劉 昀,張 輝,任建偉,蘇 丹,閆 磊,崔領(lǐng)先,楊大路,印 權(quán)

（1.國(guó)網(wǎng)冀北信通公司，北京,100055；2.北京國(guó)電通網(wǎng)絡(luò)技術(shù)有限公司，北京,100053）

0 引言

互聯(lián)網(wǎng)技術(shù)的革新應(yīng)用的增長(zhǎng)促成了一個(gè)不斷進(jìn)化的網(wǎng)絡(luò)環(huán)境，企業(yè)和政府面臨的威脅會(huì)持續(xù)存在。從早些年為了炫技而攻擊網(wǎng)站，到拒絕服務(wù)攻擊DDoS 來(lái)中斷網(wǎng)站服務(wù)，再到現(xiàn)在為牟利和重要信息而攻擊。攻擊者動(dòng)機(jī)上的變化也致使攻擊手段不斷演變，威脅更加縱深，更加隱蔽。

1 APT 攻擊概念

APT（Advanced Persistent Threat）--------高級(jí)持續(xù)性威脅。是指組織(尤其是政府)或小團(tuán)體利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期且持續(xù)的網(wǎng)絡(luò)攻擊形式。通常APT 攻擊都是有目的有蓄謀的，多數(shù)會(huì)以竊取數(shù)據(jù)為主要目的。

從最基本面來(lái)看，有三項(xiàng)特點(diǎn)讓我們認(rèn)為這攻擊是APT：

[1] 經(jīng)濟(jì)利益驅(qū)動(dòng)或行業(yè)競(jìng)爭(zhēng)

[2] 一個(gè)長(zhǎng)期持續(xù)的攻擊

[3] 針對(duì)某特定的公司、組織或平臺(tái)

因此，APT 的概念在許多方面都沒(méi)有什么新意。不斷更新的是執(zhí)行這種威脅的具體操作方法，會(huì)根據(jù)新的漏洞或技術(shù)沖擊網(wǎng)絡(luò)和應(yīng)用程序的領(lǐng)域。

2 APT 攻擊分析

2.1 APT 典型攻擊

APT 攻擊屬于一種革命性的高精度攻擊，其整個(gè)攻擊過(guò)程針對(duì)不同的攻擊目的和攻擊對(duì)象也會(huì)不同，在整個(gè)攻擊過(guò)程中多種攻擊方式與技術(shù)手段并行使用，造就了APT 攻擊的千變?nèi)f化。但是，APT 攻擊也并非無(wú)規(guī)律可循，綜合已捕獲的各類APT 攻擊案例來(lái)看，APT 攻擊的流程大概額可以總結(jié)為“社工結(jié)合，外圍切入，由點(diǎn)到面，關(guān)聯(lián)利用”，在整個(gè)APT 攻擊中由于系統(tǒng)層和網(wǎng)絡(luò)層的直接利用難得較高，所以攻擊者往往會(huì)將Web 服務(wù)器作為攻擊的主要突破口。Web 服務(wù)器通常是公司郵件網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，這也使得電子郵件系統(tǒng)淪為APT 攻擊使用最頻繁的途徑之一，而且EMAIL 中發(fā)現(xiàn)有價(jià)值信息的幾率相當(dāng)之大，可能帶來(lái)非常以外的“驚喜”。攻擊者攻擊Web 服務(wù)器的主要目的是為了尋找合適的入侵中轉(zhuǎn)站，所以針對(duì)郵件系統(tǒng)的攻擊行為通常會(huì)執(zhí)行如下工作：

●發(fā)送釣魚郵件：竊取用戶ID 與密碼；

●執(zhí)行惡意腳本：掃描終端用戶操作系統(tǒng)及應(yīng)用程序，探測(cè)可利用的攻擊資源；

●植入惡意軟件：針對(duì)用戶應(yīng)用環(huán)境中的程序漏洞，植入惡意代碼，完成僵尸網(wǎng)絡(luò)的構(gòu)建。

在通過(guò)郵件系統(tǒng)實(shí)現(xiàn)的APT 攻擊的過(guò)程中，各類辦公系統(tǒng)的文檔0day 往往是攻擊者利用最頻繁的宿主，例如WORD、PPT 、PDF 等，文檔普及率越高，越有可能降低用戶防范意識(shí)。

