APT攻擊分層表示模型

譚 韌，殷肖川，廉 哲，陳玉鑫

(空軍工程大學(xué) 信息與導(dǎo)航學(xué)院，西安 710077)(*通信作者電子郵箱redstorm@live.cn)

APT攻擊分層表示模型

譚 韌，殷肖川*，廉 哲，陳玉鑫

(空軍工程大學(xué) 信息與導(dǎo)航學(xué)院，西安 710077)(*通信作者電子郵箱redstorm@live.cn)

針對攻擊鏈模型攻擊階段劃分過細(xì)且無法表示攻擊手段的問題，提出了一種高級可持續(xù)性威脅(APT)攻擊分層表示模型(APT-HARM)。通過總結(jié)分析大量公開的APT事件報告和參考APT攻擊鏈模型與分層攻擊表示模型(HARM)，將APT攻擊分為攻擊鏈和攻擊樹上下兩層，并將其形式化定義。首先,將APT攻擊分為由偵察、滲透、行動和撤出四個階段組成的攻擊鏈，并研究了各階段特點；然后,研究各階段中采取的攻擊手段，并依據(jù)其邏輯關(guān)系組成攻擊樹。APT攻擊按照攻擊鏈分階段依次進(jìn)行，各階段按照攻擊樹流程依次執(zhí)行。案例分析表明，本模型相較攻擊鏈模型具有粒度劃分合理、攻擊描述完備準(zhǔn)確的優(yōu)點。APT-HARM形式化地定義了APT攻擊，為APT攻擊的預(yù)測和防范提供了一種思路。

高級可持續(xù)性威脅；攻擊鏈；攻擊樹；分層攻擊表示模型

0 引言

現(xiàn)代社會的運(yùn)轉(zhuǎn)已經(jīng)愈發(fā)離不開互聯(lián)網(wǎng)，各類信息及工業(yè)控制系統(tǒng)，例如金融、交通、電力系統(tǒng)等，都需要互聯(lián)網(wǎng)支撐其正常運(yùn)轉(zhuǎn)。而高級可持續(xù)性威脅(Advanced Persistent Threat, APT)[1]攻擊的出現(xiàn)，給網(wǎng)絡(luò)空間安全提出了一個棘手的挑戰(zhàn)。APT的類型可分為兩種：其一是竊密型，即入侵目標(biāo)系統(tǒng)后竊取知識產(chǎn)權(quán)及其他信息，例如2011年10月發(fā)生的Duqu APT攻擊[2]；其二是破壞型，即入侵目標(biāo)系統(tǒng)后破壞數(shù)據(jù)、軟件甚至是硬件設(shè)施，例如2010年發(fā)生的Stuxnet APT攻擊[3]。無論是竊密型還是破壞型APT攻擊都能給運(yùn)行在互聯(lián)網(wǎng)上的信息系統(tǒng)造成嚴(yán)重危害。

Symantec和ANRC相繼發(fā)布白皮書[4-5]指出，APT攻擊目標(biāo)極為明確，具有很強(qiáng)的反偵察能力，同時擁有高級而復(fù)雜的攻擊工具與手段，一般使用一個或多個0day漏洞[6]實施攻擊，因此防病毒軟件很難檢測并從系統(tǒng)中清除惡意代碼。而APT攻擊往往持續(xù)幾個月甚至幾年，可疑流量基本隱藏在正常流量當(dāng)中，這給傳統(tǒng)的入侵防御系統(tǒng)提出了極大的挑戰(zhàn)。因此，為了增強(qiáng)對APT攻擊的防御能力，有必要對APT攻擊的攻擊階段、攻擊目標(biāo)和攻擊方法展開研究，建立形式化模型，從而有針對性地防范APT攻擊。

