淺析APT攻擊檢測(cè)與防護(hù)策略

王在富

摘 要：PT攻擊對(duì)現(xiàn)有安全防護(hù)體系帶來(lái)了巨大的挑戰(zhàn)，成為信息安全從業(yè)人員重點(diǎn)關(guān)注的對(duì)象。本文分析了APT攻擊特點(diǎn)、流程，提出了相應(yīng)的檢測(cè)和防御思路。

關(guān)鍵詞：APT攻擊；攻擊檢測(cè)；攻擊流程；防護(hù)技術(shù)

1 引言

高級(jí)持續(xù)性威脅APT（Advanced Persistent Threat）是當(dāng)前信息安全產(chǎn)業(yè)界的熱點(diǎn)，是指黑客針對(duì)特定目標(biāo)以竊取核心資料為目的所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃并具備高度的隱蔽性，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。目前，APT成為了網(wǎng)絡(luò)安全人員最受矚目的關(guān)鍵詞之一，在一些國(guó)家，APT攻擊已經(jīng)成為國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)，針對(duì)APT攻擊行為的檢測(cè)與防御，也自然成為了至關(guān)重要也是最基礎(chǔ)的組成部分。

2 APT攻擊的技術(shù)特點(diǎn)

APT在攻擊的流程上，同普通網(wǎng)絡(luò)攻擊行為并無(wú)明顯區(qū)別，但APT的攻擊手法在于隱匿攻擊者的蹤跡并針對(duì)特定對(duì)象進(jìn)行長(zhǎng)期、有計(jì)劃性和組織性地滲透，直到成功竊取數(shù)據(jù)，因此具備更強(qiáng)的破壞性：

⑴攻擊技術(shù)的隱蔽性：為了躲避傳統(tǒng)檢測(cè)設(shè)備，APT更加注重攻擊技術(shù)及行為的隱蔽性。針對(duì)攻擊目標(biāo)，發(fā)動(dòng)APT攻擊的黑客往往不是為了在短時(shí)間內(nèi)獲利，甚至可以長(zhǎng)期隱蔽。例如通過(guò)隱蔽通道、加密通道避免網(wǎng)絡(luò)行為被檢測(cè)，或者通過(guò)偽造合法簽名的方式避免惡意代碼文件本身被識(shí)別，這就給傳統(tǒng)基于簽名的檢測(cè)帶來(lái)很大困難。

⑵攻擊時(shí)間的持續(xù)性：APT攻擊分為多個(gè)步驟，攻擊者會(huì)進(jìn)行長(zhǎng)時(shí)間的潛心準(zhǔn)備。在已經(jīng)發(fā)生的典型APT攻擊中，攻擊者從最初的信息搜集，到信息竊取并外傳往往要經(jīng)歷幾個(gè)月或者更長(zhǎng)的時(shí)間，整體攻擊過(guò)程甚至持續(xù)數(shù)年之久。而傳統(tǒng)的檢測(cè)方式是基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測(cè)，難以對(duì)跨度如此長(zhǎng)的攻擊進(jìn)行有效跟蹤。如2011年8月，暗鼠行動(dòng)（Operation Shady RAT）被發(fā)現(xiàn)并披露出來(lái)，調(diào)查發(fā)現(xiàn)該攻擊從2006年啟動(dòng)，在長(zhǎng)達(dá)數(shù)年的持續(xù)攻擊過(guò)程中，滲透并攻擊了全球多達(dá)72個(gè)公司和組織的網(wǎng)絡(luò)，包括美國(guó)政府、聯(lián)合國(guó)、紅十字會(huì)、武器制造商、能源公司、金融公司等等。

