高級可持續(xù)威脅攻擊關(guān)鍵技術(shù)探究

李建方，張士鐸

(中國傳媒大學計算機學院，北京 100024)

?

高級可持續(xù)威脅攻擊關(guān)鍵技術(shù)探究

李建方，張士鐸

(中國傳媒大學計算機學院，北京 100024)

高級可持續(xù)威脅(APT)是目前全球范圍內(nèi)互聯(lián)網(wǎng)安全領域最難防范的攻擊之一。本文收集了從2008年到2015年的180個APT攻擊事件，根據(jù)其攻擊目標、持續(xù)時間、攻擊目標地理分布、是否國家支持等因素，選取其中89個典型攻擊案例進行深度剖析。從5維度上詳細分析了其攻擊背景，攻擊方案，攻擊溯源，并總結(jié)了APT攻擊生命周期及其各階段特點。

APT；攻擊手段；魚叉式釣魚；水坑攻擊；0day漏洞

1　引言

近些年來，互聯(lián)網(wǎng)空間的安全形勢發(fā)生了巨大改變，APT攻擊增長趨勢呈指數(shù)式發(fā)展，成為最具威脅的網(wǎng)絡攻擊方式。與傳統(tǒng)的來自病毒和木馬的安全威脅不同，APT攻擊破壞性之大、隱蔽性之強，持久性之久等特性，讓如今企業(yè)單位所面臨的網(wǎng)絡安全風險愈加復雜?，F(xiàn)有的網(wǎng)絡防御系統(tǒng)很難抵御APT攻擊。國外專家學者通過分析每次攻擊的特點[1]，認為攻擊Google、RSA、Comodo等大公司的黑客使用了前所未有的戰(zhàn)術(shù)，組合了加密、隱秘編程技術(shù)和IE中的未知漏洞，意圖是竊取Google、Adobe和許多其他大公司的源代碼，從而利用竊取的信息得到更大的利益。同時，大量的專家學者也在為解決APT攻擊這一新興網(wǎng)絡攻擊技術(shù)出謀劃策。

美國國家標準和技術(shù)研究院(NIST)在2013年公開的《SP800-53管理信息安全風險》中對APT的定義是[2]：精通復雜技術(shù)的攻擊者利用多種攻擊方案(如：網(wǎng)絡，物理和欺詐)，借助豐富資源創(chuàng)建機會實現(xiàn)自己目的。這些目的通常包括對目標企業(yè)的信息技術(shù)架構(gòu)進行篡改從而盜取數(shù)據(jù)，執(zhí)行或阻止一項任務，程序，又或者是潛入對方架構(gòu)中伺機進行偷取數(shù)據(jù)。

2　ATP案例分析

我們收集了從2008年到2015年的180個APT攻擊事件，根據(jù)其攻擊目標、持續(xù)時間、攻擊目標地理分布、是否國家支持等因素，我們選取以上89個典型攻擊案例，從5個維度(基本信息、準備、進入、駐留、收獲)詳細分析其攻擊背景、攻擊方案、攻擊溯源手段等關(guān)鍵技術(shù)。下面(表1)列出了5個APT典型攻擊案例的基本信息，攻擊手段和時間影響。

表1　2008～2015年間5個典型案例分析列表

根據(jù)分析匯總可以得到以下的結(jié)論：

2.1APT攻擊特征典型特征。

對這89個典型案例的深入分析可知，APT進入階段的主要手段分為魚叉式釣魚郵件攻擊，水坑攻擊和EvilTwins攻擊，其中魚叉式釣魚郵件攻擊又根據(jù)其漏洞利用手法分為釣魚郵件附件攻擊，釣魚郵件正文攻擊和webmail漏洞利用攻擊。由對89個案例的統(tǒng)計分析表可以知道，在89個APT攻擊案例中有39個魚叉式釣魚郵件攻擊，1個APT攻擊事件選用直接攻擊方式，有些攻擊事件的進入方式還不唯一，因為針對現(xiàn)實生活中的情況來講，相對于“技防”，“人防”明顯更薄弱一下，利用社會工程學從“人”下手，利用人們防范意識薄弱的弱點誘使其點擊釣魚郵件實現(xiàn)攻擊進入。

