淺談APT攻擊及安全防御解決辦法

◆劉 崢

(中國移動廣東公司 廣東 510623)

淺談APT攻擊及安全防御解決辦法

◆劉 崢

(中國移動廣東公司 廣東 510623)

APT即高級持續(xù)性威脅，是指利用先進的攻擊手段對特定目標(biāo)進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式，實現(xiàn)其目標(biāo)。本文以分析APT攻擊過程和方法、防御難點為基點，提出APT防御方法、實踐方式。

APT攻擊；安全防御思路；安全防御解決方案

0 引言

APT（Advanced Persistent Threat）——高級持續(xù)性威脅，指一個擁有頂尖的專業(yè)技能和有效資源的對手，允許其通過攻擊多種不同攻擊媒介（如，網(wǎng)絡(luò)，物理和欺騙）產(chǎn)生的機會，實現(xiàn)其目標(biāo)。典型的就是在組織的信息系統(tǒng)技術(shù)基礎(chǔ)架構(gòu)里建立和擴展據(jù)點，達成持續(xù)的信息泄露，或者破壞和阻礙作戰(zhàn)計劃或者組織達成關(guān)鍵任務(wù)使命，或者放置在以后能作用的地方。此外，高級持續(xù)性威脅為了達成其目標(biāo)，會反復(fù)多次地持續(xù)較長的時間，通過各種方式（自動升級）來抵抗防護者的努力。同時與外界保持一定程度的交互以執(zhí)行其目標(biāo)。

APT威脅著企業(yè)的數(shù)據(jù)安全。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。

1 APT攻擊過程方法

APT會使用多方面的或混合式的技術(shù)，包括社交工程、賄賂、惡意程序、物理盜竊、官方影響等來實現(xiàn)其目的。一般來說，APT攻擊可分為如下六個階段。

圖1 APT攻擊過程

1.1 文件下載

攻擊者會利用魚叉式釣魚軟件或者水坑式攻擊方法，誘使用戶打開一個特定的郵件附件，或者訪問一個已被插入惡意代碼的Web網(wǎng)頁。郵件或Web鏈接往往會顯示其是熱點或者人們感興趣的內(nèi)容，一旦訪問此附件或者網(wǎng)頁，則就可能發(fā)生后續(xù)的漏洞利用過程。

1.2 漏洞利用

一個典型的漏洞利用，往往只是幾百字節(jié)大小，在含有漏洞的軟件中運行，就可以執(zhí)行攻擊者預(yù)想的任意代碼。初始漏洞利用非常重要，當(dāng)網(wǎng)絡(luò)攻擊者利用常見軟件的弱點（如office文檔、Flash等），就可以得到一個最初的受害系統(tǒng)。整個過程在受害系統(tǒng)的內(nèi)存中發(fā)生，并不涉及任何的文件磁盤操作，通過檢查寫入主機硬盤的文件和可執(zhí)行程序的傳統(tǒng)方式幾乎不可能察覺。

1.3 控制系統(tǒng)

利用漏洞獲得系統(tǒng)權(quán)限后，會下載一個較大的惡意軟件程序，以此來控制受害主機。 因為下載行為來自內(nèi)部主機，且文件看似無害（如惡意軟件是從一個.jpg文件，而不是.exe文件中提取出來），因此可以避免傳統(tǒng)安全技術(shù)對可執(zhí)行文件的檢測。

攻擊者為逃避安全產(chǎn)品（如防火墻、IPS、IDS、防病毒軟件）的檢測，會采取針對性的對抗措施，確認(rèn)環(huán)境中是否存在防病毒軟件，如果發(fā)現(xiàn)就會嘗試進行破壞。由于漏洞利用后其具備較高的系統(tǒng)權(quán)限，這個活動輕而易舉。還可能出現(xiàn)的情況是，攻擊者檢測是否運行在沙箱環(huán)境中，并采取相應(yīng)的逃避檢測手段。如延時進行后續(xù)的活動，由于沙箱檢測不可能對一個文件進行無限期的觀察分析，這種策略往往是非常有效的。

1.4 連接命令控制服務(wù)器

較大的惡意軟件下載成功后，它將啟動到外部命令和控制服務(wù)器（攻擊者操控受害主機的服務(wù)器）的出局連接，一旦連接成功建立，攻擊者對受害主機就完成了完整的控制。這個階段通常會使用 SSL加密通信方式，并且由于是從內(nèi)部主機發(fā)起的對外連接，因采用加密傳輸，傳統(tǒng)的安全檢測設(shè)備將無法發(fā)現(xiàn)。

1.5 數(shù)據(jù)竊取

建立和命令控制服務(wù)器的可靠連接，攻擊者將著手鞏固對主機的控制并進行持續(xù)滲透，或者直接傳輸主機的敏感數(shù)據(jù)，如知識產(chǎn)權(quán)、信用卡信息、用戶憑據(jù)和敏感文件等。

