APT攻擊與檢測研究

作者簡介：劉暢（1992-），男，碩士，助理工程師。研究方向為網絡信息安全。

DOI：10.19981/j.CN23-1581/G3.2024.21.002

摘" 要：隨著網絡在社會的應用越來越廣泛和深入，信息安全的重要性也得到越來越多的關注，高級持續性威脅（Advanced Persistent Threat， APT）已成為高等級網絡安全威脅的主要組成部分，其相對傳統安全威脅具有隱蔽性強、時間跨度久、針對性強等特點，對傳統安全防御體系造成嚴重威脅。該文介紹歷史上一些典型的APT攻擊案例，梳理APT的攻擊特點和典型流程，最后探討現有的對抗APT比較有效的檢測方法。

關鍵詞：高級持續性威脅；社會工程學；惡意郵件；零日漏洞；攻擊檢測

中圖分類號：TP39" " "文獻標志碼：A" " " " " 文章編號：2095-2945（2024）21-0008-04

Abstract： As the application of the Internet in society becomes more extensive and profound， the importance of information security has also received increasing attention. Advanced Persistent Threat （APT） has become a major component of high-level cybersecurity threats， which is characterized by strong concealment， long time span， and strong pertinence compared to traditional security threats， thus posing a serious threat to traditional security defense systems. This paper introduces some typical APT attack cases in history， summarizes the attack characteristics and typical processes， and finally reviews the existing effective detection methods against APT.

Keywords： Advanced Persistent Threat; social engineering; malicious email; zero-day vulnerability; attack detection

網絡技術的廣泛應用給我們的社會帶來了極大的變革，但同時也帶來了信息安全方面的風險，在網絡威脅中，高級持續性威脅（Advanced Persistent Threat，APT）已經造成了嚴重危害，引起了學術界和企業界的關注，特別是在近十年來，隨著社交媒體應用的興起，相關的社會工程學方法日益成為了針對性滲透策略突破口。作為一種新興的攻擊模式，APT具有持續時間長、針對性強、隱蔽性高等特點，因此被越來越多地、有組織地使用在國家、企業的信息系統上。

自2006年起，APT的概念被正式提出，此后由于APT攻擊日益增多，國際著名黑客大會和國內安全大會相繼舉辦APT專題研討會或論壇[1]。與此同時，安全廠商也開始推出APT解決方案，國內的就有360公司的天眼未知威脅感知系統等。

APT的概念提出后，學界一直沒有給APT一個精確性的定義，各研究機構和學者分別給出了自己的描述和理解，這些描述基本上都是大同小異的，總的來說，APT攻擊是某組織或團體以高水平的技術和豐富的資源為基礎，使用各種攻擊方式對特定目標進行長時間、隱蔽性的網絡攻擊，目的是獲取目標的內部關鍵信息或破壞關鍵設施以阻礙目標重要目標的任務實施。

1" APT攻擊的典型流程

APT攻擊一般具有比較明顯的商業或政治目的，其目標也經過精心選取而不是大規模攻擊。這種攻擊方式非常注重隱蔽性，追求每一步達成一個目標而不是做很多無用的事情來打草驚蛇。

1.1" 典型APT攻擊案例簡析

對世界各國的APT攻擊時有發生，例如2009年美國國防部對中國長城網進行了后門植入和情報竊取；2010的“震網”病毒攻擊了伊朗的核設施計算機系統，成功干擾了伊朗核計劃；2011年的“夜龍行動”成功竊取到了全球主要能源公司的機密文檔；2012年最早發現于伊朗能源部門電腦的“火焰”威脅了包括伊朗在內多個中東國家能源相關的大量機密信息。從以上事例可以看出，APT攻擊無論是對企業還是對政府等都造成了不可忽視的威脅，有必要對這類攻擊案例進行解析。