Hutchins等[7]針對常規(guī)的網(wǎng)絡(luò)防御手段(例如入侵檢測系統(tǒng)和防病毒系統(tǒng))難以防范手段復(fù)雜多樣的APT攻擊的問題，以阻止APT攻擊為目標(biāo)，通過對各階段攻擊特點的分析，最先提出了APT攻擊7階段攻擊鏈模型(Intrusion Kill Chain, IKC)。第一階段是偵察，進(jìn)行信息搜集和目標(biāo)選擇；第二階段是武器化，進(jìn)行APT惡意程序制作；第三階段是傳播，將惡意程序釋放到目標(biāo)系統(tǒng)；第四階段是漏洞利用，運(yùn)用操作系統(tǒng)和應(yīng)用程序的漏洞觸發(fā)惡意程序；第五階段是安裝，即安裝遠(yuǎn)程控制軟件或者后門程序；第六階段是指控，即惡意程序與外部攻擊者建立指控通路，使得攻擊者能夠控制內(nèi)部網(wǎng)絡(luò)；最后一個階段是行動與目標(biāo)，即實施破壞或是竊取信息。文中指出，攻擊鏈中各階段均按照順序執(zhí)行，任一階段被阻止都會使得攻擊失敗。IKC模型使用攻擊鏈來同時描述APT攻擊的各個階段以及其攻擊手段，這樣帶來了從攻擊階段考慮表示粒度過細(xì)，而從攻擊手段考慮表示粒度過粗的問題。Symantec公司先后在文獻(xiàn)[4]和文獻(xiàn)[8]中提到了APT攻擊鏈，前者依次包含入侵、發(fā)現(xiàn)、獲取和滲出四個階段，后者在入侵階段之前加入了偵察階段。該攻擊鏈模型較好地說明了APT攻擊各階段特點及典型的攻擊方法，但是沒有對APT攻擊進(jìn)行形式化描述，難以對其進(jìn)行有效運(yùn)用。Li等[9]更進(jìn)一步地提出了APT攻擊4階段攻擊模型，分別是準(zhǔn)備階段、進(jìn)入階段、駐留階段和收割階段。準(zhǔn)備階段主要完成信息搜集和惡意軟件開發(fā)；進(jìn)入階段主要完成社會工程學(xué)攻擊和直接攻擊；駐留階段完成內(nèi)網(wǎng)信息搜集、提升權(quán)限、遠(yuǎn)程控制和橫向移動[10]；收割階段主要完成信息回傳和痕跡清理工作。文中也介紹了最新的社會工程學(xué)方法，如魚叉式網(wǎng)絡(luò)釣魚[11]和水坑攻擊[12]。但是該模型只分析了竊密型APT攻擊而沒有對破壞型APT攻擊進(jìn)行分析，也沒有對APT攻擊進(jìn)行形式化定義。業(yè)界提出的滲透測試標(biāo)準(zhǔn)PTES[13]以攻擊者的視角詳細(xì)說明了一次網(wǎng)絡(luò)攻擊的攻擊流程，包括情報搜集、威脅建模、漏洞分析、滲透攻擊和后滲透攻擊等。在每一個流程階段都有相應(yīng)的攻擊要素和攻擊方法，這對針對性防范APT攻擊提供了參考。廉哲等[14]針對APT防御態(tài)勢獲取問題，使用軟件定義網(wǎng)絡(luò)(Software Defined Networking, SDN)技術(shù)架設(shè)虛擬蜜網(wǎng)。通過誘騙誘騙攻擊者對網(wǎng)內(nèi)節(jié)點進(jìn)行攻擊，可記錄攻擊行為并加以分析。

從Hutchins等[7]提出APT攻擊鏈的7個階段開始，IKC模型便廣泛運(yùn)用在APT攻擊的表示中。該模型能夠十分清晰地描述APT攻擊進(jìn)行的流程以及各個階段的主要特點，但是沒有對各階段的主要攻擊手段進(jìn)行詳細(xì)分析，同時也沒有對模型進(jìn)行明確的形式化描述。而APT攻擊與傳統(tǒng)的網(wǎng)絡(luò)攻擊有著較多不同，各階段攻擊手段之間存在著較為復(fù)雜的組合關(guān)系，單純使用攻擊鏈模型難以對其進(jìn)行描述。針對上述問題，本文通過總結(jié)大量公開的APT攻擊分析報告，結(jié)合分層攻擊表示模型(Hierarchical Attack Representation Model, HARM)[15]提出一種APT攻擊分層表示模型(Advanced Persistent Threat Hierarchical Attack Representation Model, APT-HARM)，給出了APT攻擊的形式化定義，并利用相關(guān)APT攻擊案例對模型進(jìn)行了對比說明。

1 APT攻擊表示模型

本文形式化地定義了兩層的APT攻擊分層表示模型APT-HARM，分別為上層的攻擊鏈和下層的攻擊樹。

1.1 相關(guān)定義

定義1 APT-HARM由三元組L=(AC,AT,M)表示。AC指模型上層的攻擊鏈，aci指攻擊鏈中某一階段。AT指模型下層的攻擊樹，ati表示某一攻擊階段對應(yīng)的攻擊樹。M=AC|→AT指aci到ati的映射關(guān)系。

定義2 攻擊鏈AC位于APT-HARM的上層，由有向圖C=(S,E)表示。其中S是攻擊鏈中aci的有限集；E={(aci,acj,Oi)}，表示aci階段完成目標(biāo)Oi后可以遷移到acj階段。

定義3 攻擊樹AT位于APT-HARM的下層，由三元組T=(M,W,G)表示。其中M表示可能采取的攻擊手段或攻擊子樹的有限集，mi表示集中元素；W指以{(children,gate)}形式表示的二元組，其中children表示當(dāng)前子樹中的{mi}，gate∈{AND-gate,OR-gate}；G為當(dāng)前攻擊樹的目標(biāo)，整棵樹的目標(biāo)是完成AC中的攻擊目標(biāo)O。

定義4 原子攻擊是指APT攻擊中不可再分的攻擊形態(tài)。一種攻擊手段只可能是或不是原子攻擊，非原子攻擊由原子攻擊組成。

1.2 攻擊鏈

本文提出了以偵察(Reconnaissance)、滲透(Infiltration)、行動(Operation)和撤出(Exfiltration)的4攻擊階段攻擊鏈RIOE。

