APT攻擊下的信息安全

齊雅雯

摘 要：近年來，境外各類政府背景APT組織大力加強對我國進行網(wǎng)絡(luò)攻擊，技術(shù)手段高深，潛伏周期長，令人防不勝防。APT攻擊是指組織利用當(dāng)下先進的攻擊手法對特定目標(biāo)進行長期持續(xù)性的網(wǎng)絡(luò)攻擊，對此我們必須做好長期對抗APT的心理與技術(shù)準備。

關(guān)鍵詞：APT攻擊;信息安全;高級威脅

一、什么是APT攻擊

（一）APT攻擊的起源

APT這個詞匯最早起源于2005年，英國和美國的CERT組織發(fā)布了有關(guān)于針對性的社交工程電子郵件，盡管這時并沒有使用“APT”這個名字，但“先進的持續(xù)性威脅”一詞被廣泛使用。2006年的美國空軍Greg Rattray上校經(jīng)常被引用為創(chuàng)造該術(shù)語的人。

APT通常是指一個組織，甚至可能一個政府支持下的組織，因為APT團體是一個既有能力也有意向持續(xù)而有效地進行攻擊的實體。所以APT通常用來指網(wǎng)絡(luò)威脅，特別是使用互聯(lián)網(wǎng)進行間諜活動，利用各種情報搜集技術(shù)來獲取敏感信息，但同樣適用于諸如傳統(tǒng)間諜活動或攻擊等其他威脅。其他公認的攻擊媒介包括受感染的媒體，供應(yīng)鏈和社會工程。這些攻擊的目的是將自定義的惡意代碼放在一臺或多臺計算機上執(zhí)行特定的任務(wù)，并在最長的時間內(nèi)不被發(fā)現(xiàn)。

（二）APT攻擊的技術(shù)特點

正是由于攻擊目的與攻擊方式的特殊性，APT攻擊在技術(shù)上也有很多鮮明的特點。

1.針對性

APT攻擊的基礎(chǔ)或者前提是針對性攻擊，所以被攻擊的目標(biāo)往往會集中在很小的范圍內(nèi)，攻擊的手法也往往和被攻擊目標(biāo)自身的特點有關(guān)。很多時候，APT攻擊所采用的社會工程學(xué)手法和技術(shù)手法，可能僅僅對目標(biāo)人物和目標(biāo)機構(gòu)有效，而普通人反而并不容易中招。

針對性攻擊是APT最重要的技術(shù)特點之一，但并不是所有的針對性攻擊都是APT攻擊，它還必須要滿足高級和持續(xù)兩個條件。

2.高度隱蔽

一個攻擊組織能夠長期持續(xù)性地對特定目標(biāo)發(fā)動攻擊，一個必要的前提就是自身的隱蔽性。這種隱蔽性不僅僅是在攻擊成功之前，而且也是在攻擊成功之后，甚至永遠不被發(fā)現(xiàn)。只有極少數(shù)的破壞性APT攻擊，才必然會在一定時刻內(nèi)產(chǎn)生顯著的外部現(xiàn)象，并被攻擊目標(biāo)察覺。

3.不以直接獲取經(jīng)濟利益為目的

那些以金融盜竊或者商業(yè)詐騙為目的的、攻擊影響巨大的APT攻擊并不是APT攻擊的主流。絕大多數(shù)APT攻擊實際上都是以竊取機密信息為目的，還有一些破壞性攻擊或政治性攻擊，主要服務(wù)于國家或政府的“重大利益”，而不是為了直接獲取經(jīng)濟利益。

4.漏洞利用

在APT攻擊中，漏洞利用是非常常見的技術(shù)手段，特別是1day和Nday漏洞，幾乎被所有的APT組織使用。而某些技術(shù)水準較高的APT組織，還會掌握和使用一個至多個0day漏洞。0day漏洞的使用，使APT組織的攻擊處于一種幾乎不可防御，也難以被發(fā)現(xiàn)的狀態(tài)。

（三）APT攻擊的步驟

APT攻擊有多個階段，從攻擊者的初始訪問到最終的數(shù)據(jù)過濾和后續(xù)攻擊我們一共分為5步：

1.初始訪問

APT組織通常通過惡意上傳、搜索和利用應(yīng)用程序漏洞、安全工具中的漏洞來實現(xiàn)對目標(biāo)網(wǎng)絡(luò)的訪問，例如，對擁有特權(quán)帳戶的員工進行網(wǎng)絡(luò)釣魚，目標(biāo)是用惡意軟件感染目標(biāo)。

