面向企業網的APT攻擊特征分析及防御技術探討

劉東鑫，劉國榮，王 帥，沈 軍，金華敏

（中國電信股份有限公司廣東研究院 廣州 510630）

1 引言

APT（advanced persistent threat，高級持續性威脅）中的“advanced”可理解為突破了現有的網絡安全縱深防御體系；“persistent”可理解為在攻擊目標組織內長期潛伏，不被發現；“threat”可理解為有目的、有組織的惡意攻擊行為。近年來，APT攻擊成為信息安全業界的熱點話題，眾多大公司如 Google、RSA、Sony等都先后公開承認遭受 APT攻擊，造成機密數據泄露等一系列嚴重后果，如圖1所示。一系列APT攻擊事件震驚業界，越來越多的大型企業開始對其給予高度關注[1]。

實踐證明，傳統的安全防御手段難以有效應對APT攻擊，亟需新的安全防御思路和技術。因此，本文將從幾個著名的APT攻擊案例出發，分析其典型特征、與傳統網絡攻擊方法的差異對比；然后在分析傳統網絡安全防御手段失效原因的基礎上，提出APT攻擊防御方案，并對實施流程和關鍵技術作了說明和分析；最后分析APT攻擊給業界帶來的長遠影響。

2 APT攻擊特征及傳統網絡安全防御體系失效原因

2.1 全球著名APT攻擊的案例分析

（1）Google遭受 Aurora攻擊

圖1 近年來APT攻擊重大事件

2010年，互聯網的明星企業Google公開承認遭受APT攻擊，造成關鍵數據泄露。這一事件后來被命名為Aurora攻擊。事件過程是：一位員工點擊了來自社交網絡好友所發送即時消息中的一條惡意鏈接，隨后造成IE瀏覽器溢出、自動下載惡意程序；隨后，攻擊者使用SSL安全隧道間歇性地控制該員工的主機，最終偵聽到該員工訪問Gmail服務器的賬號信息。此次攻擊造成包括系統管理員賬號、Gmail用戶信息等一系列關鍵數據泄露，整個過程持續數月之久。這次攻擊過程如圖2所示。

（2）RSA遭受SecurID竊取攻擊

2011年3月，信息安全業界的領軍企業——RSA公司遭受APT攻擊，導致部分SecurID技術及客戶資料泄漏。隨后，很多使用RSA的SecurID作為認證憑據建立VPN的企業受到攻擊，導致企業的重要資料文件被竊取。事件的過程是：攻擊者直接寄送電子郵件給RSA公司的眾多內部員工，并在Excel文件附件中利用最新的0day漏洞隱藏了惡意程序；某位內部員工在打開文件附件后，惡意程序在其主機自動運行，并被植入Poison Ivy遠端控制工具；后續過程與Aurora攻擊類似,其攻擊過程如圖3所示。

2.2 APT攻擊的特征總結

基于以上全球著名APT攻擊案例分析，結合與傳統網絡攻擊方法的對比，對其攻擊特征進行進一步的分析總結。首先，從攻擊目標來看，APT攻擊不以破壞目標系統的可用性、可靠性為主要目的，旨在竊取高價值的數據、資料、文件；其次，從攻擊方法來看，APT攻擊者通常不計成本地挖掘、購買0day漏洞，甚至自行開發惡意軟件以繞過現有的IDS/IPS、反病毒軟件系統，在此基礎上進一步采用社會工程學方法在目標企業內部員工的電腦主機中建立攻擊支點；最后，從防護技術來看，相較于傳統網絡攻擊易于被現有安全防御設備檢測、防范，APT攻擊的潛伏時間長，難以被已有的安全防御系統所檢測，甚至在攻擊后，也難以被溯源。更惡劣的是，如果攻擊者所利用的脆弱性沒有被及時修復，APT攻擊隨時可能卷土重來，對企業網絡的安全防御體系形成嚴峻的挑戰。因此，面對APT攻擊，企業的網絡安全防御亟需新的思路和手段。

