APT: 攻击容易 防御不易 且行且珍惜

APT^[注] 防不胜防

APT，高级持续性威胁，所谓的“高级”主要体现在其攻击行为特征的难以提取、攻击渠道的多元化和攻击空间的不确定性上。首先，APT获取权限是通过零日攻击实现的，然而通过获取和分析相应攻击的指纹特征来识别攻击具有明显的滞后性，这导致通过实时监测发现APT攻击不可行。APT注重对动态行为和静态文件的隐蔽，比如隐蔽通道、加密通道等，几乎所有的APT都具有这样的特点;其次，APT攻击渠道的多元化导致很难使用技术手段建立一张防护网来防止攻击;最后，APT攻击空间的不确定性，即任何一个阶段、任何一个网络都有可能成为攻击的目标，包括边缘性的、非核心的节点。

如果将网络空间比作人体，网络安全威胁可以比作人体的一些疾病或者肿瘤，那么APT攻击则相当于一种慢性的、分阶段的侵蚀，是一种最难治愈的“慢性疾病”。大数据^[注]的特点是数据规模大、分布无所不在，这就使得数据的价值密度变得更小、更分散，从而导致很难聚焦于高价值的数据，这正是大数据本身所带来的攻击检测难点。据统计，攻击从产生到被发现平均耗时5年，而我们是否能够保证在5年的时间内一直关注某些数据?这在物理世界都很难坚持，更何况是在数据无所不在的网络空间。然而，攻击者则可能一直持续关注着这些敏感数据，这就造成APT攻击防不胜防。

APT的攻击特点

南京瀚海源技术顾问王胜利认为，APT是指攻击者采取现有检测体系难以检测的技术(未知漏洞利用、已知漏洞变形、特种木马等)，组合各种包括社会工程学、钓鱼、供应链植入等在内的多重手段，有针对性地对目标发起的攻击。这种攻击能够有效穿透现有传统防御体系，全球现有主流公司的内网依旧为传统防御体系，攻击者成功控制了目标网络主机之后，再进行内部渗透或收集信息的攻击模式。从技术角度来讲，A PT攻击的特点如下：

·0DAY漏洞威胁：由于系统还未修补，而大多数用户尚未知漏洞的存在，因此0DAY漏洞是攻击者入侵系统的利器。也有很多利用已修复的漏洞，但由于补丁修复不普遍(如第三方软件)，通过变形绕过现有基于签名的检测体系而发起攻击的案例。

·多态病毒木马威胁：已有病毒木马通过修改变形可以形成新的未知的病毒和木马，而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马，其可以绕过现有基于签名的检测体系发起攻击。

·混合性威胁：攻击者混合多种路径、手段和目标发起攻击，如果防御体系中存在着一个薄弱环节就会被攻破。而现有安全防御体系是独立防御，缺乏关联，即使一个路径上检测到威胁也无法将信息共享给其他的检测路径。

·定向攻击威胁：攻击者发起针对具体目标的攻击，大多数情况下是从邮件、IM、SNS发起，因为这些系统账户背后标记的都是一个真实固定的用户。而定向到人与他周边的关系，是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起，并和多种渗透手段组合起来，就是一种APT攻击。

·APT威胁：APT威胁是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合，造成最大的威胁。其是黑客团队精心策划，为了攻击者认定的目标，长期的持续的攻击行为。攻击者一旦攻入系统，会给受害者带来重大的损失(但受害者可能感受不到)，而且会长期持续的控制、窃取系统信息，关键时会大范围破坏系统。APT攻击，其实是一种网络情报、间谍和军事行为。很多时候，APT都具备着国家和有政治目的组织的背景，但为了商业、知识产权和经济目的的APT攻击，也并不少见。

APT^[注]攻击三环节

APT攻击可分为三个大的环节，每个环节又会有一些具体的工作内容，如下图

APT攻击环节

三个环节相互混杂交织，并没有严格的分界线。在此分开，完全是为了从技术上做更好的分析。另外，每个环节攻击者都可能发起多次攻击，有的持续多年，视攻击者意愿、被攻击的目标价值以及攻击者已经得手的情况而定。

·攻击前奏阶段

此阶段，攻击者主要是做入侵前的准备工作。包括：

收集信息：了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息，用于指导制定入侵方案，开发特定的攻击工具。在收集信息时，攻击者可以利用多种方式来收集信息，主要通过以下途径：

