基于APT攻擊的情報(bào)挖掘探析

王浩先

（南京政治學(xué)院上海校區(qū) 上海 200433）

1 APT攻擊簡介

1.1 APT的含義

APT（Advanced Persistent Threat）高級(jí)持續(xù)性威脅，是一類針對企業(yè)和政府重要信息資產(chǎn)的，對IT和管理人員構(gòu)成極大挑戰(zhàn)的信息安全威脅[1]。多數(shù)專家和學(xué)者認(rèn)為APT攻擊是基于組織、機(jī)構(gòu)、甚至國家參與的以竊取高價(jià)值信息為目的的，針對政府企業(yè)和機(jī)構(gòu)的網(wǎng)絡(luò)攻擊[2]。攻擊者通常通過團(tuán)隊(duì)協(xié)作的模式設(shè)計(jì)木馬程序、編寫惡意代碼、運(yùn)用網(wǎng)絡(luò)攻擊手段滲透目標(biāo)網(wǎng)絡(luò)，帶有很高的目的性和持續(xù)性，使被攻擊者防不勝防。

1.2 APT攻擊過程

APT攻擊過程大致可以分為準(zhǔn)備、偵察、入侵、提權(quán)、情報(bào)素材獲取、清除痕跡幾個(gè)階段。攻擊者在制定攻擊計(jì)劃，選取好目標(biāo)后，會(huì)對其性質(zhì)，操作系統(tǒng)版本或服務(wù)器信息等進(jìn)行嗅探，采用如“郵件釣魚”、網(wǎng)頁掛馬方式同社會(huì)工程學(xué)融合，攻擊入侵目標(biāo)系統(tǒng)。一旦入侵成功，會(huì)進(jìn)行一系列提權(quán)活動(dòng)，最終控制整個(gè)計(jì)算機(jī)或服務(wù)器。在這個(gè)過程中，攻擊者還會(huì)開辟多個(gè)系統(tǒng)后門，上傳備用木馬、鍵盤記錄等程序。通過遍歷文件樹的方式搜集獲取目標(biāo)情報(bào)素材，最后清除網(wǎng)絡(luò)日志、恢復(fù)網(wǎng)絡(luò)參數(shù)，清除惡意活動(dòng)痕跡，潛伏在目標(biāo)系統(tǒng)中，等待下一次攻擊命令。

2 APT攻擊的情報(bào)學(xué)價(jià)值

許多 APT攻擊都被簡單認(rèn)為是黑客團(tuán)隊(duì)以信息竊取為目的的行為，然而他們竊取這些信息用作什么目的卻不得而知，但針對政府、能源部門、軍工企業(yè)的攻擊活動(dòng)則可以獲得意想不到的情報(bào)素材。APT攻擊的情報(bào)學(xué)價(jià)值主要表現(xiàn)在以下三點(diǎn)。

2.1 APT直接為情報(bào)挖掘服務(wù)

目前的APT攻擊涉及的范圍十分廣泛，如2011年以RSA為首的若干個(gè)世界性組織遭到攻擊，直接導(dǎo)致數(shù)百萬用戶的資料被竊取，美國曼迪安特公司披露APT1報(bào)告等等，涉及方向有信息技術(shù)、高科技電氣、金融領(lǐng)域等等。雖然這一類信息看似彼此間毫無關(guān)系，但通過將碎片化的信息進(jìn)行重新組合、序化，可以有效挖掘出非常高的情報(bào)價(jià)值。占有原始資料的數(shù)量越多，得到高價(jià)值情報(bào)的可能性就越大，APT負(fù)責(zé)攻擊獲取情報(bào)資料，而情報(bào)挖掘則負(fù)責(zé)將情報(bào)資料轉(zhuǎn)換成為有價(jià)值的情報(bào)信息。