2.3 傳統網絡安全防御體系失效原因

圖2 Google遭受Aurora攻擊流程

圖3 RSA遭受SecurID竊取攻擊流程

時至今日，APT攻擊在全球成為信息安全業界揮之不去的陰霾，成為懸在眾多著名IT企業甚至政府機構頭頂的“達摩克利斯之劍”。從APT攻擊的工具、手段和過程來看，目前傳統網絡安全防御體系的失效，在技術方面主要包含以下原因。

· 反病毒軟件難以檢測攻擊者“獨門”開發的惡意程序。理想狀態下，反病毒軟件應能實時檢測出任何惡意代碼，并阻止其運行。但是現有大部分反病毒軟件仍然以特征碼技術作為主要的病毒檢測手段，一旦用戶的計算機遇到最新病毒，在廠商發布針對該病毒的特征碼之前，反病毒軟件將難以檢測出來。而APT攻擊者往往利用常用軟件的0day漏洞，針對目標對象開發特有的惡意程序，致使市場上的反病毒軟件無法對其進行有效檢測。

· 防火墻設備難以檢測應用層加密的網絡流量。理想狀態下，防火墻應能阻止或者限制任何未授權的網絡連接，其判斷的依據包括IP分組的五元組、應用層內容等信息。而APT攻擊者往往使用常見的應用層協議端口建立從企業內部到遠程主機的SSL加密隧道，逃避防火墻的檢測分析。

·IDS/IPS設備難以檢測采用端口跳變等躲避方法的惡意流量。IDS/IPS設備根據已公布的惡意流量特征碼來檢測并阻斷惡意流量，惡意流量特征碼的定義主要依據應用層協議識別、流量傳輸特征等。在實際場景中，APT攻擊中往往采用周期性的端口跳變等方法，更進一步地將其數據傳輸流量模擬成常見的應用層流量，例如采用TCP 80端口的突發式傳輸，采用TCP 23端口的間歇性慢速傳輸，隱藏其流量特征，最終規避IDS/IPS設備。

·傳統的日常安全審計難以應對0day漏洞。目前現有的安全審計方法，著重于事前預防、事后漏洞修復緩解，不具備事中控制、識別能力。APT攻擊者所使用的0day漏洞突破了事前預防，甚至讓事后響應沒有有效的解決辦法。

3 APT攻擊的防御思路與方案設計

在IATF（信息安全保障體系）中，一個系統的信息安全保障被劃分為4個部分：保護、檢測、響應和恢復（即PDRR框架），其防御思想包含被動防御和主動防御：被動防御包括反病毒軟件、防火墻部署等基礎安全手段；而主動防御是在被動防御的基礎上，進一步實現攻擊檢測、攻擊誘騙和溯源。在APT攻擊面前，正是由于傳統網絡安全防御體系在保護和檢測環節的不足，導致后續 “響應”和“恢復”的無從下手。因此，總體上依然可以將APT攻擊的防御過程納入PDRR模型框架。本文從APT攻擊的行為特征出發，采用主動控制思想力求實現對APT攻擊的可檢測性，并進一步構建符合PDRR模型框架的APT攻擊防御方案，具體如圖4所示。在方案中，包含基礎安全防御和動態防御兩大部分。

3.1 基礎安全防御

一個設計并運行良好的基礎安全防御體系是防范APT攻擊的前提，可以大大增加APT攻擊的難度。因為一個企業網絡若沒有基本的安全防御，那么攻擊者根本無需采用APT攻擊這樣代價高昂的技術手段進行信息竊取。對于APT攻擊的防御而言，基礎網絡安全防御需特別關注以下安全模塊的能力建設。