网络公开信息收集，如通过搜索引擎、企业站点、社交网站等公开的信息来收集分析攻击者需要的信息。通过地下售卖的大型站点的用户数据获取信息，由于各种站点自身的安全性比较薄弱，一些入侵站点为主的黑客会入侵获得他们的用户资料库然后地下售卖，如CSDN^[注]用户注册资料泄露事件，其实就是黑客早已窃取并售卖多次的数据库，失去价值后公开的，攻击者可以通过获取这些数据库获得需要的数据。

钓鱼收集：攻击者通过邮件和IM，发送一个正常的URL并吸引对方(如针对技术人员提供技术资料站点，高端人才招聘站点)，用户打开后也是一个正常有价值的站点，但是利用URL参数，攻击者可以标记邮件关联的人，再利用浏览器本身支持的功能可以收集用户使用的操作系统、浏览器和版本的信息。高级一些的，还可以利用ACTIVEX创建对象和路径加载探测技术，准确判定用户安装的各种应用环境，特别是客户端安全防护软件和一些常见的本地应用，这些都是可以用来指导攻击者精确攻击和绕开常规检测的信息。

人肉搜集：通过伪冒、套话，通过IM、邮件、电话甚至人身接近，配合社工获得更多的信息。

嗅探：如果攻击者可以解除到被攻击目标的网络(如托管WEB站点，攻击者可以入侵甚至自己也托管一台同网段主机进行嗅探获得信息，如无线网络，攻击者可以在附近嗅探获得信息)。

扫描：利用扫描技术，攻击者可以获得网络和开放服务的一些信息。

上述信息收集是贯穿全攻击生命周期的，在攻击计划中每获得一个新的控制点，就能掌握更多的信息，指导后续的攻击。根据攻击前获取的信息，攻击者做相应的技术准备，包括：

入侵路径设计并选定初始目标：攻击者设计一个攻击路径，通过多层的渗透，逐步达到攻击者希望获取的资产上。当然这个路径会随实施情形变化或更多信息产生改变。

漏洞和利用代码：攻击者发送直接木马过去成功率比较低，被发现率比较高，所以攻击者一般会借助应用的漏洞来发起攻击。当然，利用漏洞入侵受害者可信的服务器再通过篡改可信服务器上的可信程序植入或推送木马也是常见的手段，也有直接发送木马或绑定木马的文档再利用社工欺骗用户打开的案例。但整体来说，利用漏洞的欺骗性更强一些，安全意识高的用户也容易中招而难以察觉，安全防御软件也难以检测，特别是利用攻击者自己挖掘的0DAY漏洞。所以攻击者会根据受害者的应用环境，选择攻击者手上掌握的漏洞和利用代码，构造成看起来无害的东西如WORD文档、WEB页面。

木马：最终攻击者需要植入木马到被控制者机器中，但已知广泛传播的木马被检测率比较高，所以攻击者需要根据掌握的信息，定制开发木马并确保不被受害者主机上安装的安全软件查杀出来。攻击者可以在漏洞和利用代码那一层就做对抗如关闭这些软件，也可以在木马本身这一层做对抗绕过查杀。漏洞和利用代码和木马，我们统称为攻击负载。

控制服务器和跳板：除了对系统做纯破坏类的入侵，大多数的攻击，攻击者都会将窃取信息回传回来，所以需要开发特定的控制服务器，与木马进行通讯，来下发指令、实施内部渗透、获得窃取的信息，为了绕过检测，还会模拟内网常见协议如DNS、HTTP、HTTPS并进行加密。另外为了躲避追查，无论是攻击和控制，攻击者都需要利用1，2个不同国家已被攻击者控制的受害机器(俗称肉鸡)做跳板(当然越多越不易追查到攻击者源IP地址，但越多性能越差)。

外围渗透准备：攻击者会入侵一些外围目标，这些受害者本身不是攻击者攻击的目标，但因为可以被攻击者用来做跳板、社工跳板、大规模拒绝服务机器、相关信息获取等而被入侵：

入侵实际攻击目标可信的外部用户主机：这样攻击者可以以可信的身份(如QQ、MSN)向攻击目标发送攻击负载或可以物理接近被攻击者设施实体(如震网攻击中一种入侵方式就是入侵核电站工作人员家庭主机，当工作人员将工作U盘接入家庭主机时，震网将利用漏洞可以攻击核电站系统的攻击负载传递到U盘上)。

