基于行動特征的APT攻擊追蹤溯源淺析

◆王浩淼

（福州大學至誠學院 福建 350002）

高級持續性威脅（APT），即攻擊手段復雜（Advanced）、持續時間長（Persistent）、高危害性（Threat）。針對目標所發起的一種有組織、有規劃，具有難追蹤、難分析、難維護等特點的惡意網絡間諜行動。這種行動往往經過長期經營與策劃，傳統的網絡安全防護手段已經難以應對APT攻擊。

1 APT攻擊階段模型

APT攻擊手法復雜且多樣性，往往隨著目標發生變化而改變攻擊行動。

1.1 攻擊框架模型

總結近年來出現的APT攻擊案例，可將整個攻擊模型分為兩大類，即高級持續滲透和即時滲透。

（1）高級持續滲透

一般有明確的訴求文件，流程基本符合PTES執行標準——6段1報：前期交互階段、情報收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、后滲透攻擊階段以及報告編寫。持久滲透長期把控權限為主，其核心可歸納為“以時間換空間”。

（2）即時滲透

攻擊流程可分為5段1清1報。即前期交互階段、情報收集階段、威脅建模階段、漏洞分析階段、滲透攻擊階段、清理攻擊痕跡和報告編寫。與高級持續滲透攻擊不同，即時滲透攻擊會關聯已知線索，放大已知條件，快速入侵目標，以達到攻擊訴求。

1.2 攻擊階段特性

（1）在信息收集階段，攻擊者不僅需要通過各種手段收集與目標相關的資料，還要編制特定的惡意代碼、后門程序，為入侵目標系統做足準備；（2）當滲透進行時，攻擊者運用上一階段收集來的情報，橫向挖掘系統可能存在的漏洞，甚至利用0-Day。同時建立C2（Command and Control）通信，保障內部敏感信息不斷獲取，攻擊過程實時可控；（3）達到其預定目的后，攻擊者會銷毀整個過程中留下的痕跡，包括恢復主機配置信息、刪除注冊表、銷毀后門等，徹底清除攻擊痕跡，確保不給受害者留下任何有價值的證據。

就目前監測到的大量APT攻擊來看，破壞型攻擊非常罕見，絕大多數的APT攻擊都是以情報竊取為目的的竊密型攻擊。

2 APT常見攻擊載荷

無論是在全球還是針對中國的APT攻擊中，魚叉郵件都是最主要的攻擊方式，而排在魚叉攻擊之后的就是水坑攻擊，其次是中間人攻擊…

2.1 魚叉攻擊（Spear Fishing）

一種基于電子郵件針對特定團體的社工欺詐行為，目的是不通過授權訪問機密數據。最常見的方法是發送一封看起來來自聲譽良好的來源（如銀行）的電子郵件，將木馬程序作為附件發送給特定的攻擊目標，并嘗試誘使其打開附件引誘出私人信息。與其他攻擊方式相比，魚叉攻擊的技術含量和防御難度都相對較低，有一定安全意識，掌握一些基本的、非專業的安全技能，一般都能夠識別出絕大多數的魚叉郵件進行有效防范。不過，盡管魚叉攻擊的防范門檻并不是很高，但魚叉攻擊的使用成本是最低的，因此，一般的專用木馬與魚叉攻擊相結合，就形成了 APT攻擊中成本最為低廉，使用也最為廣泛的攻擊形式——攜帶惡意二進制可執行文件的魚叉郵件。這在實踐應用中，仍然不失為當前最為有效的APT攻擊手段。

圖1 魚叉攻擊和水坑攻擊的基本流程

像魚叉郵件社工突出的海蓮花（APT-C-00）就曾對之前已經攻擊過的目標進行反復攻擊。在某些仍然被控制著的電腦終端上，通過推送新的木馬程序，將木馬的C&C服務器轉換到新的IP或域名；而雙尾蝎組織（APT-C-23）的木馬主要偽裝成文檔以及一些特定軟件，通過魚叉或水坑等攻擊方式配合社會工程學手段進行滲透，入侵成功后開始竊取系統中的各類資料并實時監控。

