APT攻防技術淺析

◆王海松 趙志根 劉一利

?

APT攻防技術淺析

◆王海松 趙志根 劉一利

（中國人民解放軍66018部隊 天津 300380）

針對APT攻擊事件影響大、破壞力強、防御難等現狀。本文從APT攻擊的定義、特點入手，分析了APT攻擊的方法步驟，根據APT攻擊步驟，相應分析研究了防御APT攻擊的常用技術、防御的方法及防御中需要注意的事項，為進一步提高防御APT攻擊提供了理論指導。

APT攻擊；APT防御；網絡安全

0 引言

當前網絡攻防事件頻繁發生，其中APT（Advanced Persistent Threat）攻擊，即“高級持續威脅攻擊”事件持續高發，而且影響十分嚴重。例如，APT28 Roskosmos事件，Patchwork 事件，BlackEnergy事件，SWIFT系統攻擊事件,勒索病毒事件等，造成了很多國家、企業和個人受到極大損失，經濟損失高達上億美元。如何對APT攻防事件進行有效防護已經成為一個熱點問題。本文從APT攻擊的定義、特點入手，重點研究APT攻擊的常用手段及實現過程，分析總結防御APT攻擊的主要方法，為有效防御APT攻擊提供借鑒。

1 APT攻擊的定義和特點

1.1 APT攻擊的定義

目前APT攻擊還沒有一個權威的定義，但不同的研究機構和學者也提出了不同的理解和描述。美國國家標準技術研究所給出的定義是：攻擊者掌握先進的專業知識和有效的資源，通過多種攻擊途徑，在特定組織的信息技術基礎設施建立并轉移立足點，竊取機密信息，破環或阻礙任務、程序或組織的關鍵系統，或者駐留在組織的內部網絡，進行后續攻擊。美國著名的FireEye公司認為：APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。安天公司認為：APT是組織（政府）或者小團體使用先進的攻擊手段對特定目標進行長期持續網絡攻擊的攻擊形式[1]。雖然各個不同機構給出了不同的定義。但APT攻擊并沒有任何嶄新的攻擊手段，依舊采用0 Day、釣魚郵件、社工、木馬、DDOS等存在已久的攻擊手段，只是多種攻擊手段的戰術性綜合利用而已。APT攻擊不是單個黑客或者幾個黑客就能搞出來的，是有著深厚背景和強大支撐力量的組織發起的，是有大量時間、人力、物力與財力來支撐的。因此APT攻擊應該是國與國之間，組織與組織之間網絡戰的一種具體表現形式，并非一種可供炒作的黑客入侵手段。

1.2 APT攻擊的特點

從定義上看，APT攻擊具有攻擊技術高級、攻擊持續時間長、威脅大等特點。攻擊技術高級是指攻擊者掌握先進的攻擊技術，使用多種攻擊途徑，包括購買或自己挖掘的0Day漏洞，而且，攻擊過程復雜，攻擊持續過程中攻擊者能夠動態調整攻擊方式，從整體上控制攻擊過程。攻擊持續時間長是指與傳統黑客進行網絡攻擊的目的不同，實施APT攻擊組織通常具有明確的攻擊目標和目的，通過長期不斷的信息搜集、信息監控、滲透入侵實施攻擊等步驟，攻擊成功后一般還會繼續留在網絡中，等待時機進行后續攻擊。威脅性大是指APT攻擊通常擁有雄厚的資金支持，由經驗豐富的黑客團隊發起，一般以破壞國家或是大型企業的關鍵基礎設施為目標，竊取內部核心機密信息，危害國家安全和社會穩定[2]。

在宏觀上APT攻擊具備如下特征：高度目的性、高度隱蔽性、高度突然性、高度規模性、高度危害性、高度復合性、共時并發性、目標實體化和攻擊非對稱化[3]。

2 APT攻擊的常用手段及攻擊過程

APT攻擊是一個集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網絡防御，通常是通過Web滲透、釣魚郵件傳遞、社會工程學、木馬程序等，進行提權控守，獲取核心信息，進行網絡攻擊和破環活動。另外還采用多個階段穿透一個網絡，然后提取有價值的信息，這使得它的攻擊更不容易被發現。整個攻擊過程可分解為以下五個階段：

2.1 情報收集

即攻擊者有針對性的搜集特定組織的網絡環境、應用程序的弱點、服務器分布和員工信息等。情報獲取的方法主要包括網絡隱蔽掃描和社會工程學方法等。從常用的APT攻擊手法來看，大多數APT攻擊都是從外圍員工入手，搜集員工詳細的信息，通過員工的微博、博客、推特等社交網站，了解他們的社會關系及其愛好，然后通過社會工程學方法來攻擊該員工電腦，從而進入組織網絡。

