◆王海松 趙志根 劉一利

?

APT攻防技術(shù)淺析

◆王海松 趙志根 劉一利

（中國(guó)人民解放軍66018部隊(duì) 天津 300380）

針對(duì)APT攻擊事件影響大、破壞力強(qiáng)、防御難等現(xiàn)狀。本文從APT攻擊的定義、特點(diǎn)入手，分析了APT攻擊的方法步驟，根據(jù)APT攻擊步驟，相應(yīng)分析研究了防御APT攻擊的常用技術(shù)、防御的方法及防御中需要注意的事項(xiàng)，為進(jìn)一步提高防御APT攻擊提供了理論指導(dǎo)。

APT攻擊；APT防御；網(wǎng)絡(luò)安全

0 引言

當(dāng)前網(wǎng)絡(luò)攻防事件頻繁發(fā)生，其中APT（Advanced Persistent Threat）攻擊，即“高級(jí)持續(xù)威脅攻擊”事件持續(xù)高發(fā)，而且影響十分嚴(yán)重。例如，APT28 Roskosmos事件，Patchwork 事件，BlackEnergy事件，SWIFT系統(tǒng)攻擊事件,勒索病毒事件等，造成了很多國(guó)家、企業(yè)和個(gè)人受到極大損失，經(jīng)濟(jì)損失高達(dá)上億美元。如何對(duì)APT攻防事件進(jìn)行有效防護(hù)已經(jīng)成為一個(gè)熱點(diǎn)問(wèn)題。本文從APT攻擊的定義、特點(diǎn)入手，重點(diǎn)研究APT攻擊的常用手段及實(shí)現(xiàn)過(guò)程，分析總結(jié)防御APT攻擊的主要方法，為有效防御APT攻擊提供借鑒。

1 APT攻擊的定義和特點(diǎn)

1.1 APT攻擊的定義

目前APT攻擊還沒(méi)有一個(gè)權(quán)威的定義，但不同的研究機(jī)構(gòu)和學(xué)者也提出了不同的理解和描述。美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所給出的定義是：攻擊者掌握先進(jìn)的專業(yè)知識(shí)和有效的資源，通過(guò)多種攻擊途徑，在特定組織的信息技術(shù)基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點(diǎn)，竊取機(jī)密信息，破環(huán)或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進(jìn)行后續(xù)攻擊。美國(guó)著名的FireEye公司認(rèn)為：APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。安天公司認(rèn)為：APT是組織（政府）或者小團(tuán)體使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)網(wǎng)絡(luò)攻擊的攻擊形式[1]。雖然各個(gè)不同機(jī)構(gòu)給出了不同的定義。但APT攻擊并沒(méi)有任何嶄新的攻擊手段，依舊采用0 Day、釣魚(yú)郵件、社工、木馬、DDOS等存在已久的攻擊手段，只是多種攻擊手段的戰(zhàn)術(shù)性綜合利用而已。APT攻擊不是單個(gè)黑客或者幾個(gè)黑客就能搞出來(lái)的，是有著深厚背景和強(qiáng)大支撐力量的組織發(fā)起的，是有大量時(shí)間、人力、物力與財(cái)力來(lái)支撐的。因此APT攻擊應(yīng)該是國(guó)與國(guó)之間，組織與組織之間網(wǎng)絡(luò)戰(zhàn)的一種具體表現(xiàn)形式，并非一種可供炒作的黑客入侵手段。

1.2 APT攻擊的特點(diǎn)

從定義上看，APT攻擊具有攻擊技術(shù)高級(jí)、攻擊持續(xù)時(shí)間長(zhǎng)、威脅大等特點(diǎn)。攻擊技術(shù)高級(jí)是指攻擊者掌握先進(jìn)的攻擊技術(shù)，使用多種攻擊途徑，包括購(gòu)買或自己挖掘的0Day漏洞，而且，攻擊過(guò)程復(fù)雜，攻擊持續(xù)過(guò)程中攻擊者能夠動(dòng)態(tài)調(diào)整攻擊方式，從整體上控制攻擊過(guò)程。攻擊持續(xù)時(shí)間長(zhǎng)是指與傳統(tǒng)黑客進(jìn)行網(wǎng)絡(luò)攻擊的目的不同，實(shí)施APT攻擊組織通常具有明確的攻擊目標(biāo)和目的，通過(guò)長(zhǎng)期不斷的信息搜集、信息監(jiān)控、滲透入侵實(shí)施攻擊等步驟，攻擊成功后一般還會(huì)繼續(xù)留在網(wǎng)絡(luò)中，等待時(shí)機(jī)進(jìn)行后續(xù)攻擊。威脅性大是指APT攻擊通常擁有雄厚的資金支持，由經(jīng)驗(yàn)豐富的黑客團(tuán)隊(duì)發(fā)起，一般以破壞國(guó)家或是大型企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)，竊取內(nèi)部核心機(jī)密信息，危害國(guó)家安全和社會(huì)穩(wěn)定[2]。