1.1.1" 極光攻擊

極光攻擊（Operation Aurora）[2]是針對Google等20多家大型高科技企業的APT攻擊。攻擊者首先通過社會工程學，將目標鎖定在Google公司的一個員工以及他的一個好友上，通過對Facebook上的公開資料進行分析，該員工好友有一個攝影的愛好，而且喜歡將攝影得到的照片進行分享。接著攻擊者入侵并控制了這個好友的計算機，搭建了一個部署有攻擊IE代碼的假照片服務器。然后，攻擊者使用被控制的好友賬號給該Google員工發消息請他來欣賞拍攝的最新照片，但消息中附帶的URL卻指向的是帶IE攻擊的Web頁面，一旦該員工點擊了這個惡意URL，他的計算機就被攻擊者控制，然后攻擊者利用這個員工的內網權限在Google公司的內網中持續滲透，最終成功獲取了GMail系統中很多敏感用戶的訪問權限，并竊取了GMail系統中的機密信息，最后使用加密信道將數據傳遞出去。經過調查，還有20多家美國高科技公司都遭到了此類方法的攻擊，甚至包括賽門鐵克這樣的提供網絡安全產品的開發商。

1.1.2" 震網攻擊

震網攻擊（Stuxnet）[3]是針對伊朗核設施的APT攻擊。伊朗核電站內部網絡與外界物理隔離，因此釣魚郵件之類的攻擊無法生效，為了順利達成攻擊，攻擊者首先利用社會工程學收集了核電站一些工作人員及其家庭成員的信息，對這些家庭成員的個人電腦進行攻擊，成功控制了這些家庭成員的主機。然后，攻擊者利用了4個Windows的零日漏洞，通過擺渡攻擊方式借助USB移動介質成功滲透進入物理隔絕的伊朗核電站內網。最后攻擊者利用3個西門子工業系統的零日漏洞成功控制了離心機的控制系統，使其運轉參數改變，但在監視器上顯示其運行狀態一切正常。

1.2" 典型APT攻擊案例簡析

通過對以上等典型案例的分析，可以將APT的攻擊流程分為信息收集、定向入侵、遠程操控、橫向滲透、數據挖掘、資料竊取/系統破壞6個階段。

6階段劃分是比較細的劃分，現在也有研究者提出準備階段、發動攻擊階段、潛伏階段、數據傳回階段4階段的劃分[4]。本文仍然按照6階段進行介紹。

第一階段，信息收集。一方面針對目標系統的網絡環境信息，包括網絡結構、防護體系、業務系統和應用程序版本等，尋找目標所使用的可能存在漏洞的軟件和基礎架構。另一方面使用爬蟲和大數據等手段基于社會工程學挖掘目標機構的人員相關信息，這些手段使得攻擊者可以從公開數據中提取出目標組織的機密信息[5]。基于這些信息，攻擊者就可以針對性地制定詳細的攻擊計劃并開發對應的攻擊工具。

第二階段，定向入侵。攻擊者通過釣魚電子郵件、遠程SQL注入等其他手段來執行零日漏洞攻擊或利用Word、Excel及Adobe Reader的已知漏洞進行攻擊，圖1展示了APT攻擊者常用的攻擊方式[4]。

從圖1可以得到APT攻擊者主要使用的手段：通過電子郵件鏈接或附件進行魚叉式釣魚攻擊、水坑攻擊等。

附帶鏈接的釣魚郵件攻擊通常是通過電子郵件中的鏈接引誘用戶向偽造網站發送密碼或點擊惡意鏈接來實現攻擊目的。攻擊者通常以管理員身份，發送密碼維護、系統升級、通知公告等郵件，要求用戶發送密碼或點擊文本鏈接進行身份驗證，或者誘騙用戶點擊指向惡意頁面的鏈接。攜帶附件的釣魚郵件攻擊是通過精心設計的電子郵件主題和電子郵件正文，通過綜合欺騙、誘惑和其他方式誘使用戶點擊電子郵件附件，從而下載并運行惡意代碼。從公開的APT案例分析中，我們還發現攻擊者通常使用的電子郵件附件是色情圖片、官方文件等。一旦用戶打開惡意附件，漏洞利用程序將在后臺啟動，攻擊者可以遠程控制目標系統。

