齊雅雯

摘 要：近年來(lái)，境外各類(lèi)政府背景APT組織大力加強(qiáng)對(duì)我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊，技術(shù)手段高深，潛伏周期長(zhǎng)，令人防不勝防。APT攻擊是指組織利用當(dāng)下先進(jìn)的攻擊手法對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊，對(duì)此我們必須做好長(zhǎng)期對(duì)抗APT的心理與技術(shù)準(zhǔn)備。

關(guān)鍵詞：APT攻擊;信息安全;高級(jí)威脅

一、什么是APT攻擊

（一）APT攻擊的起源

APT這個(gè)詞匯最早起源于2005年，英國(guó)和美國(guó)的CERT組織發(fā)布了有關(guān)于針對(duì)性的社交工程電子郵件，盡管這時(shí)并沒(méi)有使用“APT”這個(gè)名字，但“先進(jìn)的持續(xù)性威脅”一詞被廣泛使用。2006年的美國(guó)空軍Greg Rattray上校經(jīng)常被引用為創(chuàng)造該術(shù)語(yǔ)的人。

APT通常是指一個(gè)組織，甚至可能一個(gè)政府支持下的組織，因?yàn)锳PT團(tuán)體是一個(gè)既有能力也有意向持續(xù)而有效地進(jìn)行攻擊的實(shí)體。所以APT通常用來(lái)指網(wǎng)絡(luò)威脅，特別是使用互聯(lián)網(wǎng)進(jìn)行間諜活動(dòng)，利用各種情報(bào)搜集技術(shù)來(lái)獲取敏感信息，但同樣適用于諸如傳統(tǒng)間諜活動(dòng)或攻擊等其他威脅。其他公認(rèn)的攻擊媒介包括受感染的媒體，供應(yīng)鏈和社會(huì)工程。這些攻擊的目的是將自定義的惡意代碼放在一臺(tái)或多臺(tái)計(jì)算機(jī)上執(zhí)行特定的任務(wù)，并在最長(zhǎng)的時(shí)間內(nèi)不被發(fā)現(xiàn)。

（二）APT攻擊的技術(shù)特點(diǎn)

正是由于攻擊目的與攻擊方式的特殊性，APT攻擊在技術(shù)上也有很多鮮明的特點(diǎn)。

1.針對(duì)性

APT攻擊的基礎(chǔ)或者前提是針對(duì)性攻擊，所以被攻擊的目標(biāo)往往會(huì)集中在很小的范圍內(nèi)，攻擊的手法也往往和被攻擊目標(biāo)自身的特點(diǎn)有關(guān)。很多時(shí)候，APT攻擊所采用的社會(huì)工程學(xué)手法和技術(shù)手法，可能僅僅對(duì)目標(biāo)人物和目標(biāo)機(jī)構(gòu)有效，而普通人反而并不容易中招。

針對(duì)性攻擊是APT最重要的技術(shù)特點(diǎn)之一，但并不是所有的針對(duì)性攻擊都是APT攻擊，它還必須要滿(mǎn)足高級(jí)和持續(xù)兩個(gè)條件。

2.高度隱蔽

一個(gè)攻擊組織能夠長(zhǎng)期持續(xù)性地對(duì)特定目標(biāo)發(fā)動(dòng)攻擊，一個(gè)必要的前提就是自身的隱蔽性。這種隱蔽性不僅僅是在攻擊成功之前，而且也是在攻擊成功之后，甚至永遠(yuǎn)不被發(fā)現(xiàn)。只有極少數(shù)的破壞性APT攻擊，才必然會(huì)在一定時(shí)刻內(nèi)產(chǎn)生顯著的外部現(xiàn)象，并被攻擊目標(biāo)察覺(jué)。

