張?jiān)霾?韓一劍 牛澤彬 李少杰 公安部第一研究所

一、APT組織研究現(xiàn)狀

（一）APT研究機(jī)構(gòu)

國(guó)外研究APT組織的廠商機(jī)構(gòu)較多，主要集中在美國(guó)和俄羅斯等網(wǎng)絡(luò)安全能力較強(qiáng)的國(guó)家。其中美國(guó)主要是CIA、ATT&CK等官方機(jī)構(gòu)、火眼、微軟、思科等軟硬件廠商和殺毒軟件廠商，俄羅斯主要是卡巴斯基。國(guó)外披露的APT組織和攻擊情況細(xì)節(jié)比較多，質(zhì)量相對(duì)較高。

國(guó)內(nèi)公開(kāi)研究APT組織的機(jī)構(gòu)約在30家左右，主要集中在殺毒軟件廠商、安全設(shè)備廠商、威脅情報(bào)廠商等，具有首先發(fā)現(xiàn)并披露APT組織的廠商約為5家左右。

總體來(lái)看，具有首次發(fā)現(xiàn)APT攻擊的研究機(jī)構(gòu)主要集中在提供基礎(chǔ)安全能力的廠商，如殺毒軟件、網(wǎng)絡(luò)安全設(shè)備等，而受害單位并不具備首次披露APT攻擊的能力。

（二）APT研究模型

研究網(wǎng)絡(luò)攻擊的模型有很多，如STRIDE、KillChain、ATT&CK、CAPEC等模型，Cyber Kill Chain、STRIDE威脅模型可以劃分為高層次模型，ATT&CK被劃分為中層次模型，CAPEC漏洞庫(kù)及漏洞利用模型劃分為低層次模型。高層次可以用來(lái)表達(dá)和理解高層次的攻擊者目標(biāo)和防護(hù)系統(tǒng)風(fēng)險(xiǎn)。抽象層次越高，越難以表達(dá)具體的攻擊行為和攻擊行為關(guān)聯(lián)的具體數(shù)據(jù)、防護(hù)措施、配置資源等。

對(duì)比上述網(wǎng)絡(luò)攻擊分析模型，可以發(fā)現(xiàn)各個(gè)模型側(cè)重點(diǎn)和應(yīng)用場(chǎng)景各不相同，如表1所示，對(duì)比了CAPEC模型和ATT&CK模型。例如，我們可將某一攻擊行為對(duì)應(yīng)到攻擊鏈的“C&C”階段，這提醒防御方需要采取必要的措施了，但采取怎樣的措施，攻擊鏈模型是難以表達(dá)的。而在ATT&CK模型中，該攻擊行為可能對(duì)應(yīng)到戰(zhàn)術(shù) “Command and Control”，同時(shí)采用的是“Multi-hop Proxy”的技術(shù)手段以達(dá)成戰(zhàn)術(shù)目標(biāo)，至此，我們可以進(jìn)一步獲取針對(duì)該技術(shù)手段的一些通用的防護(hù)措施。當(dāng)然，中層次的ATT&CK模型所描述的仍然是TTP的抽象，具體到實(shí)例化的行為描述，仍然需要細(xì)粒度的劃分。

?

CAPEC（Common Attack Pattern Enumeration and Classification）模型關(guān)注的是攻擊者對(duì)網(wǎng)絡(luò)空間脆弱性的利用，其核心概念是攻擊模式（Attack Pattern）。從攻擊機(jī)制的角度而言，CAPEC模型通過(guò)多個(gè)抽象層次對(duì)攻擊進(jìn)行分類和枚舉。其目標(biāo)是全面的歸類針對(duì)已知的應(yīng)用程序脆弱性的攻擊行為。相對(duì)而言，ATT&CK模型的目標(biāo)不是對(duì)不同攻擊戰(zhàn)術(shù)目標(biāo)下技術(shù)的窮盡枚舉，而是從APT組織的可觀測(cè)數(shù)據(jù)中提取共性的戰(zhàn)術(shù)意圖和技術(shù)模式。戰(zhàn)術(shù)意圖是CAPEC模型枚舉庫(kù)難以表達(dá)的。從攻擊檢測(cè)的角度來(lái)看，只有明確攻擊的戰(zhàn)術(shù)意圖，才能進(jìn)一步推測(cè)攻擊的關(guān)聯(lián)上下文信息，以支持攻擊威脅的評(píng)估和響應(yīng)。此外，通過(guò)提供攻擊組織和軟件信息，ATT&CK模型還能夠串聯(lián)起威脅情報(bào)和事件檢測(cè)數(shù)據(jù)，打通對(duì)威脅事件的理解鏈路。