2.2 APT是獲取情報(bào)素材的有效手段

與傳統(tǒng)的情報(bào)獲取方式相比，APT獲取情報(bào)的方式更加注重目標(biāo)的情報(bào)價(jià)值，具有針對性大、時(shí)效性強(qiáng)、不易被發(fā)現(xiàn)的優(yōu)勢。尤其是時(shí)效性，基本可以做到情報(bào)產(chǎn)生即獲取。近年來隨著網(wǎng)絡(luò)作戰(zhàn)一詞的興起，網(wǎng)絡(luò)偵察方式也層出不窮。愛德華·斯諾登事件更加顯示了國家層面對于網(wǎng)絡(luò)獲取情報(bào)的幕后支持，許多情報(bào)機(jī)構(gòu)，間諜機(jī)構(gòu)都將網(wǎng)絡(luò)情報(bào)獲取列為重中之重，將其作為一種有效手段而廣泛采用。

2.3 情報(bào)反向指導(dǎo)APT攻擊

通過情報(bào)挖掘產(chǎn)生的 APT情報(bào)中有部分是關(guān)于目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、郵箱密碼、服務(wù)器管理員密碼等信息。攻擊者利用這些情報(bào)信息可以很輕松的通過目標(biāo)主機(jī)或服務(wù)器作為跳板，橫向拓展攻擊同一網(wǎng)段下的其他高價(jià)值目標(biāo)，竊取具有更高情報(bào)價(jià)值的信息。另外，通過對APT情報(bào)的挖掘，可以對目標(biāo)的興趣、愛好、行為等有所掌控，在制定對此類目標(biāo)攻擊的計(jì)劃中可更好地利用社會(huì)工程學(xué)的方式來指導(dǎo)APT攻擊。

3 APT情報(bào)挖掘

對于獲取到的APT情報(bào)素材，需要進(jìn)行深入挖掘，經(jīng)過進(jìn)一步的分析、處理、加工等過程后才能產(chǎn)生其情報(bào)學(xué)價(jià)值。在美國的情報(bào)理論當(dāng)中，情報(bào)分析（Intelligence Analysis）是指對有用的信息進(jìn)行分解、合成，通過邏輯推理得出有價(jià)值的結(jié)論。本節(jié)就描述對APT攻擊獲取的情報(bào)素材進(jìn)行分析、處理、傳遞、存儲(chǔ)、服務(wù)過程來揭示APT情報(bào)挖掘的底層運(yùn)行模式，構(gòu)建過程模型，實(shí)現(xiàn)挖掘情報(bào)，產(chǎn)生價(jià)值的結(jié)果。

3.1 分析

APT情報(bào)素材往往是無序化、模塊化、專業(yè)化、碎片化的大量原始信息，對這些數(shù)量龐大、無規(guī)律的信息進(jìn)行分析是尤為重要的環(huán)節(jié)。例如，在曼迪安特公司（Mandiant）的APT1[2]中報(bào)告的攻擊者所獲取數(shù)據(jù)量就有近幾個(gè)TB。對這些情報(bào)素材的分析需要綜合運(yùn)用多種分析方法，不同的學(xué)者提出了不同的分析方法，代表的有邏輯方法，如歸納與演繹、比較法、綜合法等。在這里采用 WSR分析模型，即物理—事理—人理分析模型。如圖2，WSR分析模型中，三個(gè)層次基于對復(fù)雜問題的解決，需要考慮問題的最基本方面即物的方面，考慮問題解決最佳的方式方法即事理方面還有解決問題的關(guān)鍵因素—人的影響。三個(gè)層面針對對問題的深入程度，逐步上升，完成對APT情報(bào)素材全面、系統(tǒng)、詳細(xì)、理性的分析結(jié)果。

圖1 WSR分析模型

3.1.1 物理層次

物理層中，內(nèi)容分析法作為一種對情報(bào)素材內(nèi)容的定量分析方法，在對APT情報(bào)素材分析方面具有無可比擬的優(yōu)勢。例如，在Google極光攻擊中，黑客通過APT攻擊獲取了Google員工（被攻擊對象）的大部分網(wǎng)絡(luò)注冊信息，通過分析這類信息成功偽造了一份受到信任的身份信息，為下一步進(jìn)行更高層次的APT攻擊做好了準(zhǔn)備。

