高級持續性威脅攻擊及預防的探索

陳 強

（新疆醫科大學網絡中心 新疆 830011）

0 引言

高級持續性威脅攻擊（Advanced Persistent Threat，APT），它以黑客攻擊、竊取核心資料為目的，針對目標客戶所發起的網絡攻擊和侵襲行為。APT具有非常強的隱蔽性，在業內也稱這種攻擊為“惡意商業間諜威脅”。

APT不同于通常的網絡攻擊行為，常見的網絡攻擊屬于泛洪式的攻擊模式，比較有名的攻擊如DDOS（拒絕服務攻擊），能夠造成攻擊目標大面積癱瘓，影響的范圍比較廣。而APT攻擊具有非常明確的攻擊目標，針對特定對象進行長期、有計劃和組織性地竊取有價值的數據。

1 網絡攻擊概述

Internet自上個世紀產生并發展至今，已經延伸到各行各業中，特別是21世紀，隨著虛擬化、數據中心、物聯網等技術從實驗室陸續商用、民用。不管是企業還是個人，都加快了改變數據固有屬性的步伐，從“本地化“到”網絡化“、“平臺化”、“共享化”。互聯網的發展在改善了企業和個人的方方面面的同時，也引入了讓人頭疼的問題，那就是“網絡攻擊”。它伴隨的網絡的發展而發展。

網絡攻擊（Network Attack）就是利用網絡存在的漏洞和安全缺陷對系統和資源進行的攻擊。主要分為主動攻擊和被動攻擊兩大類。

主動攻擊：包含攻擊者訪問所需要信息的故意行為；

被動攻擊：主要是收集信息而不進行訪問，數據的合法用戶對這種活動一點也不會察覺到，被動攻擊包括：

竊聽：包括鍵擊記錄、網絡監聽、非法訪問數據、獲取密碼文件。

欺騙：包括獲取口令、惡意代碼、網絡欺騙。

拒絕服務：包括導致異常型、資源耗盡型、欺騙型。

數據驅動攻擊：包括緩沖區溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。

2 網絡攻擊的發展

在網絡攻擊發展的歷史長河中，不得不提到兩個名詞，那就是“駭客”和“黑客”。

駭客就是利用現有的一些程序進入別人的計算機系統后發現安全漏洞，并且利用這些漏洞破壞你的網站，讓你出洋相；還有那些專門破譯軟件密碼的從而制作盜版軟件的人也是駭客的一種，可以說中國盜版如此嚴重也是駭客的“功勞”。駭客并沒有想象中可怕，很多人一提到他們就聯想到網絡犯罪，這完全是沒必要的。駭客們也只不過是為了炫耀自己的技術，大多數人并沒有惡意。他們未必具有很高的技術，但有老頑童周伯通的心理，老是喜歡跟你開玩笑，通常用一些簡單的攻擊手段去搞一搞BBS、聊天室之類的。

然而黑客的做法則與駭客有著本質的區別，他們通常情況下會受到經濟利益的驅使，利用自己掌握的電腦技術，入侵相關系統，竊取有價值的數據從而給自己帶來經濟上或者其他方面的好處，他們不是一群技術的炫耀者，而是網絡世界里的“小偷”。

隨著互聯網的發展，網絡攻擊也經歷這前所未有的發展，在過去，具有高超電腦技術的畢竟是少數，他們熱衷于電腦技術，去專研。通常情況下，要成功入侵目標系統需要經過系統的分析過程，從踩點、信息收集、隱藏到最后成功實施入侵，需要經過漫長和復雜的過程。而隨著互聯網的發展，給相關技術的傳播提供了廣闊的平臺，現在要實施一起入侵攻擊行為，對于入侵者的要求則遠遠的低于之前，現在只需要網絡、簡單的工具就可以完成一次入侵攻擊。

