針對當前未知威脅APT攻防技術的淺析

舒岳波

摘 要：從未知威脅尤其是APT檢測體系上應該形成一個縱深且關聯(lián)分析深入的防御體系。前期是完善地滲透攻擊檢測技術針對多樣的攻擊、0day漏洞和木馬等惡意程序的防護，然后就是智能的事件及流量特征關聯(lián)與分析上進行識別。這就是結合目前現(xiàn)有技術可以提出的一個更加完整，且針對未知威脅的檢測體系。

關鍵詞：未知威脅；APT攻防技術

1 未知威脅的主要攻擊方式

很多人以為自己重要的數據信息，只要做了真正地物理隔離就不再可能遭受到外界的安全攻擊和數據盜竊。但是即使我們從物理上阻止了網絡層的信息，卻阻止不了邏輯上的信息流，也就是說只要黑客想要的數據信息沒有與外界環(huán)境真正地隔離或者消失，邏輯上看就是有可能獲取到想要的數據信息的。RSA被APT攻擊利用了FLASH 0DAY竊取了在RSA內網嚴密保護的SECURID令牌種子，震網利用7個0DAY和擺渡成功滲透進了伊朗核設施級的物理隔離網絡都是活生生的實例。

基于各種技術結合的APT攻擊與以前的攻擊相比有很大區(qū)別，首先，它本身主要還是面向各種終端資產或者人員尋找突破點，當一個組織足夠龐大的時候，它沒法保證每個人的個人終端或者平時的工作和生活習慣都足夠安全。其次，它采用了Oday結合惡意軟件和社會工程學等方法來進行攻擊的滲透，然后采用透碼繞過相關安全工具的檢測，最后通過加密的安全通道獲取到數據，并且很好地隱藏了自己的身份、位置和行為。

這一系列的攻擊過程決定了APT攻擊較長的持續(xù)時間，它本身具有顯著的多階段逐步滲透的特征。大致可以分為嗅探、入侵、潛伏、撤離幾個過程，這四個過程一般情況下是循序漸進的，但并不排除少數針對性強的攻擊為了實現(xiàn)其特定目標只采取特定的階段或者重復進行幾個階段。

1.1 嗅探

嗅探是攻擊者采集攻擊目標多方面數據信息的階段。攻擊者一般使用巧妙多樣的社會工程學手段收集大量內部人員數據、業(yè)務流程資料、內外網絡環(huán)境等關鍵信息，并且也會結合滲透攻擊的傳統(tǒng)手段搜集目標在基礎設施和防護手段上可能的漏洞和防護信息，通過設備策略、網絡流量、系統(tǒng)版本、應用系統(tǒng)、開放端口、員工信息、管理措施等維度的整理和分析，得出攻擊目標可能存在的安全缺陷或者其他隱藏的數據信息。

攻擊者在此期間中也需要實時地收集各類0day、編寫惡意代碼和程序、選擇合理的攻擊方案等。

1.2 入侵

最終攻擊者的攻擊方法可以說層出不窮，例如定期定時地翻查目標對象的廢紙簍垃圾箱，冒充可信人員以遠程協(xié)助的名義在后臺運行惡意程序或者開啟某些安全漏洞，將針對目標的Web或者其他服務請求重定向到其自己或者第三方的惡意地址，以一定頻率和特定的內容發(fā)送垃圾電子郵件打亂IT監(jiān)管的節(jié)奏和措施，修改網站后臺的鏈接地址等。

雖然攻擊手段千變萬化但都是為了逐步滲透到目標對象的網絡環(huán)境中，可能從員工家屬、一般員工先開始，然后逐步滲透。整個過程嚴謹準確，全部是正常業(yè)務數據的形式進入從而讓目標不會察覺到。

1.3 潛伏

入侵成功之后，攻擊者一般并不會急于竊取數據信息，而是會先隱藏自身，除了規(guī)避之前入侵行為與真正竊取信息行為之間的關聯(lián)性之外，同時也在尋找進一步行動的最佳時機。

一般在檢測到內部環(huán)境達到要求且符合自己攻擊目的的時候，人工的遠程操作或者嵌入的惡意程序就會開始執(zhí)行預先設計好的相關動作。根據攻擊目的的不同，會選擇通過相對安全的鏈路或者加密的通道如vpn進行數據的傳輸，再有可能直接針對關鍵數據進行修改或者破壞，從而達到最終的攻擊目的。

1.4 撤離

為了保全攻擊者個人的安全，隱藏真實的攻擊來源，通常在攻擊達到目的之后都會針對之前在網絡和數據環(huán)境中留下的信息進行銷毀，包括日志數據、配置參數、狀態(tài)信息、監(jiān)控數據等等。這些數據就需要依賴于在嗅探和入侵階段中所獲取到的數據作為合理依據。且不能影響當前攻擊目標的使用環(huán)境，讓對方無法在平時的運維監(jiān)管和業(yè)務使用中察覺出異樣。