3.不以直接獲取經(jīng)濟(jì)利益為目的

那些以金融盜竊或者商業(yè)詐騙為目的的、攻擊影響巨大的APT攻擊并不是APT攻擊的主流。絕大多數(shù)APT攻擊實(shí)際上都是以竊取機(jī)密信息為目的，還有一些破壞性攻擊或政治性攻擊，主要服務(wù)于國(guó)家或政府的“重大利益”，而不是為了直接獲取經(jīng)濟(jì)利益。

4.漏洞利用

在A(yíng)PT攻擊中，漏洞利用是非常常見(jiàn)的技術(shù)手段，特別是1day和Nday漏洞，幾乎被所有的APT組織使用。而某些技術(shù)水準(zhǔn)較高的APT組織，還會(huì)掌握和使用一個(gè)至多個(gè)0day漏洞。0day漏洞的使用，使APT組織的攻擊處于一種幾乎不可防御，也難以被發(fā)現(xiàn)的狀態(tài)。

（三）APT攻擊的步驟

APT攻擊有多個(gè)階段，從攻擊者的初始訪(fǎng)問(wèn)到最終的數(shù)據(jù)過(guò)濾和后續(xù)攻擊我們一共分為5步：

1.初始訪(fǎng)問(wèn)

APT組織通常通過(guò)惡意上傳、搜索和利用應(yīng)用程序漏洞、安全工具中的漏洞來(lái)實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的訪(fǎng)問(wèn)，例如，對(duì)擁有特權(quán)帳戶(hù)的員工進(jìn)行網(wǎng)絡(luò)釣魚(yú)，目標(biāo)是用惡意軟件感染目標(biāo)。

2.首次滲透和惡意軟件部署

在獲得訪(fǎng)問(wèn)權(quán)限后，攻擊者通過(guò)安裝后門(mén)外殼、偽裝為合法軟件的特洛伊木馬或其他允許其對(duì)滲透系統(tǒng)進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)和遠(yuǎn)程控制的惡意軟件來(lái)危害滲透系統(tǒng)。

3.擴(kuò)展訪(fǎng)問(wèn)并橫向移動(dòng)

攻擊者使用第一次滲透來(lái)收集有關(guān)目標(biāo)網(wǎng)絡(luò)的更多信息。他們可能使用暴力攻擊，或利用他們?cè)诰W(wǎng)絡(luò)中發(fā)現(xiàn)的其他漏洞，以獲得更深入的訪(fǎng)問(wèn)和控制其他更敏感的系統(tǒng)。攻擊者安裝額外的后門(mén)并創(chuàng)建隧道，允許他們?cè)诰W(wǎng)絡(luò)上執(zhí)行橫向移動(dòng)并隨意移動(dòng)數(shù)據(jù)。

4.發(fā)動(dòng)進(jìn)攻

一旦他們擴(kuò)展了他們的存在，攻擊者就可以識(shí)別他們要尋找的數(shù)據(jù)或資產(chǎn)，并將其傳輸?shù)骄W(wǎng)絡(luò)中的安全位置，通常是加密和壓縮以準(zhǔn)備進(jìn)行。

5、滲出或傷害

最后，攻擊者準(zhǔn)備在系統(tǒng)外傳輸數(shù)據(jù)。他們通常會(huì)進(jìn)行“白噪聲攻擊”，例如分布式拒絕服務(wù)（DDoS）攻擊，以分散安全團(tuán)隊(duì)在網(wǎng)絡(luò)外圍傳輸數(shù)據(jù)時(shí)的注意力。之后，他們將采取措施移除數(shù)據(jù)傳輸?shù)淖C據(jù)。

根據(jù)攻擊目標(biāo)的不同，此時(shí)，APT集團(tuán)可能會(huì)造成巨大損失，削弱組織的力量，或接管網(wǎng)站或數(shù)據(jù)中心等關(guān)鍵資產(chǎn)。