入侵技術的發展如圖1所示，紅線代表入侵者的水平。

圖1 入侵技術的發展圖

隨著現在入侵攻擊手段越來越隱蔽，以及攻擊成本的低廉，很多破壞者的入侵步驟越來越簡單，如圖2所示：

圖2 入侵步驟

Internet上的安全是相互依賴的，每個Internet系統遭受攻擊的可能性取決于連接到全球Internet上其他系統的安全狀態。由于攻擊技術的進步，一個攻擊者可以比較容易地利用分布式系統，對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅將繼續增加。

網絡攻擊的發展趨勢主要體現在：攻擊工具越來越復雜、發現安全漏洞越來越快、防火墻滲透率越來越高、自動化和攻擊速度提高和對基礎設施威脅增大這幾個方面。

3 高級持續性威脅（APT）由來及威脅

自2010年Goog1e承認遭受嚴重黑客攻擊之后，APT高級持續性威脅便成為信息安全圈子人盡皆知的“時髦名詞”，當然對于像Goog1e、RSA、Comodo等深受其害的公司而言APT無疑是一場噩夢，噩夢的結果便是對現有安全防御體系的深入思考。

APT是指高級的持續性的滲透攻擊，是針對特定組織的多方位的攻擊；這種攻擊行為首先具有極強的隱蔽能力，通常是利用企業或機構網絡中受信的應用程序漏洞來形成攻擊者所需的相關信息；其次APT攻擊具有很強的針對性，攻擊觸發之前通常需要收集大量關于用戶業務流程和目標系統使用情況的精確信息，情報收集的過程更是社工藝術的完美展現；當然針對被攻擊環境的各類0day收集更是必不可少的環節。

在已經發生的典型的APT攻擊中，攻擊者經常會針對性的進行為期幾個月甚至更長時間的潛心準備，熟悉用戶網絡壞境，搜集應用程序與業務流程中的安全隱患，定位關鍵信息的存儲位置與通信方式。當一切的準備就緒，攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉移。

對于APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰策略，法國人的整條防線便淪落成擺設，至于APT攻擊，任何疏忽大意都可能為信息系統帶來災難性的破壞（如表1）。

表1 APT攻擊特點

不難看出APT攻擊更像一支配備了精良武器的特種部隊，這些尖端武器會讓用戶網絡環境中傳統的IPS/IDS、防火墻等安全網關失去應有的防御能力。無論是0day或者精心構造的惡意程序，傳統的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業界熱議的NGFW，利用CA證書自身的缺陷也可讓受信的應用成為網絡入侵的短板。

一個完整的APT攻擊流程主要分為6個階段：

（1）情報收集階段

獲得有關目標的IT環境和組織機構的戰略信息，31%的雇主會對員工在社交網站上發布攻擊機密數據的行為給予紀律處分。

入口點。通過電子郵件、即時消息、社交網絡或軟件漏洞進入目標網絡，87%的目標組織受到了URL的欺騙。

命令和控制通信。確信受攻擊的主機與 C&C服務器（控制服務器）之間保持鏈接通信，主要APT活動利用web端口與C&C服務器通信。

橫向移動。尋找將敏感信息存儲在目標網絡內的重要主機，所用的技術包括“passing the hash”，該技術可將攻擊者的權限提升為管理員權限，從而獲得訪問關鍵目標的權限。

資產/數據發現。識別需要隔離的重要數據，以便將來達到數據隱蔽泄漏的目的。

數據隱蔽泄漏。將數據傳輸至威脅實施者控制的問題。

典型的APT攻擊，通常會通過如下途徑入侵到您的網絡當中：

①通過SQL注入等攻擊手段突破面向外網的Web Server；

②通過被入侵的Web Server做跳板，對內網的其他服務器或桌面終端進行掃描，并為進一步入侵做準備；

③通過密碼爆破或者發送欺詐郵件，獲取管理員帳號，并最終突破AD服務器或核心開發環境；

④被攻擊者的私人郵箱自動發送郵件副本給攻擊者；

⑤通過植入惡意軟件，如木馬、后門、Down1oader等惡意軟件，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）；