⑶攻擊目標(biāo)的針對(duì)性：APT攻擊者通常帶有很強(qiáng)的目標(biāo)針對(duì)性，通常帶有商業(yè)或政治目的，以竊取具備商業(yè)價(jià)值的信息或破壞目標(biāo)系統(tǒng)為目的，整個(gè)攻擊過(guò)程都經(jīng)過(guò)攻擊者的精心策劃，攻擊一旦發(fā)起，攻擊者會(huì)針對(duì)目標(biāo)網(wǎng)絡(luò)嘗試不同的攻擊技術(shù)和方式，直到目標(biāo)達(dá)成。從發(fā)生的攻擊事件來(lái)看，APT攻擊是針對(duì)有重要價(jià)值資產(chǎn)或重要戰(zhàn)略意義的目標(biāo)，其中大型互聯(lián)網(wǎng)服務(wù)機(jī)構(gòu)（如Google、Facebook、亞馬遜）、金融機(jī)構(gòu)（銀行、證券）、政府機(jī)構(gòu)、軍事、重要高科技企業(yè)及基礎(chǔ)工業(yè)機(jī)構(gòu)（電力能源）是APT攻擊的重災(zāi)區(qū)。

⑷攻擊手段的多樣性：APT攻擊者如同一個(gè)技術(shù)高超的隱形特種部隊(duì)一樣，利用一切可能的防御漏洞圍繞目標(biāo)系統(tǒng)進(jìn)行全方位打擊，在整個(gè)攻擊過(guò)程中通常會(huì)綜合利用釣魚、漏洞掃描、SQL注入、緩沖區(qū)溢出、暴力破解、加密傳輸?shù)榷喾N技術(shù)手段繞過(guò)目標(biāo)系統(tǒng)的層層防線，從系統(tǒng)外圍到核心區(qū)域逐步攻克目標(biāo)。目前被曝光的知名APT事件中，0DAY漏洞利用、社交攻擊、物理擺渡等方式層出不窮，讓傳統(tǒng)的檢測(cè)防不勝防。

⑸攻擊隱蔽的合法性：攻擊者訪問(wèn)到重要信息后，往往通過(guò)控制的客戶端，分布使用合法加密的數(shù)據(jù)通道，將信息竊取出來(lái)，以繞過(guò)嚴(yán)格的審計(jì)和異常檢測(cè)的防護(hù)。

⑹特征識(shí)別的滯后性：APT普遍采用0DAY漏洞獲取權(quán)限、通過(guò)未知木馬進(jìn)行遠(yuǎn)程控制，而傳統(tǒng)基于特征匹配的檢測(cè)設(shè)備總是要先捕獲惡意代碼樣本，才能提取特征并基于特征進(jìn)行攻擊識(shí)別，這就存在先天的滯后性。正是因?yàn)殡y以快速提取APT攻擊行為的技術(shù)特征，使得傳統(tǒng)以實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主體的防御方式難以有效發(fā)揮作用。

3 APT攻擊流程

整個(gè)APT攻擊流程包括：選定攻擊目標(biāo)、實(shí)施單點(diǎn)攻擊、控制目標(biāo)通道、滲透攻擊范圍、回傳數(shù)據(jù)信息和實(shí)施后續(xù)攻擊等步驟：

⑴選定攻擊目標(biāo)，即攻擊者有針對(duì)性的選擇攻擊的目標(biāo)，搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。一般從組織員工入手，搜集組織員工的個(gè)人和工作信息，并進(jìn)一步了解目標(biāo)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)部署、應(yīng)用系統(tǒng)架構(gòu)、常用軟件、人員組織架構(gòu)及關(guān)鍵信息的存儲(chǔ)位置與通信方式，然后通過(guò)社會(huì)工程方法來(lái)攻擊該員工電腦，選定攻擊發(fā)起的突破口，從而進(jìn)入組織網(wǎng)絡(luò)。

⑵實(shí)施單點(diǎn)攻擊，即攻擊者收集了足夠的信息后，通過(guò)釣魚、遠(yuǎn)程漏洞、email惡意代碼、SQL注入、緩沖區(qū)溢出等手段，繞過(guò)現(xiàn)有殺毒和個(gè)人防火墻安全工具，以單點(diǎn)方式攻擊組織員工的個(gè)人電腦，使員工個(gè)人電腦感染惡意代碼，從而被攻擊者完全控制。