1.2.1 偵查階段

偵察階段ac1主要完成對攻擊目標(biāo)的信息搜集工作的目標(biāo)O1。手段主要包括主動信息偵察、被動信息偵察和半被動信息偵察。在主動信息偵察中，攻擊者要主動連接目標(biāo)進(jìn)行偵察，其主要的行為特點是掃描(Scanning)，這種偵察方式能夠獲取到第一手且準(zhǔn)確的信息，但由于主動信息偵察可能會被目標(biāo)系統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備發(fā)現(xiàn)，因此較少運(yùn)用。在被動信息偵察中，攻擊者不會發(fā)送任何流量給目標(biāo)，只使用公開的第三方信息，這種偵察方式足夠隱蔽，但是通過第三方獲取到的信息可能過時甚至不正確。盡管如此，由于不會被目標(biāo)系統(tǒng)所發(fā)現(xiàn)，被動信息偵察往往是APT攻擊者的首選。半被動信息偵察介于主動信息偵察和被動信息偵察之間，其將偵察行為盡量偽裝成正常的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為，目標(biāo)系統(tǒng)可能會探測到偵查行為，但是無法對其進(jìn)行溯源。

1.2.2 滲透階段

滲透階段ac2主要完成對攻擊目標(biāo)進(jìn)行滲透的目標(biāo)O2。主要手段包括社會工程學(xué)攻擊、水坑攻擊、接觸式攻擊和漏洞攻擊。社會工程學(xué)攻擊[16]是一種通過社交網(wǎng)絡(luò)或是其他途徑獲取目標(biāo)敏感信息，隨后利用這些信息進(jìn)行進(jìn)一步滲透的攻擊方式。這種滲透方式利用了人性弱點，十分隱蔽，且難以被安全系統(tǒng)所察覺，攻擊成功率較高。水坑攻擊是在一種較為特殊的社會工程學(xué)方法，因此單獨(dú)將其提出，主要手段是通過了解目標(biāo)人員經(jīng)常訪問的網(wǎng)站，然后將其攻陷并植入惡意代碼，當(dāng)目標(biāo)人員再次訪問該網(wǎng)站時就會觸發(fā)網(wǎng)頁中的惡意代碼，執(zhí)行攻擊者的指令。這樣既不會直接發(fā)送攻擊流量避免被溯源，也可以提高攻擊的成功率和準(zhǔn)確率。接觸式攻擊即采用非技術(shù)手段接觸目標(biāo)系統(tǒng)(例如直接插入U盤)，植入APT病毒，這種方式成本代價較高，但是特異性和成功率非常高。漏洞攻擊是較為底層的攻擊方式，除了通過社會工程學(xué)手段直接獲取目標(biāo)系統(tǒng)管理權(quán)限外，幾乎所有的其他攻擊手段都要通過漏洞攻擊加以實施。在實際的APT攻擊中大量使用被稱為0day漏洞[17]的當(dāng)前未知漏洞，從而突破現(xiàn)有的安全防護(hù)體系獲得系統(tǒng)控制權(quán)。

1.2.3 行動階段

行動階段ac3主要完成在獲取目標(biāo)系統(tǒng)控制權(quán)后對攻擊目標(biāo)進(jìn)行信息搜集或?qū)嵤┢茐牡哪繕?biāo)O3。主要手段包括建立指揮控制、控制持久化、信息竊取、實施破壞和橫向移動。為了長時間在目標(biāo)系統(tǒng)內(nèi)行動，攻擊者會用盡一切手段保持自身的隱蔽性。建立指揮控制(Command & Control, C2)通常是攻擊者獲取目標(biāo)系統(tǒng)控制權(quán)后的第一個行動。通過隱蔽和加密信道，例如通過洋蔥路由(The Onion Router, TOR)進(jìn)行通信，或是包裝成正常數(shù)據(jù)通信的信道對目標(biāo)系統(tǒng)內(nèi)植入的病毒進(jìn)行指揮控制通信?？刂瞥志没哪康氖菫榱肆私饽繕?biāo)系統(tǒng)的硬件、軟件和網(wǎng)絡(luò)環(huán)境和尋找相應(yīng)漏洞，有針對性地投送遠(yuǎn)程控制木馬和后門等，以之對系統(tǒng)進(jìn)行長期控制。信息竊取和實施破壞是整個APT攻擊的核心目標(biāo)。在獲取系統(tǒng)控制權(quán)限、建立指揮控制鏈路、進(jìn)行環(huán)境檢查并上傳相關(guān)工具后，攻擊者開始依據(jù)最開始設(shè)定的目標(biāo)進(jìn)行信息竊取或是破壞活動。橫向移動可以理解為滲透擴(kuò)大化，即以已攻陷或是通過已攻陷的系統(tǒng)對同一網(wǎng)絡(luò)中的其他系統(tǒng)進(jìn)行滲透。對于攻擊者而言攻擊鏈又回到了滲透階段。在真實的APT攻擊中，攻擊者往往不能直接獲取到所需要的系統(tǒng)管理權(quán)限，需要逐步對核心系統(tǒng)進(jìn)行滲透攻擊。