2 未知威脅的可行防護措施

目前來看業(yè)界常規(guī)的安全防御體系有如下幾個問題：

安全檢測基于已知的知識庫和安全規(guī)則；缺乏對未知威脅的感知能力；安全問題處理能力滯后；缺乏不同模塊的關聯(lián)分析能力。

對于自身可控部分的安全措施，需要通過提高安全管理意識與能力，以及使用通過安全手段進行開發(fā)出來的產品及系統(tǒng)。但是在我們絕大多數的網絡系統(tǒng)中，普遍存在運維人員的自身能力或者使用的業(yè)務情況已經不可控的安全部分。例如，有時候因為自己開發(fā)或者管理能力的限制，需要使用第三方提供的產品或者服務，比如一些操作系統(tǒng)、數通設備、駐場的工作人員等。對于這些我們不可控的安全內容，首先，我們要保證此產品、系統(tǒng)或者人員在供應鏈上的安全，包括準入、保證、監(jiān)管、追責等幾個部分。同時通過目前的實際情況來看，可能提高針對未知威脅的感知能力會更加重要。

為了在現(xiàn)有技術基礎之上讓我們可以在防護未知威脅的安全攻擊，尤其是APT攻擊的時候有更好的效果，這里我針對安全攻擊事件的事前和事中分別提出一些自己的看法。

首先，目前的安全防護設備可以說基本都是針對安全事件已經發(fā)生，或者已經攻擊結束之后才能發(fā)現(xiàn)并且針對攻擊進行一些應對措施，整體上非常被動。在這點上其實我們應該從源頭上去做一些安全加固，這一點在目前國內外的大多數產品來說是非常欠缺的。

對一個系統(tǒng)進行安全測試和安全測評，來建立事前安全防御體系的過程，首先要去分析這個系統(tǒng)所要保護的資產是什么？它在什么樣的環(huán)境下有什么樣的用戶會去使用。由此可以初步建立一個安全質量的標準，再進一步去分析數據之間的關系，以及它存在的威脅，具體可以分析微觀上面的數據權限之間的關系，再把可能存在的威脅進行漏洞化，分析它可能表現(xiàn)為系統(tǒng)的哪些漏洞形式，并對這個系統(tǒng)的安全實現(xiàn)提出要求。這樣，就可以獲得對一個系統(tǒng)安全策略、安全實現(xiàn)的要求，然后驗證它的安全策略、安全功能和安全實現(xiàn)，最終就可以形成一個高覆蓋性、完備性的安全測試過程。

其次，就是針對安全事件的事中發(fā)現(xiàn)問題。從技術環(huán)節(jié)上來講，就是漏洞或者攻擊行為的發(fā)現(xiàn)，漏洞從應用角度可以分為兩類：內存級的漏洞和基于腳本級的漏洞?；诼┒吹姆治鲋髁骷夹g包括0day攻擊檢測技術、木馬分析技術、惡意鏈路分析技術，以及終端和網絡邊界協(xié)同的分析技術等，通過這些技術的組合，就能有效地利用沙箱檢測技術較為準確地去檢測各種應用上的攻擊技術。可以說，APT攻擊防御的核心技術就是建立縱深防御體系，包括0day漏洞觸發(fā)與檢測、0day木馬對抗與檢測、加密鏈路識別，以及智能事件關聯(lián)與分析。

針對0day木馬檢測的技術，通行的技術也是采用沙箱作為分析引擎，其挑戰(zhàn)在于：惡意的攻擊點很難判別和識別。在這當中可以作為0day漏洞補充的一個技術來進行，通過0day可以判斷對方的惡意，可以準確地把他的漏洞行為特征分析出來，可以把他的行為通過智能分析，直接加入到智能學習與關聯(lián)中間去。

而針對加密數據的可信識別，可以分成兩類：未加密協(xié)議通道和加密協(xié)議通道。未知威脅的APT攻擊這種手法早就存在，未加密協(xié)議通道可以通過異常流量和行為的智能分析來發(fā)現(xiàn)，而加密協(xié)議通道的數據更加復雜一些，因此要增加更多的外部分析，通過外部關聯(lián)站點的信息分析，來識別它遠程連接的可信度，但是這一點實現(xiàn)上來說非常困難。

對此，我們可以依托于目前廣泛拓展的大數據技術，配合我們現(xiàn)有的相關安全防護模塊協(xié)同進行工作。既然，APT的攻擊方式可以使用多樣的技術手段結合大數據分析的方式加上一定的耐性去進行。那我們的安全防護為什么不能也用這種方式去做呢？很多看似相對獨立的安全事件，但是其背后可能是有千絲萬縷的關聯(lián)性的。而平時偶爾出現(xiàn)的一些流量特征的異常，網絡服務的變化等等可能也蘊藏了大量可被挖掘的安全信息。

我們需要做的僅僅是將目前的流量特征、安全事件、審計日志、數通設備、安全設備、終端信息、人員信息等等相關聯(lián)的數據進行一定程度的融合，只要數據的量和覆蓋度都足夠，那我們必然可以發(fā)現(xiàn)一些可能的安全隱患或者類似被隱藏在其中的未知威脅安全事件，而這一點不論攻擊者使用什么攻擊手段基本都是無處遁形的。

3 結語

總之，從未知威脅尤其是APT檢測體系上應該形成一個縱深且關聯(lián)分析深入的防御體系。前期是完善地滲透攻擊檢測技術針對多樣的攻擊、0day漏洞和木馬等惡意程序的防護，然后就是智能的事件及流量特征關聯(lián)與分析上進行識別。這就是結合目前現(xiàn)有技術可以提出的一個更加完整，且針對未知威脅的檢測體系。

[參考文獻]

[1]黃達理，薛質.進階持續(xù)性滲透攻擊的特征分析研究[J].信息安全與通信保密.2012，33（05）：87-89.