APT攻擊趨勢分析和防御建議

曹順超 王翔宇 唐剛

關鍵詞：APT;高級持續性威脅；Oday；供應鏈攻擊；監測和防御

1APT攻擊概述

1.1APT攻擊特點

APT一詞最早是在2006年由美國空軍分析師針對未知入侵活動提出。近年來，隨著全球通信及互聯網技術的快速發展，社會生產、生活方式發生巨大變化，竊取機密情報、破壞基礎設施的各類APT攻擊事件頻發，對全球經濟和國家安全造成嚴重影響，APT攻擊已經成為網絡空間最嚴重的安全威脅之一。

美國國家標準與技術研究院（National Institute ofStandards and Technology，NIST）對APT的定義為攻擊者掌握復雜的專業知識和重要資源，通過多種攻擊途徑（如網絡、物理設施和欺騙等），在目標組織的信息技術基礎設施上建立和擴展立足點，以竊取機密信息，破壞或阻礙任務、程序或組織的關鍵系統，或者駐留在組織的內部網絡，進行后續攻擊。

APT攻擊具有攻擊者組織嚴密、針對性強、技術高超、隱蔽性強、持續時間長等特點。

（1）組織嚴密：APT攻擊一般具有軍事、政治或經濟上的目的，攻擊者團隊作戰，分工明確，具有嚴密的組織。

（2）針對性強：APT攻擊的目標明確，攻擊者一般只針對特定的目標機構、目標網絡和目標信息資產開展攻擊。

（3）技術高超：APT組織在人才、資金方面擁有豐富的資源，在漏洞挖掘、惡意代碼編寫、滲透測試等方面擁有高超的技術能力。

（4）隱蔽性強：APT攻擊者具有極高的隱蔽能力，在整個攻擊過程中會想方設法繞過目標單位安全設備的檢查，在系統中并無明顯異常。

（5）持續時間長：APT攻擊持續時間較長，在數據外泄階段會在目標網絡中進行長期潛伏，時間可達數月甚至數年。

1.2APT生命周期

參考網絡攻擊殺傷鏈（Cyber-Kill-Chain）模型和ATT&CK（Adversarial Tactics， Techniques and CommonKnowledge）模型，APT的生命周期可分為情報偵察、前期滲透、入侵實施、數據竊取、隱蔽通道5個階段，每個階段環環相扣，具體如圖1所示。

第1階段，情報偵察。本階段攻擊者通過主機掃描、端口掃描、漏洞掃描、釣魚等手段收集攻擊目標的開放端口、潛在漏洞等情報信息，并利用這些情報信息制定入侵方案，如開發攻擊工具，繞過安全措施，確定攻擊時間等。

第2階段，前期滲透。本階段攻擊者利用Oday攻擊、SQL注入攻擊、設計缺陷攻擊、VoIP攻擊、魚叉式釣魚攻擊等方式，實施滲透并獲得對端點設備的有限訪問權限。被攻擊的端點設備可以進一步提升特權，也可用作通信雷達和信息收集設備。

第3階段，入侵實施。本階段攻擊者將對上一階段控制的端點設備實施進一步滲透攻擊，以實現權限提升及橫向滲透。通過擴展訪問權限尋找有價值的數據，利用系統的內部漏洞增強隱蔽性[1]。

第4階段，數據竊取。本階段攻擊者將檢索攻擊目標電子郵件和備份服務器數據，破壞數據庫，竊聽或操縱VoIP對話。通過部署遠程訪問工具、密鑰記錄器或腳本工具等進行數據過濾，并采取各種反簽名、反溯源手段避免觸發警報。

第5階段，隱蔽通道。攻擊者通過建立無數的后門來創建隱蔽通道，使用反追蹤技術廢除或損壞證據。攻擊者成功控制目標網絡后，竊取機密情報，為后續進行欺詐交易、商務勒索提供籌碼[2]。

2APT攻擊事件和趨勢分析

近年來，各類APT攻擊頻繁爆出，對社會的經濟和穩定造成嚴重影響。著名的APT攻擊有Google極光攻擊、超級工廠病毒攻擊（震網攻擊）、SolarWinds供應鏈攻擊、夜龍攻擊、Nitro攻擊、暗鼠攻擊、RSASecurID竊取攻擊、Lurid攻擊等。其中，SolarWinds供應鏈攻擊因其影響范圍廣、復雜程度高等特點，受到社會各界的高度關注[3]。

