APT攻擊原理及防護(hù)技術(shù)研究

◆張 敬

（內(nèi)蒙古軍區(qū)數(shù)據(jù)信息室 內(nèi)蒙古 010000）

0 引言

APT是高級(jí)持續(xù)性的威脅攻擊，在攻擊之前會(huì)對(duì)攻擊的對(duì)象以及業(yè)務(wù)流程等信息進(jìn)行有效的收集，通過(guò)對(duì)其存在的漏洞進(jìn)行有針對(duì)性地進(jìn)行攻擊，所以這種攻擊的力度比較大，在攻擊過(guò)程中也難以發(fā)現(xiàn)。很多公司都受到過(guò) APT威脅，使其項(xiàng)目受到了很大的影響，通過(guò)控制重要的信息系統(tǒng)并將重要的信息進(jìn)行竊取，并對(duì)存留的數(shù)據(jù)進(jìn)行刪除后撤退，使得后續(xù)難以找到攻擊源。目前，很多企業(yè)已經(jīng)將網(wǎng)絡(luò)安全危機(jī)進(jìn)行控制，通過(guò)新一代的防御系統(tǒng)來(lái)對(duì)其進(jìn)行持續(xù)的反應(yīng)。應(yīng)用數(shù)據(jù)安全防御功能來(lái)進(jìn)行對(duì)抗，雖然不可能完全消除損失，但可以通過(guò)相應(yīng)檢測(cè)方法和防護(hù)措施來(lái)盡量避免造成的損失。

1 APT 攻擊形式

1.1 Advanced（高級(jí)）

首先是要尋找具有價(jià)值的數(shù)據(jù)，攻擊者會(huì)根據(jù)目標(biāo)公司進(jìn)行長(zhǎng)期的分析，這種攻擊是難以發(fā)現(xiàn)的。通過(guò)較長(zhǎng)時(shí)間的研究，可以更加迅速地?fù)魸⑹芄粽叩姆阑饓?。通過(guò)可利用的工具來(lái)進(jìn)行攻擊，使其自定義的漏洞進(jìn)行相應(yīng)的操作。一般 APT攻擊通過(guò)使攻擊目標(biāo)妥協(xié)，對(duì)其數(shù)據(jù)進(jìn)行截取。對(duì)照以前所公布的漏洞來(lái)進(jìn)行一個(gè)安全性的檢查，如果其中還有出現(xiàn)的問(wèn)題那么會(huì)根據(jù)這個(gè)問(wèn)題進(jìn)行有針對(duì)性的攻擊。如果目標(biāo)是良好的、沒(méi)有漏洞的，那么也可以使用一些之前未公開(kāi)的攻擊點(diǎn)來(lái)進(jìn)行訪(fǎng)問(wèn)，從而找到更高價(jià)值的數(shù)據(jù)。

1.2 Persistent（持續(xù)）

找到了攻擊對(duì)象就要建立一個(gè)有針對(duì)性、高級(jí)的攻擊環(huán)境，一般攻擊者會(huì)運(yùn)用多種技術(shù)來(lái)提升自己的準(zhǔn)入權(quán)限，通過(guò)對(duì)漏洞以及其他防火墻等來(lái)建立自己永久的隱身環(huán)境，讓被攻擊者很難察覺(jué)自己的存在。一旦 APT建立了存在點(diǎn)，那么也很難通過(guò)簡(jiǎn)單的方式來(lái)進(jìn)行檢查，更難以去去除。這種強(qiáng)大的能量讓APT在長(zhǎng)期的威脅下受到很多公司的重視，他們通過(guò)最大限度地將信息進(jìn)行截取與盜用來(lái)使自己的利益最大化，將自己處于隱身環(huán)境進(jìn)行擴(kuò)大來(lái)提升 APT攻擊的有效性。攻擊的目的是讓自己可持續(xù)地進(jìn)行訪(fǎng)問(wèn)，對(duì)新環(huán)境和潛在價(jià)值的數(shù)據(jù)進(jìn)行有效的提取，讓攻擊的效果得到提升。