相關(guān)分析法是指依據(jù)兩個(gè)或兩個(gè)以上問題或?qū)傩缘南嚓P(guān)程度來發(fā)現(xiàn)某種關(guān)系和規(guī)律的分析方法。它可以針對一個(gè)問題的幾種屬性的相關(guān)程度來分析問題，也可針對在同一時(shí)間軸不同次序的幾種問題的相關(guān)程度來分析。在APT情報(bào)素材中，有很多素材是針對某一敏感事件從不通角度或在多個(gè)時(shí)間點(diǎn)對事件進(jìn)行描述，通過相關(guān)分析法可以很好的發(fā)現(xiàn)敏感事件的內(nèi)部聯(lián)系，幫助判斷影響程度。

3.1.2 事理層次

事理層次對情報(bào)素材的分析結(jié)果結(jié)果可以作為物理層結(jié)果的深化，同時(shí)也為人理層分析結(jié)果提供支撐。層次分析法是對定性分析進(jìn)行定量分析的一種系統(tǒng)性方法，對復(fù)雜問題按因素進(jìn)行劃分，并依據(jù)不同因素間的關(guān)聯(lián)程度將因素聚類劃分層次，逐個(gè)進(jìn)行分析。APT情報(bào)分析中可以將目標(biāo)進(jìn)行層次劃分，依據(jù)目標(biāo)大小和關(guān)聯(lián)程度可以分析出詳細(xì)的目標(biāo)組織結(jié)構(gòu)。例如2011年的夜龍攻擊，攻擊者通過被黑的WEB服務(wù)器攻擊內(nèi)網(wǎng)服務(wù)器和開發(fā)人員計(jì)算機(jī)，竊取被感染主機(jī)的機(jī)密文件，分析得出了所有會(huì)議記錄及詳細(xì)的組織結(jié)構(gòu)圖。

模型模擬法是一種仿真方法，它可構(gòu)造模型，通過直觀、可信、形象化的方式將結(jié)果呈現(xiàn)出來。在APT情報(bào)分析中，模型模擬法可將情報(bào)素材以最簡單的方式構(gòu)造出來，對可能影響結(jié)果的每一環(huán)節(jié)進(jìn)行模擬，分析可能結(jié)果，利于情報(bào)人員掌握情報(bào)素材。

3.1.3 人理層次

一切分析方法最終都離不開人作為其關(guān)鍵的因素。在人理層次中，APT情報(bào)素材的分析可以劃分為邏輯法和經(jīng)驗(yàn)法。邏輯法中又包含了傳統(tǒng)的歸納與演繹方法、比較與分類法等。而經(jīng)驗(yàn)法中，此方法的運(yùn)用對情報(bào)分析人員的要求最高，不僅需要其在判斷結(jié)果的過程中掌握大量的APT情報(bào)素材，同時(shí)還需要對素材的各方面問題有科學(xué)、準(zhǔn)確、獨(dú)到的認(rèn)識(shí)，結(jié)合情報(bào)人員的自身特點(diǎn)，運(yùn)用創(chuàng)造性的思維方式，分析情報(bào)。如在2011年的暗鼠攻擊中，分析人員發(fā)現(xiàn)攻擊者通過長時(shí)間收集目標(biāo)信息，掌握大量APT情報(bào)素材，通過特定版本的Excel漏洞植入木馬程序。由此可見受害者的軟件版本信息已經(jīng)暴露在攻擊者面前，后者制作具有高針對性的木馬程序，另受害者猝不及防，獲取情報(bào)素材。

3.2 APT情報(bào)處理

APT情報(bào)素材的主流素材格式繁多，數(shù)據(jù)量大，時(shí)效要求強(qiáng)。對這些信息的處理也需要借助現(xiàn)代化的處理手段，如計(jì)算機(jī)輔助處理系統(tǒng)，來提高對情報(bào)素材處理的準(zhǔn)確度與效率[3]。對APT情報(bào)的處理可以依據(jù)其攻擊目標(biāo)的性質(zhì)、獲取情報(bào)的方向、輔助決策的內(nèi)容性質(zhì)等方面進(jìn)行分類、組織、整理。與此同時(shí)還需要再次對情報(bào)素材進(jìn)行分析，剔除無效信息，并為無效信息建立特征庫，為后續(xù)APT情報(bào)分析提供數(shù)據(jù)參考。