1.6 持續(xù)滲透

很多情況下，最初的受害主機不太可能包含攻擊者需要的資料，因此攻擊者會通過網(wǎng)絡(luò)來查找其它的內(nèi)部系統(tǒng)，深入組織網(wǎng)絡(luò)內(nèi)部搜索有價值的信息，包括 IT 管理員的操作主機（為獲取進一步的內(nèi)部網(wǎng)絡(luò)權(quán)限）以及包含機密資料的重要服務(wù)器和數(shù)據(jù)庫等。這種組織內(nèi)部的持續(xù)滲透已不是在邊界位置可以完整檢測的。

通過以上對高級惡意軟件攻擊過程的分析，可以了解到在初始漏洞利用階段的檢測最為重要，如果在這個階段不能發(fā)現(xiàn)惡意軟件，那么要發(fā)現(xiàn)惡意軟件就會更困難。就比如防范盜賊，最好在他還沒有進門之前。

2 APT攻擊防御難點

縱觀國內(nèi)外各類型APT事件，可以發(fā)現(xiàn)實施APT攻擊均通過辦公人員入手，并且利用內(nèi)部網(wǎng)絡(luò)進行橫向移動，逐步滲透。

企業(yè)網(wǎng)作為企業(yè)網(wǎng)絡(luò)重要的組成部分，但存在網(wǎng)絡(luò)覆蓋面大、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、網(wǎng)絡(luò)區(qū)域邊界訪問控制策略不嚴(yán)格、互聯(lián)網(wǎng)訪問需求多、設(shè)備種類及數(shù)量多、軟硬件安全漏洞多、人員安全意識薄弱等負(fù)面因素，使企業(yè)內(nèi)網(wǎng)成為 APT攻擊的主要目標(biāo)。這類風(fēng)險被攻擊者發(fā)現(xiàn)利用后，通過 APT攻擊持續(xù)放大，最后影響整個企業(yè)的生產(chǎn)。

根據(jù)市場調(diào)研分析，目前企業(yè)網(wǎng)中存在以下的安全難題：

（1）惡意代碼定位困難，同時造成惡意代碼在網(wǎng)絡(luò)中不斷傳播；

（2）對于攻擊者使用0day漏洞進行攻擊時，防御方無法及時檢測；

（3）當(dāng)內(nèi)網(wǎng)終端被注入惡意代碼后執(zhí)行的大量惡意操作，如異常操作行為、敏感文件傳輸、病毒惡意傳播、對外發(fā)異常流量等影響企業(yè)網(wǎng)絡(luò)安全等均無法發(fā)現(xiàn)及阻斷。

因此，企業(yè)需要一套技術(shù)手段解決下面問題：

（1）哪些惡意代碼在網(wǎng)絡(luò)中存在？那些惡意代碼是已知的？那些是未知的？

（2）哪些終端被植入了惡意代碼？

（3）哪些惡意代碼造成了那些危害，包括資料外泄、向外發(fā)送DDoS、病毒郵件、遠(yuǎn)程控制等？

3 APT攻擊防御方式

傳統(tǒng)的縱深防御仍然是必要的，但不足以應(yīng)對 APT攻擊。為應(yīng)對目前的 APT威脅，需要更新分層防御模型，將被動防御向主動防御轉(zhuǎn)變，主動防御技術(shù)分為3個層面：網(wǎng)絡(luò)、負(fù)載（可執(zhí)行程序、文件和Web對象）及終端。參考國際權(quán)威機構(gòu)Gartner先進的威脅防御框架，提出了5種應(yīng)對APT攻擊的防御方式。

方式1： 網(wǎng)絡(luò)流量分析

通過分析網(wǎng)絡(luò)進出流量，如異常DNS流量模式、NetFlow記錄等，發(fā)現(xiàn)受感染終端。有些工具將協(xié)議分析和內(nèi)容分析結(jié)合在一起。

優(yōu)勢： （1）實時檢測；（2）包括無簽名和基于簽名的技術(shù)；不需要終端agent。

挑戰(zhàn)：（1）需要調(diào)試仔細(xì)、知識豐富的雇員以避免誤報；（2）攔截攻擊能力有限（可應(yīng)用帶外工具）；不監(jiān)測未聯(lián)網(wǎng)移動終端的流量

方式2： 網(wǎng)絡(luò)取證

網(wǎng)絡(luò)取證工具提供全包捕獲和網(wǎng)絡(luò)流量存儲能力，并為支持事件響應(yīng)、調(diào)查和預(yù)先威脅分析需求提供分析和報告工具。這些工具可提取和保留元數(shù)據(jù)。

優(yōu)勢： （1）由于減少事件應(yīng)對時間和人員，可提供高 ROI（投資回報率）；（2）由于具有大容量存儲功能，可在幾天或幾個星期后重建或重放流量和事件；可利用詳細(xì)的報告來滿足監(jiān)管需求，進行網(wǎng)絡(luò)流量深度分析和持續(xù)監(jiān)測。