二、近期A(yíng)PT攻擊事件

習(xí)主席深刻指出：沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。近年來(lái)，境外各類(lèi)政府背景APT黑客組織不斷加強(qiáng)對(duì)我國(guó)網(wǎng)絡(luò)攻擊，竊取大量重要敏感信息，試圖控制我國(guó)核心設(shè)備和關(guān)鍵設(shè)施，勢(shì)頭猛烈，威脅巨大，嚴(yán)重危害我國(guó)網(wǎng)絡(luò)空間安全和利益。

在第五個(gè)“全民國(guó)家安全教育日”之際，國(guó)家安全部披露了多起有關(guān)APT攻擊竊密的案例：2019年7月，某境外APT組織仿冒我國(guó)軍工領(lǐng)域某航空系統(tǒng)重點(diǎn)單位郵件登錄界面，專(zhuān)門(mén)搭建釣魚(yú)攻擊平臺(tái)陣地，冒用“系統(tǒng)管理員”身份向該單位多名人員發(fā)送釣魚(yú)攻擊郵件。該單位職工王某點(diǎn)擊了釣魚(yú)攻擊郵件，輸入了個(gè)人郵箱賬號(hào)和登錄密碼，導(dǎo)致其電子郵箱被秘密控制。之后，該APT組織定期遠(yuǎn)程登錄王某電子郵箱收取王某郵箱內(nèi)文件資料，并利用該郵箱向王某的同事、下級(jí)單位人員發(fā)送數(shù)百封木馬釣魚(yú)郵件，導(dǎo)致十余人下載點(diǎn)擊了木馬程序，相關(guān)人員計(jì)算機(jī)被控制，數(shù)百份敏感文件被竊取。

這次的攻擊，是某境外APT組織利用特種木馬，通過(guò)控制多個(gè)境外跳板設(shè)備對(duì)我國(guó)航空系統(tǒng)數(shù)十臺(tái)計(jì)算機(jī)設(shè)備實(shí)施高強(qiáng)度網(wǎng)絡(luò)攻擊的活動(dòng)。攻擊者精心偽裝其竊密行為，利用特種木馬平時(shí)處于靜默潛伏狀態(tài)，接收到遠(yuǎn)程控制指令時(shí)再激活運(yùn)行，整個(gè)過(guò)程十分隱蔽。

該攻擊技術(shù)先進(jìn)，手法復(fù)雜，境外APT組織廣泛運(yùn)用人工智能、大數(shù)據(jù)等先進(jìn)技術(shù)，同事采取漏洞攻擊、誘騙攻擊、“中間人”攻擊等多種技術(shù)方式和手法，讓人不易防范。

三、應(yīng)對(duì)APT攻擊的舉措

從APT攻擊的過(guò)程和主要行為特征可以發(fā)現(xiàn)，整個(gè)攻擊循環(huán)包括了多個(gè)步驟，為實(shí)施攻擊而進(jìn)行的準(zhǔn)備探測(cè)活動(dòng)也一定會(huì)留下痕跡，這就為檢測(cè)和防護(hù)提供了多個(gè)契機(jī)。因此，軍事網(wǎng)絡(luò)因?qū)PT攻擊的防御措施，可以遵循“多點(diǎn)部署，集中管控”的原則，即在各個(gè)可能的環(huán)節(jié)上部署檢測(cè)和防護(hù)手段，通過(guò)統(tǒng)一的平臺(tái)進(jìn)行監(jiān)控和維護(hù)。

（1）我們應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀(guān)，梳理正確的網(wǎng)絡(luò)安全意識(shí)，多層次多維度地防范抵御網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)與挑戰(zhàn)。