（三）已被披露的APT組織情況

目前全球被披露的APT組織已達(dá)600多個(gè)，2013年美國(guó)麥迪安網(wǎng)絡(luò)安全公司就發(fā)布了對(duì)141個(gè)客戶可組織的跟蹤分析報(bào)告。APT組織從分布的區(qū)域、攻擊水平、攻擊目標(biāo)各有不同。目前較為活躍的在60個(gè)左右，主要集中在北美、東亞和南亞地區(qū)，針對(duì)中國(guó)的APT攻擊最多。

二、當(dāng)前APT研究存在的局限性

目前APT攻擊行為的認(rèn)定和APT組織的發(fā)現(xiàn)都是后知后覺(jué)，即在攻擊發(fā)生后進(jìn)行復(fù)盤總結(jié)，整體來(lái)看進(jìn)行認(rèn)定，在攻擊發(fā)生當(dāng)時(shí)，并沒(méi)有被認(rèn)定為APT攻擊行為，甚至沒(méi)有發(fā)現(xiàn)攻擊行為。一是初次認(rèn)定命名無(wú)標(biāo)準(zhǔn)，當(dāng)前各個(gè)研究機(jī)構(gòu)首次披露APT組織的名稱標(biāo)準(zhǔn)不一，命名規(guī)范不統(tǒng)一，各自有自己的一套標(biāo)準(zhǔn)體系，ATT&CK按照披露時(shí)間順序以數(shù)字序號(hào)命名；360按照植物、動(dòng)物、怪獸等類別進(jìn)行命名；CrowdStrike目前在全球追蹤150多個(gè)民族國(guó)家、電子犯罪分子和黑客行動(dòng)主義者命名系統(tǒng)，“BEAR”指的是俄羅斯，“CHOLLIMA”指的是朝鮮，“PANDA”指的是中國(guó)，“KITTEN”指的是伊朗?！癝PIDER”用于非國(guó)家資助的電子犯罪。二是APT攻擊初始階段難以發(fā)現(xiàn)，按照殺傷鏈模型的七個(gè)階段，很難將前6個(gè)階段的偵察、測(cè)試、潛伏的攻擊行為準(zhǔn)確歸屬為APT攻擊行為，甚至普通的攻擊行為可以模仿已知的APT攻擊特征，沒(méi)有明確的邊界區(qū)分是普通探測(cè)掃描還是APT攻擊的前奏，造成誤判和漏判。三是關(guān)基單位尚未協(xié)同聯(lián)動(dòng)信息共享，APT研究的門檻較低，但取得新發(fā)現(xiàn)的門檻較高。根據(jù)公開(kāi)的威脅情報(bào)，關(guān)基防護(hù)單位、研究機(jī)構(gòu)均可對(duì)已知的APT進(jìn)行研究，但是若要第一時(shí)間了解APT的全貌，則需要部署全面的監(jiān)測(cè)體系、專業(yè)的分析團(tuán)隊(duì)，同時(shí)還必須與關(guān)基單位保持密切聯(lián)系，在第一時(shí)間進(jìn)行全面的線索收集和取證分析。四是APT研究成果主要輸出形式是威脅觀測(cè)值，例如IP地址、URL、惡意文件MD5值等靜態(tài)數(shù)值，而真正的APT組織的威脅指標(biāo)、攻擊技戰(zhàn)法并沒(méi)有深入的發(fā)現(xiàn)。

三、APT攻擊認(rèn)定要素

APT攻擊是高級(jí)可持續(xù)威脅，部分研究者從針對(duì)性、持續(xù)性、威脅性等方面對(duì)APT攻擊特點(diǎn)進(jìn)行了總結(jié)，從當(dāng)前已被披露的APT攻擊事件分析發(fā)現(xiàn)，各個(gè)APT組織實(shí)施的攻擊在目的針對(duì)性、攻擊能力、背景實(shí)力等方面表現(xiàn)出了不同的水平，但其中共同的要素，可作為APT攻擊的主要指標(biāo)，本文提出從攻擊技戰(zhàn)法特點(diǎn)、攻擊造成的影響、攻擊的目標(biāo)、攻擊技術(shù)、攻擊者擁有的基礎(chǔ)設(shè)施五個(gè)方面進(jìn)行APT攻擊衡量。