2.2按照“異常發(fā)現(xiàn)—知識構(gòu)建—深度分析”的主線，建立APT攻擊生命周期的4階段模型

準備。攻擊者會采用網(wǎng)絡掃描和應用踩點等方式收集關(guān)于被攻擊目標的網(wǎng)絡、系統(tǒng)等信息。

進入。攻擊者在收集了足夠的關(guān)于被攻擊目標信息之后，將會采取社會工程學攻擊、水坑攻擊和直接入侵三大類手段試圖進入目標網(wǎng)絡。

駐留。攻擊者一旦進入目標網(wǎng)絡，會嘗試在網(wǎng)絡中尋找可駐留節(jié)點。典型的可被駐留節(jié)點包括：計算機終端設備、手機、服務器等。通常為了實現(xiàn)駐留目標，攻擊者所需要采取的攻擊手段包括：提升權(quán)限、橫向移動、遠程控制。

收獲。和傳統(tǒng)的網(wǎng)絡入侵行為相比，APT攻擊的目標更明確、更堅定。在已有公開的APT事件中，竊密成為攻擊者當仍不讓的首選目標。攻擊者利用其在駐留階段建立起的控制信道回傳竊得的數(shù)據(jù)，一旦完成目標，攻擊者往往會進行清理工作，刪除系統(tǒng)和應用軟件的日志，清理遠控和回傳過程中產(chǎn)生的所有臨時文件，最后卸載植入端軟件，實現(xiàn)毀滅證據(jù)、銷聲匿跡。

2.3APT攻擊案例中使用0day進入的比例遠遠低于使用已知漏洞利用代碼的比例

由89案例的統(tǒng)計分析表可以看到，采用0day漏洞的攻擊事件有17件，而未采用0day漏洞的攻擊事件有72件，直接采用0day漏洞攻擊在技術(shù)實現(xiàn)上相對比較復雜，況且挖掘0day漏洞非常困難，0day漏洞的數(shù)量也相對較少，利用成本很高。利用公開漏洞實現(xiàn)攻擊就相對比較簡單，即使相關(guān)軟件也推出了相應的補丁，但是有些公司的網(wǎng)管水平不夠，IT基礎設施運維管理能力不足，都給攻擊者提供了很好的攻擊機會，攻擊者利用社會工程學發(fā)現(xiàn)公司員工使用軟件的版本存在哪些漏洞，那么就會可能造成一次攻擊事件。

2.4攻擊者使用了2個區(qū)別于以往所有攻擊行為的重要模式創(chuàng)新

A模式：直接導致了A(Advanced)難題，我們將其模式特征總結(jié)為：組合攻擊(同時使用多種攻擊工具、漏洞利用程序)、定制化攻擊(開發(fā)并使用未知漏洞利用程序、針對小眾專業(yè)或行業(yè)軟件的漏洞利用程序)和高度偽裝(所有攻擊行為均寄生于正常且主流的應用層協(xié)議)。

P模式：直接導致了P(Persistent)難題，我們將其模式特征總結(jié)為：長時間碎片化攻擊行為。這是針對傳統(tǒng)的以IDS、防火墻為代表的傳統(tǒng)網(wǎng)絡安全設備的檢測模式是基于數(shù)據(jù)報文級別、會話流級別檢測的缺陷，將一個完整的惡意代碼或漏洞利用程序切割成多個數(shù)據(jù)片段，利用非連續(xù)時間窗口、使用多個獨立傳輸會話、甚至是從多個不同IP源地址發(fā)起傳輸會話。

3　APT攻擊途徑

通過分析近年來的APT攻擊事件，我們發(fā)現(xiàn)，社會工程學攻擊是攻擊者最擅長也是最喜歡的方法。利用各種系統(tǒng)漏洞或軟件漏洞進行滲透的惡意代碼已成為目前APT攻擊的主要手段，而利用或盜用合法的認證簽名，利用瀏覽器漏洞和水坑攻擊將替代郵件攻擊將成為APT攻擊發(fā)展的趨勢，與此同時，攻擊者也更注重對沙箱的反檢測技術(shù)，從而躲避安全廠商的動態(tài)檢測技術(shù)[3]。其攻擊手段主要有表2所示。

表2　常見的五種APT入侵手段

3.1魚叉式釣魚攻擊

魚叉式攻擊又分為三種，分別為郵件附件類型、郵件正文類型和Webmail漏洞類型釣魚攻擊。

郵件附件釣魚攻擊是針對特定Email地址發(fā)起的釣魚式攻擊。采用這一手段的入侵者，會向特定人群定點發(fā)送特定Email。這種針對特定受害者發(fā)送的郵件，為了達到誘騙目的，往往使用迷惑性較高的文件或內(nèi)容，例如色情圖片類郵件，通知批文類郵件，商業(yè)材料類郵件，誘使用戶點擊某個鏈接以下載惡意軟件，或者誘使他們打開有問題的郵件附件。而且緊接著會使用電話等途徑對潛在的受害者實施進一步的社會工程學攻擊。