1.2.4 撤出階段

撤出階段ac4主要完成在預(yù)定行動完成后執(zhí)行數(shù)據(jù)回傳和痕跡清理的目標(biāo)O4。主要手段包括回傳敏感數(shù)據(jù)和刪除日志記錄。確定回傳路徑是回傳敏感數(shù)據(jù)之前的必要操作，通常攻擊者會選擇與指控信道不同的路徑進(jìn)行信息回傳，通過隱蔽和加密信道或是包裝成正常數(shù)據(jù)通信進(jìn)行數(shù)據(jù)回傳。在數(shù)據(jù)回傳時，攻擊者需要確定控制鏈?zhǔn)欠衲軌蚋采w回傳路徑。由于過大的外泄流量會導(dǎo)致目標(biāo)系統(tǒng)的察覺，因此有必要對回傳的信息流量進(jìn)行稀釋，使其隱藏在常規(guī)的通信流量中，這使得要獲得完整的數(shù)據(jù)需要相當(dāng)長的時間，而文獻(xiàn)[4]指出，APT攻擊的平均時間為145 d，而最長可達(dá)660 d，因此攻擊者有足夠時間獲取到完整信息。在完成信息回傳的同時，攻擊者也要對攻擊痕跡進(jìn)行清理，防止被溯源。然而攻擊者很難只清除自身活動的日志，特別是日志數(shù)量較多且存在備份的條件下。因此攻擊者一般將攻擊偽裝成正常行為躲避日志審查，在必要時將刪除所有日志。

1.2.5 形式化表示

攻擊鏈AC由有向圖C=(S,E)表示。其中S={ac1,ac2,ac3,ac4}，ac1至ac4分別代表偵查階段、滲透階段、行動階段和撤出階段；E={(ac1,ac2,O1),(ac2,ac3,O2),(ac3,ac2,O3),(ac3,ac4,O3)}，其中(ac3,ac2,O3)代表橫向移動。其圖形表示如圖1所示。

圖1 攻擊鏈的圖形化表示

攻擊鏈中每一階段都有其對應(yīng)的完成各階段目標(biāo)的攻擊樹。前述各階段的攻擊手段均由對應(yīng)的原子攻擊組成。

1.3.1 偵察攻擊樹

偵察攻擊樹由主動信息偵察子樹、被動信息偵察子樹和半被動信息偵察子樹組成，分別記為mr1，mr2和mr3。表1中at1列出了偵察攻擊樹中包含的攻擊方式。

在主動信息偵察中包含端口掃描、操作系統(tǒng)掃描、漏洞掃描和網(wǎng)絡(luò)拓?fù)涮讲?種。被動信息偵察種包含WhoIS查詢和搜索引擎查詢，著名的Google Hacking就屬于搜索引擎查詢。半被動信息偵察包括網(wǎng)絡(luò)爬蟲偵察和社交網(wǎng)絡(luò)偵察。

1.3.2 滲透攻擊樹

滲透攻擊樹由社會工程學(xué)子樹、水坑攻擊子樹、接觸式攻擊子樹和漏洞攻擊子樹組成，分別記為mi1，mi2，mi3和mi4。表1中at2列出了滲透攻擊樹中包含的攻擊方式。

社會工程學(xué)攻擊包括魚叉式網(wǎng)絡(luò)釣魚(Spear phishing)、網(wǎng)頁釣魚和社會工程學(xué)字典攻擊等。在APT攻擊中的魚叉式網(wǎng)絡(luò)釣魚與傳統(tǒng)意義上的釣魚攻擊不同，其前期收集了目標(biāo)用戶的相關(guān)社會信息，包括但不限于姓名、工作單位、職務(wù)等，大部分的垃圾郵件過濾器都難以對其進(jìn)行有效防范，而依靠制定使用規(guī)定和用戶培訓(xùn)也沒有達(dá)到杜絕魚叉式網(wǎng)絡(luò)釣魚的作用[18]，因此這是攻擊者進(jìn)行滲透的重要手段。水坑攻擊包括注入攻擊、跨站腳本攻擊(Cross-Site Scripting, XSS)和跨站請求偽造(Cross-Site Request Forgery, CSRF)。接觸式攻擊包括移動存儲設(shè)備接觸和其他接觸方式。漏洞攻擊包括硬件漏洞攻擊、操作系統(tǒng)漏洞攻擊和應(yīng)用系統(tǒng)漏洞攻擊。無論是社會工程學(xué)攻擊、水坑攻擊還是接觸式攻擊，為了使得滲透行為不被目標(biāo)防御系統(tǒng)察覺，最終都要使用漏洞攻擊。從防御者的角度看，如何減少可被攻擊者利用的漏洞成為防御APT攻擊的關(guān)鍵問題之一。

1.3.3 行動攻擊樹

行動攻擊樹由建立指揮控制子樹、控制持久化子樹、信息竊取子樹、實施破壞子樹組成，分別記為ma1，ma2，ma3和ma4。表1中at3列出了行動攻擊樹中包含的攻擊方式。