（一）攻擊的技戰(zhàn)法較為先進(jìn)

從具體的攻擊方法看，APT攻擊采取的技術(shù)手段高明，技術(shù)能力較強(qiáng)，往往使用一些高級(jí)的攻擊手段：在突破邊界防護(hù)入侵內(nèi)網(wǎng)時(shí)往往采用精準(zhǔn)社工釣魚的攻擊方式，釣魚主題大多與國(guó)家重大時(shí)事相關(guān)，例如“毒云藤”制作了大量的模仿國(guó)家政府部門網(wǎng)站的郵箱釣魚網(wǎng)站來(lái)定向獲取情報(bào)信息；APT攻擊經(jīng)常利用操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的零日漏洞獲取網(wǎng)絡(luò)和系統(tǒng)的控制權(quán)，此類攻擊利用門檻較低，危害較高，往往具有“一錘定音”的效果。例如“蔓靈花”善于利用Office軟件漏洞，在文檔中綁定木馬后門進(jìn)行攻擊。

（二）攻擊產(chǎn)生影響范圍較廣

美國(guó)著名安全公司FireEye披露一件始于2020年春季的大規(guī)模黑客入侵事件：攻擊者入侵SolarWinds軟件開(kāi)發(fā)公司，將木馬植入名為Orion的網(wǎng)絡(luò)和應(yīng)用程序監(jiān)視平臺(tái)產(chǎn)品中，從而將木馬后門引入到使用該軟件產(chǎn)品的重要單位。截止2021年三月，已確認(rèn)的受害者包括美國(guó)聯(lián)邦機(jī)構(gòu)、微軟、VMware和思科、FireEye等高知名度科技公司，以及歐洲、亞洲和中東的政府、咨詢、技術(shù)、電信和采掘業(yè)實(shí)體等攻擊18000位客戶。據(jù)《華盛頓郵報(bào)》報(bào)道，攻擊者為俄羅斯外交情報(bào)部門背景的黑客組織APT-29。

（三）攻擊目標(biāo)比較明確

在震網(wǎng)病毒攻擊事件中，攻擊者使用了多個(gè)微軟系統(tǒng)的漏洞，同時(shí)針對(duì)伊朗核設(shè)施工業(yè)控制系統(tǒng)定制開(kāi)發(fā)了多個(gè)零日漏洞，并偽造了相關(guān)核設(shè)施供應(yīng)商的數(shù)字簽名，使攻擊具有合法性、隱蔽性，一系列的漏洞和工具都是專門為此次攻擊定制。此次攻擊被認(rèn)為是美國(guó)針對(duì)伊朗的國(guó)與國(guó)之間的、具有明確政治軍事目的的APT攻擊。

（四）攻擊的技術(shù)手段較高

2017年“影子經(jīng)紀(jì)人”曝光的數(shù)據(jù)中包含一個(gè)名為SWIFT的文件夾，完整曝光了“方程式組織”針對(duì)SWIFT金融服務(wù)提供商及合作伙伴的兩起網(wǎng)絡(luò)攻擊行動(dòng)的詳實(shí)信息，安天公司還原了“方程式組織”對(duì)EastNets網(wǎng)絡(luò)的攻擊過(guò)程。通過(guò)復(fù)盤我們可以看到，這是一起由超強(qiáng)能力網(wǎng)空威脅行為體發(fā)起，以金融基礎(chǔ)設(shè)施為目標(biāo)；從全球多個(gè)區(qū)域的預(yù)設(shè)跳板機(jī)進(jìn)行攻擊；以0Day漏洞直接突破兩層網(wǎng)絡(luò)安全設(shè)備并植入持久化后門；通過(guò)獲取內(nèi)部網(wǎng)絡(luò)拓?fù)?、登錄憑證來(lái)確定下一步攻擊目標(biāo)；以“永恒”系列0Day漏洞突破內(nèi)網(wǎng)Mgmt（管理服務(wù)器）、SAA業(yè)務(wù)服務(wù)器和應(yīng)用服務(wù)器，以多個(gè)內(nèi)核級(jí)（Rootkit）植入裝備向服務(wù)器系統(tǒng)植入后門；通過(guò)具有復(fù)雜的指令體系和控制功能平臺(tái)對(duì)其進(jìn)行遠(yuǎn)程控制，在SAA業(yè)務(wù)服務(wù)器上執(zhí)行SQL腳本來(lái)竊取多個(gè)目標(biāo)數(shù)據(jù)庫(kù)服務(wù)器的關(guān)鍵數(shù)據(jù)信息的APT攻擊事件。