3.3 APT情報(bào)傳遞

APT情報(bào)傳遞具有選擇性強(qiáng)、目的性強(qiáng)、時(shí)效性強(qiáng)的特點(diǎn)，傳遞過程中需要保留源情報(bào)素材的完整性、真實(shí)性。同時(shí)，由于數(shù)據(jù)量大，這其中難免會(huì)產(chǎn)生一些高價(jià)值情報(bào)與普通價(jià)值情報(bào)。高價(jià)值情報(bào)要優(yōu)先傳遞，降低普通價(jià)值情報(bào)所占用的遞送資源。在APT情報(bào)挖掘過程中，有的過程是單向傳遞，如處理到存儲(chǔ)，而有的過程采用雙向傳遞，如分析與處理環(huán)節(jié)。

3.4 APT情報(bào)存儲(chǔ)

對于處理完成的APT情報(bào)素材，需要進(jìn)行存儲(chǔ)，歸入情報(bào)庫。存儲(chǔ)過程采用數(shù)據(jù)倉庫技術(shù)，對不同數(shù)據(jù)通過設(shè)立一個(gè)或多個(gè)標(biāo)簽來分類存儲(chǔ)管理不同格式的數(shù)據(jù)。通常可以采用目標(biāo)、類型、任務(wù)、方向、時(shí)間特征來建立數(shù)據(jù)倉庫，運(yùn)用統(tǒng)一的數(shù)據(jù)格式方便檢索。對APT情報(bào)的存儲(chǔ)主要有兩個(gè)作用，一是為情報(bào)咨詢提供服務(wù)，二是檢索情報(bào)素材，為攻擊發(fā)起者制定方案提供數(shù)據(jù)支持。

3.5 服務(wù)

APT情報(bào)挖掘的最終目的是發(fā)揮其情報(bào)價(jià)值，為情報(bào)組織甚至是高層組織提供情報(bào)參考。APT情報(bào)挖掘針對高價(jià)值目標(biāo)，對目標(biāo)的性質(zhì)、真實(shí)身份等特別關(guān)注。這類信息對于掌握目標(biāo)規(guī)律，拓展情報(bào)業(yè)務(wù)有著巨大幫助。另外，APT情報(bào)服務(wù)還可以用作情報(bào)機(jī)構(gòu)制定進(jìn)一步的攻擊計(jì)劃，如挖掘目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，詳細(xì)分析網(wǎng)絡(luò)各節(jié)點(diǎn)情報(bào)價(jià)值，為下一次攻擊獲取情報(bào)提供數(shù)據(jù)支持。

圖2 APT情報(bào)處理

4 結(jié)語

APT情報(bào)挖掘是基于APT攻擊獲取情報(bào)素材，對情報(bào)素材進(jìn)行分析、處理、存儲(chǔ)，挖掘情報(bào)價(jià)值，提供情報(bào)服務(wù)的過程。未來的APT攻擊則會(huì)更加側(cè)重于攻擊高價(jià)值服務(wù)器、與核心節(jié)點(diǎn)，移動(dòng)終端也會(huì)成為攻擊活動(dòng)新的目標(biāo)?；贏PT攻擊的情報(bào)挖掘?qū)⒏訌V泛，斗爭將更加激烈，而且會(huì)成為國家層面情報(bào)機(jī)構(gòu)相互角逐的戰(zhàn)場。本文對APT情報(bào)素材的挖掘過程做了比較系統(tǒng)的闡述，但在描述過程中，存在表述不全面、分析不夠系統(tǒng)徹底的缺點(diǎn)。相關(guān)的研究還有待進(jìn)一步深入。

[1]陳劍鋒.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密，2012[7]：24-27.

[2]MANDIANT.Mandiant——APT1[R].MANDIANT，2013.

[3]閆晉中.軍事情報(bào)學(xué)[M].北京：時(shí)事出版社，2003.