高級持續(xù)性威脅分析與防護

張濱，袁捷，喬喆，白雪

（中國移動通信集團信息安全管理與運行中心，北京 100053）

1 概述

高級持續(xù)性威脅(APT)是以竊取核心資料，或者破壞網(wǎng)絡(luò)核心設(shè)施為目的，經(jīng)過長期情況搜集、精準策劃，針對特定目標進行有組織、有預(yù)謀，并具備高度隱蔽性的“網(wǎng)絡(luò)間諜”行為。

1.1 APT組織

近年來，維基解密、影子經(jīng)紀人等組織公開了大量境外組織針對我國關(guān)鍵基礎(chǔ)設(shè)施開展APT攻擊的工具，與“棱鏡門”中斯諾登披露的美國國家安全局（NSA）文件內(nèi)容高度一致。有跡象表明方程式、摩柯草等境外APT組織已對我國關(guān)鍵基礎(chǔ)設(shè)施進行了試探性攻擊，其中：

方程式組織（Equation Group）是來自美國的APT組織，最早由卡巴斯基實驗室發(fā)現(xiàn)，被稱為最尖端的網(wǎng)絡(luò)攻擊組織之一，該組織在網(wǎng)絡(luò)攻擊中習慣使用強加密方法。

摩柯草組織（APT-C-09）是來自東南亞地區(qū)的APT組織，最早由Norman安全公司發(fā)現(xiàn)。該組織主要針對中國、巴基斯坦等亞洲地區(qū)國家進行以竊取敏感信息為主的網(wǎng)絡(luò)間諜活動。

1.2 危害與影響

日益頻繁的APT等網(wǎng)絡(luò)攻擊，導(dǎo)致政企行業(yè)機密情報被竊取、工業(yè)系統(tǒng)被破壞、金融系統(tǒng)遭受經(jīng)濟損失，甚至對地緣政治產(chǎn)生影響。

2010年10月，震網(wǎng)攻擊，導(dǎo)致伊朗什爾核電站，3萬個網(wǎng)絡(luò)終端感染，1/5的離心機報廢。2017年5月，勒索軟件攻擊，導(dǎo)致全球超過100個國家受到攻擊，其中英國NHS、西班牙Telefonica、中國政府部門等IT系統(tǒng)幾乎癱瘓，經(jīng)濟損失超過10億美元。

移動運營商的基礎(chǔ)網(wǎng)絡(luò)或重要客戶系統(tǒng)一旦被APT入侵，極有可能會被黑產(chǎn)組織長期獲取有價值的敏感數(shù)據(jù)信息，甚至有可能導(dǎo)致網(wǎng)絡(luò)癱瘓的災(zāi)難局面。

2 APT攻擊原理

2.1 APT攻擊鏈

圖1 APT攻擊鏈

APT攻擊鏈如圖1所示，主要包括5個環(huán)節(jié)：信息采集、踩點駐留、權(quán)限提升、滲透擴散、竊取破壞。信息采集環(huán)節(jié)中獲取的網(wǎng)絡(luò)環(huán)境、組織架構(gòu)、業(yè)務(wù)營業(yè)等信息的復(fù)雜度決定當前APT攻擊鏈的內(nèi)容和長度。

一方面，APT組織常用的外部入侵手段包括魚叉郵件攻擊、水坑攻擊和中間人劫持攻擊等。

（1）魚叉郵件攻擊：是以郵件為投遞載體，通過郵件標題、正文或附件攜帶惡意代碼實現(xiàn)攻擊的方式。魚叉郵件內(nèi)容包括嵌入木馬程序的惡意文檔、包含惡意程序的壓縮文件或者志向惡意釣魚網(wǎng)站的鏈接等。最新公布的微軟office 漏洞（CVE-2017-11826）就可被利用于魚叉郵件攻擊。

（2）水坑攻擊：是以尋找攻擊目標的受信網(wǎng)站的弱點，將受信網(wǎng)站植入攻擊代碼實現(xiàn)攻擊的方式。如替換目標網(wǎng)站的可信程序、插入惡意JS代碼、替換網(wǎng)站鏈接等。

（3）劫持攻擊：是通過劫持目標的網(wǎng)絡(luò)流量數(shù)據(jù)，替換流量中的系統(tǒng)、應(yīng)用的升級包等，實現(xiàn)惡意代碼植入的攻擊方式。如可利用IP重定向技術(shù)實現(xiàn)網(wǎng)絡(luò)流量的劫持和修改。

