shè)備的檢查，在系統(tǒng)中并無明顯異常。

（5）持續(xù)時間長：APT攻擊持續(xù)時間較長，在數(shù)據(jù)外泄階段會在目標(biāo)網(wǎng)絡(luò)中進(jìn)行長期潛伏，時間可達(dá)數(shù)月甚至數(shù)年。

1.2APT生命周期

參考網(wǎng)絡(luò)攻擊殺傷鏈（Cyber-Kill-Chain）模型和ATT&CK（Adversarial Tactics， Techniques and CommonKnowledge）模型，APT的生命周期可分為情報偵察、前期滲透、入侵實施、數(shù)據(jù)竊取、隱蔽通道5個階段，每個階段環(huán)環(huán)相扣，具體如圖1所示。

第1階段，情報偵察。本階段攻擊者通過主機(jī)掃描、端口掃描、漏洞掃描、釣魚等手段收集攻擊目標(biāo)的開放端口、潛在漏洞等情報信息，并利用這些情報信息制定入侵方案，如開發(fā)攻擊工具，繞過安全措施，確定攻擊時間等。

第2階段，前期滲透。本階段攻擊者利用Oday攻擊、SQL注入攻擊、設(shè)計缺陷攻擊、VoIP攻擊、魚叉式釣魚攻擊等方式，實施滲透并獲得對端點設(shè)備的有限訪問權(quán)限。被攻擊的端點設(shè)備可以進(jìn)一步提升特權(quán)，也可用作通信雷達(dá)和信息收集設(shè)備。

第3階段，入侵實施。本階段攻擊者將對上一階段控制的端點設(shè)備實施進(jìn)一步滲透攻擊，以實現(xiàn)權(quán)限提升及橫向滲透。通過擴(kuò)展訪問權(quán)限尋找有價值的數(shù)據(jù)，利用系統(tǒng)的內(nèi)部漏洞增強(qiáng)隱蔽性[1]。

第4階段，數(shù)據(jù)竊取。本階段攻擊者將檢索攻擊目標(biāo)電子郵件和備份服務(wù)器數(shù)據(jù)，破壞數(shù)據(jù)庫，竊聽或操縱VoIP對話。通過部署遠(yuǎn)程訪問工具、密鑰記錄器或腳本工具等進(jìn)行數(shù)據(jù)過濾，并采取各種反簽名、反溯源手段避免觸發(fā)警報。

第5階段，隱蔽通道。攻擊者通過建立無數(shù)的后門來創(chuàng)建隱蔽通道，使用反追蹤技術(shù)廢除或損壞證據(jù)。攻擊者成功控制目標(biāo)網(wǎng)絡(luò)后，竊取機(jī)密情報，為后續(xù)進(jìn)行欺詐交易、商務(wù)勒索提供籌碼[2]。

2APT攻擊事件和趨勢分析

近年來，各類APT攻擊頻繁爆出，對社會的經(jīng)濟(jì)和穩(wěn)定造成嚴(yán)重影響。著名的APT攻擊有Google極光攻擊、超級工廠病毒攻擊（震網(wǎng)攻擊）、SolarWinds供應(yīng)鏈攻擊、夜龍攻擊、Nitro攻擊、暗鼠攻擊、RSASecurID竊取攻擊、Lurid攻擊等。其中，SolarWinds供應(yīng)鏈攻擊因其影響范圍廣、復(fù)雜程度高等特點，受到社會各界的高度關(guān)注[3]。

2020年12月，SolarWinds供應(yīng)鏈攻擊事件爆光，其大致攻擊流程如下，首先APT組織通過前期滲透成功獲取SolarWinds公司的網(wǎng)絡(luò)訪問權(quán)限，然后在其網(wǎng)管軟件Orion的更新包中植入Sunburst后門，用戶下載安裝包含后門的Orion軟件更新包后，將被植入木馬，用于實施信息竊取或橫向滲透。SolarWinds作為全球IT管理軟件供應(yīng)商，客戶遍布全球多個國家和地區(qū)，本次事件約18 000個客戶遭受攻擊，被稱為“史上最嚴(yán)重”的供應(yīng)鏈攻擊[4]。