未來，天津石化將以“建設(shè)世界一流綠色企業(yè)”為目標(biāo)，積極踐行綠色發(fā)展理念，認(rèn)真落實打好“污染防治攻堅戰(zhàn)”和“藍(lán)天保衛(wèi)戰(zhàn)”重要部署，全面啟動綠色企業(yè)行動計劃，努力為社會提供更多清潔能源和綠色產(chǎn)品。

建立指揮控制主要涉及到加密通信和隱蔽通信，加密通信包括使用SSL/TLS和自定義的加密協(xié)議進(jìn)行通信；隱蔽通信包括利用TCP/IP協(xié)議的未定義部分和偽裝成正常協(xié)議的通信形式?？刂瞥志没ǚ胖煤箝T，放置木馬和內(nèi)存駐留。內(nèi)存駐留是APT木馬的高級形式，即不存在磁盤上的數(shù)據(jù)文件，一直駐留在系統(tǒng)內(nèi)存中，因此難以發(fā)現(xiàn)與清除。信息竊取包括硬件信息搜集、操作系統(tǒng)信息搜集、應(yīng)用程序信息搜集和用戶信息搜集。實施破壞包括破壞硬件和損毀數(shù)據(jù)。

橫向移動將部分或整個攻擊流重定向到了滲透階段，利用目前被攻陷的系統(tǒng)作為跳板或通路對更深層的系統(tǒng)進(jìn)行滲透，直至完成預(yù)定目標(biāo)。

1.3.4 撤出攻擊樹

撤出攻擊樹由執(zhí)行數(shù)據(jù)回傳子樹和刪除日志記錄子樹組成，分別記為me1和me2。表1中at4列出了撤出攻擊樹中包含的攻擊方式。

執(zhí)行數(shù)據(jù)回傳主要涉及到確定回傳路徑、加密通信和隱蔽通信。而后兩者在行動階段中也起著關(guān)鍵作用，因此防御方如果能夠阻斷其進(jìn)行加密和隱蔽通信則能夠有效切斷APT攻擊鏈。刪除日志記錄包括設(shè)備日志銷毀、操作系統(tǒng)日志銷毀和應(yīng)用系統(tǒng)日志銷毀。

表1 攻擊樹詳細(xì)信息

1.3.5 形式化表示

以行動攻擊樹為例對攻擊樹形式化定義進(jìn)行說明。其余各階段攻擊樹的表示與之類似，不再贅述。

圖2 行動攻擊樹的圖形表示

1.4 形式化表示

APT-HARM三元組L=(AC,AT,M)，AC={ac1,ac2,ac3,ac4}，AT={at1,at2,at3,at4}，M={ac1|→at1,ac2|→at2,ac3|→at3,ac4|→at4}。其中AC在1.2.5節(jié)中進(jìn)行了說明，AT在1.3.5節(jié)中進(jìn)行了說明。

2 典型APT案例分析

Duqu 2.0攻擊[19]和夜龍(Night Dragon)攻擊[20]是較為典型的APT攻擊，前者針對世界領(lǐng)先信息安全廠商卡巴斯基實施信息竊取，后者針對歐美主要能源公司實施信息竊取。本節(jié)從這兩個典型案例出發(fā)，對APT-HARM模型與IKC模型進(jìn)行對比分析。

2.1 Duqu 2.0 攻擊

Duqu 2.0攻擊鏈包含有RIOE的全部四個階段，即偵查階段、滲透階段、行動階段和撤出階段。

在偵察階段，攻擊者至少掌握了目標(biāo)的社會關(guān)系(實驗室員工)、電子郵件地址、計算機(jī)操作系統(tǒng)及其漏洞信息(0day漏洞)、初步拓?fù)湫畔?；因此攻擊者使用了主動信息偵察、被動信息偵察和半被動信息偵察，其中使用了操作系統(tǒng)掃描、漏洞掃描、網(wǎng)絡(luò)拓?fù)涮讲?、WhoIS查詢和社交網(wǎng)絡(luò)偵察等。

在滲透階段，攻擊者采用了極其具有針對性的電子郵件釣魚，利用郵件將帶有攻擊載荷的word文檔發(fā)送給目標(biāo)，誘騙目標(biāo)打開該文檔，利用CVE-2014-4148漏洞獲取系統(tǒng)控制權(quán)，因此，攻擊者使用了社會工程學(xué)攻擊和漏洞攻擊，其中使用了魚叉式網(wǎng)路釣魚和操作系統(tǒng)漏洞攻擊等。

