◆王浩淼

（福州大學(xué)至誠學(xué)院 福建 350002）

高級持續(xù)性威脅（APT），即攻擊手段復(fù)雜（Advanced）、持續(xù)時間長（Persistent）、高危害性（Threat）。針對目標(biāo)所發(fā)起的一種有組織、有規(guī)劃，具有難追蹤、難分析、難維護等特點的惡意網(wǎng)絡(luò)間諜行動。這種行動往往經(jīng)過長期經(jīng)營與策劃，傳統(tǒng)的網(wǎng)絡(luò)安全防護手段已經(jīng)難以應(yīng)對APT攻擊。

1 APT攻擊階段模型

APT攻擊手法復(fù)雜且多樣性，往往隨著目標(biāo)發(fā)生變化而改變攻擊行動。

1.1 攻擊框架模型

總結(jié)近年來出現(xiàn)的APT攻擊案例，可將整個攻擊模型分為兩大類，即高級持續(xù)滲透和即時滲透。

（1）高級持續(xù)滲透

一般有明確的訴求文件，流程基本符合PTES執(zhí)行標(biāo)準(zhǔn)——6段1報：前期交互階段、情報收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、后滲透攻擊階段以及報告編寫。持久滲透長期把控權(quán)限為主，其核心可歸納為“以時間換空間”。

（2）即時滲透

攻擊流程可分為5段1清1報。即前期交互階段、情報收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、清理攻擊痕跡和報告編寫。與高級持續(xù)滲透攻擊不同，即時滲透攻擊會關(guān)聯(lián)已知線索，放大已知條件，快速入侵目標(biāo)，以達到攻擊訴求。

1.2 攻擊階段特性

（1）在信息收集階段，攻擊者不僅需要通過各種手段收集與目標(biāo)相關(guān)的資料，還要編制特定的惡意代碼、后門程序，為入侵目標(biāo)系統(tǒng)做足準(zhǔn)備；（2）當(dāng)滲透進行時，攻擊者運用上一階段收集來的情報，橫向挖掘系統(tǒng)可能存在的漏洞，甚至利用0-Day。同時建立C2（Command and Control）通信，保障內(nèi)部敏感信息不斷獲取，攻擊過程實時可控；（3）達到其預(yù)定目的后，攻擊者會銷毀整個過程中留下的痕跡，包括恢復(fù)主機配置信息、刪除注冊表、銷毀后門等，徹底清除攻擊痕跡，確保不給受害者留下任何有價值的證據(jù)。

就目前監(jiān)測到的大量APT攻擊來看，破壞型攻擊非常罕見，絕大多數(shù)的APT攻擊都是以情報竊取為目的的竊密型攻擊。

2 APT常見攻擊載荷

無論是在全球還是針對中國的APT攻擊中，魚叉郵件都是最主要的攻擊方式，而排在魚叉攻擊之后的就是水坑攻擊，其次是中間人攻擊…

2.1 魚叉攻擊（Spear Fishing）

一種基于電子郵件針對特定團體的社工欺詐行為，目的是不通過授權(quán)訪問機密數(shù)據(jù)。最常見的方法是發(fā)送一封看起來來自聲譽良好的來源（如銀行）的電子郵件，將木馬程序作為附件發(fā)送給特定的攻擊目標(biāo)，并嘗試誘使其打開附件引誘出私人信息。與其他攻擊方式相比，魚叉攻擊的技術(shù)含量和防御難度都相對較低，有一定安全意識，掌握一些基本的、非專業(yè)的安全技能，一般都能夠識別出絕大多數(shù)的魚叉郵件進行有效防范。不過，盡管魚叉攻擊的防范門檻并不是很高，但魚叉攻擊的使用成本是最低的，因此，一般的專用木馬與魚叉攻擊相結(jié)合，就形成了 APT攻擊中成本最為低廉，使用也最為廣泛的攻擊形式——攜帶惡意二進制可執(zhí)行文件的魚叉郵件。這在實踐應(yīng)用中，仍然不失為當(dāng)前最為有效的APT攻擊手段。

圖1 魚叉攻擊和水坑攻擊的基本流程

像魚叉郵件社工突出的海蓮花（APT-C-00）就曾對之前已經(jīng)攻擊過的目標(biāo)進行反復(fù)攻擊。在某些仍然被控制著的電腦終端上，通過推送新的木馬程序，將木馬的C&C服務(wù)器轉(zhuǎn)換到新的IP或域名；而雙尾蝎組織（APT-C-23）的木馬主要偽裝成文檔以及一些特定軟件，通過魚叉或水坑等攻擊方式配合社會工程學(xué)手段進行滲透，入侵成功后開始竊取系統(tǒng)中的各類資料并實時監(jiān)控。