2.2 APT 攻擊途徑詳解

工欲善其事，必先利其器。在APT 在發(fā)動(dòng)攻擊之前同樣要做很多鋪墊和探路的準(zhǔn)備，對(duì)攻擊目標(biāo)的業(yè)務(wù)和系統(tǒng)進(jìn)行大量信息收集。首先通過(guò)社會(huì)工程學(xué)，對(duì)目標(biāo)企業(yè)及權(quán)限較高的員工進(jìn)行觀察和研究，從而了解公司的辦公或者業(yè)務(wù)流程，發(fā)現(xiàn)企業(yè)和員工在安全方面的弱點(diǎn)，然后再采用包括社會(huì)工程學(xué)在內(nèi)的各種攻擊手段進(jìn)行攻擊。APT 攻擊具備嚴(yán)密的數(shù)據(jù)收集和攻擊流程邏輯，整個(gè)攻擊過(guò)程可能長(zhǎng)達(dá)數(shù)月甚至數(shù)年，攻擊者通過(guò)對(duì)目標(biāo)系統(tǒng)、業(yè)務(wù)流程、員工關(guān)系及特征的綜合分析進(jìn)而確定入侵方式和入侵途徑。在確定攻擊對(duì)象后，信息收集最常見(jiàn)有如下幾種入侵起點(diǎn)：

●目標(biāo)單位的網(wǎng)絡(luò)架構(gòu)、軟硬件產(chǎn)品名稱及具體版本

●員工身份信息及關(guān)聯(lián)的資料信息

●公司組織架構(gòu)及業(yè)務(wù)流程

●合作相關(guān)單位、供貨、渠道及代理在內(nèi)的關(guān)聯(lián)單位業(yè)務(wù)信息

在明確目標(biāo)單位基礎(chǔ)信息后，攻擊者將進(jìn)一步確定攻擊途徑和方式，從現(xiàn)有案例來(lái)看，攻擊者主要的攻擊途徑為：●選擇跳板利用Web 層漏洞進(jìn)行滲透

由于防火墻等安全設(shè)備的存在，使目標(biāo)單位網(wǎng)絡(luò)“相對(duì)獨(dú)立于”外網(wǎng)，以及Web 層漏洞挖掘成本相對(duì)低于系統(tǒng)及網(wǎng)路層漏洞的挖掘，跨站腳本XSS、SQL 注入、Web 釣魚、CSRF 漏洞等漏洞的成本都較低，挖掘與運(yùn)用起來(lái)會(huì)更容易建立有效的攻擊途徑。

●通過(guò)郵件、網(wǎng)絡(luò)服務(wù)發(fā)起釣魚攻擊

并非目標(biāo)單位的所有員工都具備安全意識(shí)和防范措施，所以通過(guò)郵件、第三方網(wǎng)絡(luò)服務(wù)等途徑對(duì)目標(biāo)單位員工實(shí)施釣魚攻擊，獲取目標(biāo)單位員工重要信息或設(shè)備權(quán)限，為資料獲取和進(jìn)一步滲透創(chuàng)造條件。

●通過(guò)存儲(chǔ)介質(zhì)或WIFI 設(shè)備發(fā)起擺渡型攻擊

通過(guò)系統(tǒng)特性利用U 盤、光盤作為惡意軟件執(zhí)行載體，在目標(biāo)單位機(jī)器中種植木馬或資料收集（僅限于U 盤），從而達(dá)到入侵目標(biāo)機(jī)器和資料收集與轉(zhuǎn)發(fā)的目的。

然后利用惡意程序進(jìn)一步收集目標(biāo)應(yīng)用程序和受信系統(tǒng)的漏洞，基于這些漏洞建立攻擊者所需的C&C[ control and command,命令與控制]神經(jīng)網(wǎng)絡(luò)。由于這些行為目的性很強(qiáng)，常規(guī)的防御軟件不容易發(fā)現(xiàn)和識(shí)別，也很難引起告警或者提示，這就使得攻擊更貼合被攻擊者的系統(tǒng)應(yīng)用或程序。以2012 年著名的APT 攻擊“火焰(Flame)”為例，該攻擊通過(guò)利用MD5 的碰撞漏洞，偽造合法的數(shù)字證書，假裝成系統(tǒng)正常的軟件，騙過(guò)防護(hù)系統(tǒng)輕松攻擊得手。

由此看來(lái)，APT 攻擊依賴于三個(gè)關(guān)鍵環(huán)節(jié)：

1)作為制定社工和攻擊策略的前提，攻擊者必須充分了解被攻擊者的信息；

2)如果想突破當(dāng)前防護(hù)體系，必須利用好針對(duì)性的漏洞和攻擊程序；

3)與傳統(tǒng)防護(hù)設(shè)備對(duì)抗，包括網(wǎng)絡(luò)審計(jì)產(chǎn)品、各類殺毒軟件，HIPS 等，必須有針對(duì)性很強(qiáng)的木馬和加密技術(shù)。