在宏觀上APT攻擊具備如下特征：高度目的性、高度隱蔽性、高度突然性、高度規(guī)模性、高度危害性、高度復(fù)合性、共時(shí)并發(fā)性、目標(biāo)實(shí)體化和攻擊非對(duì)稱化[3]。

2 APT攻擊的常用手段及攻擊過(guò)程

APT攻擊是一個(gè)集合了多種常見(jiàn)攻擊方式的綜合攻擊。綜合多種攻擊途徑來(lái)嘗試突破網(wǎng)絡(luò)防御，通常是通過(guò)Web滲透、釣魚(yú)郵件傳遞、社會(huì)工程學(xué)、木馬程序等，進(jìn)行提權(quán)控守，獲取核心信息，進(jìn)行網(wǎng)絡(luò)攻擊和破環(huán)活動(dòng)。另外還采用多個(gè)階段穿透一個(gè)網(wǎng)絡(luò)，然后提取有價(jià)值的信息，這使得它的攻擊更不容易被發(fā)現(xiàn)。整個(gè)攻擊過(guò)程可分解為以下五個(gè)階段：

2.1 情報(bào)收集

即攻擊者有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)環(huán)境、應(yīng)用程序的弱點(diǎn)、服務(wù)器分布和員工信息等。情報(bào)獲取的方法主要包括網(wǎng)絡(luò)隱蔽掃描和社會(huì)工程學(xué)方法等。從常用的APT攻擊手法來(lái)看，大多數(shù)APT攻擊都是從外圍員工入手，搜集員工詳細(xì)的信息，通過(guò)員工的微博、博客、推特等社交網(wǎng)站，了解他們的社會(huì)關(guān)系及其愛(ài)好，然后通過(guò)社會(huì)工程學(xué)方法來(lái)攻擊該員工電腦，從而進(jìn)入組織網(wǎng)絡(luò)。

2.2 代碼上傳

攻擊者收集了足夠的信息后，會(huì)向目標(biāo)組織的員工電腦發(fā)送包含惡意代碼的文件，如電子郵件，其中包含誘騙其打開(kāi)的惡意附件，Google極光攻擊行動(dòng)即采用該方法；或利用遠(yuǎn)程漏洞攻擊，在員工經(jīng)常訪問(wèn)的網(wǎng)站上放置網(wǎng)頁(yè)木馬，當(dāng)員工訪問(wèn)該網(wǎng)站時(shí)，就遭受到網(wǎng)頁(yè)代碼的攻擊，RSA公司發(fā)現(xiàn)的水坑攻擊(Watering hole)就是采用這種攻擊方法。這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞，現(xiàn)有殺毒和個(gè)人防火墻安全工具無(wú)法察覺(jué)，有些會(huì)關(guān)閉防病毒掃描引擎，經(jīng)過(guò)清理后重新安裝，或潛伏數(shù)天或數(shù)周，最終結(jié)果是，員工個(gè)人電腦感染惡意代碼，從而被攻擊者完全控制。

2.3 遠(yuǎn)程控制

一旦惡意軟件安裝成功，相當(dāng)于攻擊者控制了員工的個(gè)人電腦，需要構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進(jìn)一步攻擊指令。攻擊者最常安裝的就是遠(yuǎn)程控制工具。這些遠(yuǎn)程控制工具是以反向連接模式建立的，其目的就是允許從外部控制員工電腦或服務(wù)器，即這些工具從位于中心的命令和控制服務(wù)器接受命令，然后執(zhí)行命令，這種連接方法使其更難以檢測(cè)，因?yàn)閱T工的機(jī)器是主動(dòng)與命令和控制服務(wù)器通信的。這個(gè)命令控制通道目前多采用HTTP協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級(jí)的命令控制通道則采用HTTPS協(xié)議構(gòu)建。