（2）通過高層主管郵件，發送帶有惡意程序的附件，誘騙員工點擊并入侵內網終端。

APT目前已經成為信息資產最大的威脅，很多企業在遠程傳輸數據或本地存儲數據的同時，為了確保數據的完整性和機密性，通常情況下會采用加密算法，使其數據不具備通用的可讀性，只有知道密鑰的訪問者才能正常的讀取相關數據。但是任何一種加密算法都是可以破解的，只要給入侵者時間和計算資源。隨著目前云計算的推出，高性能的計算資源放在云端，民眾可以方便的獲取，入侵者可以利用高性能的計算資源，處理更加復雜的加密算法，破解一套加密算法的時間將大大縮短。

APT攻擊目前已經成為入侵者攻擊特定目標的重要手段，2009年底的“極光行動”，通過收集 goog1e員工在 Facebook、Twitter等社交網上發布的信息，利用動態DNS供應商建立托管偽造照片網站的Web服務器，goog1e員工收到來自信任的人發來的網絡鏈接并且點擊，通過加載惡意代碼獲取goog1e員工訪問goog1e服務器的權限，進而獲取goog1e郵件服務器的權限，進而不斷獲取特定Gmai1賬戶的郵件內容。最著名的應屬于發生在2011年的RSA SecurID竊取攻擊，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司受到攻擊，重要資料被竊取。最后導致RSA公司花費600萬美元來修復系統漏洞。

（3）APT防御初探

在實施一次APT攻擊時，攻擊者會花上幾個月甚至更長的時間對鎖定的“目標”網絡進行踩點，針對性地進行信息收集，目標網絡環境探測，線上服務器分布情況，業務系統的弱點分析，業務狀況的梳理，相關員工信息的收集等等。當攻擊者收集到足夠的信息，就會對目標發起攻擊。在攻擊過程中，攻擊者會對目標網絡和業務系統再一次進行深入的分析和研究，所以這種攻擊的成功率非常高。

（4）RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司受到攻擊，重要資料被竊取。

（5）暗鼠行動

2011年8月，McAfee和Symantec公司發現并報告了暗鼠行動。該攻擊從2006年啟動，在長達數年的持續攻擊過程中，滲透并攻擊了全球多達72個公司和組織的網絡，包括美國政府、聯合國、紅十字會、武器制造商、能源公司、金融公司等等。

（6）極光行動

極光行動是2009年12月中旬可能源自中國的一場網絡攻擊，Goog1e在它的官方博客上披露了遭到該攻擊的時間。此外還有20多家公司也遭受了類似的攻擊。

APT攻擊自2011年全面爆發，石油、天然氣和防務公司已經成為了這一復雜攻擊的目標，這些公司的行業秘密和機密合同談判等信息均遭到了竊取。對于一些關系到國民、經濟等領域的公司，成為了APT攻擊的主要目標。

APT不是一種新的攻擊手法，因此無法通過阻止一次攻擊就讓問題消失。APT在前期收集情報的過程中，大量會采用社會工程學的手段，從外圍或與特定目標相關的人或事尋找突破口，再進入突破口的時候，同樣也會選擇不管緊要的機器先入侵，以此作為網絡攻擊的跳板，橫向擴展，如果企業中缺失對網絡環境中細微變化的審計及監控措施，很容易會忽略網絡中細微的變化，“千里之堤，毀于蟻穴”。針對目標明確、及其隱蔽的APT攻擊模式，需要進行“內外兼修”的方式，建立立體、全方位的防御體系，關注網絡環境發生的任何細微的變化。對于APT攻擊如何有效的防御？

（1）加強信息安全意識培訓

針對企業的員工，經常組織有關信息安全意識方面的培訓，提升雇員在如何保護信息資產方面的能力，通過培訓，可以有效杜絕使用社會工程學等方式的踩點攻擊，同時也能夠提升在遇到信息安全威脅后，員工的處理威脅的能力。