在行動階段，攻擊者首先攻擊者利用CVE-2014-6324和CVE-2015-2360漏洞將自身權(quán)限提升至管理員級別，隨后利用被感染的計算機(jī)作為跳板攻擊域內(nèi)其他計算機(jī)，同時使用MSI安裝包釋放支持C2控制(182.253.220.29和186.226.56.103)的遠(yuǎn)程后門程序。使用正常的SSL和HTTP協(xié)議進(jìn)行通信，同時使用圖片信息隱藏技術(shù)進(jìn)行通信。Duqu 2.0使用的代碼駐留方式十分特別，絕大部分代碼運(yùn)行在內(nèi)存中，這樣就很難發(fā)現(xiàn)磁盤上的異常。針對大規(guī)模斷電導(dǎo)致內(nèi)存信息丟失的問題，Duqu 2.0在少數(shù)直連外部網(wǎng)絡(luò)的計算機(jī)中駐留了支持遠(yuǎn)程桌面的后門程序，一旦發(fā)生載荷丟失問題可以立即重新安裝。Duqu 2.0可以看作是一個攻擊平臺，其通過不同的載荷實現(xiàn)不同的功能。在卡巴斯基實驗室的報告中共描述了5種載荷，100多種載荷插件以實現(xiàn)不同的功能，主要可以分為橫向移動和信息竊取兩類。就后者而言，其主要搜集USB設(shè)備、DHCP及路由設(shè)備、已連接的打印機(jī)、網(wǎng)絡(luò)適配器設(shè)置、防火墻策略等硬件信息；搜集運(yùn)行進(jìn)程列表、活躍終端會話、所有網(wǎng)絡(luò)共享、安裝的程序、域管理員SID及密碼HASH等操作系統(tǒng)信息；搜集POP3密碼、VNC密碼，數(shù)據(jù)庫實例信息，PuTTY主機(jī)密鑰及會話等應(yīng)用系統(tǒng)信息。因此，攻擊者建立了指揮控制，使用了控制持久化技術(shù)和進(jìn)行了信息竊取。其中使用了行動攻擊樹中除了破壞硬件和損毀數(shù)據(jù)的所有手段。

在撤出階段，攻擊者執(zhí)行了數(shù)據(jù)回傳和刪除日志記錄。在數(shù)據(jù)回傳過程中，攻擊者映射了內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，突破了卡巴斯基互聯(lián)網(wǎng)代理服務(wù)器，通過Windows管道，服務(wù)器信息通信(Server Message Block，SMB)等通過自定義的私有加密協(xié)議和與行動階段類似的通信方式進(jìn)行數(shù)據(jù)回傳。同時，為了擦除攻擊痕跡，攻擊者刪除了所有與攻擊有關(guān)的日志信息，以至于卡巴斯基只發(fā)現(xiàn)了初始攻擊來自于亞太地區(qū)某個員工的釣魚郵件卻無法發(fā)現(xiàn)攻擊來源。因此，攻擊者執(zhí)行了撤出攻擊樹所有的攻擊手段。表2對APT-HARM模型與IKC模型對Duqu 2.0攻擊的表示進(jìn)行了對比。

表2 兩種模型對Duqu 2.0 APT攻擊表示的比較

2.2 夜龍攻擊

Night Dragon攻擊的攻擊鏈同樣包括RIOE的全部四個階段。

在偵查階段，攻擊者至少掌握了目標(biāo)的社會關(guān)系(敏感計算機(jī)使用員工)以及其電子郵件地址、網(wǎng)頁后臺數(shù)據(jù)庫軟件信息以及其漏洞信息(SQL注入漏洞)、初步的拓?fù)湫畔?。因此，攻擊者使用了主動信息偵察，被動信息偵察以及半被動信息偵察，其中，使用了端口掃描、漏洞掃描、網(wǎng)絡(luò)拓?fù)涮讲?、搜索引擎查詢、WhoIS查詢和社交網(wǎng)絡(luò)偵察等攻擊手段。

在滲透階段，攻擊者通過直接利用SQL注入漏洞進(jìn)入管理后臺獲得網(wǎng)頁服務(wù)器遠(yuǎn)程執(zhí)行代碼權(quán)限，隨后發(fā)動了魚叉式網(wǎng)絡(luò)釣魚攻擊，利用郵件將遠(yuǎn)程控制工具(Remote Administration Tool, RAT)直接發(fā)送給目標(biāo)人員，誘騙其運(yùn)行程序使攻擊者獲得了目標(biāo)人員操作系統(tǒng)的管理權(quán)限。因此，攻擊者使用了社會工程學(xué)攻擊和漏洞攻擊，其中使用了魚叉式網(wǎng)絡(luò)釣魚和應(yīng)用系統(tǒng)漏洞攻擊等。

在行動階段，攻擊者利用被攻陷的網(wǎng)頁服務(wù)器和用戶計算機(jī)作為跳板感染其他計算機(jī)，同時在被攻陷的網(wǎng)頁服務(wù)器上建立C2服務(wù)器，并釋放稱為“zwShell”的RAT工具。攻擊者通過虛擬專用網(wǎng)(Virtual Private Network，VPN)繞過了防火墻和DMZ直接進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行橫向移動擴(kuò)大攻擊，攻擊者關(guān)閉了被攻陷的內(nèi)網(wǎng)計算機(jī)上的代理設(shè)置，使得內(nèi)網(wǎng)計算機(jī)能夠直接與互聯(lián)網(wǎng)進(jìn)行通信。在控制持久化上，攻擊者使用了動態(tài)DNS技術(shù)來保證被攻陷計算機(jī)總能通過特定域名訪問到C2服務(wù)器，這些域名包括is-a-chef.com，thruhere.net等公開的動態(tài)DNS服務(wù)提供商，因此難以對攻擊者進(jìn)行溯源。攻擊者使用正常的HTTP協(xié)議與被攻陷計算機(jī)進(jìn)行數(shù)據(jù)傳輸，同時與RAT通信時使用了身份驗證機(jī)制。zwShell被設(shè)計為插件擴(kuò)展式的多功能RAT工具，在邁克菲的報告中共提到了7種不同的攻擊載荷，包括文件竊取、屏幕錄制、命令執(zhí)行、鍵盤監(jiān)視等功能。因此，攻擊者建立了指揮控制，使用了控制持久化技術(shù)和進(jìn)行了信息竊取，同樣使用了行動攻擊樹中除破壞硬件和損毀數(shù)據(jù)的所有手段。