2.2 水坑攻擊（Water Holing）

水坑攻擊是指黑客以特定組織為目標(biāo)，通過分析網(wǎng)絡(luò)活動規(guī)律，尋找他們經(jīng)常訪問的網(wǎng)站的弱點，先攻陷該網(wǎng)站植入惡意代碼，等待目標(biāo)用戶訪問該網(wǎng)站上鉤。

相比于魚叉攻擊，水坑攻擊技術(shù)含量要相對高一些，這不僅僅是因為其防御難度之大，而且更重要的是，水坑攻擊通常是在目標(biāo)人群訪問自己常用的或“可信”的網(wǎng)站時，暗中發(fā)動的伏擊戰(zhàn)，所以絕大多數(shù)情況下，被攻擊者對于水坑攻擊的攻擊過程毫無感知，因此也就談不上識別和防御了。

攻擊行動具有代表性的是活躍于敘利亞地區(qū)的黃金鼠組織（APT-C-27），該組織于2016年開始使用Facebook進行水坑攻擊，將帶有水坑鏈接的消息置頂，以更好地欺騙用戶點擊該鏈接下載惡意載荷；相關(guān)攻擊行動最早還可追溯到2010年，通過大數(shù)據(jù)關(guān)聯(lián)解析上百個惡意樣本文件，一次以竊取敏感信息為目的的針對性攻擊，該攻擊屬于美人魚行動（APT-C-07）的一部分。丹麥外交部為主的政府機構(gòu)網(wǎng)站被植入惡意鏈接，而這類URL很可能是其他木馬請求下載或者由漏洞文檔、水坑網(wǎng)站在觸發(fā)漏洞成功后下載執(zhí)行，且目標(biāo)熟悉英語、波斯語，不難推測幕后組織來自中東。

3 APT攻擊分布及預(yù)防

從2018年全球公開披露的高級威脅分析報告中，被攻擊目標(biāo)涉及最多的行業(yè)領(lǐng)域依然是政府、國防、金融。值得警惕的是，國家基礎(chǔ)性行業(yè)也正面臨越來越多的高級威脅攻擊風(fēng)險，如醫(yī)療、電信等。

表1 APT攻擊涉及各行業(yè)占比及數(shù)量

這在一定程度上表明：中國被攻擊的目標(biāo)人群整體安全意識和自我防護能力明顯低于全球平均水平，攻擊者并不需要使用太高難度的技術(shù)手法，就可以對中國目標(biāo)人群實施有效的攻擊。例如，在曼迪安特公司（Mandiant）的APT1報告中，攻擊者截獲的數(shù)據(jù)量就將近幾個TB。那對于APT攻擊該如何有效的預(yù)防？

（1）加強信息安全意識培訓(xùn)

通過培訓(xùn)，可以提升雇員保護信息資產(chǎn)方面的能力，有效杜絕由于社會工程學(xué)所造成的欺騙，同時也能夠提升在遇到非預(yù)期信息泄漏威脅后，員工具有良好的應(yīng)急響應(yīng)能力。

（2）健全信息安全防護系統(tǒng)

針對不同重要級別的信息系統(tǒng)，定期進行安全風(fēng)險評估，發(fā)現(xiàn)當(dāng)前系統(tǒng)中可能存在的漏洞隱患，進行系統(tǒng)補丁升級。加強網(wǎng)絡(luò)層面和應(yīng)用層面防護體系的建設(shè)，通過部署防火墻、IDS/IPS等安全設(shè)備，形成立體的防護體系。

（3）威脅情報路徑預(yù)測

建立基于樹型結(jié)構(gòu)的竊密性APT階段模型模擬用戶環(huán)境，融合多源日志記錄形成攻擊上下文，將獲取到的上下文與規(guī)則數(shù)據(jù)庫進行匹配，發(fā)現(xiàn)攻擊事件，捕獲并記錄APT攻擊的所有行為，進行追蹤溯源，最終實現(xiàn)對APT攻擊行為的監(jiān)測預(yù)警。

（4）建立信息安全管理體系

俗話講“七分管理、三分技術(shù)”，技術(shù)上不能解決所有的問題，必須規(guī)范信息系統(tǒng)在使用過程中的細則，從信息的創(chuàng)建、加工、傳輸、存儲、銷毀幾個方面規(guī)范操作行為，確保信息資產(chǎn)在可控的框架下服務(wù)。

4 結(jié)束語

本文針對APT行動的攻擊鏈、技術(shù)手段、目標(biāo)對象及其內(nèi)在邏輯進行了簡要描述，并基于行動特征的APT攻擊模型引述出4個活躍行動組織。對比由360威脅情報中心公開的研究報告，本文形式化描述存在過程表述不全面、重要信息缺失的不足，更沒有對模型進行驗證，相關(guān)研究還有待進一步深入。