1.3 Threat（威脅）

一般 APT攻擊的過(guò)程中選擇的目標(biāo)都是特定的，會(huì)根據(jù)之前所收集的信息來(lái)進(jìn)行分析，其目的側(cè)重于獲得資金、技術(shù)和一些商業(yè)機(jī)密，這樣能夠在各個(gè)方面都獲得相應(yīng)的優(yōu)勢(shì)。APT能夠有效地運(yùn)用綜合能力和創(chuàng)新能力，使在攻擊過(guò)程中使用更多新型的病毒，使被攻擊者不發(fā)覺(jué)。APT攻擊的原理比其他傳統(tǒng)的攻擊方式更為復(fù)雜，在發(fā)動(dòng)攻擊之前，其高級(jí)性已顯現(xiàn)，通過(guò)信息的收集對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)進(jìn)行集中的分析，主動(dòng)挖掘被攻擊對(duì)象中可能存在的漏洞，通過(guò)組建網(wǎng)絡(luò)并進(jìn)行有針對(duì)性的攻擊。在當(dāng)前的網(wǎng)絡(luò)空間中，很多信息都會(huì)暴露在網(wǎng)絡(luò)中，攻擊者可以利用很少的信息來(lái)對(duì)特定目標(biāo)進(jìn)行 APT攻擊，但是在我們的周?chē)鷮?duì)認(rèn)知程度卻很低，很多用戶(hù)和企業(yè)對(duì) APT的威脅力以及效果了解非常少，很多電子郵件和社交網(wǎng)站都已經(jīng)打破了傳統(tǒng)黑客攻擊的模式，使用了更加強(qiáng)大的病毒以及鏈接來(lái)發(fā)動(dòng)APT攻擊。作為一個(gè)企業(yè)，需要有效地對(duì)APT攻擊進(jìn)行防護(hù)，采取更加安全的防護(hù)設(shè)備來(lái)保護(hù)自己的數(shù)據(jù)和網(wǎng)絡(luò)安全。如圖1為谷歌受APT攻擊事件過(guò)程。

圖1 谷歌受APT攻擊事件過(guò)程

2 APT 攻擊檢測(cè)

2.1 規(guī)劃和信息收集

APT攻擊一般是針對(duì)公司或者技術(shù)為一種方式來(lái)獲得初始的訪(fǎng)問(wèn)空間，它們會(huì)直接獲得目標(biāo)和情報(bào)，通過(guò)相應(yīng)的定位來(lái)通過(guò)APT進(jìn)行相關(guān)的搜索，以此獲取相關(guān)信息，進(jìn)而進(jìn)行攻擊。

2.2 攻擊與妥協(xié)

APT可以應(yīng)用多種方法來(lái)發(fā)動(dòng)攻擊，通過(guò)電子郵件相關(guān)鏈接以及社交媒體等都能應(yīng)用一個(gè)惡意鏈接或者是相關(guān)附件作為一個(gè)出發(fā)點(diǎn)，通過(guò)被攻擊人的點(diǎn)擊來(lái)?yè)p害對(duì)方的防御系統(tǒng)。這些惡意電子郵件通過(guò)第一階段的信息收集，能夠?qū)崿F(xiàn)個(gè)性化和目標(biāo)化的攻擊，在打開(kāi)電子郵件和附件的過(guò)程中提高攻擊效率，實(shí)現(xiàn)攻擊目的。

2.3 建立基地并控制

通過(guò)自動(dòng)的、全方位對(duì)系統(tǒng)和網(wǎng)絡(luò)信息收集來(lái)建立相關(guān)的基地，對(duì)控制系統(tǒng)進(jìn)行全方位的控制。應(yīng)用一個(gè)信息渠道，能夠?qū)⒈还粽咚枰男畔⑦M(jìn)行提供，還能通過(guò)相應(yīng)的軟件以及代碼等進(jìn)行變異方式的攻擊，使被攻擊者殺毒防護(hù)的效能喪失，這種逃避被稱(chēng)為變形，這樣也使得檢測(cè)和消除的難度大大增加。

2.4 保持持久性

在當(dāng)前階段，可以由多個(gè)攻擊點(diǎn)對(duì)被攻擊者進(jìn)行攻擊，通過(guò)服務(wù)器植入相應(yīng)的病毒，使其攻擊能力得以提升，同時(shí)對(duì)方難以檢測(cè)到被攻擊點(diǎn)。相關(guān)系統(tǒng)檢測(cè)難度增強(qiáng)，從此可以長(zhǎng)期地竊取數(shù)據(jù)，通過(guò) APT的攻擊步驟可以看出其攻擊方式是多元化的，所以要想對(duì)其進(jìn)行有效的防控，也需要對(duì)當(dāng)前的防護(hù)技術(shù)進(jìn)行提升，對(duì)網(wǎng)絡(luò)防護(hù)邊界進(jìn)行加強(qiáng)，可以有效地提升對(duì)攻擊的防護(hù)能力。

2.5 盜取數(shù)據(jù)