（2）加強(qiáng)常態(tài)化網(wǎng)絡(luò)安全教育和技能培訓(xùn)，提升網(wǎng)絡(luò)安全敵情意識(shí)和防范技能。工作人員的疏忽大意和違規(guī)操作，是絕大多數(shù)網(wǎng)絡(luò)安全事件和失泄密案件發(fā)生的主要原因。提高工作人員的網(wǎng)絡(luò)安全防范意識(shí)和技能，徹底杜絕不安全操作行為，是做好網(wǎng)絡(luò)安全管理的根本。必須嚴(yán)格做到“涉密不上網(wǎng)，上網(wǎng)不涉密”，不在非涉密計(jì)算機(jī)和移動(dòng)存儲(chǔ)介質(zhì)中存儲(chǔ)涉密資料，不通過(guò)互聯(lián)網(wǎng)郵箱存儲(chǔ)傳遞涉密文件資料，不在固定電話(huà)和手機(jī)中談?wù)撋婷軆?nèi)容，涉密計(jì)算機(jī)和移動(dòng)存儲(chǔ)介質(zhì)嚴(yán)禁連接互聯(lián)網(wǎng)。

（3）要加強(qiáng)對(duì)計(jì)算機(jī)、電子郵箱的安全防護(hù)。除了在辦公計(jì)算機(jī)、手機(jī)上安裝殺毒、防護(hù)軟件等措施，還要不定期的對(duì)連網(wǎng)設(shè)備進(jìn)行安全檢測(cè)，發(fā)現(xiàn)計(jì)算機(jī)、手機(jī)等是否感染病毒木馬程序，存在可疑的網(wǎng)絡(luò)請(qǐng)求或連接，郵箱是否存在異常的登錄情況。在出差特別是出國(guó)時(shí)，最好攜帶新的、不存儲(chǔ)任何文件的新計(jì)算機(jī)、新手機(jī)，注冊(cè)新的電子郵箱，在經(jīng)過(guò)技術(shù)檢測(cè)前不輕易使用別人以禮品形式贈(zèng)送的電子設(shè)備。

（4）要加強(qiáng)同國(guó)家安全機(jī)關(guān)等專(zhuān)業(yè)部門(mén)的協(xié)作配合。國(guó)家安全機(jī)關(guān)是網(wǎng)絡(luò)反間諜對(duì)敵斗爭(zhēng)的專(zhuān)業(yè)部門(mén)，有責(zé)任、有義務(wù)指導(dǎo)協(xié)助各單位做好網(wǎng)絡(luò)安全防范工作。國(guó)家安全機(jī)關(guān)將積極協(xié)助各涉密單位開(kāi)展反間諜技術(shù)竊密檢測(cè)，發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)被境外間諜情報(bào)機(jī)關(guān)攻擊竊密情況及運(yùn)行管理中存在的漏洞和薄弱環(huán)節(jié)，及時(shí)消除危害隱患。

（5）做好長(zhǎng)期對(duì)抗的準(zhǔn)備，不是阻斷一次攻擊就能一勞永逸的那一種威脅，我們必須做好長(zhǎng)期對(duì)抗APT的心理和技術(shù)準(zhǔn)備。要加強(qiáng)同國(guó)家安全機(jī)關(guān)等專(zhuān)業(yè)部門(mén)的協(xié)作配合。國(guó)家安全機(jī)關(guān)是網(wǎng)絡(luò)反間諜對(duì)敵斗爭(zhēng)的專(zhuān)業(yè)部門(mén)，有責(zé)任、有義務(wù)指導(dǎo)協(xié)助各單位做好網(wǎng)絡(luò)安全防范工作。國(guó)家安全機(jī)關(guān)將積極協(xié)助各涉密單位開(kāi)展反間諜技術(shù)竊密檢測(cè)，發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)被境外間諜情報(bào)機(jī)關(guān)攻擊竊密情況及運(yùn)行管理中存在的漏洞和薄弱環(huán)節(jié)，及時(shí)消除危害隱患。

參考文獻(xiàn)

[1]http：//www.freebuf.com/articles/neopoints/152457.html

[2]https：//en.wikipedia.org/wiki/Advanced_persistent_threat

[3]http：//www.aqniu.com/news-views/29381.html

[4]https：//www.freebuf.com/articles/network/222059.html