攻擊者會假造內(nèi)容讓它符合時事且更具有說服力，例如：

①者利用常見網(wǎng)頁郵件服務(如Yahoo!、Gmail等等)的帳號和之前入侵獲得的帳號來寄送Email；

②RSA受到的攻擊中，送給員工的電子郵件中有主旨為：RecruitmentPlan(聘雇計劃)；

③攻擊者偽造來自特定部門或目標辦公室內(nèi)高階主管的電子郵件；

④攻擊者假造附加檔案名稱來變得更符和時事，更有說服力；

⑤在Nitro攻擊活動中，電子郵件偽裝成來自目標公司的資訊部門；

郵件正文的釣魚攻擊主要是仿冒管理員，發(fā)送密碼維護，系統(tǒng)升級等內(nèi)容的郵件，要求用戶發(fā)送密碼進行身份核對等?；蛘咭笥脩酎c擊惡意鏈接，核對驗證身份。

WebMail釣魚攻擊是利用郵件系統(tǒng)或者客戶端本身存在漏洞，遠程攻擊者建立任意文件，進行跨站腳本，獲得安裝路徑等攻擊。

3.2水坑攻擊

水坑攻擊就是當某個企業(yè)網(wǎng)站服務器被入侵，出現(xiàn)某個網(wǎng)頁被用來針對訪客提供特制的惡意軟件。這種攻擊對于將自己公司網(wǎng)頁設成首頁的員工來說特別有效，威脅也延伸到客戶和合作伙伴。另一種水坑攻擊是污染了網(wǎng)站內(nèi)的廣告。這類型的攻擊被稱為惡意廣告。要實施一個水坑攻擊，攻擊者首先要攻陷某個第三方網(wǎng)站。這種第三方網(wǎng)站通常是目標單位的目標人群通常會訪問的網(wǎng)站。一旦有人訪問這些第三方網(wǎng)站，他們的電腦就會中招。攻擊者使用一個漏洞攻占一個網(wǎng)站后，并不急于立即使用該網(wǎng)站發(fā)起攻擊，而是在攻占多個網(wǎng)站后，集中地發(fā)起對多個目標的攻擊。攻擊者采用這種策略可能有兩方面原因：一是攻擊者為了提高漏洞的利用效率，減少開銷；另一個可能是不同的攻擊者之間交換漏洞信息，增加可用漏洞儲備。

3.3Evil Twins

在公共場所、公司、家附件，偽造同名SSID的AP，等待目標連接，從而入侵目標機器，著名的APT事件DarkHotel就是在酒店附近偽造酒店同名的SSID的AP，入侵高管設備。

4　APT 攻擊關(guān)鍵技術(shù)

4.10day漏洞的利用

根據(jù)案例的分析，0day漏洞的使用比率并不占主要部分，主要因為0day漏洞挖掘難度大，數(shù)量極少，代價很高，但是它極具有攻擊效率。根據(jù)FireEye報告，2013年的0day漏洞主要可以分為四類，如圖1所示。

圖1　2013年0day漏洞數(shù)量比例　

Java程序漏洞：2013年上半年，很多著名的攻擊都采用了java的0day漏洞，因為java程序的0day漏洞相對而言更易挖掘。之前Java漏洞并沒有引起廣大安全研究人員的重視，近年來Java程序漏洞的大量曝光，逐漸引起重視。

瀏覽器漏洞：2013年下半年，爆發(fā)出大量IE的0day漏洞，被黑客成功地用于“水坑攻擊”。其中老版本的IE7、IE8漏洞居多，新版本的IE瀏覽器增強了安全性，漏洞相對較少，主要包含信息泄露漏洞。但是攻擊者仍然會研究出新的技術(shù)繞過微軟的防御機制。

4.2惡意軟件的利用

APT攻擊者在C&C服務器上存儲了大量的攻擊工具，并定期更新，這些工具主要分為七大類：惡意軟件、遠程管理、漏洞掃描、網(wǎng)絡掃描、網(wǎng)絡導向、郵箱刺探、密碼導出。而這七大類工具中，惡意軟件是攻擊者攫取數(shù)據(jù)的核心，攻擊者一般采用匿名通信和隱蔽通信兩種技術(shù)。匿名通信是由Chaum[4]提出的，他提出了基于Mix節(jié)點的匿名通信算法，Mix節(jié)點接收多個發(fā)送者的消息，并對這些消息進行混合處理，然后傳輸給接收者，因此掩蓋了發(fā)送者和接收者的身份信息，實現(xiàn)了匿名。

