APT攻擊防護淺談

摘 要：APT攻擊作為一種高級持續(xù)性網(wǎng)絡攻擊手段，正威脅著各個行業(yè)企業(yè)的安全。本文通過對多個APT攻擊案例進行分析，針對APT攻擊過程，在技術和管理方法上提出了一些建議和實現(xiàn)的思路。

關鍵詞：APT；社會工程；異常行為檢測；防數(shù)據(jù)泄露

中圖分類號：TP393.08

近年來，眾多知名公司遭受APT攻擊事件被曝光，使得APT攻擊成為業(yè)內談論的高頻詞匯。所謂APT，（Advanced Persistent Threat）——高級持續(xù)性威脅，可以從三個方面來理解：

（1）高級性。具有非常明確的目標，應用多種嗅探手段以及全面的情報搜集。通常利用0day漏洞，采用廣譜性的入侵技術，由分工明確一組或多組人員協(xié)作完成，多為專業(yè)的網(wǎng)絡犯罪團伙或有組織和國家支持的特種攻擊團隊。

（2）持續(xù)性。攻擊的偵查和攻擊過程持續(xù)時間很長，以不達目的不罷休的決心，潛伏在網(wǎng)絡內部，等待時機竊取數(shù)據(jù)信息。

（3）隱蔽性。入侵進目標系統(tǒng)后，常常采用在系統(tǒng)底層建立隱蔽后門通道，使用增加數(shù)字簽名、使用DLL搜尋路徑劫持等技術來隱藏自身或偽裝成合法程序運行在主機上。

1 APT攻擊過程

APT攻擊過程[1]大致上相同，大體上可以分為五個步驟：

（1）攻擊目標之前，攻擊者會進行嗅探網(wǎng)絡和搜索有關于目標的情報。通常利用google搜索和各種掃描工具來搜索收集有用的人員信息，網(wǎng)絡和主機信息等等。

（2）通過收集的信息，利用0day漏洞，攻擊特定的主機，并且將惡意程序發(fā)送到主機上并誘使人員運行惡意程序。或向特定的人員發(fā)送含有惡意URL[2]的郵件或消息，目標人員打開郵件或瀏覽了惡意的URL，就會執(zhí)行特制的惡意代碼，自動下載惡意程序到本地，并且執(zhí)行。

（3）在被控制的主機和CC服務器之間上建立一個穿過內網(wǎng)防火墻的秘密通道。

（4）利用通道尋找重要信息，并確立目標系統(tǒng)。通過通道搜索高層人員的主機，獲得高等權限，能夠訪問存儲數(shù)據(jù)的服務器。

（5）利用通道向本機或指定機器傳輸數(shù)據(jù)。攻擊者采用高級規(guī)避技術將數(shù)據(jù)傳輸?shù)酵饩W(wǎng)。外傳數(shù)據(jù)方法有很多，如偽裝成可信數(shù)據(jù)，DNS流量等。

2 APT攻擊防護措施

從APT攻擊過程看出，攻擊經過了多個步驟，同時也為檢測和防護提供了機會。因此，APT攻擊防護可從防范嗅探網(wǎng)絡，防范社會工程學攻擊，網(wǎng)絡異常行為檢測，防數(shù)據(jù)泄漏等方面來進行。

2.1 防嗅探網(wǎng)絡

防范攻擊者嗅探網(wǎng)絡，也就意味著在攻擊者的第一步設下了障礙，降低了網(wǎng)絡和主機信息的泄露幾率，從而保護了內部網(wǎng)絡的安全。防嗅探網(wǎng)絡可以從以下幾方面入手：

（1）盡量在網(wǎng)絡中使用交換機和路由器。由于嗅探只能在當前網(wǎng)絡上進行數(shù)據(jù)嗅探，所以將網(wǎng)絡劃分的越精細，嗅探到的信息就越少。

（2）會話加密。對會話進行加密。這樣就不用擔心數(shù)據(jù)被嗅探，即使嗅探器嗅探到了數(shù)據(jù)，攻擊者也不認識嗅探到的數(shù)據(jù)，這些數(shù)據(jù)對其也是沒有用的。

（3）使用靜態(tài)IP-MAC地址表[3]。使用靜態(tài)IP-MAC地址對應，能夠有效的防范IP地址欺騙和MAC地址欺騙在網(wǎng)絡內部進行嗅探。

（4）部署防火墻。在網(wǎng)絡邊界處部署防火墻能夠有效的攔截嗅探的數(shù)據(jù)包。同時，在網(wǎng)絡內部關鍵節(jié)點部署防火墻，防止來自內部的嗅探信息。