隨著 APT攻擊范圍的不斷擴(kuò)大，其攻擊已經(jīng)從最初的主機(jī)網(wǎng)絡(luò)延伸到其他系統(tǒng)中。在延伸過(guò)程中，對(duì)信息的收集以及分析能夠傳回攻擊者的服務(wù)器中，攻擊者收集到這些信息是悄無(wú)聲息的，應(yīng)用這種隱蔽的方式進(jìn)行攻擊，能夠讓隱藏?cái)?shù)據(jù)得以顯現(xiàn)。通過(guò)請(qǐng)求加密能夠讓更復(fù)雜的攻擊來(lái)將被攻擊者的隱藏信息竊取，對(duì)于多種類(lèi)型文件都能夠進(jìn)行盜取，從而進(jìn)行有效的信息回傳。

3 APT 的攻擊防范

針對(duì)目前 APT攻擊的形式和原理，我們了解到要對(duì)攻擊進(jìn)行防護(hù)需要系統(tǒng)完善的工程，這類(lèi)威脅的防范需要一個(gè)龐大的監(jiān)測(cè)及預(yù)防控制，才能讓企業(yè)和個(gè)人實(shí)現(xiàn)安全的網(wǎng)絡(luò)防護(hù)。通過(guò)建立大型的數(shù)據(jù)庫(kù)，可以對(duì)相應(yīng)的數(shù)據(jù)進(jìn)行分析、加密，使用特定的地址核對(duì)相應(yīng)的瀏覽記錄來(lái)對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行更新，在這個(gè)過(guò)程中可能對(duì)其中存在的安全風(fēng)險(xiǎn)和惡意軟件等進(jìn)行屏蔽和識(shí)別，使得App攻擊目標(biāo)被發(fā)掘出來(lái)。同時(shí)任何人和組織都可能是APT攻擊的目標(biāo)，所以我們必須要考慮綜合的信息，不僅對(duì)自己的信息進(jìn)行保護(hù)，還要對(duì)客戶(hù)的數(shù)據(jù)以及相關(guān)行業(yè)的數(shù)據(jù)進(jìn)行防護(hù)。對(duì)于有針對(duì)性的攻擊目標(biāo)來(lái)說(shuō)，需要在加強(qiáng)周?chē)沫h(huán)境的同時(shí)，通過(guò)識(shí)別的安全弱點(diǎn)來(lái)加強(qiáng)客戶(hù)或者業(yè)務(wù)范圍內(nèi)的保護(hù)。如圖2為APT防御類(lèi)型。

圖2 APT防御類(lèi)型

通過(guò)對(duì)目前的防御體系進(jìn)行分析，我們對(duì)于 APT的認(rèn)知還屬于初級(jí)階段。APT攻擊模式處于不斷變化過(guò)程中，要想有效地對(duì)其防御也需要對(duì)企業(yè)員工進(jìn)行安全教育。要提升員工的信息安全意識(shí)，對(duì)于來(lái)源不當(dāng)?shù)泥]件以及鏈接不能點(diǎn)擊，同時(shí)也要重視對(duì)目前網(wǎng)絡(luò)規(guī)則的完善，對(duì)各個(gè)事件之間的關(guān)聯(lián)進(jìn)行分析，阻止APT的攻擊，使用大數(shù)據(jù)以及云計(jì)算記錄可以建立相關(guān)的防護(hù)平臺(tái)，將所遇到的攻擊模型進(jìn)行關(guān)聯(lián)，在互聯(lián)網(wǎng)共享實(shí)施網(wǎng)絡(luò)安全以及數(shù)據(jù)安全，通過(guò)相關(guān)人員的有效連接能夠?qū)崿F(xiàn)可持續(xù)性的防護(hù)，對(duì)APT攻擊進(jìn)行防范。如圖3為警報(bào)系統(tǒng)。

圖3 警報(bào)系統(tǒng)

4 結(jié)束語(yǔ)

綜上所述，目前攻擊防范工作是一項(xiàng)長(zhǎng)期而艱難的工作，對(duì)APT攻擊的原理進(jìn)行分析，則需要我們具備進(jìn)一步的發(fā)現(xiàn)問(wèn)題并解決問(wèn)題的能力。對(duì)目前攻擊難題進(jìn)行有針對(duì)性的處理，以互聯(lián)網(wǎng)為基礎(chǔ)，在社交工程和物理訪(fǎng)問(wèn)的技術(shù)手段不斷更新的過(guò)程中，需要我們對(duì)防范策略進(jìn)行創(chuàng)新，應(yīng)用更加規(guī)范的管理方式，來(lái)有效的對(duì)抗APT攻擊，讓我們的數(shù)據(jù)和信息得以有效保護(hù)。