隱蔽通信可以利用數(shù)據(jù)的加密和流量隱藏實現(xiàn)，繞過各種檢測機制，成功將數(shù)據(jù)傳至C&C服務器。數(shù)據(jù)加密保證即使數(shù)據(jù)包被解惑，安全人員也無法解析其內(nèi)容。流量隱藏是為將攫取的信息數(shù)據(jù)偽裝成常見協(xié)議的數(shù)據(jù)包，誤導安全人員以為是正常數(shù)據(jù)包。

4.3僵尸網(wǎng)絡的利用

僵尸網(wǎng)絡是目前各大企業(yè)單位面臨的最嚴重網(wǎng)絡安全威脅之一。僵尸是一個入侵和感染計算機的惡意軟件，允許犯罪分子遠程控制該計算機。感染計算機可進行非法活動，如竊取數(shù)據(jù)、散布垃圾郵件、分發(fā)惡意軟件和參與拒絕服務(DoS)攻擊。僵尸還在針對性APT攻擊中發(fā)揮著關(guān)鍵作用。

APT攻擊者經(jīng)常利用僵尸網(wǎng)絡，僵尸網(wǎng)絡能夠給他們提供更多資源來發(fā)動攻擊，并且很難追蹤到攻擊的源頭。利用僵尸網(wǎng)絡可以進行多種類型的攻擊，一個簡單的命令和控制服務器就可以控制位于數(shù)百個不同網(wǎng)絡的電腦，而且不斷更新惡意軟件，一直“領先于”普通的檢測工具。即使有些機器不是APT攻擊的目標，但其網(wǎng)絡也可能在不知情的情況下被用來作為犯罪工具，用來攻擊其他網(wǎng)絡。APT組織經(jīng)常會使用僵尸網(wǎng)絡來托管其基礎框架并發(fā)起DDos等攻擊，以破壞銀行、政府機構(gòu)及其他知名組織網(wǎng)站。

5　總結(jié)

本文通過跟蹤調(diào)查大量的APT攻擊案例，總結(jié)了APT攻擊的生命周期，按照“異常發(fā)現(xiàn)—知識構(gòu)建—深度分析”的主線將其分為準備、進入、駐留、收獲四個階段。針對每個階段，我們進行了詳細的分析，對比傳統(tǒng)的網(wǎng)絡攻擊技術(shù)，我們對APT攻擊的關(guān)鍵技術(shù)和入侵方法做了深層次的介紹，包括魚叉式釣魚攻擊、水坑攻擊、漏洞利用等手段，為下一步探究APT的防御策略奠定了基礎。

[1]RobSloan.AdvancedPersistentThreat[J].Engineering&TechnologyReference，2012，(1)：7.

[2]NationalInstituteofStandardsandTechnology.SP800-53ManagingInformationSecurityRisks[S].2013.

[3]張帥.對APT的檢測與防御[J].信息安全技術(shù).2011，(9)：125-127.

[4]Chaumdl.Untraceableelectronicmailreturnaddressesanddigitalseudonyms[J].CommunicationsoftheACM，1981，24(2)：84-88.

(責任編輯：王謙)

ResearchonAdvancedPersistentThreatAttackTechniques

LIJian-fang，ZHANGShi-duo

(SchoolofComputer，ComunicationUniversityofChina,Beijing100024,China)

AdvancedPersistentthreat(APT)isoneofthehardesttoguardagainstattackintheworldwideinformationsecurityfield.Thispapercollected180APTattackcasesfrom2008to2015.And89typicalattackcaseswereselectedfordepthprofiling，accordingtoitstarget，duration，attacktargetdistribution，whethernationalsupportfactors.WesummarizedtheAPTattacksindifferentstagesofthelifecycleanditscharacteristicsfromfivedimensions.

APT；attackingmethod；spear-phishing；Puddleattacking；0dayvulnerabilities

2016-1-12

李建方(1989-)，男(漢族)，山東菏澤人，中國傳媒大學計算機學院研究生.E-mail：jsj3ljf@163.com

TP309.2

A

1673-4793(2016)03-0051-05