2.首次滲透和惡意軟件部署

在獲得訪問權(quán)限后，攻擊者通過安裝后門外殼、偽裝為合法軟件的特洛伊木馬或其他允許其對滲透系統(tǒng)進行網(wǎng)絡(luò)訪問和遠程控制的惡意軟件來危害滲透系統(tǒng)。

3.擴展訪問并橫向移動

攻擊者使用第一次滲透來收集有關(guān)目標(biāo)網(wǎng)絡(luò)的更多信息。他們可能使用暴力攻擊，或利用他們在網(wǎng)絡(luò)中發(fā)現(xiàn)的其他漏洞，以獲得更深入的訪問和控制其他更敏感的系統(tǒng)。攻擊者安裝額外的后門并創(chuàng)建隧道，允許他們在網(wǎng)絡(luò)上執(zhí)行橫向移動并隨意移動數(shù)據(jù)。

4.發(fā)動進攻

一旦他們擴展了他們的存在，攻擊者就可以識別他們要尋找的數(shù)據(jù)或資產(chǎn)，并將其傳輸?shù)骄W(wǎng)絡(luò)中的安全位置，通常是加密和壓縮以準備進行。

5、滲出或傷害

最后，攻擊者準備在系統(tǒng)外傳輸數(shù)據(jù)。他們通常會進行“白噪聲攻擊”，例如分布式拒絕服務(wù)（DDoS）攻擊，以分散安全團隊在網(wǎng)絡(luò)外圍傳輸數(shù)據(jù)時的注意力。之后，他們將采取措施移除數(shù)據(jù)傳輸?shù)淖C據(jù)。

根據(jù)攻擊目標(biāo)的不同，此時，APT集團可能會造成巨大損失，削弱組織的力量，或接管網(wǎng)站或數(shù)據(jù)中心等關(guān)鍵資產(chǎn)。

二、近期APT攻擊事件

習(xí)主席深刻指出：沒有網(wǎng)絡(luò)安全就沒有國家安全。近年來，境外各類政府背景APT黑客組織不斷加強對我國網(wǎng)絡(luò)攻擊，竊取大量重要敏感信息，試圖控制我國核心設(shè)備和關(guān)鍵設(shè)施，勢頭猛烈，威脅巨大，嚴重危害我國網(wǎng)絡(luò)空間安全和利益。

在第五個“全民國家安全教育日”之際，國家安全部披露了多起有關(guān)APT攻擊竊密的案例：2019年7月，某境外APT組織仿冒我國軍工領(lǐng)域某航空系統(tǒng)重點單位郵件登錄界面，專門搭建釣魚攻擊平臺陣地，冒用“系統(tǒng)管理員”身份向該單位多名人員發(fā)送釣魚攻擊郵件。該單位職工王某點擊了釣魚攻擊郵件，輸入了個人郵箱賬號和登錄密碼，導(dǎo)致其電子郵箱被秘密控制。之后，該APT組織定期遠程登錄王某電子郵箱收取王某郵箱內(nèi)文件資料，并利用該郵箱向王某的同事、下級單位人員發(fā)送數(shù)百封木馬釣魚郵件，導(dǎo)致十余人下載點擊了木馬程序，相關(guān)人員計算機被控制，數(shù)百份敏感文件被竊取。

這次的攻擊，是某境外APT組織利用特種木馬，通過控制多個境外跳板設(shè)備對我國航空系統(tǒng)數(shù)十臺計算機設(shè)備實施高強度網(wǎng)絡(luò)攻擊的活動。攻擊者精心偽裝其竊密行為，利用特種木馬平時處于靜默潛伏狀態(tài)，接收到遠程控制指令時再激活運行，整個過程十分隱蔽。

該攻擊技術(shù)先進，手法復(fù)雜，境外APT組織廣泛運用人工智能、大數(shù)據(jù)等先進技術(shù)，同事采取漏洞攻擊、誘騙攻擊、“中間人”攻擊等多種技術(shù)方式和手法，讓人不易防范。