（五）攻擊擁有與已知攻擊相同的攻擊設(shè)施

在某單位發(fā)現(xiàn)的APT攻擊中，攻擊者使用的資源中，具有大量的釣魚網(wǎng)站的代碼，與已經(jīng)披露的APT攻擊釣魚網(wǎng)站頁(yè)面完全一致，使用的攻擊IP也與已披露的攻擊IP在鄰近網(wǎng)段，斯諾登披露的美國(guó)NSA的網(wǎng)絡(luò)武器庫(kù)也顯示出國(guó)家支持的APT組織具有強(qiáng)大的資金、人才、網(wǎng)絡(luò)等資源。

因此，在監(jiān)測(cè)到網(wǎng)絡(luò)安全事件時(shí)，符合上述基本要素中的一個(gè)或者多個(gè)，均可能被認(rèn)定為APT攻擊行為。

四、APT攻擊組織認(rèn)定方法

網(wǎng)絡(luò)安全攻擊事件歸因分析一直是攻擊溯源分析的難點(diǎn)，確定發(fā)起APT攻擊事件的攻擊組織更加困難，主要原因是APT攻擊非常隱蔽，攻擊技術(shù)較為高超，利用較少的線索刻畫復(fù)雜的攻擊全貌非常困難。APT攻擊組織認(rèn)定主要有以下方法：

（一）攻擊者或者組織聲稱負(fù)責(zé)

部分APT組織具有公開(kāi)的政治傾向，攻擊行為具有挑釁性和明確的目的，例如“匿名者”組織宣稱將攻擊馬斯克星鏈計(jì)劃，也曾揚(yáng)言要在春節(jié)期間攻擊100個(gè)中國(guó)政府網(wǎng)站；公開(kāi)情報(bào)顯示名為“圖蘭軍”（TuranOrdusu）的土耳其黑客組織曾在某黑客論壇上發(fā)帖，煽動(dòng)土耳其黑客針對(duì)我國(guó)境內(nèi)網(wǎng)站發(fā)起攻擊。

（二）利用攻擊特征中帶有的明顯標(biāo)識(shí)認(rèn)定APT組織

部分APT組織會(huì)在攻擊的載荷中暴露自己的特征。2016由美國(guó)安全公司Forcepoint披露的“蔓靈花”組織，在其遠(yuǎn)程訪問(wèn)工具（RAT）變體使用的網(wǎng)絡(luò)通信頭包含“BITTER”，所以將此次攻擊命名為“BITTER”，同年國(guó)內(nèi)安全廠商也跟進(jìn)發(fā)布了分析報(bào)告，命名為“蔓靈花”?！八鱾愔邸币蚱涔舫绦虻呐渲梦募写嬖凇癝URON_ KBLOG_KEY”的關(guān)鍵詞，被卡巴斯基實(shí)驗(yàn)室命名?！胺匠淌健惫艚M織的名字是由卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)并命名的?？ò退够趫?bào)告中曾說(shuō)，之所以叫他們方程式，是因?yàn)樵谒麄兊男袆?dòng)中，比較偏愛(ài)加密算法、模糊策略等比較復(fù)雜的技術(shù)。

（三）通過(guò)地緣政治認(rèn)定APT組織

黃金雕（APT-C-34）組織的基礎(chǔ)設(shè)施和絕大部分的受害者均集中在哈薩克斯坦國(guó)境內(nèi)，根據(jù)受害者的數(shù)據(jù)推測(cè)，該組織的大部分攻擊行動(dòng)主要是針對(duì)哈薩克斯坦國(guó)境內(nèi)的情報(bào)收集任務(wù)，支持該組織背后的實(shí)體機(jī)構(gòu)疑似與哈薩克斯坦國(guó)政府機(jī)構(gòu)存在關(guān)聯(lián)。Lazarus別名APT38、Guardians of Peace，被認(rèn)為是隸屬于朝鮮的一個(gè)APT組織。據(jù)一位計(jì)算機(jī)科學(xué)教授透露，該組織的成員主要來(lái)源于朝鮮海外情報(bào)機(jī)構(gòu)，主要負(fù)責(zé)以獲得外匯為目的的攻擊。