另一方面，APT組織常用的內(nèi)部滲透手段有竊密攻擊、輪渡攻擊、隱秘通道等。

（1）竊密攻擊：是通過獲取瀏覽器、主機、服務(wù)器系統(tǒng)中存儲的或網(wǎng)絡(luò)通信數(shù)據(jù)中傳遞的明文或加密的賬戶口令敏感數(shù)據(jù)，實現(xiàn)權(quán)限提升的攻擊方式。如利用mimikatz工具直接抓取Windows明文密碼。

（2）輪渡攻擊：是利用軟盤、U盤、光盤等移動存儲介質(zhì)，傳遞控制控制指令，突破邏輯、物理隔離限制，建立控制通道的攻擊技術(shù)。著名的震網(wǎng)攻擊就是方程式組織采用迂回攻擊模式，通過感染個人家庭電腦，利用輪渡攻擊將震網(wǎng)病毒“帶入”與外界物理隔離的核電站計算機系統(tǒng)。

（3）隱蔽通道：是指利用進程復(fù)用、端口復(fù)用等復(fù)用技術(shù)，或者利用仿冒登錄攻擊等方式，將攻擊行為隱藏在正常通信中的攻擊技術(shù)。如利用遠程進程調(diào)用技術(shù)將攻擊代碼注入到瀏覽器通信進程當中，規(guī)避網(wǎng)絡(luò)通信安全策略限制。

2.2 APT攻擊特性

APT攻擊相對傳統(tǒng)攻擊模式更具組織性、高級性、持續(xù)性、隱蔽性，主要體現(xiàn)以下幾方面。

2.2.1 精確攻擊

信息采集過程貫穿APT攻擊的全過程，對攻擊目標的網(wǎng)絡(luò)環(huán)境、人員架構(gòu)、業(yè)務(wù)運營等信息進行長期全面的持續(xù)性收集，逐步挖掘攻擊所需的有價值的線索，如防火墻、安全網(wǎng)關(guān)、殺毒軟件、補丁升級等網(wǎng)絡(luò)安全防護軟、硬件部署情況；目標對象存在的系統(tǒng)漏洞、應(yīng)用程序漏洞以及管理漏洞信息等。

在完備的信息采集基礎(chǔ)上，定制靈活多樣的攻擊預(yù)案，綜合利用多種技術(shù)手段實施精準的踩點駐留、權(quán)限提升、滲透擴散，如明確定位目標人員辦公及私人郵箱，利用信任關(guān)系精準投遞攻擊郵件。

2.2.2 無痕入侵

APT攻擊在權(quán)限提升、滲透擴過程中多使用系統(tǒng)自帶標準工具實施攻擊操作，將攻擊行為隱藏在正常網(wǎng)絡(luò)操作中，如針對Windows操作系統(tǒng)使用系統(tǒng)自帶的PSTOOLS系列工具進行網(wǎng)絡(luò)偵查。甚至將攻擊程序隱藏在內(nèi)存，使得受控主機中沒有實體文件。

APT組織積累了大量未公開漏洞和通用設(shè)備和系統(tǒng)的后門，傳統(tǒng)的防火墻、入侵檢測等網(wǎng)絡(luò)安全防御設(shè)備很難發(fā)現(xiàn)APT的攻擊蹤跡。另外某些APT攻擊會使用私有協(xié)議、仿冒入侵、加密傳輸、多級跳板等方式規(guī)避常規(guī)的流量審計檢測，偽裝其入侵滲透行為的“合法性”。

2.2.3 潛伏滲透

APT攻擊潛伏滲透周期長，危害影響范圍廣。通常在踩點駐留成功后，首先進行備份和隱藏等自我保護措施，而并不急于進入下一攻擊環(huán)節(jié)。持續(xù)偵查搜索可利用的攻擊方法和路徑，迂回突破物理、邏輯隔離網(wǎng)絡(luò)。APT攻擊通常最小化的進行網(wǎng)絡(luò)攻擊行為操作，滲透操作的規(guī)律性、重復(fù)性很難捕獲。

3 APT檢測方法

APT攻擊風險檢測應(yīng)綜合審視整個APT攻擊鏈的全過程，考慮其精準攻擊、無痕入侵、潛伏滲透等顯著特點，行之有效的APT檢測方法有安全智能分析、動態(tài)威脅捕獲、模擬攻擊等，如圖2所示。

圖2 APT檢測方法

3.1 安全智能分析

安全智能分析包括對于安全日志、業(yè)務(wù)流程、漏洞更新、用戶和資產(chǎn)數(shù)據(jù)等，進項全方位、多角度、立體化分析，深入關(guān)聯(lián)分析挖掘疑似的APT攻擊鏈。