三、應(yīng)對APT攻擊的舉措

從APT攻擊的過程和主要行為特征可以發(fā)現(xiàn)，整個攻擊循環(huán)包括了多個步驟，為實施攻擊而進行的準備探測活動也一定會留下痕跡，這就為檢測和防護提供了多個契機。因此，軍事網(wǎng)絡(luò)因?qū)PT攻擊的防御措施，可以遵循“多點部署，集中管控”的原則，即在各個可能的環(huán)節(jié)上部署檢測和防護手段，通過統(tǒng)一的平臺進行監(jiān)控和維護。

（1）我們應(yīng)當(dāng)堅持總體國家安全觀，梳理正確的網(wǎng)絡(luò)安全意識，多層次多維度地防范抵御網(wǎng)絡(luò)安全的風(fēng)險與挑戰(zhàn)。

（2）加強常態(tài)化網(wǎng)絡(luò)安全教育和技能培訓(xùn)，提升網(wǎng)絡(luò)安全敵情意識和防范技能。工作人員的疏忽大意和違規(guī)操作，是絕大多數(shù)網(wǎng)絡(luò)安全事件和失泄密案件發(fā)生的主要原因。提高工作人員的網(wǎng)絡(luò)安全防范意識和技能，徹底杜絕不安全操作行為，是做好網(wǎng)絡(luò)安全管理的根本。必須嚴格做到“涉密不上網(wǎng)，上網(wǎng)不涉密”，不在非涉密計算機和移動存儲介質(zhì)中存儲涉密資料，不通過互聯(lián)網(wǎng)郵箱存儲傳遞涉密文件資料，不在固定電話和手機中談?wù)撋婷軆?nèi)容，涉密計算機和移動存儲介質(zhì)嚴禁連接互聯(lián)網(wǎng)。

（3）要加強對計算機、電子郵箱的安全防護。除了在辦公計算機、手機上安裝殺毒、防護軟件等措施，還要不定期的對連網(wǎng)設(shè)備進行安全檢測，發(fā)現(xiàn)計算機、手機等是否感染病毒木馬程序，存在可疑的網(wǎng)絡(luò)請求或連接，郵箱是否存在異常的登錄情況。在出差特別是出國時，最好攜帶新的、不存儲任何文件的新計算機、新手機，注冊新的電子郵箱，在經(jīng)過技術(shù)檢測前不輕易使用別人以禮品形式贈送的電子設(shè)備。

（4）要加強同國家安全機關(guān)等專業(yè)部門的協(xié)作配合。國家安全機關(guān)是網(wǎng)絡(luò)反間諜對敵斗爭的專業(yè)部門，有責(zé)任、有義務(wù)指導(dǎo)協(xié)助各單位做好網(wǎng)絡(luò)安全防范工作。國家安全機關(guān)將積極協(xié)助各涉密單位開展反間諜技術(shù)竊密檢測，發(fā)現(xiàn)計算機網(wǎng)絡(luò)被境外間諜情報機關(guān)攻擊竊密情況及運行管理中存在的漏洞和薄弱環(huán)節(jié)，及時消除危害隱患。

（5）做好長期對抗的準備，不是阻斷一次攻擊就能一勞永逸的那一種威脅，我們必須做好長期對抗APT的心理和技術(shù)準備。要加強同國家安全機關(guān)等專業(yè)部門的協(xié)作配合。國家安全機關(guān)是網(wǎng)絡(luò)反間諜對敵斗爭的專業(yè)部門，有責(zé)任、有義務(wù)指導(dǎo)協(xié)助各單位做好網(wǎng)絡(luò)安全防范工作。國家安全機關(guān)將積極協(xié)助各涉密單位開展反間諜技術(shù)竊密檢測，發(fā)現(xiàn)計算機網(wǎng)絡(luò)被境外間諜情報機關(guān)攻擊竊密情況及運行管理中存在的漏洞和薄弱環(huán)節(jié)，及時消除危害隱患。

參考文獻

[1]http：//www.freebuf.com/articles/neopoints/152457.html

[2]https：//en.wikipedia.org/wiki/Advanced_persistent_threat

[3]http：//www.aqniu.com/news-views/29381.html

[4]https：//www.freebuf.com/articles/network/222059.html