入侵实际攻击目标可信的外部用户的各种系统账户：这样攻击者可以以可信的身份(如邮件地址，SNS的账户)向攻击目标发送攻击负载。

入侵实际攻击目标可信的外部服务器：这样攻击者可以利用可信下载、可信自动推送向攻击目标发送攻击负载。

入侵实际攻击目标可信的外部基础设施：攻击者可以获得可信的外部基础的身份和认证，特别是数字签名和加密种子。一个可以将自己的攻击负载打上可信任的标签绕过检测，一个可以直接破解身份认证系统和加密数据。据估计，最近几年，APT攻击已经获取了大量的外部基础设施的证书和加密种子(如RSA种子失窃，赛门铁克证书失窃，荷兰证书公司证书失窃等)，这让APT检测更加困难。

入侵实施阶段

此阶段，攻击者针对实际的攻击目标展开攻击，包括：

a) 利用常规手段，将恶意代码植入到系统中

b) 通过病毒感染目标

c) 通过薄弱安全意识控制目标

d) 通过社会工程：利用人性的弱点发送恶意代码，欺骗用户打开并执行恶意代码

e) 通过供应链植入：攻击者控制了供应链某一环节

通过这一环节植入恶意代码进系统，当系统交付给最终用户后，攻击者就可以通过恶意代码控制最终用户的系统。这是掌握一定资源的国家和组织经常会采取的手法，最近也出现了一些新的方式，如购买手机植入木马后赠送或意外留给目标，发行盗版光盘或免费应用植入到目标中，甚至某些国家的部门或组织出现了派遣员工去有名的厂商那里卧底，然后植入后门、木马或漏洞，然后控制最终用户系统的事件。

利用缺陷入侵：缺陷是指IT系统中广泛事实存在且已知，但由于修复成本很高或短期内难以替代的问题，如默认密码、弱密码、默认配置和错误配置、脆弱计算机和网络环境和协议。

利用漏洞入侵：这是专业黑客对付重点目标常用的方式，重点目标的安全防护意识和意识，以及管理制度都比较完善，单靠前面的方式不容易凑效，攻击者会利用系统中存在的安全漏洞，特别是攻击者自己通过研究发现而其他人不知道的安全漏洞(0DAY漏洞)发起攻击，由于这类攻击使用看起来合法的业务数据为载体(如DOC文档)，受害者难以察觉攻击者的攻击，从业务管理规范上也很难避免不打开使用，因此成为APT^[注]入侵的主要载体。主要有：桌面文件处理类漏洞、浏览器类漏洞、桌面网络应用漏洞、网络服务类漏洞、系统逻辑类漏洞、对抗类漏洞、本地提权漏洞。

后续攻击阶段

攻击者窃取大量的信息资产进行破坏，同时还在内部深度的渗透以保证发现后难以全部清除(典型案例如韩国农协银行2011年4月被攻击者大规模破坏损失惨重，而这次320事件，其服务器又成为攻击者控制服务器)，主要环节包括：

价值信息收集：攻击者利用掌握到的权限和资源，分析和收集有价值的信息。

传送与控制：获取到的信息，攻击者将其传回攻击者控制的外部服务器。为了逃逸检测和审计，一般会模拟网络上一些常见公开的协议，并将数据进行加密。一些木马还有长期控制并和外部服务器进行通讯，按外部服务器下发的指令进行操作、升级的能力。另外针对隔离的网络，攻击者一般使用移动介质摆渡的方式，进行数据的传送。

等待与破坏：一些破坏性木马，不需要传送和控制，就可以进行长期潜伏和等待，并按照事先确定的逻辑条件，触发破坏流程：如震网，检测到可能是伊朗核电站的环境就修改离心机转速进行破坏。

深度渗透：为了长期控制，保证在被受害者发现后还能复活，攻击者会渗透周边的一些机器，然后植入木马。但该木马可能处于非激活状态，检测和判断网络上是否有存活的木马，如果有则继续潜伏避免被检测到，如果没有则启动工作。2011年4月韩国农协银行被黑客入侵大规模破坏，之后银行进行了处置，但2013年320事件，攻击者依然使用其内部主机做攻击其他机构的控制端，很有可能就是攻击者通过深度渗透潜伏下来，在11年事件大面积处置后还能复活继续控制韩国农协银行的内部网络。

痕迹抹除：为了避免被发现，攻击者需要做很多痕迹抹除的工作，主要是去掉一些日志，躲避一些常规的检测手段等。

国家响应机制

国家网络信息安全技术研究所所长杜跃进认为，站在更高的层面上，APT^[注]的大玩家其实是国家。他认为，APT的第一个玩家就是“白开水”，纯粹的技术性黑客，其攻击方法和动机也是有现代的基础;第二个是淘黑金，纯粹的趋利性成为了敲诈勒索的工具;第三个是窃密者，目的在于窃取政治、经济、军事、国防等情报。