水坑攻擊常見的做法是分析攻擊目標的上網活動規律，經常訪問哪些網站，然后利用網站漏洞在其中植入攻擊代碼，用戶訪問該網站就被攻擊了。這種方式隱蔽性高，成功率較高，前提是網站要有漏洞可利用，以便攻擊者將惡意代碼部署于其上。當用戶訪問被“加工”過的網站時，攻擊代碼會向客戶端植入惡意代碼或者直接竊取用戶信息，有些就是將用戶跳轉到其他惡意網站。

第三階段，遠程操控。當受害者點擊釣魚郵件的附件或惡意鏈接時，攻擊者便可以向受害者的機器中植入后門或木馬程序，遠程控制該用戶的計算機。接著攻擊者可以使用各類網絡協議與受害者的機器通信以完成遠程控制，從統計數據可以分析得出攻擊者喜歡使用DNS、HTTP/HTTPS、FTP以及郵件協議[6]。

第四階段，橫向滲透。處在這個階段的攻擊者一般會進行2種動作，一是進行信息收集，在被控制的計算機所在的內部網絡繼續搜索其他計算機，以獲取更多的潛伏點和敏感信息，最終可能找到具有較高攻擊價值的機器；二是進行權限升級，這里又分為系統權限升級和網絡權限升級。系統權限升級指獲取更高級別賬戶的控制權，否則主機終端保護機制會發現低級別權限的異常行為，通常通過掃描鍵盤獲取密碼；網絡權限升級指利用被控制的主機進一步滲透和控制內網關鍵目標（如郵件服務器、數據庫服務器等），逐步獲取對重要目標的訪問權限。

第五階段，數據挖掘。這個階段是潛伏階段，APT程序在受害者的機器以及入侵的網絡中進行數據挖掘以發現更多信息，在這個階段通常有人工進行介入以提高效率。

第六階段，資料竊取/系統破壞。這是攻擊的最后階段，通常有極高的暴露風險。攻擊者將竊取到的數據發到指定服務器上，或控制關鍵系統進行隱蔽毀壞，比如伊朗的離心機系統就受到震網攻擊而導致轉速異常，使得其核計劃延遲了數年。圖2展示了經統計得出的大量APT攻擊者實施攻擊的目的[4]。

可以看到信息竊取在所有的APT攻擊目的中占到了82%，是第一目的，為了避免被發現，攻擊者在發送數據回傳的過程中，使用加密通信和隱蔽通信技術來隱藏其行為。此外，還會進行日志清理來避免追蹤，包括清理操作系統的審計日志和應用軟件的日志，如果能找到網絡中的安全審計設備，攻擊者還會致力于對網絡安全審計設備的日志、系統監控數據和報警日志等進行清理，不過要做到這一點不僅要準確找到網絡中的審計設備，還要準確清除與APT攻擊相關的日志，實際的APT攻擊者很多選擇在整個攻擊過程中盡可能模擬正常應用程序，這使得APT攻擊淹沒在大量正常的系統和網絡審計記錄中，以實現數據清洗的目標。

2" APT攻擊的檢測技術

2.1" APT檢測的難點

APT普遍利用零日漏洞和未知木馬，通過低頻度相互聯絡、加密通信等手段，躲避傳統檢測手段；由于APT常結合使用多種攻擊手段，整個攻擊過程很可能長達數月乃至數年，常規的基于單點時間的檢測難以面對這種變化；APT攻擊的路徑也很不確定，組織內任何網絡終端都有可能成為入侵的起始點，攻擊者通常會使用大數據分析技術針對性地收集目標組織的人員信息，精心地挑選攻擊對象。

2.2" 現有APT檢測技術

2.2.1" 網絡入侵檢測

網絡入侵檢測方面的研究基本上有兩方面：基于特征的入侵檢測和基于異常行為的入侵檢測[7]。

基于特征的入侵檢測需要維護一個已知特征的數據庫，通過這個數據庫就能通過基于特征的模式匹配檢測到惡意軟件和控制命令服務器之間的網絡通信流量。這種方法的優點在于數據庫如果比較全面則能夠有效檢測已知的惡意軟件，誤檢率比較低；但其缺點也很明顯，在面對未知的APT攻擊時，由于數據庫的局限性，這種方法無法檢測到具有新特征的惡意軟件。