2.4 橫向滲透

攻擊者突破員工個(gè)人電腦并不是攻擊者的最終目的，其最終目的是突破組織內(nèi)部其它包含重要資料的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以進(jìn)入更多的電腦和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽(tīng)和漏洞攻擊等。

2.5 數(shù)據(jù)外傳

進(jìn)入核心服務(wù)器后，APT攻擊者必須將敏感數(shù)據(jù)從被攻擊的網(wǎng)絡(luò)非法傳輸?shù)接晒粽呖刂频耐獠肯到y(tǒng)。首先要將數(shù)據(jù)收集到一個(gè)文檔中，然后壓縮并加密該文檔。此操作可以使其隱藏內(nèi)容，防止遭受深度的數(shù)據(jù)包檢查和DLP（數(shù)據(jù)防泄密）技術(shù)的檢測(cè)和阻止。然后將數(shù)據(jù)從受害系統(tǒng)偷運(yùn)到由攻擊者控制的外部主機(jī)。

3 APT攻擊防御方法

針對(duì)APT攻擊的防御手段還不完善,目前還沒(méi)有十分有效的方法,但可以從技術(shù)層面、策略層面及管理層面進(jìn)行研究和改進(jìn)，降低APT攻擊的成功率。

3.1 APT防御常用的技術(shù)

3.1.1沙箱技術(shù)

沙箱技術(shù)是當(dāng)前防御APT攻擊的最有效技術(shù)之一。沙箱即是通過(guò)虛擬化技術(shù)形成一個(gè)模擬化的環(huán)境，同時(shí)將本地系統(tǒng)中的進(jìn)程對(duì)象、內(nèi)存、注冊(cè)表等與模擬環(huán)境相互隔離，以便在這個(gè)虛擬化環(huán)境中測(cè)試、觀察文件及訪問(wèn)等運(yùn)行行為。沙箱通過(guò)重定向技術(shù)，將測(cè)試過(guò)程中生成和修改的文件定向到特定文件夾中，避免對(duì)真實(shí)注冊(cè)表、本地核心數(shù)據(jù)等的修改。當(dāng)APT攻擊在該虛擬環(huán)境發(fā)生時(shí)，可以及時(shí)地觀察并分析其特征碼，進(jìn)一步防御其深入攻擊[4]。例如，F(xiàn)ireEye公司的MPS（Malware protection System）惡意代碼防護(hù)系統(tǒng)，就是一種新型的沙箱技術(shù)，可以直接采集網(wǎng)絡(luò)流量，抽取所攜帶文件，然后放到沙箱中進(jìn)行安全檢測(cè)。FireEye被認(rèn)為是APT安全解決方案的佼佼者，其產(chǎn)品被很多500強(qiáng)企業(yè)采購(gòu)。

3.1.2信譽(yù)技術(shù)

信譽(yù)技術(shù)是具有較好輔助功能的一項(xiàng)APT攻擊檢測(cè)技術(shù)，通過(guò)建立信譽(yù)庫(kù)，包括WEB URL信譽(yù)庫(kù)、文件MD5碼庫(kù)、僵尸網(wǎng)絡(luò)地址庫(kù)、威脅情報(bào)庫(kù)等，可以為新型病毒、木馬等APT攻擊的檢測(cè)提供強(qiáng)有力的技術(shù)輔助支撐，實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備對(duì)不良信譽(yù)資源的阻斷或過(guò)濾。信譽(yù)庫(kù)的充分利用，將進(jìn)一步提高安全新品的安全防護(hù)能力。

3.1.3異常流量分析技術(shù)

異常流量分析制度是一種流量檢測(cè)及分析技術(shù)，其采用旁路接入方式提取流量信息，可以針對(duì)幀數(shù)、幀長(zhǎng)、協(xié)議、端口、標(biāo)識(shí)位、IP路由、物理路徑、CPU/RAM消耗、寬帶占用等進(jìn)行監(jiān)測(cè)，并基于時(shí)間、拓?fù)?、?jié)點(diǎn)等多種統(tǒng)計(jì)分析手段，建立流量行為輪廓和學(xué)習(xí)模型來(lái)識(shí)別流量異常情況，進(jìn)而判斷并識(shí)別0Day漏洞攻擊等。

3.1.4大數(shù)據(jù)分析技術(shù)