（2）健全信息安全防護系統

對于不同的重要級別的信息系統，定期進行信息安全風險評估的測試，發現目前系統中可能存在的相關漏洞信息，進行系統補丁升級。加強網絡層面和應用層面防護體系的建設，通過部署防火墻、防毒墻、IDS/IPS、審計類等安全設備，形成立體的防護體系。

（3）靜態檢測方式

從攻擊樣本中提取攻擊特征與功能特性，對攻擊樣本逆向分析；（4）動態檢測方式

模擬用戶環境，執行APT代碼段，捕獲并記錄APT攻擊的所有行為；審計網絡中應用程序的帶寬占用情況。發現攻擊后，進行APT攻擊溯源；

（5）產業鏈跟蹤

實時跟蹤分析網絡犯罪團伙的最新動向。多維度的安全防御體系，正如中醫理論中倡導的防患于未然思想，在威脅沒有發生前，為企業IT生產環境進行全面的安全體檢，充分掌握企業所面臨的安全風險。

（6）建立信息安全管理體

俗話說“七分管理、三分技術”，技術上不能解決所有的問題，必須加強信息安全管理體系的搭建，規范信息系統在使用過程中的規則，從信息的創建、加工、傳輸、存儲、銷毀幾個方面規范操作行為，確保信息資產在可控的框架下服務。

4 總結

在2013年的全球RSA大會上，APT防御再次成為熱點議題。在APT防范領域，國內外廠商也展出了最優秀的APT解決方案，他們的防范策略和解決方案可以概括為四類：

（1）主機文件保護類

不管不管攻擊者通過何種渠道執行攻擊文件，必須在員工的個人電腦上執行。因此，能夠確保終端電腦的安全則可以有效防止APT攻擊。主要思路是采用白名單方法來控制個人主機上應用程序的加載和執行情況，從而防止惡意代碼在員工電腦上執行。很多做終端安全的廠商就是從這個角度入手來制定APT攻擊防御方案，典型代表廠商包括國內的金山網絡和國外的Bit9。

（2）大數據分析檢測APT類

該類APT攻擊檢測方案并不重點檢測APT攻擊中的某個步驟，而是通過搭建企業內部的可信文件知識庫，全面收集重要終端和服務器上的文件信息，在發現 APT攻擊的蛛絲馬跡后，通過全面分析海量數據，杜絕APT攻擊的發生，采用這類技術的典型廠商是RSA。

（3）惡意代碼檢測類

該類APT解決方案其實就是檢測APT攻擊過程中的惡意代碼傳播步驟，因為大多數APT攻擊都是采用惡意代碼來攻擊員工個人電腦以進入目標網絡，因此，惡意代碼的檢測至關重要。很多做惡意代碼檢測的安全廠商就是從惡意代碼檢測入手來制定 APT攻擊檢測和防御方案的，典型代表廠商包括FireEye。

（4）網絡入侵檢測類

通過網絡邊界處的入侵檢測系統來檢測 APT攻擊的命令和控制通道。雖然APT攻擊中的惡意代碼變種很多，但是，惡意代碼網絡通信的命令和控制通信模式并不經常變化，因此，可以采用傳統入侵檢測方法來檢測APT通信通道。典型代表廠商有飛塔。

APT攻擊是近年流行的殺傷力很大，并且很難防御的一種攻擊模式，是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性的進行的一系列攻擊行為的整個過程。主要就針對企業的商業機密信息和國家重要的基礎設施進行，包括能源、電力、金融、國防等關系到國計民生，或者是國家核心利益的網絡基礎設施。

對于這些單位而言，盡管已經部署了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設備，也包括了將各種單一安全設備串聯起來的管理平臺，而防御體系也可能已經涵蓋了事前、事中和事后等各個階段。但是，這樣的防御體系仍然難以有效防止來自互聯網的入侵和攻擊，以及信息竊取，尤其是新型APT攻擊。

[1]基維百科.2013.

[2]國際信息安全學習聯盟.2013.

[3]綠盟科技技術內刊.2014.