2020年12月，SolarWinds供應鏈攻擊事件爆光，其大致攻擊流程如下，首先APT組織通過前期滲透成功獲取SolarWinds公司的網絡訪問權限，然后在其網管軟件Orion的更新包中植入Sunburst后門，用戶下載安裝包含后門的Orion軟件更新包后，將被植入木馬，用于實施信息竊取或橫向滲透。SolarWinds作為全球IT管理軟件供應商，客戶遍布全球多個國家和地區，本次事件約18 000個客戶遭受攻擊，被稱為“史上最嚴重”的供應鏈攻擊[4]。

隨著世界經濟和技術的發展，全球APT攻擊的特點也不斷發生變化。奇安信威脅情報中心發布的《全球高級持續性威脅（APT） 2021年度報告》指出，受新冠疫情影響，2021年度全球APT攻擊活動呈以下特點：（1）針對源代碼的供應鏈攻擊呈上升趨勢；（2）航空產業成為境外情報機構的重點攻擊目標；（3）新型APT組織提供破壞服務，以斂財為目的（通過定向勒索獲取經濟利益）；（4）在野Oday漏洞深受APT組織青睞；（5） APT組織攻擊武器、手段持續更新升級。2021年，受攻擊較多的5個APT目標包括相關機構、醫療行業、科技行業、國防軍工和制造行業。2021年，活躍度較高的5個APT組織包括Lazarus，APT29，Kimsuky、肚腦蟲和海蓮花[5]。

中國作為全球APT攻擊的首要地區性目標，網絡安全面臨巨大考驗。APT組織將中國作為攻擊目標，不惜花費巨額資金和人力物力成本，不斷升級攻擊手段，提升攻擊頻率，頻繁使用Oday漏洞對國內科研、教育、能源、軍工、核能等關鍵行業實施了高頻次定向攻擊。經奇安信威脅情報中心分析，2021年，我國攻擊頻率最高、危害最大的APT組織主要來自東亞、南亞和東南亞地區，其中包括海蓮花、蔓靈花、虎木槿、Winnti、毒云藤等，攻擊活動主要針對我國衛生醫療部門、高新科技企業等領域，重點攻擊目標區域包括廣東、福建、浙江、江蘇等沿海省份及北京。

3APT攻擊的監測和防御建議

面對全球APT攻擊持續活躍的嚴峻形勢，本文建議從以下幾個方面加強網絡安全管理和建設工作，防范境外APT組織對我國發起定向攻擊，從而提升我國APT監測和防御能力。

一是持續關注APT組織動態。組織國內重點行業、安全廠商、高等院校、研究機構等資源力量，持續跟進APT組織動態分析、技術研究工作，盡量全面掌握APT組織情況、攻擊行為特點、常用技術手段等，及時發現針對我國的APT攻擊行為并作出響應。

二是加強APT攻擊技術研究。加強對APT攻擊惡意程序的分析、判定，以及APT攻擊監測，APT協同處置等相關技術研究工作。促進產、學、研、用相結合，建立APT攻擊基礎理論，突破關鍵技術攻關，研制監測系統架構，提升我國對APT攻擊的監測、防御能力。

三是落實網絡安全責任。全國各行業，尤其是APT攻擊的重點目標行業，應落實行業網絡安全責任。行業監管部門要按要求開展監督管理工作，行業內相關企業按要求落實網絡安全和數據安全各項工作，如部署適配的安全設備、定期開展資產安全審查、定期組織針對性應急演練等，行業上下共同樹立針對APT攻擊的安全防御屏障。

四是防范Oday漏洞攻擊。各企業應建立健全的安全管理體系，針對Oday攻擊做到事前預防、事中響應、事后總結。在系統需求分析和設計階段，進行合理的安全設計，規避風險；在系統開發階段，提升開發人員的安全編碼意識，選用安全的開源組件，避免Oday漏洞的發生，降低風險；在系統運維階段，建立完善的應急處置方案，密切監測漏洞信息，發生Oday攻擊后按流程快速響應，最大限度地減少影響。

五是加強安全人才培養。企業和高校聯動，建立APT研究實驗室，開展高水平教學、研發活動，聚集和培養優秀科技人才，壯大我國網絡安全人才隊伍。