淺談APT攻擊及安全防御解決辦法

◆劉 崢

(中國移動廣東公司 廣東 510623)

淺談APT攻擊及安全防御解決辦法

◆劉 崢

(中國移動廣東公司 廣東 510623)

APT即高級持續性威脅，是指利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式，實現其目標。本文以分析APT攻擊過程和方法、防御難點為基點，提出APT防御方法、實踐方式。

APT攻擊；安全防御思路；安全防御解決方案

0 引言

APT（Advanced Persistent Threat）——高級持續性威脅，指一個擁有頂尖的專業技能和有效資源的對手，允許其通過攻擊多種不同攻擊媒介（如，網絡，物理和欺騙）產生的機會，實現其目標。典型的就是在組織的信息系統技術基礎架構里建立和擴展據點，達成持續的信息泄露，或者破壞和阻礙作戰計劃或者組織達成關鍵任務使命，或者放置在以后能作用的地方。此外，高級持續性威脅為了達成其目標，會反復多次地持續較長的時間，通過各種方式（自動升級）來抵抗防護者的努力。同時與外界保持一定程度的交互以執行其目標。

APT威脅著企業的數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。

1 APT攻擊過程方法

APT會使用多方面的或混合式的技術，包括社交工程、賄賂、惡意程序、物理盜竊、官方影響等來實現其目的。一般來說，APT攻擊可分為如下六個階段。

圖1 APT攻擊過程

1.1 文件下載

攻擊者會利用魚叉式釣魚軟件或者水坑式攻擊方法，誘使用戶打開一個特定的郵件附件，或者訪問一個已被插入惡意代碼的Web網頁。郵件或Web鏈接往往會顯示其是熱點或者人們感興趣的內容，一旦訪問此附件或者網頁，則就可能發生后續的漏洞利用過程。

1.2 漏洞利用

一個典型的漏洞利用，往往只是幾百字節大小，在含有漏洞的軟件中運行，就可以執行攻擊者預想的任意代碼。初始漏洞利用非常重要，當網絡攻擊者利用常見軟件的弱點（如office文檔、Flash等），就可以得到一個最初的受害系統。整個過程在受害系統的內存中發生，并不涉及任何的文件磁盤操作，通過檢查寫入主機硬盤的文件和可執行程序的傳統方式幾乎不可能察覺。

1.3 控制系統

利用漏洞獲得系統權限后，會下載一個較大的惡意軟件程序，以此來控制受害主機。 因為下載行為來自內部主機，且文件看似無害（如惡意軟件是從一個.jpg文件，而不是.exe文件中提取出來），因此可以避免傳統安全技術對可執行文件的檢測。

攻擊者為逃避安全產品（如防火墻、IPS、IDS、防病毒軟件）的檢測，會采取針對性的對抗措施，確認環境中是否存在防病毒軟件，如果發現就會嘗試進行破壞。由于漏洞利用后其具備較高的系統權限，這個活動輕而易舉。還可能出現的情況是，攻擊者檢測是否運行在沙箱環境中，并采取相應的逃避檢測手段。如延時進行后續的活動，由于沙箱檢測不可能對一個文件進行無限期的觀察分析，這種策略往往是非常有效的。

1.4 連接命令控制服務器

較大的惡意軟件下載成功后，它將啟動到外部命令和控制服務器（攻擊者操控受害主機的服務器）的出局連接，一旦連接成功建立，攻擊者對受害主機就完成了完整的控制。這個階段通常會使用 SSL加密通信方式，并且由于是從內部主機發起的對外連接，因采用加密傳輸，傳統的安全檢測設備將無法發現。

1.5 數據竊取

建立和命令控制服務器的可靠連接，攻擊者將著手鞏固對主機的控制并進行持續滲透，或者直接傳輸主機的敏感數據，如知識產權、信用卡信息、用戶憑據和敏感文件等。

1.6 持續滲透

很多情況下，最初的受害主機不太可能包含攻擊者需要的資料，因此攻擊者會通過網絡來查找其它的內部系統，深入組織網絡內部搜索有價值的信息，包括 IT 管理員的操作主機（為獲取進一步的內部網絡權限）以及包含機密資料的重要服務器和數據庫等。這種組織內部的持續滲透已不是在邊界位置可以完整檢測的。

通過以上對高級惡意軟件攻擊過程的分析，可以了解到在初始漏洞利用階段的檢測最為重要，如果在這個階段不能發現惡意軟件，那么要發現惡意軟件就會更困難。就比如防范盜賊，最好在他還沒有進門之前。

2 APT攻擊防御難點

縱觀國內外各類型APT事件，可以發現實施APT攻擊均通過辦公人員入手，并且利用內部網絡進行橫向移動，逐步滲透。

企業網作為企業網絡重要的組成部分，但存在網絡覆蓋面大、網絡結構復雜、網絡區域邊界訪問控制策略不嚴格、互聯網訪問需求多、設備種類及數量多、軟硬件安全漏洞多、人員安全意識薄弱等負面因素，使企業內網成為 APT攻擊的主要目標。這類風險被攻擊者發現利用后，通過 APT攻擊持續放大，最后影響整個企業的生產。