2.2 水坑攻擊（Water Holing）

水坑攻擊是指黑客以特定組織為目標，通過分析網絡活動規律，尋找他們經常訪問的網站的弱點，先攻陷該網站植入惡意代碼，等待目標用戶訪問該網站上鉤。

相比于魚叉攻擊，水坑攻擊技術含量要相對高一些，這不僅僅是因為其防御難度之大，而且更重要的是，水坑攻擊通常是在目標人群訪問自己常用的或“可信”的網站時，暗中發動的伏擊戰，所以絕大多數情況下，被攻擊者對于水坑攻擊的攻擊過程毫無感知，因此也就談不上識別和防御了。

攻擊行動具有代表性的是活躍于敘利亞地區的黃金鼠組織（APT-C-27），該組織于2016年開始使用Facebook進行水坑攻擊，將帶有水坑鏈接的消息置頂，以更好地欺騙用戶點擊該鏈接下載惡意載荷；相關攻擊行動最早還可追溯到2010年，通過大數據關聯解析上百個惡意樣本文件，一次以竊取敏感信息為目的的針對性攻擊，該攻擊屬于美人魚行動（APT-C-07）的一部分。丹麥外交部為主的政府機構網站被植入惡意鏈接，而這類URL很可能是其他木馬請求下載或者由漏洞文檔、水坑網站在觸發漏洞成功后下載執行，且目標熟悉英語、波斯語，不難推測幕后組織來自中東。

3 APT攻擊分布及預防

從2018年全球公開披露的高級威脅分析報告中，被攻擊目標涉及最多的行業領域依然是政府、國防、金融。值得警惕的是，國家基礎性行業也正面臨越來越多的高級威脅攻擊風險，如醫療、電信等。

表1 APT攻擊涉及各行業占比及數量

這在一定程度上表明：中國被攻擊的目標人群整體安全意識和自我防護能力明顯低于全球平均水平，攻擊者并不需要使用太高難度的技術手法，就可以對中國目標人群實施有效的攻擊。例如，在曼迪安特公司（Mandiant）的APT1報告中，攻擊者截獲的數據量就將近幾個TB。那對于APT攻擊該如何有效的預防？

（1）加強信息安全意識培訓

通過培訓，可以提升雇員保護信息資產方面的能力，有效杜絕由于社會工程學所造成的欺騙，同時也能夠提升在遇到非預期信息泄漏威脅后，員工具有良好的應急響應能力。

（2）健全信息安全防護系統

針對不同重要級別的信息系統，定期進行安全風險評估，發現當前系統中可能存在的漏洞隱患，進行系統補丁升級。加強網絡層面和應用層面防護體系的建設，通過部署防火墻、IDS/IPS等安全設備，形成立體的防護體系。

（3）威脅情報路徑預測

建立基于樹型結構的竊密性APT階段模型模擬用戶環境，融合多源日志記錄形成攻擊上下文，將獲取到的上下文與規則數據庫進行匹配，發現攻擊事件，捕獲并記錄APT攻擊的所有行為，進行追蹤溯源，最終實現對APT攻擊行為的監測預警。

（4）建立信息安全管理體系

俗話講“七分管理、三分技術”，技術上不能解決所有的問題，必須規范信息系統在使用過程中的細則，從信息的創建、加工、傳輸、存儲、銷毀幾個方面規范操作行為，確保信息資產在可控的框架下服務。

4 結束語

本文針對APT行動的攻擊鏈、技術手段、目標對象及其內在邏輯進行了簡要描述，并基于行動特征的APT攻擊模型引述出4個活躍行動組織。對比由360威脅情報中心公開的研究報告，本文形式化描述存在過程表述不全面、重要信息缺失的不足，更沒有對模型進行驗證，相關研究還有待進一步深入。