攻擊跳板的選擇上，APT 往往更趨向于利用組織內(nèi)部的人員身份。為了獲得更好的掩護(hù)和更好的攻擊效果，通用的攻擊代碼往往會(huì)被發(fā)現(xiàn)或攔截，攻擊者不得不單獨(dú)針對(duì)被攻擊對(duì)象編寫程序進(jìn)行攻擊。

除此以外，網(wǎng)頁(yè)上的多種應(yīng)用程序可能會(huì)關(guān)聯(lián)多個(gè)業(yè)務(wù)平臺(tái)，通過(guò)完整的業(yè)務(wù)流程完成相關(guān)服務(wù)的穿針引線工作。這也使得在攻擊深度上，進(jìn)入后臺(tái)管理系統(tǒng)成為可能，類似資產(chǎn)管理和財(cái)務(wù)信息等。而這些信息引起敏感性和重要性，很容易成為漏洞掃描、Sql 注入和信息竊取的對(duì)象。在APT 中攻擊流程和路徑不是一成不變的，我們常見(jiàn)的一些技術(shù)會(huì)根據(jù)使用者的習(xí)慣和對(duì)策而改變。假如管理員發(fā)現(xiàn)問(wèn)題封閉了一條進(jìn)入系統(tǒng)的路徑，APT會(huì)通過(guò)其它方式尋找新的攻擊路徑。

3 如何防御APT 攻擊

3.1 已有的技術(shù)手段

APT 攻擊承載的不僅僅是某種專項(xiàng)技術(shù)的縱深延續(xù)，而是發(fā)起者經(jīng)驗(yàn)與智慧的精細(xì)配合。沒(méi)有一個(gè)固定的模式可以檢測(cè)APT攻擊，但如果對(duì)惡意代碼的每一個(gè)細(xì)節(jié)能夠給予足夠的關(guān)注，關(guān)注0day 信息、功能變化、指令及控制、社工技巧、脆弱的權(quán)限環(huán)節(jié)、重要流程的干系人、攻擊行為周期等信息，理論上APT 是可以發(fā)現(xiàn)的。通常情況下，安全人員遭遇單一攻擊事件時(shí)，都會(huì)快速定位攻擊源頭，并作出應(yīng)對(duì)策略和防御措施，只是單一的動(dòng)作無(wú)法定位，也很難提取到攻擊特征和屬性。所以，檢測(cè)APT 攻擊必須要搭建一個(gè)多維度的攻擊模型，不但要包括技術(shù)層面的檢測(cè)手法，也要包括對(duì)整個(gè)產(chǎn)業(yè)鏈條的實(shí)時(shí)跟進(jìn)和洞察分析。有鑒于此，在針對(duì)APT 攻擊行為檢測(cè)上，可著重從三個(gè)維度進(jìn)行：

3.1.1 靜態(tài)檢測(cè)方式

1)從攻擊樣本中提取功能特點(diǎn)和代碼特征；

2)對(duì)攻擊樣本逆向分析；

3.1.2 動(dòng)態(tài)檢測(cè)方式

●模擬實(shí)際生產(chǎn)環(huán)境，在沙箱內(nèi)執(zhí)行APT 代碼段，捕獲并記錄APT 所有的攻擊動(dòng)作；

●關(guān)注網(wǎng)絡(luò)中應(yīng)用程序的資源占用情況，特別是帶寬利用率；

●APT 攻擊溯源；

3.1.3 產(chǎn)業(yè)鏈跟蹤

針對(duì)APT 攻擊防御的需要建立關(guān)聯(lián)分析模型與審計(jì)模型，主要涉及如下幾方面：

●提取并核查Shellcode、PE 文件頭以及執(zhí)行文件體；

●拆解文件中的異常結(jié)構(gòu)和對(duì)象；

●模擬安裝系統(tǒng)應(yīng)用中各種執(zhí)行文件體；

●關(guān)鍵代碼的各類API 鉤子或注入檢測(cè)；

●已知特征的代碼分片檢索；

●實(shí)時(shí)關(guān)注掃描系統(tǒng)內(nèi)存與CPU 中資源的異常調(diào)用；

●檢測(cè)Rootkit、KeyLogger、Anti-AV 等惡意程序；

●檢測(cè)URL、IP 地址、郵件、域中來(lái)源不詳?shù)淖址?/p>

3.2 防御體系的構(gòu)架

3.2.1 無(wú)單獨(dú)產(chǎn)品可防APT

由于APT 沒(méi)有固定攻擊模式，如果說(shuō)某種方法或技術(shù)可通過(guò)部署一個(gè)ASIC 軟件或硬件的簽名來(lái)檢測(cè)APT，那肯定是個(gè)容易被識(shí)別的簡(jiǎn)單持續(xù)攻擊，而不是高級(jí)持續(xù)威脅攻擊。