在撤出階段，攻擊者執(zhí)行了數(shù)據(jù)回傳。在此過程中，攻擊者通過zwShell直接將獲取到的數(shù)據(jù)上傳至C2服務(wù)器上，進(jìn)而轉(zhuǎn)發(fā)至攻擊者手中，攻擊者似乎對回傳的數(shù)據(jù)沒有使用任何加密手段，直接明文進(jìn)行回傳。在報告中沒有明確提到攻擊者刪除日志記錄的操作，因此攻擊者執(zhí)行了數(shù)據(jù)回傳操作，其中進(jìn)行了確定回傳路徑和隱蔽通信。表3對APT-HARM模型與IKC模型對夜龍攻擊的表示進(jìn)行了對比。

APT-HRAM模型相較IKC模型有三點改進(jìn)。一是合理劃分了攻擊階段與攻擊手段。IKC模型使用攻擊鏈統(tǒng)一描述APT攻擊中的攻擊階段與攻擊手段，這樣就使得APT攻擊的表示從攻擊階段而言粒度過細(xì)，而從攻擊手段而言粒度過粗，本模型通過合并多余的攻擊階段和分別研究各階段的攻擊手段解決了這一問題。二是形式化地定義和表示了攻擊階段與攻擊手段的內(nèi)部關(guān)系。通過將APT攻擊的表示分為兩層，既通過攻擊鏈突出了APT攻擊階段遞進(jìn)關(guān)系，也通過攻擊樹表示了各攻擊手段的內(nèi)部邏輯關(guān)系以及攻擊手段與攻擊鏈中各攻擊階段的組合關(guān)系。三是補(bǔ)充了IKC的攻擊階段。在IKC模型中沒有提到APT攻擊的結(jié)束階段，對APT攻擊的表述不夠完整，APT-HARM模型提出了撤出階段并分析了可能的攻擊手段。

表3 兩種模型對夜龍APT攻擊表示的比較

3 結(jié)語

本文通過對大量公開的APT攻擊事件的總結(jié)分析，結(jié)合APT攻擊鏈模型和HARM模型，提出了APT攻擊分層表示模型APT-HARM，并利用典型APT攻擊對本對模型與IKC模型進(jìn)行了對比分析。APT-HARM模型將APT攻擊分為兩層進(jìn)行表示，上層為4個階段組成的攻擊鏈，下層為各階段所可能采取攻擊手段組成的攻擊樹。本模型相較于IKC模型具有結(jié)構(gòu)劃分合理、攻擊描述完備準(zhǔn)確的優(yōu)點。APT攻擊依靠完整的攻擊鏈，因此只要切斷任意環(huán)節(jié)就可以阻止APT攻擊。基于本模型可以對APT防御作進(jìn)一步研究，如分析APT攻擊中可能采取的關(guān)鍵攻擊手段，有針對性地進(jìn)行防護(hù)，從而阻止APT攻擊。

References)

[1] BREWER R. Advanced persistent threats: minimising the damage [J]. Network Security, 2014, 2014(4): 5-9.

[3] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon [J]. IEEE Security & Privacy, 2011, 9(3): 49-51.

[4] Symantec. Advanced persistent threats: a Symantec perspective [EB/OL]. [2016- 11- 17]. http://www.symantec.com/content/en/us/enterprise/white_papers/b-advanced_persistent_threats_WP_21215957.en-us.pdf.

[5] ALBULIWI R. ANRC Advanced Persistent Threat (APT) whitepaper [R]. San Antonio, Texas: ANRC, LLC, 2012.

[6] LAST D. Forecasting zero-day vulnerabilities [C]// Proceedings of the 11th Annual Cyber and Information Security Research Conference. New York: ACM, 2016: Article No. 13.

[7] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains [EB/OL]. [2017- 01- 24]. http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf?__hstc=24651237.ec7d57cd5d75bb934ed81dd4f337ee29.1415232000057.1415232000058.1415232000059.1&__hssc=24651237.1.1415232000060&__hsfp=3972014050.

[8] DOHERTY S, BANERJEE D. Orchestrating Software Defined Networks (SDN) to disrupt the APT kill chain [EB/OL]. [2016- 12- 07]. https://wenku.baidu.com/view/9c8b8d460c22590103029d15.html.

[9] LI M, HUANG W, WANG Y, et al. The study of APT attack stage model [C]// Proceedings of the 2016 IEEE/ACIS 15th International Conference on Computer and Information Science. Washington, DC: IEEE Computer Society, 2016: 1-5.