挑戰(zhàn)：（1）這些工具很復(fù)雜，需要具有一定技能的人員來操作；（2）隨著數(shù)據(jù)量和保留時間的增加，成本隨之上漲；（3）分析大量數(shù)據(jù)報告耗時較長，可能需要下班時間運行；不捕獲網(wǎng)外移動終端流量。

方式3： 負(fù)荷分析

該方法利用沙盒環(huán)境，分析通過網(wǎng)絡(luò)邊界的負(fù)荷（PDF、EXE、DLL、 Office、 ZIP、Flash等）的行為。負(fù)荷分析技術(shù)可以幾乎實時地檢測惡意程序和目標(biāo)式攻擊。沙盒環(huán)境既可部署在本地，也可部署在云端?；谠频呢?fù)荷分析是一種有效的方法，但其市場門檻較低，利用現(xiàn)成的管理程序和虛擬技術(shù)，廠商可以輕易創(chuàng)建沙盒環(huán)境，并稱其為負(fù)荷分析解決方案，但防護效果千差萬別。

優(yōu)勢： （1）可非常有效的檢測成功繞過基于簽名的解決方案的惡意程序；（2）詳細(xì)的惡意程序行為報告會涉及注冊變化、API調(diào)用、過程行為和其他惡意程序行為信息；對于可串聯(lián)的本地解決方案，該技術(shù)具有可選的攔截命令控制回調(diào)流量的能力。

挑戰(zhàn)：（1）由于行為分析需要幾秒或幾分鐘來完成，所以會放行之前未發(fā)現(xiàn)的惡意程序，可能會感染一個或更多終端；（2）有些躲避技術(shù)可以繞過行為分析技術(shù)，如sleep timers；（3）不對在終端執(zhí)行的惡意程序進行驗證；（4）許多解決方案支持的負(fù)荷范圍有限；（5）雖然有些云方法支持安卓系統(tǒng)，大多解決方案只支持Microsoft Windows；隱私和數(shù)據(jù)保護顧慮可能會妨礙一些企業(yè)使用基于云的沙盒。

方式4： 終端行為分析

該方法提供有關(guān)終端是如何被惡意程序和 APT影響的最詳細(xì)信息。有些廠商側(cè)重于利用“應(yīng)用容器”概念來保護終端，即將應(yīng)用程序和文件隔離在虛擬容器中。應(yīng)用容器方法允許惡意程序在隔離環(huán)境中執(zhí)行，通過隔離WEB瀏覽器會話防御惡意網(wǎng)站。其他技術(shù)還包括：系統(tǒng)配置/內(nèi)存/進程監(jiān)測、“白名單”技術(shù)等。

優(yōu)勢： （1）可攔截零日攻擊和未知惡意程序；（2）可保護處于和未處于公司網(wǎng)絡(luò)的系統(tǒng)；利用對所攔截的惡意程序的分析，可以提供基本的取證能力。

挑戰(zhàn)：（1）部署和管理終端agent可能操作繁雜，在BYOD（自帶設(shè)備）環(huán)境中具有一定挑戰(zhàn)性；（2）終端 Agent對所支持的操作系統(tǒng)、文件類型、應(yīng)用程序和瀏覽器有不同的限制；容器解決方案占用額外的 CPU和內(nèi)存資源，使用的容器越多，影響越大。

方式5： 終端取證

終端取證方法可以作為事件響應(yīng)團隊的一個工具。終端agent會從它們所監(jiān)測的主機搜集數(shù)據(jù)。這些技術(shù)對于確定被感染主機和惡意程序的特定行為非常有幫助。有些解決方案會使用多種感染標(biāo)示（IOC）來檢測終端上的惡意行為，如可疑的 Microsoft Windows注冊碼、DNS請求等

優(yōu)勢： （1）可以使得耗時間的事件響應(yīng)自動化；（2）可監(jiān)測連入和未連入公司網(wǎng)絡(luò)的主機上的活動；有些Agent可以提供有限的容器特征和有限的整改能力；

挑戰(zhàn)：（1）缺乏實時攔截零日攻擊的能力；（2）部署和管理管理終端agent可能操作繁雜；（3）本文撰寫時，尚不支持非Windows終端；事件并不總會優(yōu)先化，而且往往需要知識豐富的人員去調(diào)查。

[1]百度百科，APT攻擊詞條．

[2]Gartner．“五種類型的先進威脅防御(ATD)”助企業(yè)防御針對性的攻擊．NETWORKWORLD FROM IDG．2013．10．

[3]吳瑋．對付高級持續(xù)威脅，經(jīng)驗很重要[J]．網(wǎng)絡(luò)與信息，2012．

[4]陳劍鋒，王強，伍淼．網(wǎng)絡(luò)APT攻擊及防范策略[J]．信息安全與通信保密，2012．

[5]張鋒，康廣超．淺談網(wǎng)絡(luò)信息安全[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2012．

[6]吉雨．APT攻擊漸成氣候企業(yè)需對抗未知威脅[J]．信息安全與通信保密，2012．