·安全基線控制。通過安全基線控制可以將明文密碼、SQL注入漏洞等常見的高頻漏洞清除[2]，提高APT攻擊者的攻擊門檻，延緩其在企業網絡的滲透速度。

· 身份認證和訪問控制。APT攻擊者以信息竊取為目的，其入侵行為往往伴隨著關鍵文件復制等操作，而可靠有效地訪問控制是文件操作審計的前提。由于APT攻擊者常在“夜深人靜”的時候利用竊取的內部員工賬號進行活動，建議部署基于智能卡的身份認證（雙因子身份認證）技術和強制訪問控制技術。借助智能卡的物理安全性和密鑰定期更新機制[3]，有效防止員工賬號被惡意盜用，將大部分員工賬號的使用情況與其工作時間相關聯，一旦發現異常賬號活動，可以快速、及時地確認處理。

· 內部流量隔離、漏洞管理和數據加密。由于APT攻擊的長期潛伏性，建議采用等級保護的思想將重要網絡流量與普通流量進行隔離保護，增加APT攻擊者通過偵聽竊取數據的難度；同時，為了阻斷APT攻擊在企業內網的滲透，應進行及時的漏洞補丁管理；最后，作為抵御APT攻擊最后的防線，應做好對關鍵數據的加密，而實施的關鍵是良好的密鑰管理體系[3]。

3.2 APT攻擊的動態防御

APT攻擊者在企業內部網絡建立攻擊支點的早期階段，沒有明顯的異常征兆（或者說難以被察覺）；隨后，其在企業內網逐步滲透，收集高價值數據資料、文件時，將帶來文件操作、用戶訪問等行為異常，并伴隨間歇性的遠程加密傳輸；最后，當攻擊者準備撤離時，需要把已竊取的高價值文件傳輸到遠程主機。整個過程中，后兩個階段是檢測APT攻擊的最佳時機，及早檢測出APT攻擊行為并做出響應，才能盡可能避免損失，甚至可通過部署蜜罐系統最終實現攻擊溯源。因此，實現對APT攻擊的可檢測能力，關鍵在于從日常的賬號審計、網絡流量監控、文件操作監控中發現異常。以下將按PDRR模型框架中的4個部分，分別進行說明。

·保護。由于APT攻擊的檢測基于對異常數據的分析，如果不對網絡流量作合理的規則劃分，監控人員將難以應對日常的海量數據。因此，為了增強對APT攻擊的防御能力，更重要的是，為降低日常監控海量數據的信息熵，給后續的審計、異常分析降低難度，同時方便統一漏洞管理，必須對終端、網絡和服務器設備實施基于白名單思想的策略控制，具體包括應用程序控制、可信端口控制、郵件內容審計與附件操作控制。實施辦法為：只允許白名單內的應用程序安裝、運行，禁止如Skype、P2P等存在網絡端口、目的IP地址跳變的應用程序；只允許白名單指定端口范圍內的流量發送，例如TCP 10～5 000，UDP 10～5 000等；采用基于內容過濾技術的郵件網關，屏蔽垃圾郵件中的URL鏈接、附件文件，當員工要特別查看某垃圾郵件的完整內容，須向管理員申請，并備案。

圖4 APT攻擊防御方案

· 檢測。檢測對象主要包括賬號登錄審計、網絡流量監控和文件操作審計。實施辦法為：由于APT攻擊一般不會對系統的安全防御系統進行暴力破解，而使用已竊取的內部員工賬號認證信息，常在“夜深人靜”的非工作時間進行嗅探、滲透活動，故賬號登錄的時間、IP地址等信息是重要的審計對象；由于APT攻擊常使用端口跳變、應用層加密等手段隱藏惡意流量特征，只有通過一系列的數據聚類才能發現異常，故應在多種查詢條件下對流量數據進行可視化分析，例如目的IP地址流量統計排序、目的端口流量統計排序等；對重要文件的操作（例如復制、移動等）及對應的發生時間進行審計。