（1）日志關(guān)聯(lián)分析：通過對整個網(wǎng)絡(luò)的流量日志、DNS解析日志、郵件日志、管理日志、訪問日志、安全審計日志等全量日志進行關(guān)聯(lián)分析，交叉比對日志中的相關(guān)環(huán)節(jié)，查找APT攻擊鏈的線索和蹤跡。海量日志分析的自動化程度決定了安全智能分析的時效性。

（2）流程合規(guī)分析：通過檢查網(wǎng)絡(luò)管理流程、重要業(yè)務(wù)流程、人員操作流程的合規(guī)性，探測潛在的APT攻擊風險。如網(wǎng)絡(luò)系統(tǒng)及應(yīng)用漏洞補丁是否及時安裝，移動介質(zhì)（U盤、光盤等）是否存在公私混用的情況，正常的業(yè)務(wù)流程是否存在被非法使用的情況等。

（3）訪問控制檢測：針對網(wǎng)絡(luò)訪問控制措施進行安全審計，特別是關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備、重要業(yè)務(wù)系統(tǒng)訪問策略，進行安全符合性檢測分析。如對網(wǎng)絡(luò)安全區(qū)域的劃分進行合理性分析，網(wǎng)絡(luò)用戶和訪問資源間的組織管理方式進行權(quán)限約束性測試。

3.2 動態(tài)威脅捕獲

動態(tài)威脅捕獲手段包括實時關(guān)聯(lián)異常行為監(jiān)測、沙箱動態(tài)發(fā)現(xiàn)、惡意樣本定時檢測等。

（1）異常行為監(jiān)測：通過對網(wǎng)絡(luò)異常行為進行連續(xù)監(jiān)測，捕獲惡意郵件及鏈接、周期性外聯(lián)通信、可疑域名解析、暴力破解、非法登陸等異常行為，對監(jiān)測到的異常行為進行關(guān)聯(lián)分析，追查APT攻擊痕跡。

（2）沙箱動態(tài)發(fā)現(xiàn)：通過仿真和虛擬化的方法，模擬跨平臺的運行環(huán)境，檢測可疑軟件，根據(jù)可疑軟件真實運行結(jié)果判定被測軟件是否存在攻擊性，可有效發(fā)現(xiàn)帶有自我保護機制（如自復(fù)制、自刪除等）的APT攻擊行為。

（3）樣本定時檢測：利用權(quán)威機構(gòu)共享的威脅情報庫，定時篩查可疑程序特征樣本、回連CC域名樣本，通信數(shù)據(jù)特征樣本等，通過篩查結(jié)果舉證APT攻擊行為。

3.3 脆弱性測試

通過網(wǎng)絡(luò)滲透測試，主動探測潛在的APT攻擊路徑和攻擊支點。分別從網(wǎng)絡(luò)外部和內(nèi)部，對目標網(wǎng)絡(luò)、系統(tǒng)、主機、應(yīng)用等資產(chǎn)的安全性作深入的探測，檢測系統(tǒng)對抗攻擊的能力，模擬已公開的APT攻擊行為，主動發(fā)現(xiàn)可能的攻擊環(huán)節(jié)和攻擊路徑。

4 APT控制措施建議

4.1 建立智能監(jiān)測防御體系

建議加強高級網(wǎng)絡(luò)信息安全威脅攻擊動態(tài)防御體系建設(shè)，逐步實現(xiàn)高級持續(xù)性威脅主動發(fā)現(xiàn)、動態(tài)防御、智能治理的閉環(huán)管理。建立安全行業(yè)威脅情報共享機制，實時交換、更新威脅情報庫，提高APT攻擊風險發(fā)現(xiàn)治理實效。

4.2 優(yōu)化網(wǎng)絡(luò)安全架構(gòu)

建議優(yōu)化網(wǎng)絡(luò)IT架構(gòu)，合理劃分安全域，增強網(wǎng)絡(luò)物理、邏輯隔離措施，針對重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施實施重點網(wǎng)絡(luò)安全防護。強化網(wǎng)絡(luò)訪問限制，按照最小化原則，實施分層級多策略的網(wǎng)絡(luò)維護管理模式。同時，要及時安裝系統(tǒng)、應(yīng)用補丁，定時執(zhí)行網(wǎng)絡(luò)基線檢測。

4.3 加強人員安全培訓

建議加強保密工作制度建設(shè)，強化從業(yè)人員安全培訓，切實提高從業(yè)人員的網(wǎng)絡(luò)安全意識，規(guī)范辦公作業(yè)流程。