大數(shù)據(jù)分析技術(shù)是全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進(jìn)行集中的海量數(shù)據(jù)存儲(chǔ)和深入分析。APT攻擊防御離不開(kāi)大數(shù)據(jù)分析技術(shù)，無(wú)論是網(wǎng)絡(luò)系統(tǒng)本身產(chǎn)生的大量日志數(shù)據(jù)，還是安全管理平臺(tái)產(chǎn)生的大量日志信息，均可以利用大數(shù)據(jù)分析技術(shù)進(jìn)行大數(shù)據(jù)再分析，運(yùn)用數(shù)據(jù)統(tǒng)計(jì)、數(shù)據(jù)挖掘、關(guān)聯(lián)分析、態(tài)勢(shì)分析等從記錄的歷史數(shù)據(jù)中發(fā)現(xiàn)APT攻擊的痕跡，以彌補(bǔ)傳統(tǒng)安全防御技術(shù)的不足。

3.2 APT攻擊防御的方法

相對(duì)于APT攻擊，防御主要有以下三種方法：

3.2.1針對(duì)惡意代碼上傳

可采用以下方式進(jìn)行防御：一是大多數(shù) APT 攻擊都是使用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)[5]。因此，檢查是否有遭到篡改和注入惡意代碼的電子郵件附件，就能看出黑客是否正嘗試進(jìn)行滲透；二是通過(guò)安全郵件網(wǎng)關(guān)來(lái)對(duì)外來(lái)郵件進(jìn)行檢查和識(shí)別，及時(shí)修補(bǔ)對(duì)外網(wǎng)站應(yīng)用程序和服務(wù)的漏洞；三是識(shí)別判斷攻擊者幕后操縱服務(wù)器的通訊企業(yè)，在沙盒隔離環(huán)境 (sandbox) 當(dāng)中分析內(nèi)嵌惡意軟件的文件 (如魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件的附件) 來(lái)判斷幕后操縱服務(wù)器的 IP 地址和網(wǎng)域，一旦找出幕后操縱服務(wù)器的網(wǎng)域和 IP 地址，通過(guò)更新網(wǎng)關(guān)的安全政策來(lái)攔截后續(xù)的幕后操縱通訊。

3.2.2.針對(duì)橫向滲透與探測(cè)的防御

可采用以下防護(hù)措施： 一是進(jìn)行漏洞防護(hù)，能偵測(cè)任何針對(duì)主機(jī)漏洞的攻擊并加以攔截，進(jìn)而保護(hù)未修補(bǔ)的主機(jī)。這類解決方案可保護(hù)未套用修補(bǔ)程序的主機(jī)，防止已知漏洞和ODay漏洞攻擊；二是安裝一致性監(jiān)控軟件，如果系統(tǒng)安裝了能夠偵測(cè)可疑與異常系統(tǒng)與組態(tài)變更的一致性監(jiān)控軟件，黑客就有可能也會(huì)觸動(dòng)一些警示,及時(shí)查獲攻擊行為；三是加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個(gè)人電腦以及服務(wù)器的安全，也可有效防御APT攻擊。

3.2.3針對(duì)資料外傳的風(fēng)險(xiǎn)

可采用以下措施進(jìn)行防護(hù)：一是加密資料外泄防護(hù) (DLP)：將關(guān)鍵、敏感、機(jī)密的數(shù)據(jù)加密，是降低數(shù)據(jù)外泄風(fēng)險(xiǎn)的一種方法，DLP 可提供一層額外的防護(hù)來(lái)防止數(shù)據(jù)外泄。然而，這類工具通常很復(fù)雜，而且有些部署條件，例如：數(shù)據(jù)要分類，要定義政策和規(guī)則。二是建立網(wǎng)絡(luò)入侵檢測(cè)類方案：該類方案主要覆蓋APT攻擊過(guò)程中的控制通道構(gòu)建階段，通過(guò)在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)APT攻擊的命令和控制通道,雖然APT攻擊所使用的惡意代碼變種多且升級(jí)頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT的命令控制通道。三是建立事件管理制度，制定一套事件管理計(jì)劃來(lái)處理 APT 相關(guān)攻擊。

3.3 防御APT攻擊的注意事項(xiàng)

用純安全技術(shù)的方式來(lái)應(yīng)對(duì)APT攻擊，是不全面的。更重要的是，要加強(qiáng)人的管理，提高設(shè)備的防護(hù)性能和制定嚴(yán)格的安全管理制度。