⑶控制目標(biāo)通道，即攻擊者控制了員工個(gè)人電腦后，以員工個(gè)人電腦為跳板對(duì)組織內(nèi)部其它主機(jī)展開攻擊并嘗試獲取更多內(nèi)部主機(jī)的控制權(quán)，搜索所有被控制的主機(jī)的敏感信息，從而創(chuàng)建下一步攻擊的命令控制通道。

⑷滲透攻擊范圍，即攻擊者通過(guò)控制更多的員工個(gè)人電腦，以員工個(gè)人電腦為跳板，將攻擊范圍進(jìn)一步擴(kuò)大和滲透，利用口令竊聽和漏洞攻擊等方法，獲取更多的信息，進(jìn)而攻擊組織內(nèi)部重要信息的目標(biāo)服務(wù)器。

⑸回傳數(shù)據(jù)信息，即攻擊者通過(guò)控制員工個(gè)人電腦和相關(guān)服務(wù)器，搜集重要數(shù)據(jù)信息，并通過(guò)進(jìn)某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

⑹實(shí)施后續(xù)攻擊，即攻擊者利用獲取的目標(biāo)數(shù)據(jù)信息，對(duì)目標(biāo)組織展開下一輪攻擊。

4 APT攻擊檢測(cè)

從APT攻擊流程發(fā)現(xiàn)，實(shí)施單點(diǎn)攻擊、控制目標(biāo)通道、滲透攻擊范圍、竊取數(shù)據(jù)信息等幾個(gè)步驟是APT攻擊實(shí)施的關(guān)鍵，因此應(yīng)該圍繞這幾個(gè)步驟進(jìn)行對(duì)APT攻擊的檢測(cè)。

⑴檢測(cè)惡意代碼，控制APT攻擊過(guò)程中的惡意代碼傳播，阻擊攻擊者實(shí)施的單點(diǎn)攻擊。

⑵檢測(cè)網(wǎng)絡(luò)入侵，通過(guò)采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT的命令控制通道，在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)APT攻擊的命令，阻擊APT攻擊過(guò)程中的控制目標(biāo)通道。

⑶分析檢測(cè)大數(shù)據(jù)，通過(guò)構(gòu)建大數(shù)據(jù)存儲(chǔ)和分析平臺(tái)，全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進(jìn)行集中的海量數(shù)據(jù)存儲(chǔ)和深入分析，覆蓋整個(gè)APT攻擊過(guò)程，進(jìn)一步阻擊攻擊者控制目標(biāo)通道和滲透攻擊范圍。

5 APT攻擊防范策略

分析APT攻擊事件及其特點(diǎn)可以看出，APT攻擊主要依賴于：一是攻擊者對(duì)被攻擊者的信息了解，這是實(shí)施單點(diǎn)攻擊策略的前提；二是有針對(duì)性的0DAY漏洞，這是突破當(dāng)前防護(hù)體系和有一些安全意識(shí)的人員的利器；三是有針對(duì)性的木馬和行為的對(duì)抗，特別是殺毒及網(wǎng)絡(luò)審計(jì)產(chǎn)品的對(duì)抗。所以，APT攻擊不是單一型安全產(chǎn)品、單層防御能解決的問(wèn)題，綜合性防御、多層網(wǎng)絡(luò)防御與檢測(cè)技術(shù)、本地與云端資源的調(diào)用才是防御之道，需要構(gòu)建一個(gè)多維度的安全模型，既有技術(shù)層面的檢測(cè)手段，也要包含用戶安全意識(shí)的提高。