隨著世界經(jīng)濟(jì)和技術(shù)的發(fā)展，全球APT攻擊的特點也不斷發(fā)生變化。奇安信威脅情報中心發(fā)布的《全球高級持續(xù)性威脅（APT） 2021年度報告》指出，受新冠疫情影響，2021年度全球APT攻擊活動呈以下特點：（1）針對源代碼的供應(yīng)鏈攻擊呈上升趨勢；（2）航空產(chǎn)業(yè)成為境外情報機(jī)構(gòu)的重點攻擊目標(biāo)；（3）新型APT組織提供破壞服務(wù)，以斂財為目的（通過定向勒索獲取經(jīng)濟(jì)利益）；（4）在野Oday漏洞深受APT組織青睞；（5） APT組織攻擊武器、手段持續(xù)更新升級。2021年，受攻擊較多的5個APT目標(biāo)包括相關(guān)機(jī)構(gòu)、醫(yī)療行業(yè)、科技行業(yè)、國防軍工和制造行業(yè)。2021年，活躍度較高的5個APT組織包括Lazarus，APT29，Kimsuky、肚腦蟲和海蓮花[5]。

中國作為全球APT攻擊的首要地區(qū)性目標(biāo)，網(wǎng)絡(luò)安全面臨巨大考驗。APT組織將中國作為攻擊目標(biāo)，不惜花費巨額資金和人力物力成本，不斷升級攻擊手段，提升攻擊頻率，頻繁使用Oday漏洞對國內(nèi)科研、教育、能源、軍工、核能等關(guān)鍵行業(yè)實施了高頻次定向攻擊。經(jīng)奇安信威脅情報中心分析，2021年，我國攻擊頻率最高、危害最大的APT組織主要來自東亞、南亞和東南亞地區(qū)，其中包括海蓮花、蔓靈花、虎木槿、Winnti、毒云藤等，攻擊活動主要針對我國衛(wèi)生醫(yī)療部門、高新科技企業(yè)等領(lǐng)域，重點攻擊目標(biāo)區(qū)域包括廣東、福建、浙江、江蘇等沿海省份及北京。

3APT攻擊的監(jiān)測和防御建議

面對全球APT攻擊持續(xù)活躍的嚴(yán)峻形勢，本文建議從以下幾個方面加強(qiáng)網(wǎng)絡(luò)安全管理和建設(shè)工作，防范境外APT組織對我國發(fā)起定向攻擊，從而提升我國APT監(jiān)測和防御能力。

一是持續(xù)關(guān)注APT組織動態(tài)。組織國內(nèi)重點行業(yè)、安全廠商、高等院校、研究機(jī)構(gòu)等資源力量，持續(xù)跟進(jìn)APT組織動態(tài)分析、技術(shù)研究工作，盡量全面掌握APT組織情況、攻擊行為特點、常用技術(shù)手段等，及時發(fā)現(xiàn)針對我國的APT攻擊行為并作出響應(yīng)。

二是加強(qiáng)APT攻擊技術(shù)研究。加強(qiáng)對APT攻擊惡意程序的分析、判定，以及APT攻擊監(jiān)測，APT協(xié)同處置等相關(guān)技術(shù)研究工作。促進(jìn)產(chǎn)、學(xué)、研、用相結(jié)合，建立APT攻擊基礎(chǔ)理論，突破關(guān)鍵技術(shù)攻關(guān)，研制監(jiān)測系統(tǒng)架構(gòu)，提升我國對APT攻擊的監(jiān)測、防御能力。

三是落實網(wǎng)絡(luò)安全責(zé)任。全國各行業(yè)，尤其是APT攻擊的重點目標(biāo)行業(yè)，應(yīng)落實行業(yè)網(wǎng)絡(luò)安全責(zé)任。行業(yè)監(jiān)管部門要按要求開展監(jiān)督管理工作，行業(yè)內(nèi)相關(guān)企業(yè)按要求落實網(wǎng)絡(luò)安全和數(shù)據(jù)安全各項工作，如部署適配的安全設(shè)備、定期開展資產(chǎn)安全審查、定期組織針對性應(yīng)急演練等，行業(yè)上下共同樹立針對APT攻擊的安全防御屏障。

四是防范Oday漏洞攻擊。各企業(yè)應(yīng)建立健全的安全管理體系，針對Oday攻擊做到事前預(yù)防、事中響應(yīng)、事后總結(jié)。在系統(tǒng)需求分析和設(shè)計階段，進(jìn)行合理的安全設(shè)計，規(guī)避風(fēng)險；在系統(tǒng)開發(fā)階段，提升開發(fā)人員的安全編碼意識，選用安全的開源組件，避免Oday漏洞的發(fā)生，降低風(fēng)險；在系統(tǒng)運維階段，建立完善的應(yīng)急處置方案，密切監(jiān)測漏洞信息，發(fā)生Oday攻擊后按流程快速響應(yīng)，最大限度地減少影響。

五是加強(qiáng)安全人才培養(yǎng)。企業(yè)和高校聯(lián)動，建立APT研究實驗室，開展高水平教學(xué)、研發(fā)活動，聚集和培養(yǎng)優(yōu)秀科技人才，壯大我國網(wǎng)絡(luò)安全人才隊伍。