· 響應。在7×24 h的連續監控中，一旦發現異常，須立即核實被疑似盜用的賬號、已感染的主機或服務器，評估已泄露的資料情況，并作隔離。在已識別控制APT攻擊所使用的惡意程序進程的基礎上，可部署蜜罐系統，誘使攻擊者進入蜜罐，拖延其入侵時間，并進一步分析其行為特征、惡意流量特征，最終實現溯源。

· 恢復。在阻斷APT攻擊后，應立即請求廠商修補相關漏洞，將攻擊者所植入的惡意代碼提交給反病毒廠商，更新病毒庫。最后應在全局做身份認證、文件加密、設備管理等方面的密鑰更新、安全策略更新（例如在公司內網屏蔽社交網絡等），防止APT攻擊用同樣的方法重來。

此外，APT攻擊的主動防御還需要關注人員因素，包括安全人員和普通員工：由于缺乏經驗，企業的安全人員往往容易低估APT攻擊者的能力及其手段的復雜性，而普通員工的安全意識仍需提高，須防范APT攻擊者所發送的惡意消息。

4 典型案例

以基礎安全防御為基礎，結合用戶終端的管理、存儲系統的文件操作審計和網絡流量監控等技術手段，可對APT攻擊實現PDRR框架的動態防御，部署如圖5所示。

在本示例中，通過劃分安全域做好流量隔離、重要數據、文件加密存儲、網絡設備安全基線配置等基礎安全防御工作。其中，在內外網的流量隔離中，采取如下策略：對于無線網絡接入域，禁止其訪問企業內網，并只開啟常用的應用協議網絡端口；對于核心數據存儲域，禁止外部流量對其的直接訪問。在這種安全策略中，系統的安全弱點在于以固定網絡接入域的主機、業務系統運行域的服務主機為跳板，可實現對企業核心數據的間接訪問，這也是APT攻擊的重要行為特征。故對APT攻擊的可檢測，關鍵在于實施應用程序、IP/port白名單等控制手段后，將安全審計的對象集中于固定網絡接入域主機、重要系統的員工賬號，具體可采用基于異常檢測的網絡流量、員工賬號訪問審計方法。對于固定網絡接入域的主機，通過從登錄IP地址、協議端口、基于各時間窗口的流量統計等特征的統計得到該主機的內、外網正常流量模型。通過對該主機流量進行特征抽取，與其正常的流量模型比較，可得到其流量異常情況的概率值。對于被識別為“異?！备怕手荡蟮牧髁啃畔ⅲ瑢⒈煌扑偷桨踩珜徲嬋藛T作進一步分析。類似地，對于員工賬號訪問審計，通過從賬號登錄的IP地址、時間、行為操作序列等特征的統計可得到該賬號的正常操作行為模型，并進一步用于員工賬號訪問異常檢測。對于異常告警，安全審計人員需及時確認原因；對于未能確認原因的異常告警信息，尤其是異常流量告警信息，需及時聯系安全廠商技術支持人員進行進一步分析。

5 結束語

APT攻擊所采用的各種方法手段已超出信息安全的技術范疇，其本質是高級黑客和安全專家的信息對抗。APT攻擊在企業網絡的泛濫給業界帶來了深遠的影響，它提升了安全服務的產業價值，對安全人員的從業素質提出了更高要求；同時，APT攻擊的檢測方法，建立在對日常數據的審計挖掘基礎上，對數據的可視化、快速檢索提出了更高的要求，而完全異于傳統網絡攻擊的檢測方法。整體來看，APT攻擊使得信息安全的防御邊界將逐步變得模糊，對它的安全防御仍有待在實踐中檢驗和完善。

1 張帥.對APT攻擊的檢測與防御.技術應用,2011(9)

2 華汪明,張新躍,黃禮蓮等.電信IT安全保障能力評價模型與基線達標體系研究.電信科學,2012(4)

3 中國電信網絡安全實驗室.云計算安全:技術與應用.北京：電子工業出版社,2012

圖5 APT攻擊動態防御的部署示例