⑴提高人員安全防范意識(shí)。安全是一個(gè)系統(tǒng)工程，通過(guò)安全防范教育計(jì)劃提升人員安全防范意識(shí)是這個(gè)工程中一個(gè)重要的環(huán)節(jié)。攻擊者在選擇目標(biāo)和單點(diǎn)攻擊階段，我們可以依托安全威脅檢測(cè)、預(yù)警系統(tǒng)，定期對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，提高員工的安全防范意識(shí)，提高初始攻擊的難度，主動(dòng)識(shí)別攻擊者對(duì)組織網(wǎng)絡(luò)的嗅探、掃描行為，加強(qiáng)對(duì)信息系統(tǒng)的安全管理，避免使用系統(tǒng)默認(rèn)配置及過(guò)于簡(jiǎn)單的密碼，不要在網(wǎng)絡(luò)中泄漏個(gè)人信息，不要隨便打開陌生的郵件或訪問(wèn)未知的URL鏈接，這些簡(jiǎn)單的安全防范意識(shí)可以幫助我們避免遭受釣魚、仿冒欺騙等社會(huì)工程學(xué)攻擊，使APT攻擊的發(fā)起者因找不到突破口而放棄攻擊。

⑵合理構(gòu)建端到端立體安全防護(hù)網(wǎng)絡(luò)。通過(guò)部署分層控制來(lái)實(shí)現(xiàn)深度網(wǎng)絡(luò)安全防御的方法是幫助組織抵御APT攻擊的最佳方法，不管攻擊者通過(guò)何種渠道向員工個(gè)人電腦發(fā)送惡意代碼，這個(gè)惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此，合理構(gòu)建端到端立體安全防護(hù)網(wǎng)絡(luò)，則可以有效防御APT攻擊，即在關(guān)鍵路徑上層層把關(guān)，增加入侵者對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行探測(cè)及侵入核心數(shù)據(jù)的難度，覆蓋APT攻擊過(guò)程中的單點(diǎn)攻擊突破和回傳數(shù)據(jù)信息階段，加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個(gè)人電腦以及服務(wù)器的安全。

⑶重視系統(tǒng)的安全審計(jì)和權(quán)限管理。網(wǎng)絡(luò)數(shù)據(jù)、用戶行為及系統(tǒng)運(yùn)行狀態(tài)的審計(jì)與分析是預(yù)防安全風(fēng)險(xiǎn)的有效補(bǔ)充。特別是滲透階段與進(jìn)入階段，攻擊者都會(huì)嘗試不同的攻擊技術(shù)、攻擊手段對(duì)目標(biāo)系統(tǒng)進(jìn)行入侵，因此，要定期進(jìn)行系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，及時(shí)更新系統(tǒng)相關(guān)安全補(bǔ)丁，構(gòu)建安全配置基線并定期進(jìn)行審視，通過(guò)SOC系統(tǒng)收集匯總?cè)W(wǎng)日志進(jìn)行智能關(guān)聯(lián)分析，通過(guò)合理規(guī)劃安全域、加強(qiáng)系統(tǒng)賬戶的安全審計(jì)、系統(tǒng)賬號(hào)及權(quán)限管理、系統(tǒng)安全策略優(yōu)化等手段提高攻擊者繼續(xù)滲透的難度，及時(shí)發(fā)現(xiàn)可疑行為并通過(guò)有效的技術(shù)手段進(jìn)行封堵，有效阻止攻擊者。

6 結(jié)束語(yǔ)

APT的出現(xiàn)，給傳統(tǒng)檢測(cè)技術(shù)帶來(lái)了新的挑戰(zhàn)，由于其攻擊的復(fù)雜性、隱蔽性，所以無(wú)法通過(guò)單一的安全產(chǎn)品和安全技術(shù)進(jìn)行有效的檢測(cè)、防護(hù)，只有建立以安全技術(shù)與安全管理相結(jié)合的縱深防護(hù)體系，及時(shí)調(diào)整系統(tǒng)以適應(yīng)新的安全形勢(shì)需要，防患于未然，才能抵御APT攻擊的威脅，使系統(tǒng)得以安全有效的運(yùn)行。

[參考文獻(xiàn)]

[1]張帥.對(duì)APT攻擊的檢測(cè)與防御.信息安全與技術(shù)，2011.（09）.

[2]周濤.大數(shù)據(jù)與APT攻擊檢測(cè).信息安全與通訊保密，2012.（07）.

[3]陳陽(yáng).中小企業(yè)如何應(yīng)對(duì)APT攻擊.硅谷，2012.（08）.