[10] FAWAZ A, BOHARA A, CHEH C, et al. Lateral movement detection using distributed data fusion [C]// Proceedings of the 2016 IEEE 35th Symposium on Reliable Distributed Systems. Washington, DC: IEEE Computer Society, 2016: 21-30.

[11] HONG J. The state of phishing attacks [J]. Communications of the ACM, 2012, 55(1): 74-81.

[12] O’GORMAN G, MCDONALD G. The elderwood project [R]. Mountain View, CA: Symantec Corporation, 2012.

[13] Penetration Testing Execution Standard. PTES technical guidelines [EB/OL]. [2017- 03- 09]. http://www.pentest-standard.org/index.php/Main_Page.

[14] 廉哲,殷肖川,譚韌,等.面向網(wǎng)絡(luò)攻擊態(tài)勢的SDN虛擬蜜網(wǎng)研究[J].空軍工程大學(xué)學(xué)報(自然科學(xué)版),2017,18(3):82-88.(LIAN Z, YIN X C, TAN R, et al. Research on SDN virtual honeynet for network attack situation[J]. Journal of Air Force Engineering University (Natural Science Edition), 2017, 18(3): 82-88.)

[15] HONG J B, KIM D S. Assessing the effectiveness of moving target defenses using security models [J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(2): 163-177.

[16] NELSON J, LIN X, CHEN C, et al. Social engineering for security attacks [C]// Proceedings of the 2016 3rd Multidisciplinary International Social Networks Conference on Social Informatics. New York: ACM, 2016: Article No. 6.

[17] WANG L, JAJODIA S, SINGHAL A, et al. k-zero day safety: a network security metric for measuring the risk of unknown vulnerabilities [J]. IEEE Transactions on Dependable and Secure Computing, 2014, 11(1): 30-44.

[18] JUNGER M, MONTOYA L, OVERINK F J. Priming and warnings are not effective to prevent social engineering attacks [J]. Computers in Human Behavior, 2017, 66: 75-87.

[19] Global Research and Analysis Team. The Duqu 2.0 technical details [R]. Moscow: Kaspersky Lab, 2015.

[20] McAfee Foundstone Professional Services and McAfee Labs. Global energy cyberattacks: "Night Dragon" [R]. Santa Clara, CA: McAfee Inc, 2011.

HierarchicalrepresentationmodelofAPTattack

TAN Ren, YIN Xiaochuan*, LIAN Zhe, CHEN Yuxin

(InformationandNavigationCollege,AirForceEngineeringUniversity,Xi’anShaanxi710077,China)

Aiming at the problem that the attack chain model for the attack phase is too small to indicate the means of attack, an Advanced Persistent Threat (APT) Hierarchical Attack Representation Model (APT-HARM) was proposed. By summarizing the analysis of a large number of published APT event reports and reference APT attack chain model and HARM, the APT attack was divided into into two layers, the upper layer attack chain and the lower layer attack tree, which were formally defined. Firstly, the APT attack was divided into four stages: reconnaissance, infiltration, operation and exfiltration and the characteristics of each stage were studied. Then, the attack methods in each stage were studied, and the attack tree was composed according to its logical relationship. APT attacks were carried out in stages according to the attack chain, and the attack of each stage was performed in accordance with the attack tree. The case study shows that the model has the advantages of reasonable granularity classification and better attack description compared to the attack chain model. APT-HARM formally defines the APT attack, which provides an idea for the prediction and prevention of APT attacks.

Advanced Persistent Threat (APT); attack chain; attack tree; Hierarchical Attack Representation Model (HARM)

2017- 03- 27;

2017- 05- 18。

國家自然科學(xué)基金資助項目(61402510)；陜西省工業(yè)科技攻關(guān)項目(2016GY-087)。

譚韌(1993—)，男，湖南婁底人，碩士研究生， CCF會員，主要研究方向：網(wǎng)絡(luò)與信息安全； 殷肖川(1961—)，男，湖北武漢人，教授，博士，主要研究方向：網(wǎng)絡(luò)與信息安全、數(shù)字水印； 廉哲(1993—)，男，山西運(yùn)城人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全； 陳玉鑫(1993—)，男，甘肅蘭州人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全。

時間 2017- 06- 08 14:14:29。 網(wǎng)絡(luò)出版地址 http://kns.cnki.net/kcms/detail/51.1307.TP.20170608.1414.002.html。

1001- 9081(2017)09- 2551- 06

10.11772/j.issn.1001- 9081.2017.09.2551

TP309

A

This work is partially supported by the the National Natural Science Foundation of China (61402510), the Industrial Science and Technology Project of Shaanxi Province (2016GY-087).

TANRen, born in 1993, M. S. candidate. His research interests include network and information security

YINXiaochuan, born in 1961, Ph. D, professor. His research include network and information security, digital watermarking.

LIANZhe, born in 1993, M. S. candidate. His research interests include network and information security.

CHENYuxin, born in 1993, M. S. candidate. His research interests include network and information security.