APT技術(shù)分析與思考

摘 要：APT高級持續(xù)性威脅（Advanced Persistent Threat），是一種新型的攻擊手段，威脅著網(wǎng)絡(luò)信息安全。本文通過APT攻擊典型案例介紹了APT攻擊的基本概念、攻擊過程、攻擊原理及攻擊方法等，逐步找到防范策略。

關(guān)鍵詞：APT攻擊；網(wǎng)絡(luò)安全；入侵檢測

中圖分類號：TP393.08

1 概述

1.1 什么是APT

APT（Advanced Persistent Threat）高級持續(xù)性威脅這種新攻擊方式在2010年Google承認遭受嚴重黑客攻擊之后逐漸被大家熟知，并且已經(jīng)造成了嚴重破壞，成為近幾年來網(wǎng)絡(luò)安全最為熱門的話題，這種攻擊行為具有極強的隱蔽性，攻擊對象通常是政府、軍隊、金融、能源、運營商、大企業(yè)網(wǎng)絡(luò)。

近幾年世界各地發(fā)生了多起名噪一時的APT攻擊事件，主要有：2010年1月，極光行動（Operation Aurora）攻擊GMail。2010年7月，震網(wǎng)（Stuxnet）攻擊伊朗布什爾核電站。2011年5月，美國軍火大廠洛克希德馬?。↙ockheed Martin）的被入侵。2011年6月，CIA被入侵。2011年11月，日本總務省發(fā)現(xiàn)計算機遭木馬入侵已三個月。2012年3月，央視3.15晚會曝光招商銀行、中國工商銀行、中國農(nóng)業(yè)銀行員工以一份十元到幾十元的價格大肆兜售個人征信報告、銀行卡信息，導致部分用戶銀行卡賬號被盜。

APT攻擊與普通攻擊兩者并無本質(zhì)的區(qū)別，都是網(wǎng)絡(luò)攻擊行為，但前者相對于后者主要體現(xiàn)在攻擊三要素就是“APT”，但不是“Advanced Persistent Threat”而是“Advanced Persistent Targeted”，即針對性、高級性、持續(xù)性攻。

A：攻擊手段高級，由于攻擊過程的高難度，決定了攻擊手段必須高級，主要體現(xiàn)在人力、物力及財力的大量投入和高級技術(shù)的大量運用。

P：攻擊過程時間長，由于攻擊過程的高難度性決定了要尋找機會進行縱向突破攻擊目標網(wǎng)絡(luò)，再進行橫向摸索滲透，為了避免暴露需隱藏在目標網(wǎng)絡(luò)正常行為中，整個過程需要經(jīng)歷數(shù)月甚至數(shù)年。

T：攻擊目標、目的明確，攻擊目標通常都具有深厚背景，包括政府、軍隊、金融、能源、運營商、大企業(yè)等組織，攻擊目的通常都是竊取、控制、破壞攻擊目標所掌握的重要資源。

1.2 APT攻擊典型案例

極光行動（2009-2010）。針對GOOGLE等三十多個高科技公司的極光攻擊。攻擊者通過FACEBOOK上的好友分析，鎖定了GOOGLE公司的一個員工和他的一個喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的電腦，然后偽造了一個照片服務器，上面放置了IE的0DAY攻擊代碼，以電腦小白的身份給GOOGLE員工發(fā)送IM消息邀請他來看最新的照片，其實URL指向了這個IE 0DAY的頁面。GOOGLE的員工相信之后打開了這個頁面然后中招，攻擊者利用GOOGLE這個員工的身份在內(nèi)網(wǎng)內(nèi)持續(xù)滲透，直到獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問權(quán)限。竊取了MAIL系統(tǒng)中的敏感信息后，攻擊者通過合法加密信道將數(shù)據(jù)傳出。事后調(diào)查，不止是GOOGLE中招了，三十多家美國高科技公司都被這一APT攻擊搞定，甚至包括賽門鐵克這樣的安全廠商。