基于異常行為的入侵檢測則需要首先對正常的網絡行為進行建模，當檢測到網絡行為偏離了正常的模型的時候，就可以發出警告[8]。這種方法的優點是不需要提前知道惡意軟件的特征，能夠檢測到未知的APT攻擊，但是由于不同應用的網絡行為千差萬別，很難對“正常”的網絡行為進行一個精確的定義，很多合法軟件也可能做出和惡意軟件類似的網絡行為，因此此方法的缺點在于誤檢率比較高。

2.2.2" 沙箱檢測

使用虛擬環境檢測惡意代碼，在沙箱中提取其API操作、文件系統操作、系統調用等動態特征，可以有效檢測惡意代碼，這種方法能識別傳統方法無法檢測到的零日漏洞。但是此方法也有特征提取慢的缺點，而且沙箱檢測技術的另一個問題在于其客戶端的多樣性，虛擬沙箱技術的檢測準確率與操作系統類型、瀏覽器的版本、瀏覽器安裝的插件版本等因素都有關系[9]。

2.2.2" 基于深層協議解析的全流量審計技術

傳統攻擊檢測技術僅止步于對數據包頭進行分析，無法檢測基于內容的安全威脅。該技術的基礎在于通過對全流量進行解析和還原，解析網頁訪問請求、下載的文件、即時通信消息等內容，進而檢測其異常行為。其關鍵技術包括大數據存儲及處理、應用層協議解析、文件還原等。全流量審計目前面臨的最大問題是數據處理量非常龐大，一個百兆網絡出口一天的數據流量甚至能達到1 TB[10]。因此，要實現針對APT攻擊的全流量審計功能，必須依靠大數據存儲和處理技術。

3" 結束語

對于內部計算機系統來說，做好保密工作是很重要的一環，應該加強教育引導，提高全體人員的安全防范意識，更新網絡安全保密觀念，牢固樹立保密就是保安全的觀念，教育涉密人員嚴格遵守相關規定等，預防APT攻擊者利用社會工程學攻擊[11]。對于網絡運維人員來說，要做好交換機、路由器、防火墻等設備的安防策略調整，設置定期更換且不易被暴力破解的口令，修復漏洞，封堵高危端口，裁剪不必要的網絡服務等措施，確保單位各網絡安全高效運行，一旦出現網絡安全事件要盡快處置并及時上報。

參考文獻：

[1] 張瑜，潘小明，LIU Q Z，等.APT攻擊與防御[J].清華大學學報（自然科學版），2017，57（11）：1127-1133.

[2] ADITYA K， ENBODY R J. ENBODY.Targeted Cyberattacks： A Superset of Advanced Persistent Threats[J].IEEE Security amp; Privacy， 2013， 11（1）：54-61.

[3] 許佳，周丹平，顧海東.APT攻擊及其檢測技術綜述[J].保密科學技術，2014（1）：34-40.

[4] LI M， HUANG W， WANG Y， et al. The study of APT attack stage model[C].2016 IEEE/ACIS 15th International Conference on Computer and Information Science （ICIS）， Okayama， Japan， 2016：1-5.

[5] 胡曉波.網絡對抗技術中社會工程學攻擊的研究[J].信息安全與通信保密，2009（5）：111-113，117.

[6] 王曉琪.高級持續性威脅中隱蔽可疑DNS行為的檢測[D].長春：吉林大學，2018.

[7] 肖蒲.人工智能及大數據技術在計算機監測控制中的應用分析[J].信息記錄材料，2023，24（4）：177-179.

[8] 潘孝聞.APT攻擊中橫向移動及數據回傳階段DNS隱蔽特征分析與行為檢測[D].長春：吉林大學，2019.

[9] 周濤.大數據與APT攻擊檢測[J].信息安全與通信保密，2012（7）：23.

[10] 付鈺，李洪成，吳曉平，等.基于大數據分析的APT攻擊檢測研究綜述[J].通信學報，2015，36（11）：1-14.

[11] 牛延莉，李余彪，羅雙春，等.戰區計算機網絡應對APT攻擊防范策略[A].2019年全國公共安全通信學術研討會優秀論文集[C].中國通信學會，2019：229-233.