高级持续性威胁攻击及预防的探索

陈 强

（新疆医科大学网络中心 新疆 830011）

0 引言

高级持续性威胁攻击（Advanced Persistent Threat，APT），它以黑客攻击、窃取核心资料为目的，针对目标客户所发起的网络攻击和侵袭行为。APT具有非常强的隐蔽性，在业内也称这种攻击为“恶意商业间谍威胁”。

APT不同于通常的网络攻击行为，常见的网络攻击属于泛洪式的攻击模式，比较有名的攻击如DDOS（拒绝服务攻击），能够造成攻击目标大面积瘫痪，影响的范围比较广。而APT攻击具有非常明确的攻击目标，针对特定对象进行长期、有计划和组织性地窃取有价值的数据。

1 网络攻击概述

Internet自上个世纪产生并发展至今，已经延伸到各行各业中，特别是21世纪，随着虚拟化、数据中心、物联网等技术从实验室陆续商用、民用。不管是企业还是个人，都加快了改变数据固有属性的步伐，从“本地化“到”网络化“、“平台化”、“共享化”。互联网的发展在改善了企业和个人的方方面面的同时，也引入了让人头疼的问题，那就是“网络攻击”。它伴随的网络的发展而发展。

网络攻击（Network Attack）就是利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。主要分为主动攻击和被动攻击两大类。

主动攻击：包含攻击者访问所需要信息的故意行为；

被动攻击：主要是收集信息而不进行访问，数据的合法用户对这种活动一点也不会察觉到，被动攻击包括：

窃听：包括键击记录、网络监听、非法访问数据、获取密码文件。

欺骗：包括获取口令、恶意代码、网络欺骗。

拒绝服务：包括导致异常型、资源耗尽型、欺骗型。

数据驱动攻击：包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。

2 网络攻击的发展

在网络攻击发展的历史长河中，不得不提到两个名词，那就是“骇客”和“黑客”。

骇客就是利用现有的一些程序进入别人的计算机系统后发现安全漏洞，并且利用这些漏洞破坏你的网站，让你出洋相；还有那些专门破译软件密码的从而制作盗版软件的人也是骇客的一种，可以说中国盗版如此严重也是骇客的“功劳”。骇客并没有想象中可怕，很多人一提到他们就联想到网络犯罪，这完全是没必要的。骇客们也只不过是为了炫耀自己的技术，大多数人并没有恶意。他们未必具有很高的技术，但有老顽童周伯通的心理，老是喜欢跟你开玩笑，通常用一些简单的攻击手段去搞一搞BBS、聊天室之类的。

然而黑客的做法则与骇客有着本质的区别，他们通常情况下会受到经济利益的驱使，利用自己掌握的电脑技术，入侵相关系统，窃取有价值的数据从而给自己带来经济上或者其他方面的好处，他们不是一群技术的炫耀者，而是网络世界里的“小偷”。

随着互联网的发展，网络攻击也经历这前所未有的发展，在过去，具有高超电脑技术的毕竟是少数，他们热衷于电脑技术，去专研。通常情况下，要成功入侵目标系统需要经过系统的分析过程，从踩点、信息收集、隐藏到最后成功实施入侵，需要经过漫长和复杂的过程。而随着互联网的发展，给相关技术的传播提供了广阔的平台，现在要实施一起入侵攻击行为，对于入侵者的要求则远远的低于之前，现在只需要网络、简单的工具就可以完成一次入侵攻击。

入侵技术的发展如图1所示，红线代表入侵者的水平。

图1 入侵技术的发展图

随着现在入侵攻击手段越来越隐蔽，以及攻击成本的低廉，很多破坏者的入侵步骤越来越简单，如图2所示：

图2 入侵步骤

Internet上的安全是相互依赖的，每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高，威胁将继续增加。

网络攻击的发展趋势主要体现在：攻击工具越来越复杂、发现安全漏洞越来越快、防火墙渗透率越来越高、自动化和攻击速度提高和对基础设施威胁增大这几个方面。

3 高级持续性威胁（APT）由来及威胁

自2010年Goog1e承认遭受严重黑客攻击之后，APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”，当然对于像Goog1e、RSA、Comodo等深受其害的公司而言APT无疑是一场噩梦，噩梦的结果便是对现有安全防御体系的深入思考。

APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击；这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需的相关信息；其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现；当然针对被攻击环境的各类0day收集更是必不可少的环节。

在已经发生的典型的APT攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式。当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。

对于APT攻击我们需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变的作战策略，法国人的整条防线便沦落成摆设，至于APT攻击，任何疏忽大意都可能为信息系统带来灾难性的破坏（如表1）。

表1 APT攻击特点

不难看出APT攻击更像一支配备了精良武器的特种部队，这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙等安全网关失去应有的防御能力。无论是0day或者精心构造的恶意程序，传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵。即便是业界热议的NGFW，利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。

一个完整的APT攻击流程主要分为6个阶段：

（1）情报收集阶段

获得有关目标的IT环境和组织机构的战略信息，31%的雇主会对员工在社交网站上发布攻击机密数据的行为给予纪律处分。

入口点。通过电子邮件、即时消息、社交网络或软件漏洞进入目标网络，87%的目标组织受到了URL的欺骗。

命令和控制通信。确信受攻击的主机与 C&C服务器（控制服务器）之间保持链接通信，主要APT活动利用web端口与C&C服务器通信。

横向移动。寻找将敏感信息存储在目标网络内的重要主机，所用的技术包括“passing the hash”，该技术可将攻击者的权限提升为管理员权限，从而获得访问关键目标的权限。

资产/数据发现。识别需要隔离的重要数据，以便将来达到数据隐蔽泄漏的目的。

数据隐蔽泄漏。将数据传输至威胁实施者控制的问题。

典型的APT攻击，通常会通过如下途径入侵到您的网络当中：

①通过SQL注入等攻击手段突破面向外网的Web Server；

②通过被入侵的Web Server做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备；

③通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境；

④被攻击者的私人邮箱自动发送邮件副本给攻击者；

⑤通过植入恶意软件，如木马、后门、Down1oader等恶意软件，回传大量的敏感文件（WORD、PPT、PDF、CAD文件等）；

（2）通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。

APT目前已经成为信息资产最大的威胁，很多企业在远程传输数据或本地存储数据的同时，为了确保数据的完整性和机密性，通常情况下会采用加密算法，使其数据不具备通用的可读性，只有知道密钥的访问者才能正常的读取相关数据。但是任何一种加密算法都是可以破解的，只要给入侵者时间和计算资源。随着目前云计算的推出，高性能的计算资源放在云端，民众可以方便的获取，入侵者可以利用高性能的计算资源，处理更加复杂的加密算法，破解一套加密算法的时间将大大缩短。

APT攻击目前已经成为入侵者攻击特定目标的重要手段，2009年底的“极光行动”，通过收集 goog1e员工在 Facebook、Twitter等社交网上发布的信息，利用动态DNS供应商建立托管伪造照片网站的Web服务器，goog1e员工收到来自信任的人发来的网络链接并且点击，通过加载恶意代码获取goog1e员工访问goog1e服务器的权限，进而获取goog1e邮件服务器的权限，进而不断获取特定Gmai1账户的邮件内容。最著名的应属于发生在2011年的RSA SecurID窃取攻击，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击，重要资料被窃取。最后导致RSA公司花费600万美元来修复系统漏洞。

（3）APT防御初探

在实施一次APT攻击时，攻击者会花上几个月甚至更长的时间对锁定的“目标”网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，业务系统的弱点分析，业务状况的梳理，相关员工信息的收集等等。当攻击者收集到足够的信息，就会对目标发起攻击。在攻击过程中，攻击者会对目标网络和业务系统再一次进行深入的分析和研究，所以这种攻击的成功率非常高。

（4）RSA SecurID窃取攻击

2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击，重要资料被窃取。

（5）暗鼠行动

2011年8月，McAfee和Symantec公司发现并报告了暗鼠行动。该攻击从2006年启动，在长达数年的持续攻击过程中，渗透并攻击了全球多达72个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。