3.3.1加強(qiáng)人員的管理

首先嚴(yán)格控制每個(gè)員工可以接觸到的信息，切不可越權(quán)訪問(wèn)，每次APT有進(jìn)展的時(shí)候都是權(quán)限進(jìn)行跨越的關(guān)鍵點(diǎn)，漏洞可以讓APT越權(quán)，同樣，信息權(quán)限不當(dāng)也可以造成越權(quán)，控制好權(quán)限十分重要。即便是有一點(diǎn)權(quán)限丟失，也要把損失控制在一個(gè)較小范圍內(nèi)。其次安全員要做好審計(jì)工作[6]，經(jīng)常去查看日志，看誰(shuí)在外網(wǎng)下載了可執(zhí)行文件，這個(gè)可執(zhí)行文件是不是正常；誰(shuí)向外網(wǎng)發(fā)送了文件，是不是秘密文件；哪些計(jì)算機(jī)頻繁外連，正常不正常等。第三就是要問(wèn)責(zé)，出了事兒誰(shuí)負(fù)責(zé)，應(yīng)當(dāng)如何去懲罰，應(yīng)當(dāng)形成制度，以對(duì)員工的行為進(jìn)行預(yù)警和威懾，提高員工的安全意識(shí)和主人翁意識(shí)。

3.3.2提高設(shè)備的性能

首先要合理配置網(wǎng)絡(luò)設(shè)備。合理配置邊防設(shè)備，例如防火墻，要具備基本的出入過(guò)濾功能，條件允許的情況下使用屏蔽子網(wǎng)結(jié)構(gòu)；其次要配備相關(guān)安全技術(shù)，如抗ARP攻擊的能力路由器，使用VPN技術(shù)，郵件系統(tǒng)要具有防假冒郵件、防垃圾郵件的基本能力，使用可靠可更新的安全反病毒軟件；第三 善于使用代理服務(wù)器、web網(wǎng)關(guān)，企業(yè)內(nèi)部的通訊要使用加密技術(shù)，對(duì)抗監(jiān)聽(tīng)和中間人。

3.3.3建立安全管理制度

對(duì)于重要的安全崗位，必須要制定嚴(yán)苛的安全管理制度。首先要建立安全人事制度，聘用背景清晰的安全工作人員，即要政審；要定期進(jìn)行安全培訓(xùn)，使員工掌握最新安全知識(shí)；離職時(shí)要進(jìn)行安全檢查，不能帶走任何秘密信息，即做好脫密。其次要建立安全工作制度，要有專門的人員審核邊防設(shè)備記錄的重要信息;秘密文件資料要編號(hào)固定存放，避免丟失；及時(shí)更新電腦操作系統(tǒng)，有效對(duì)抗新的攻擊；電腦要使用強(qiáng)密碼，防止暴力破解。第三要建立崗位權(quán)限制度，要合理分權(quán)，最高的權(quán)限不能某一些人都有，特別單位領(lǐng)導(dǎo)要主動(dòng)放棄最高權(quán)限。

4 結(jié)束語(yǔ)

防御APT攻擊雖然存在很多困難，遭受APT攻擊也不可能完全避免，但若嚴(yán)格按照本文要求做好防御工作，一定能將APT攻擊消滅在初始狀態(tài)，將攻擊損失降到最低。也相信，隨著研究的逐步深入，一定會(huì)有更科學(xué)合理的方法防御APT攻擊。

[1] 張瑜，潘小明等.APT攻擊與防御[J].清華大學(xué)學(xué)報(bào)，2013.

[2] 陳晨，王奕鈞等.針對(duì)手機(jī)的APT攻擊方式的研究[J]. 網(wǎng)絡(luò)信息安全，2015.

[3] 水波.什么是APT攻擊?[z].https://www.zhihu.com/que stion/28881041.

[4] 徐遠(yuǎn)澤，張文科等.APT攻擊及防御研究[J].通信技術(shù)2015.

[5] 程三軍，王宇.APT攻擊原理及防護(hù)技術(shù)分析[J].網(wǎng)絡(luò)信息安全，2014.

[6] 李建方，張士鐸.高級(jí)可持續(xù)威脅攻擊關(guān)鍵技術(shù)研究[J].中國(guó)傳媒大學(xué)學(xué)報(bào)，2014.