攻击者动机不同，导致行为也不同。大玩家的APT攻击会涉及很多领域，如国家如何签约、对基础设施的攻击、对现代金融体系的攻击等，这些都可以在几小时之内导致上百亿甚至是千亿金融粉碎甚至是导致国家的混乱。对经济、能源、科技、国防等等领域的信息窃取、替换和篡改、引起社会的动乱、导致政权更迭等都是大玩家所想的事情。我国一定要举全国之力，应对这种集成了各种各样的能力和资源开展的针对性攻击。

BYOD^[注]风靡 APT防御新招数

如今智能手机、平板电脑和其他移动设备的快速普及，已然成为恶意软件的新目标。移动设备最大的特点是可以直接绕过企业所依赖的网关边界。近期的APT攻击案例显示，移动设备甚至已经成为APT攻击者们的重点攻击目标，尝试窃取人们的敏感性资料的同时也成为攻击者的跳板。

传统的安全防御更多的是注重边界安全，而BYDO时代移动设备的便携性、可用性、普及性以及天然绕过网络边界的特征让针对移动设备成为APT攻击环节中重要的一环。2013年3月24日卡巴斯基实验室的研究人员表示发现一起攻击利用android系统漏洞发起攻击的事件，攻击成功后，手机上的联系人、通话记录、短信、地理位置和其他的一些手机数据，如OS版本、手机型号、SDK版本等，然后传送到架设在美国洛杉矶的C&C服务器上。

BYDO时代，APT防御应做到如下几个方面:

移动设备尽量避免root和越狱;

从官方可信的官方市场安装应用;

网关边界使用具有BYDO安全策略的安全设备进行防护;

第三方来源的APK在类似“文件B超”检测系统确认安全后使用。

大数据^[注]时代 如何破解APT^[注]攻击难题

梭子鱼网络认为，目前APT攻击检测主要围绕着三个方面：恶意代码检测、主机应用保护、网络入侵检测。孤立地进行恶意代码的检测和主机应用保护，对防御APT攻击来说是很难奏效的。简单来说，解决思路主要有以下几方面：首先，虽然APT的载体存在于大数据中，给APT检测和对抗带来了一系列困难，但是也可以利用大数据对APT进行一些检测和应对。如果有各层面、各阶段的全方位信息数据，即对任何交互行为都进行检测，可以利用不同的数据找到不同的阶段进行APT分析;其次是全流量分析，其核心是对全年的数据进行存储，在此基础上做宏观的分析、微观特定事件的检测。由于很多流量行为存在统计意义上的普适性规律，因此，要在大数据的情况下进行小样本的异常检测;最后要解决大数据空间的不确定性问题。APT攻击是以分布式方式进行的，利用大数据组织、整理相关信息，提高截获攻击者攻击路径的概率。另一种可能是攻击目标是确定的，这种情况下将数据进行存储，形成所谓的历史模式数据，利用对历史模式数据进行重放来发现攻击线索。

360安全专家认为，目前比较有效的APT防御方法是结合沙箱的检测方案。其原理是通过将待检测的样本，如邮件附件、网络流量等，引入虚拟环境中执行，并观察该虚拟环境的进程、注册表、内存、文件、网络等各方面的异常行为，实现APT检测。360天眼则通过传统的基于签名的静态特征扫描技术相比，对未知恶意代码具有较强的检测能力。

此外，南京瀚海源认为，目前业界基本认同FIREEYE的APT攻击防护技术体系，以无签名检测算法+动态行为检测+恶意链路识别为主。辅助云端运维体系，快速帮助用户鉴别问题，同时获得足够的数据反馈，改进系统体系。防御技术的出发点技术可以有很多种方式，但基于各种稳定性、兼容性、性能的现实，都不可能有完备的手段完全防御住威胁。基于更先进的无签名检测算法+动态行为检测+恶意链路识别为主的技术其实也面临攻击者的对抗。

笔者认为，一个好的检测体系，不是强调自己无懈可击，而是在当前拥有一定对抗优势时，能否快速建立起对安全数据的快速获取、分析、响应的能力。当攻击者做出对抗时，能快速感知并做出改进和响应。从这个角度讲，无论哪种技术，都需要建立基于云端的体系，同时全面考虑自己的检测点，是否在攻击者做出对抗时，还有一定的感知能力去发现攻击者的对抗。同时，APT攻防其实是最顶端攻防知识的对抗。而这种对抗，最核心的是快速获取攻击者知识并转化为防御知识的能力。

作者：CNW鹿宁宁　|　来源：网界网