3.2.2 重點(diǎn)人群，重點(diǎn)跟蹤

針對(duì)具有重要權(quán)限的人員，需要定期的、自動(dòng)化的郵件及網(wǎng)絡(luò)傳輸內(nèi)容的額外檢查。檢查的文件類型和范圍都需要比常規(guī)病毒檢查更深入，比如惡意PDF 等。要考慮到常規(guī)防病毒軟件很多威脅都無(wú)法檢測(cè)查殺，而這些“威脅”通常會(huì)對(duì)漏洞利用的關(guān)鍵字內(nèi)容上作修改，看上去不符合特征碼，或者運(yùn)行多個(gè)殺毒引擎進(jìn)行掃描免殺。

3.2.3 有效的探測(cè)與響應(yīng)體系建設(shè)

首先，要關(guān)注所有與安全相關(guān)的重要日志。作為對(duì)各種操作行為的溯源依據(jù)，產(chǎn)生、收集和查詢?nèi)罩镜臄?shù)量將決定判斷問(wèn)題的成功幾率高低。包括操作系統(tǒng)日志、防火墻日志、認(rèn)證日志、登錄日志、權(quán)限變更日志等。

其次，對(duì)網(wǎng)絡(luò)中重要的關(guān)鍵節(jié)點(diǎn)的包需要更深度的檢測(cè)和分析。

第三，關(guān)注流量信息。通過(guò)netflow 或者類似軟件服務(wù)關(guān)注網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)流量的異常情況，要能快速的查詢到網(wǎng)絡(luò)中的連接或者流量狀態(tài)，以便對(duì)相關(guān)的進(jìn)程做到有效關(guān)聯(lián)。

第四，專業(yè)人員。具備了以上三個(gè)重要的防御要素（日志、DPI、網(wǎng)絡(luò)）外，我們需要專業(yè)人員根據(jù)經(jīng)驗(yàn)對(duì)歷史數(shù)據(jù)、當(dāng)前記錄做好流程上的梳理和判斷，以便對(duì)下一步的安全趨勢(shì)做預(yù)估，提高預(yù)警能力。

第五，信息共享。除了在個(gè)體的資源和人員配備上要盡可能詳盡外，還需要將個(gè)人的情報(bào)及信息同步和可靠的組織共享，以便對(duì)大規(guī)模的行為作出更有說(shuō)服力的分析和聯(lián)動(dòng)響應(yīng)。

最后，對(duì)復(fù)雜的攻擊必須要借助專家的研判分析?？梢宰约簝?chǔ)備技術(shù)專家或者尋求外部的技術(shù)咨詢服務(wù)，以便針對(duì)各種異常進(jìn)行分析和預(yù)測(cè)。盡管如此，鑒于APT 的復(fù)雜屬性和唯一性特點(diǎn)，兩次攻擊的路徑最多是原理相似，其絕對(duì)路徑根據(jù)時(shí)間的變化各方面要素一定有很大區(qū)別，所以一勞永逸的解決辦法是不存在的，這也是信息安全的特點(diǎn)之一。

3.2.4 個(gè)人資料：人是最薄弱的環(huán)節(jié)

某些情況下，促使企業(yè)被入侵的信息一般是沒(méi)能獲得重視和沒(méi)能獲得保護(hù)的信息。這些信息通常是用戶郵件地址列表、文檔元數(shù)據(jù)、通訊電話號(hào)碼、員工姓名、公司歷史信息等。

3.2.5 元數(shù)據(jù)：進(jìn)入企業(yè)的隱藏的鑰匙

內(nèi)嵌于圖像以及文檔中的信息稱為元數(shù)據(jù)。很多人都不清楚自己上傳在網(wǎng)絡(luò)上的圖片包含著圖片拍攝的地理位置和硬件信息、時(shí)間點(diǎn)等。例如從一個(gè)PDF 的文檔轉(zhuǎn)換為PPT 的文檔，攻擊者可從其中得到很多的元數(shù)據(jù)信息，如IP 地址、文檔作者、使用軟件產(chǎn)品名和版本號(hào)、位置等。