（6）极光行动

极光行动是2009年12月中旬可能源自中国的一场网络攻击，Goog1e在它的官方博客上披露了遭到该攻击的时间。此外还有20多家公司也遭受了类似的攻击。

APT攻击自2011年全面爆发，石油、天然气和防务公司已经成为了这一复杂攻击的目标，这些公司的行业秘密和机密合同谈判等信息均遭到了窃取。对于一些关系到国民、经济等领域的公司，成为了APT攻击的主要目标。

APT不是一种新的攻击手法，因此无法通过阻止一次攻击就让问题消失。APT在前期收集情报的过程中，大量会采用社会工程学的手段，从外围或与特定目标相关的人或事寻找突破口，再进入突破口的时候，同样也会选择不管紧要的机器先入侵，以此作为网络攻击的跳板，横向扩展，如果企业中缺失对网络环境中细微变化的审计及监控措施，很容易会忽略网络中细微的变化，“千里之堤，毁于蚁穴”。针对目标明确、及其隐蔽的APT攻击模式，需要进行“内外兼修”的方式，建立立体、全方位的防御体系，关注网络环境发生的任何细微的变化。对于APT攻击如何有效的防御？

（1）加强信息安全意识培训

针对企业的员工，经常组织有关信息安全意识方面的培训，提升雇员在如何保护信息资产方面的能力，通过培训，可以有效杜绝使用社会工程学等方式的踩点攻击，同时也能够提升在遇到信息安全威胁后，员工的处理威胁的能力。

（2）健全信息安全防护系统

对于不同的重要级别的信息系统，定期进行信息安全风险评估的测试，发现目前系统中可能存在的相关漏洞信息，进行系统补丁升级。加强网络层面和应用层面防护体系的建设，通过部署防火墙、防毒墙、IDS/IPS、审计类等安全设备，形成立体的防护体系。

（3）静态检测方式

从攻击样本中提取攻击特征与功能特性，对攻击样本逆向分析；（4）动态检测方式

模拟用户环境，执行APT代码段，捕获并记录APT攻击的所有行为；审计网络中应用程序的带宽占用情况。发现攻击后，进行APT攻击溯源；

（5）产业链跟踪

实时跟踪分析网络犯罪团伙的最新动向。多维度的安全防御体系，正如中医理论中倡导的防患于未然思想，在威胁没有发生前，为企业IT生产环境进行全面的安全体检，充分掌握企业所面临的安全风险。

（6）建立信息安全管理体

俗话说“七分管理、三分技术”，技术上不能解决所有的问题，必须加强信息安全管理体系的搭建，规范信息系统在使用过程中的规则，从信息的创建、加工、传输、存储、销毁几个方面规范操作行为，确保信息资产在可控的框架下服务。

4 总结

在2013年的全球RSA大会上，APT防御再次成为热点议题。在APT防范领域，国内外厂商也展出了最优秀的APT解决方案，他们的防范策略和解决方案可以概括为四类：

（1）主机文件保护类

不管不管攻击者通过何种渠道执行攻击文件，必须在员工的个人电脑上执行。因此，能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况，从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案，典型代表厂商包括国内的金山网络和国外的Bit9。

（2）大数据分析检测APT类

该类APT攻击检测方案并不重点检测APT攻击中的某个步骤，而是通过搭建企业内部的可信文件知识库，全面收集重要终端和服务器上的文件信息，在发现 APT攻击的蛛丝马迹后，通过全面分析海量数据，杜绝APT攻击的发生，采用这类技术的典型厂商是RSA。

（3）恶意代码检测类

该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤，因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络，因此，恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定 APT攻击检测和防御方案的，典型代表厂商包括FireEye。

（4）网络入侵检测类

通过网络边界处的入侵检测系统来检测 APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多，但是，恶意代码网络通信的命令和控制通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有飞塔。

APT攻击是近年流行的杀伤力很大，并且很难防御的一种攻击模式，是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。主要就针对企业的商业机密信息和国家重要的基础设施进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。

对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型APT攻击。

[1]基维百科.2013.

[2]国际信息安全学习联盟.2013.

[3]绿盟科技技术内刊.2014.