1.3 APT攻擊過程

（1）信息搜集。攻擊過程首先要了解攻擊目標，主要包括目的組織的網(wǎng)絡(luò)系統(tǒng)和人員信息，主要途徑是現(xiàn)實生活世界和虛擬網(wǎng)絡(luò)世界。從目前所發(fā)現(xiàn)的APT攻擊手法來看，大多數(shù)APT攻擊都是從組織人員入手，搜集人員的信息，然后攻擊該人員電腦，從而進入目標組織網(wǎng)絡(luò)；（2）縱向攻擊突破。攻擊者在掌握了攻擊目標的足夠信息之后，就開始尋找機會進入目標組織網(wǎng)絡(luò)。攻擊的途徑包括外部（外部滲透攻擊或者外部誘騙攻擊）和內(nèi)部（間諜攻擊或物理擺渡攻擊）突破。攻擊方法包括：社會工程學方法、遠程漏洞攻擊方法、物理擺渡攻擊及間諜攻擊等；（3）隱蔽信道構(gòu)建。攻擊者控制了電腦后，需要構(gòu)建某種隱蔽信道長期與其保持聯(lián)系，發(fā)出攻擊指令及數(shù)據(jù)回傳。為了避免被發(fā)現(xiàn)，通常會采用合法網(wǎng)絡(luò)協(xié)議搭建隱蔽信道，包括HTTP、HTTPS、DNS、ICMP協(xié)議等；（4）橫向摸索滲透；首先攻入的人員電腦只是跳板，通過跳板進行橫向滲透找到目標的重要資源。（5）完成最終攻擊目的。通過長期摸索滲透得到重要資源的控制權(quán)限后，就可以完成最終目的，包括操控、破壞、竊取資源。

2 APT攻擊防范四大策略

國內(nèi)外很多廠商都提出了自己的APT防范策略和解決方案，可以概括為四類：（1）主機文件保護類。多數(shù)APT攻擊行為都是以攻擊目標內(nèi)部人員的主機為跳板，因此如果能夠確保終端的安全則可以有效防止APT攻擊。主要思路是監(jiān)控終端上應用程序加載和執(zhí)行情況，采用白名單機制防止惡意代碼程序的加載和運行；（2）惡意代碼檢測類。主要是通過對網(wǎng)絡(luò)出口處設(shè)置關(guān)卡，對所有通過的郵件、URL、共享文件等進行掃描及分析，防止惡意、未知代碼進入內(nèi)部網(wǎng)絡(luò)，最終阻止APT攻擊的縱向突破；（3）入侵檢測類。攻擊者需建立隱蔽信道用于長期控制及橫向摸索滲透，通常利用HTTP、HTTPS、DNS、ICMP協(xié)議來實現(xiàn)，所以可以采用傳統(tǒng)入侵檢測方法來檢測；（4）數(shù)據(jù)分析檢測類。數(shù)據(jù)分析檢測類重點在于事后分析。該類方案通過全面采集網(wǎng)絡(luò)設(shè)備的流量以及終端和服務器上的日志，在一旦發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，對這些日志數(shù)據(jù)進行關(guān)聯(lián)分析，能夠還原整個APT攻擊過程。

3 思考

目前所推出的APT檢測防御方法都具有一定的局限性，主要表現(xiàn)為：很多APT攻擊檢測和防御方案都只能覆蓋到APT攻擊的某個階段，從而可能導致漏報。于是我思考出一種綜合的解決方案，包括三部分內(nèi)容，如下圖所示：

圖1

（1）安全網(wǎng)關(guān)部分。安全網(wǎng)關(guān)負責網(wǎng)絡(luò)行為數(shù)據(jù)采集、分析、控制。具體包括：入侵檢測：基于傳統(tǒng)的入侵檢測技術(shù)，對已知網(wǎng)絡(luò)攻擊進行檢測；流量審計：基于傳統(tǒng)的FlOW技術(shù)對網(wǎng)絡(luò)進/出流量進行審計；協(xié)議審計：對網(wǎng)絡(luò)傳輸中所使用的應用協(xié)議進行識別審計；深度分析：在協(xié)議審計的基礎(chǔ)上，對特定應用協(xié)議進行深度解析和分析；黑白名單：系統(tǒng)內(nèi)置域名、IP地址、URL、代碼樣本的黑名單和白名單庫，用于快速判斷網(wǎng)絡(luò)行為是否存在異常，當遇到無法判斷的情況時則將提交給安全中心進行深入分析；（2）安全中心部分。安全中心主要完成三個主要功能：流量及日志等數(shù)據(jù)的采集、存儲、集成分析；惡意代碼分析；知識庫的存儲與分享；（3）安全終端部分。安全終端主要實現(xiàn)對終端主機行為進行監(jiān)控，具體包括：黑白名單；進程監(jiān)控；網(wǎng)絡(luò)審計。

參考文獻：

[1]張帥.對APrr攻擊的檢測與防御[J].信息安全與技術(shù)，2011（09）：125-127.

[2]陳劍鋒，王強，伍淼.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密，2012（07）：16-18.

作者簡介：孟憲全（1977.06-），男，河北人，工學學士，助理工程師，研究方向：網(wǎng)絡(luò)信息安全。

作者單位：遼寧省公安邊防總隊，沈陽 110034