根據市場調研分析，目前企業網中存在以下的安全難題：

（1）惡意代碼定位困難，同時造成惡意代碼在網絡中不斷傳播；

（2）對于攻擊者使用0day漏洞進行攻擊時，防御方無法及時檢測；

（3）當內網終端被注入惡意代碼后執行的大量惡意操作，如異常操作行為、敏感文件傳輸、病毒惡意傳播、對外發異常流量等影響企業網絡安全等均無法發現及阻斷。

因此，企業需要一套技術手段解決下面問題：

（1）哪些惡意代碼在網絡中存在？那些惡意代碼是已知的？那些是未知的？

（2）哪些終端被植入了惡意代碼？

（3）哪些惡意代碼造成了那些危害，包括資料外泄、向外發送DDoS、病毒郵件、遠程控制等？

3 APT攻擊防御方式

傳統的縱深防御仍然是必要的，但不足以應對 APT攻擊。為應對目前的 APT威脅，需要更新分層防御模型，將被動防御向主動防御轉變，主動防御技術分為3個層面：網絡、負載（可執行程序、文件和Web對象）及終端。參考國際權威機構Gartner先進的威脅防御框架，提出了5種應對APT攻擊的防御方式。

方式1： 網絡流量分析

通過分析網絡進出流量，如異常DNS流量模式、NetFlow記錄等，發現受感染終端。有些工具將協議分析和內容分析結合在一起。

優勢： （1）實時檢測；（2）包括無簽名和基于簽名的技術；不需要終端agent。

挑戰：（1）需要調試仔細、知識豐富的雇員以避免誤報；（2）攔截攻擊能力有限（可應用帶外工具）；不監測未聯網移動終端的流量

方式2： 網絡取證

網絡取證工具提供全包捕獲和網絡流量存儲能力，并為支持事件響應、調查和預先威脅分析需求提供分析和報告工具。這些工具可提取和保留元數據。

優勢： （1）由于減少事件應對時間和人員，可提供高 ROI（投資回報率）；（2）由于具有大容量存儲功能，可在幾天或幾個星期后重建或重放流量和事件；可利用詳細的報告來滿足監管需求，進行網絡流量深度分析和持續監測。

挑戰：（1）這些工具很復雜，需要具有一定技能的人員來操作；（2）隨著數據量和保留時間的增加，成本隨之上漲；（3）分析大量數據報告耗時較長，可能需要下班時間運行；不捕獲網外移動終端流量。

方式3： 負荷分析

該方法利用沙盒環境，分析通過網絡邊界的負荷（PDF、EXE、DLL、 Office、 ZIP、Flash等）的行為。負荷分析技術可以幾乎實時地檢測惡意程序和目標式攻擊。沙盒環境既可部署在本地，也可部署在云端?；谠频呢摵煞治鍪且环N有效的方法，但其市場門檻較低，利用現成的管理程序和虛擬技術，廠商可以輕易創建沙盒環境，并稱其為負荷分析解決方案，但防護效果千差萬別。

優勢： （1）可非常有效的檢測成功繞過基于簽名的解決方案的惡意程序；（2）詳細的惡意程序行為報告會涉及注冊變化、API調用、過程行為和其他惡意程序行為信息；對于可串聯的本地解決方案，該技術具有可選的攔截命令控制回調流量的能力。

挑戰：（1）由于行為分析需要幾秒或幾分鐘來完成，所以會放行之前未發現的惡意程序，可能會感染一個或更多終端；（2）有些躲避技術可以繞過行為分析技術，如sleep timers；（3）不對在終端執行的惡意程序進行驗證；（4）許多解決方案支持的負荷范圍有限；（5）雖然有些云方法支持安卓系統，大多解決方案只支持Microsoft Windows；隱私和數據保護顧慮可能會妨礙一些企業使用基于云的沙盒。

方式4： 終端行為分析

該方法提供有關終端是如何被惡意程序和 APT影響的最詳細信息。有些廠商側重于利用“應用容器”概念來保護終端，即將應用程序和文件隔離在虛擬容器中。應用容器方法允許惡意程序在隔離環境中執行，通過隔離WEB瀏覽器會話防御惡意網站。其他技術還包括：系統配置/內存/進程監測、“白名單”技術等。

優勢： （1）可攔截零日攻擊和未知惡意程序；（2）可保護處于和未處于公司網絡的系統；利用對所攔截的惡意程序的分析，可以提供基本的取證能力。

挑戰：（1）部署和管理終端agent可能操作繁雜，在BYOD（自帶設備）環境中具有一定挑戰性；（2）終端 Agent對所支持的操作系統、文件類型、應用程序和瀏覽器有不同的限制；容器解決方案占用額外的 CPU和內存資源，使用的容器越多，影響越大。

方式5： 終端取證

終端取證方法可以作為事件響應團隊的一個工具。終端agent會從它們所監測的主機搜集數據。這些技術對于確定被感染主機和惡意程序的特定行為非常有幫助。有些解決方案會使用多種感染標示（IOC）來檢測終端上的惡意行為，如可疑的 Microsoft Windows注冊碼、DNS請求等

優勢： （1）可以使得耗時間的事件響應自動化；（2）可監測連入和未連入公司網絡的主機上的活動；有些Agent可以提供有限的容器特征和有限的整改能力；

挑戰：（1）缺乏實時攔截零日攻擊的能力；（2）部署和管理管理終端agent可能操作繁雜；（3）本文撰寫時，尚不支持非Windows終端；事件并不總會優先化，而且往往需要知識豐富的人員去調查。

[1]百度百科，APT攻擊詞條．

[2]Gartner．“五種類型的先進威脅防御(ATD)”助企業防御針對性的攻擊．NETWORKWORLD FROM IDG．2013．10．

[3]吳瑋．對付高級持續威脅，經驗很重要[J]．網絡與信息，2012．

[4]陳劍鋒，王強，伍淼．網絡APT攻擊及防范策略[J]．信息安全與通信保密，2012．

[5]張鋒，康廣超．淺談網絡信息安全[J]．數字技術與應用，2012．

[6]吉雨．APT攻擊漸成氣候企業需對抗未知威脅[J]．信息安全與通信保密，2012．