2.2 代碼上傳

攻擊者收集了足夠的信息后，會向目標組織的員工電腦發送包含惡意代碼的文件，如電子郵件，其中包含誘騙其打開的惡意附件，Google極光攻擊行動即采用該方法；或利用遠程漏洞攻擊，在員工經常訪問的網站上放置網頁木馬，當員工訪問該網站時，就遭受到網頁代碼的攻擊，RSA公司發現的水坑攻擊(Watering hole)就是采用這種攻擊方法。這些惡意代碼往往攻擊的是系統未知漏洞，現有殺毒和個人防火墻安全工具無法察覺，有些會關閉防病毒掃描引擎，經過清理后重新安裝，或潛伏數天或數周，最終結果是，員工個人電腦感染惡意代碼，從而被攻擊者完全控制。

2.3 遠程控制

一旦惡意軟件安裝成功，相當于攻擊者控制了員工的個人電腦，需要構建某種渠道和攻擊者取得聯系，以獲得進一步攻擊指令。攻擊者最常安裝的就是遠程控制工具。這些遠程控制工具是以反向連接模式建立的，其目的就是允許從外部控制員工電腦或服務器，即這些工具從位于中心的命令和控制服務器接受命令，然后執行命令，這種連接方法使其更難以檢測，因為員工的機器是主動與命令和控制服務器通信的。這個命令控制通道目前多采用HTTP協議構建，以便突破組織的防火墻，比較高級的命令控制通道則采用HTTPS協議構建。

2.4 橫向滲透

攻擊者突破員工個人電腦并不是攻擊者的最終目的，其最終目的是突破組織內部其它包含重要資料的服務器，因此，攻擊者將以員工個人電腦為跳板，在系統內部進行橫向滲透，以進入更多的電腦和服務器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

2.5 數據外傳

進入核心服務器后，APT攻擊者必須將敏感數據從被攻擊的網絡非法傳輸到由攻擊者控制的外部系統。首先要將數據收集到一個文檔中，然后壓縮并加密該文檔。此操作可以使其隱藏內容，防止遭受深度的數據包檢查和DLP（數據防泄密）技術的檢測和阻止。然后將數據從受害系統偷運到由攻擊者控制的外部主機。

3 APT攻擊防御方法

針對APT攻擊的防御手段還不完善,目前還沒有十分有效的方法,但可以從技術層面、策略層面及管理層面進行研究和改進，降低APT攻擊的成功率。

3.1 APT防御常用的技術

3.1.1沙箱技術

沙箱技術是當前防御APT攻擊的最有效技術之一。沙箱即是通過虛擬化技術形成一個模擬化的環境，同時將本地系統中的進程對象、內存、注冊表等與模擬環境相互隔離，以便在這個虛擬化環境中測試、觀察文件及訪問等運行行為。沙箱通過重定向技術，將測試過程中生成和修改的文件定向到特定文件夾中，避免對真實注冊表、本地核心數據等的修改。當APT攻擊在該虛擬環境發生時，可以及時地觀察并分析其特征碼，進一步防御其深入攻擊[4]。例如，FireEye公司的MPS（Malware protection System）惡意代碼防護系統，就是一種新型的沙箱技術，可以直接采集網絡流量，抽取所攜帶文件，然后放到沙箱中進行安全檢測。FireEye被認為是APT安全解決方案的佼佼者，其產品被很多500強企業采購。

3.1.2信譽技術

信譽技術是具有較好輔助功能的一項APT攻擊檢測技術，通過建立信譽庫，包括WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫、威脅情報庫等，可以為新型病毒、木馬等APT攻擊的檢測提供強有力的技術輔助支撐，實現網絡安全設備對不良信譽資源的阻斷或過濾。信譽庫的充分利用，將進一步提高安全新品的安全防護能力。

3.1.3異常流量分析技術

異常流量分析制度是一種流量檢測及分析技術，其采用旁路接入方式提取流量信息，可以針對幀數、幀長、協議、端口、標識位、IP路由、物理路徑、CPU/RAM消耗、寬帶占用等進行監測，并基于時間、拓撲、節點等多種統計分析手段，建立流量行為輪廓和學習模型來識別流量異常情況，進而判斷并識別0Day漏洞攻擊等。

3.1.4大數據分析技術

大數據分析技術是全面采集各網絡設備的原始流量以及各終端和服務器上的日志，然后進行集中的海量數據存儲和深入分析。APT攻擊防御離不開大數據分析技術，無論是網絡系統本身產生的大量日志數據，還是安全管理平臺產生的大量日志信息，均可以利用大數據分析技術進行大數據再分析，運用數據統計、數據挖掘、關聯分析、態勢分析等從記錄的歷史數據中發現APT攻擊的痕跡，以彌補傳統安全防御技術的不足。

3.2 APT攻擊防御的方法

相對于APT攻擊，防御主要有以下三種方法：

3.2.1針對惡意代碼上傳

可采用以下方式進行防御：一是大多數 APT 攻擊都是使用魚叉式網絡釣魚[5]。因此，檢查是否有遭到篡改和注入惡意代碼的電子郵件附件，就能看出黑客是否正嘗試進行滲透；二是通過安全郵件網關來對外來郵件進行檢查和識別，及時修補對外網站應用程序和服務的漏洞；三是識別判斷攻擊者幕后操縱服務器的通訊企業，在沙盒隔離環境 (sandbox) 當中分析內嵌惡意軟件的文件 (如魚叉式網絡釣魚電子郵件的附件) 來判斷幕后操縱服務器的 IP 地址和網域，一旦找出幕后操縱服務器的網域和 IP 地址，通過更新網關的安全政策來攔截后續的幕后操縱通訊。