2.2 防范社會工程學攻擊

社會工程攻擊，主要利用復雜的人際關系進行攻擊。理論上講，系統(tǒng)以及程序所帶來的安全是可以避免的，而對人性和心理方面來說，對社會工程學攻擊的防范是很難的。因此提高人的安全意識，才是防范社會工程學攻擊最基本的方法。如對禁止員工在微信微博上發(fā)布有關工作的信息，在社交網(wǎng)站上公布自己的私人信息。同時，要對員工進行網(wǎng)絡安全意識和網(wǎng)絡安全技術的培訓，培養(yǎng)員工的保密意識。首先，小心從個人發(fā)出的詢問員工或其他內部資料的來路不明的電話，訪問或者電子郵件信息。其次，要強化員工的密碼保護意識，不要用生日、電話、身份證號作為密碼。最后，對員工進行網(wǎng)絡安全技術培訓，主要從系統(tǒng)漏洞補丁、應用程序漏洞補丁、殺毒軟件、防火墻、運行可執(zhí)行應用程序等方面入手，讓員工主動進行網(wǎng)絡安全的防御，來防范社會工程學攻擊，進而防范APT攻擊[4]。

2.3 網(wǎng)絡異常行為檢測

從APT攻擊過程可以看出，網(wǎng)絡異常行為包括對內部網(wǎng)絡的掃描探測，內部的非授權訪問，對外部的非法下載，非法外聯(lián)。這些網(wǎng)絡異常行為，包括網(wǎng)絡層面的異常行為和用戶層面的異常行為。如此以來，就要對內部網(wǎng)絡的情況了如指掌。因此，便需要對網(wǎng)絡內部異常行為監(jiān)控和收集，進而對收集的信息進行分類和分析。如部署IDS，審計系統(tǒng)等類似的信息收集和檢測系統(tǒng)[5]。

2.4 防數(shù)據(jù)泄露

防范APT攻擊的最重要的環(huán)節(jié)就是防數(shù)據(jù)泄露。部署好防范策略，能夠有效的防止機密信息丟失。

（1）識別數(shù)據(jù)并進行分類。企業(yè)可以根據(jù)詳細的完善的數(shù)據(jù)分類機制，針對不同的數(shù)據(jù)類型來設計和實施相應的控制措施。

（2）謹慎使用僅限查看訪問。使用數(shù)據(jù)倉庫和建立全公司報告能力的需求意味著用戶可以更輕松的將之前不相關的數(shù)據(jù)進行整合，而這也導致了更多的人可以訪問非常敏感的數(shù)據(jù)。這也為攻擊者提供了途徑來盜取機密數(shù)據(jù)。所以，要對訪問查看數(shù)據(jù)進行嚴格的控制，對擁有查看訪問權限用戶進行嚴格限制。從而防范數(shù)據(jù)被通常用戶及攻擊者查看到。

（3）禁止在網(wǎng)絡上使用未經授權的設備。禁止未經授權人士進入公司場所訪問網(wǎng)絡資源，禁止內部用戶將個人設備連接到公司網(wǎng)絡上等。個人設備是最有可能缺少終端安全控制措施的設備，也是對機密數(shù)據(jù)威脅最大的設備。嚴格的禁止個人設備連接到公司網(wǎng)絡上能有效的防止數(shù)據(jù)遭竊取。

（4）禁止將敏感數(shù)據(jù)復制到可移動媒體上。將終端所有可能移動存儲設備設置為禁止寫入，防止人員復制敏感數(shù)據(jù)。筆記本電腦、智能手機等移動設備應采用全盤加密，公司應適當具備在設備泄露或被盜時將其遠程擦除的能力。

3 結語

有效防護APT攻擊需要一套詳細的完整的防護體系，可以根據(jù)以上的防護措施進行部署防護策略，從而做到防御APT攻擊或者減少遭遇APT攻擊的概率。

參考文獻：

[1]張帥.對APT攻擊的檢測與防御[J].信息安全與技術，2011（9）：125-127.

[2]黃達理，薛質.進階持續(xù)性滲透攻擊的特征分析研究[J].信息安全與通信保密，2012，33（05）：87-89.

[3]曹江華.網(wǎng)絡嗅探防范[J].計算機網(wǎng)絡安全，2004（10）：2-5.

[4]袁藝，鄭志，康樂.淺談社會工程學攻擊及其防范措施[J].信息安全，2010（1）：49-51.

[5]宗波.APT攻擊防護淺析[J].計算機網(wǎng)絡安全，2012（12）：39-40.

作者簡介：王哲（1991-），男，北京人，學生，本科，研究方向：網(wǎng)絡安全。

作者單位：北京信息科技大學，北京 100000

基金項目：北京信息科技大學2013年大學生科技創(chuàng)新計劃項目經費資助。