（四）通過(guò)暴露的攻擊武器認(rèn)定APT組織

APT組織具有自己的攻擊工具或者軟件系統(tǒng)，根據(jù)使用相同攻擊軟件的特點(diǎn)可以判定其歸屬。360披露的APT-C-39組織多次使用了Fluxwire、Grasshopper等CIA專屬網(wǎng)絡(luò)武器針對(duì)我國(guó)目標(biāo)實(shí)施網(wǎng)絡(luò)攻擊。通過(guò)對(duì)比相關(guān)的樣本代碼、行為指紋等信息，可以確定該組織使用的網(wǎng)絡(luò)武器即為“Vault7（穹窿7）”項(xiàng)目中所描述的網(wǎng)絡(luò)攻擊武器。APTC-39組織使用的部分攻擊武器同NSA存在關(guān)聯(lián)。WISTFULTOLL是2014年NSA泄露文檔中的一款攻擊插件。在2011年針對(duì)我國(guó)某大型互聯(lián)網(wǎng)公司的一次攻擊中，APTC-39組織使用了WISTFULTOOL插件對(duì)目標(biāo)進(jìn)行攻擊。與此同時(shí)，在維基解密泄露的CIA機(jī)密文檔中，證實(shí)了NSA會(huì)協(xié)助CIA研發(fā)網(wǎng)絡(luò)武器，這也從側(cè)面證實(shí)了APT-C-39組織同美國(guó)情報(bào)機(jī)的關(guān)聯(lián)。

上述已知的APT組織的歸因方法從樣本同源、代碼相似、政治目的等方面基于小樣本空間和歷史經(jīng)驗(yàn)進(jìn)行歸因認(rèn)定，缺乏更多的數(shù)據(jù)支撐。

因此，APT組織的歸因方法還應(yīng)該從大數(shù)據(jù)的方向，利用人工智能的算法，依托上述提到的特征，綜合考慮攻擊時(shí)間跨度、語(yǔ)言、命名特點(diǎn)、時(shí)區(qū)、遺留信息、C2信息、攻擊手法、攻擊技術(shù)、攻擊復(fù)雜度、攻擊資源等建立APT的威脅情報(bào)庫(kù)，以APT的情報(bào)庫(kù)為數(shù)據(jù)源，建立相關(guān)模型，利用機(jī)器學(xué)習(xí)中的訓(xùn)練聚類算法模型，去預(yù)測(cè)相關(guān)組織的特性，甚至發(fā)現(xiàn)新的APT組織。

五、APT攻擊及組織認(rèn)定的應(yīng)用

依托安全設(shè)備抓取網(wǎng)絡(luò)流量，利用APT認(rèn)定方法中的相關(guān)特征分析網(wǎng)絡(luò)攻擊流量，通過(guò)分析能夠?qū)崿F(xiàn)以下應(yīng)用：一是根據(jù)APT相關(guān)認(rèn)定方法建立APT組織檔案，對(duì)APT攻擊組織的常用手法、攻擊特點(diǎn)進(jìn)行動(dòng)態(tài)跟蹤。二是監(jiān)測(cè)APT組織的攻擊動(dòng)態(tài)和攻擊趨勢(shì)，從開(kāi)源、本地情報(bào)、第三方情報(bào)等多渠道的線索融合分析，監(jiān)測(cè)APT的攻擊動(dòng)作。三是監(jiān)測(cè)信息基礎(chǔ)設(shè)施受APT攻擊的態(tài)勢(shì)，通過(guò)在關(guān)基信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)內(nèi)部或者互聯(lián)網(wǎng)出口部署基于APT情報(bào)的流量監(jiān)測(cè)設(shè)備，全天候監(jiān)測(cè)APT相關(guān)特征的流量，輔助研判APT攻擊態(tài)勢(shì)。

六、結(jié)語(yǔ)

目前我國(guó)APT監(jiān)測(cè)發(fā)現(xiàn)和認(rèn)定方面與國(guó)外均存在較大差距，基本上處于跟隨報(bào)道的階段，個(gè)別廠商雖然也首次揭露了APT組織的攻擊組織，但是基本上是基于已有的成果或者已披露的線索，尚未達(dá)到能夠完全自主、確鑿歸因攻擊組織的水平，并且我國(guó)披露APT攻擊事件尚未能定位到具體攻擊者，對(duì)于攻擊組織的國(guó)家背景關(guān)聯(lián)分析更是缺乏。因此迫切需要從政策、機(jī)制和技術(shù)等多個(gè)方面追趕與國(guó)外的差距，提升APT的監(jiān)測(cè)和認(rèn)定能力，保護(hù)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全。