3.2.2.針對橫向滲透與探測的防御

可采用以下防護措施： 一是進行漏洞防護，能偵測任何針對主機漏洞的攻擊并加以攔截，進而保護未修補的主機。這類解決方案可保護未套用修補程序的主機，防止已知漏洞和ODay漏洞攻擊；二是安裝一致性監控軟件，如果系統安裝了能夠偵測可疑與異常系統與組態變更的一致性監控軟件，黑客就有可能也會觸動一些警示,及時查獲攻擊行為；三是加強系統內各主機節點的安全措施，確保員工個人電腦以及服務器的安全，也可有效防御APT攻擊。

3.2.3針對資料外傳的風險

可采用以下措施進行防護：一是加密資料外泄防護 (DLP)：將關鍵、敏感、機密的數據加密，是降低數據外泄風險的一種方法，DLP 可提供一層額外的防護來防止數據外泄。然而，這類工具通常很復雜，而且有些部署條件，例如：數據要分類，要定義政策和規則。二是建立網絡入侵檢測類方案：該類方案主要覆蓋APT攻擊過程中的控制通道構建階段，通過在網絡邊界處部署入侵檢測系統來檢測APT攻擊的命令和控制通道,雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構建的命令控制通道通信模式并不經常變化，因此，可以采用傳統入侵檢測方法來檢測APT的命令控制通道。三是建立事件管理制度，制定一套事件管理計劃來處理 APT 相關攻擊。

3.3 防御APT攻擊的注意事項

用純安全技術的方式來應對APT攻擊，是不全面的。更重要的是，要加強人的管理，提高設備的防護性能和制定嚴格的安全管理制度。

3.3.1加強人員的管理

首先嚴格控制每個員工可以接觸到的信息，切不可越權訪問，每次APT有進展的時候都是權限進行跨越的關鍵點，漏洞可以讓APT越權，同樣，信息權限不當也可以造成越權，控制好權限十分重要。即便是有一點權限丟失，也要把損失控制在一個較小范圍內。其次安全員要做好審計工作[6]，經常去查看日志，看誰在外網下載了可執行文件，這個可執行文件是不是正常；誰向外網發送了文件，是不是秘密文件；哪些計算機頻繁外連，正常不正常等。第三就是要問責，出了事兒誰負責，應當如何去懲罰，應當形成制度，以對員工的行為進行預警和威懾，提高員工的安全意識和主人翁意識。

3.3.2提高設備的性能

首先要合理配置網絡設備。合理配置邊防設備，例如防火墻，要具備基本的出入過濾功能，條件允許的情況下使用屏蔽子網結構；其次要配備相關安全技術，如抗ARP攻擊的能力路由器，使用VPN技術，郵件系統要具有防假冒郵件、防垃圾郵件的基本能力，使用可靠可更新的安全反病毒軟件；第三 善于使用代理服務器、web網關，企業內部的通訊要使用加密技術，對抗監聽和中間人。

3.3.3建立安全管理制度

對于重要的安全崗位，必須要制定嚴苛的安全管理制度。首先要建立安全人事制度，聘用背景清晰的安全工作人員，即要政審；要定期進行安全培訓，使員工掌握最新安全知識；離職時要進行安全檢查，不能帶走任何秘密信息，即做好脫密。其次要建立安全工作制度，要有專門的人員審核邊防設備記錄的重要信息;秘密文件資料要編號固定存放，避免丟失；及時更新電腦操作系統，有效對抗新的攻擊；電腦要使用強密碼，防止暴力破解。第三要建立崗位權限制度，要合理分權，最高的權限不能某一些人都有，特別單位領導要主動放棄最高權限。

4 結束語

防御APT攻擊雖然存在很多困難，遭受APT攻擊也不可能完全避免，但若嚴格按照本文要求做好防御工作，一定能將APT攻擊消滅在初始狀態，將攻擊損失降到最低。也相信，隨著研究的逐步深入，一定會有更科學合理的方法防御APT攻擊。

[1] 張瑜，潘小明等.APT攻擊與防御[J].清華大學學報，2013.

[2] 陳晨，王奕鈞等.針對手機的APT攻擊方式的研究[J]. 網絡信息安全，2015.

[3] 水波.什么是APT攻擊?[z].https://www.zhihu.com/que stion/28881041.

[4] 徐遠澤，張文科等.APT攻擊及防御研究[J].通信技術2015.

[5] 程三軍，王宇.APT攻擊原理及防護技術分析[J].網絡信息安全，2014.

[6] 李建方，張士鐸.高級可持續威脅攻擊關鍵技術研究[J].中國傳媒大學學報，2014.