3.2.6 技術(shù)信息：入侵基礎(chǔ)設(shè)施

入侵者利用ISINT 查找潛在線索外，還會(huì)查詢目標(biāo)企業(yè)網(wǎng)站使用的程序與腳本。入侵者探測(cè)目標(biāo)對(duì)象整個(gè)網(wǎng)絡(luò)環(huán)境中存在的漏洞，腳本與應(yīng)用程序只是比較輕易獲得的線索，并不是唯一的入侵點(diǎn)。

3.2.7 OSINT 數(shù)據(jù)

● 可下載文件：成為直接信息以及元數(shù)據(jù)信息采集的最佳途徑

● 員工照片和企業(yè)活動(dòng)照片：·這為入侵者的直接信息和元數(shù)據(jù)信息收集提供便利

● 人員名單以及領(lǐng)導(dǎo)層信息：熟悉具體人員，建立目標(biāo)企業(yè)關(guān)系網(wǎng)

● 項(xiàng)目和產(chǎn)品數(shù)據(jù)：可為尋找攻擊面及背景信息提供便利

● B2B 關(guān)系：·通過(guò)這些數(shù)據(jù)建立銷售渠道和供應(yīng)鏈關(guān)系為漏洞利用提供便利

● 員工的詳細(xì)信息：包括個(gè)人和公共的社交媒體數(shù)據(jù)

● 軟件數(shù)據(jù)：·通常包括目標(biāo)對(duì)象使用的軟件種類

3.2.8 構(gòu)建完整的個(gè)人資料

完整個(gè)人資料包括：全名、出生日期、電話號(hào)碼(個(gè)人和工作)、地址(過(guò)去和現(xiàn)在)、ISP 的數(shù)據(jù)(IP 地址、提供商) 、公共記錄數(shù)據(jù)(稅收、信貸歷史、法律記錄)、用戶名、密碼、最喜歡的餐館、愛(ài)好、電影、書籍等等。

3.2.9 構(gòu)建完整的技術(shù)資料

技術(shù)資料信息包括：操作系統(tǒng)詳細(xì)信息、平臺(tái)開發(fā)數(shù)據(jù)和驗(yàn)證措施、IP 地址、網(wǎng)絡(luò)地圖、可用硬件和軟件信息、從元數(shù)據(jù)獲取的技術(shù)詳細(xì)信息。

掌握相關(guān)資料后，入侵者便可通過(guò)相關(guān)資料數(shù)據(jù)針對(duì)服務(wù)臺(tái)行動(dòng)。了解ID 建立過(guò)程便可能了解郵件的建立過(guò)程，有效地執(zhí)行釣魚攻擊等。通常入侵者還會(huì)這么做：查找系統(tǒng)、平臺(tái)數(shù)據(jù)、匿名訪問(wèn)、第三方應(yīng)用漏洞等。

4 總結(jié)

APT 攻擊作為當(dāng)前網(wǎng)絡(luò)安全的一個(gè)重量級(jí)攻擊方式將長(zhǎng)期存在，并與時(shí)俱進(jìn)的成長(zhǎng)。防止偵察幾乎是不可能的。只能是緩解一些攻擊，有些數(shù)據(jù)并不是特別重要，但這些數(shù)據(jù)可以提供廣泛的攻擊面。過(guò)濾元數(shù)據(jù)也是關(guān)鍵的緩解措施。然而，對(duì)這些數(shù)據(jù)的限制需要通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定，這需要所有業(yè)務(wù)領(lǐng)域的參與。

[1] 2013-08-29 08:54 51CTO《八大典型 APT 攻擊過(guò)程詳解》

[2] 2011-07-18 12:48:47 本文摘自：硅谷動(dòng)力《認(rèn)識(shí)APT——進(jìn)階持續(xù)性滲透網(wǎng)絡(luò)攻擊》

[3] 2013-04-25 11:04 玉文鋒 51CTO.com 《APT 攻擊需綜合防御》

[4] 2011（9）張帥《對(duì)ATP 攻擊的檢測(cè)與防御》

[5] 2011 葉蓬 《APT 攻擊實(shí)例研究與企業(yè)現(xiàn)有防御體系缺陷分析》

[6] 2014 freebuf 《APT 防御他山石：思科內(nèi)部安全團(tuán)隊(duì)解讀APT - 產(chǎn)品和技術(shù) - 賽迪網(wǎng)》