王在富

摘 要：PT攻击对现有安全防护体系带来了巨大的挑战，成为信息安全从业人员重点关注的对象。本文分析了APT攻击特点、流程，提出了相应的检测和防御思路。

关键词：APT攻击；攻击检测；攻击流程；防护技术

1 引言

高级持续性威胁APT（Advanced Persistent Threat）是当前信息安全产业界的热点，是指黑客针对特定目标以窃取核心资料为目的所发动的网络攻击和侵袭行为，这种行为往往经过长期的经营与策划并具备高度的隐蔽性，是一种蓄谋已久的“恶意商业间谍威胁”。目前，APT成为了网络安全人员最受瞩目的关键词之一，在一些国家，APT攻击已经成为国家网络安全防御战略的重要环节，针对APT攻击行为的检测与防御，也自然成为了至关重要也是最基础的组成部分。

2 APT攻击的技术特点

APT在攻击的流程上，同普通网络攻击行为并无明显区别，但APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透，直到成功窃取数据，因此具备更强的破坏性：

⑴攻击技术的隐蔽性：为了躲避传统检测设备，APT更加注重攻击技术及行为的隐蔽性。针对攻击目标，发动APT攻击的黑客往往不是为了在短时间内获利，甚至可以长期隐蔽。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。

⑵攻击时间的持续性：APT攻击分为多个步骤，攻击者会进行长时间的潜心准备。在已经发生的典型APT攻击中，攻击者从最初的信息搜集，到信息窃取并外传往往要经历几个月或者更长的时间，整体攻击过程甚至持续数年之久。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。如2011年8月，暗鼠行动（Operation Shady RAT）被發现并披露出来，调查发现该攻击从2006年启动，在长达数年的持续攻击过程中，渗透并攻击了全球多达72个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。

⑶攻击目标的针对性：APT攻击者通常带有很强的目标针对性，通常带有商业或政治目的，以窃取具备商业价值的信息或破坏目标系统为目的，整个攻击过程都经过攻击者的精心策划，攻击一旦发起，攻击者会针对目标网络尝试不同的攻击技术和方式，直到目标达成。从发生的攻击事件来看，APT攻击是针对有重要价值资产或重要战略意义的目标，其中大型互联网服务机构（如Google、Facebook、亚马逊）、金融机构（银行、证券）、政府机构、军事、重要高科技企业及基础工业机构（电力能源）是APT攻击的重灾区。

⑷攻击手段的多样性：APT攻击者如同一个技术高超的隐形特种部队一样，利用一切可能的防御漏洞围绕目标系统进行全方位打击，在整个攻击过程中通常会综合利用钓鱼、漏洞扫描、SQL注入、缓冲区溢出、暴力破解、加密传输等多种技术手段绕过目标系统的层层防线，从系统外围到核心区域逐步攻克目标。目前被曝光的知名APT事件中，0DAY漏洞利用、社交攻击、物理摆渡等方式层出不穷，让传统的检测防不胜防。

⑸攻击隐蔽的合法性：攻击者访问到重要信息后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以绕过严格的审计和异常检测的防护。

⑹特征识别的滞后性：APT普遍采用0DAY漏洞获取权限、通过未知木马进行远程控制，而传统基于特征匹配的检测设备总是要先捕获恶意代码样本，才能提取特征并基于特征进行攻击识别，这就存在先天的滞后性。正是因为难以快速提取APT攻击行为的技术特征，使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。

3 APT攻击流程

整个APT攻击流程包括：选定攻击目标、实施单点攻击、控制目标通道、渗透攻击范围、回传数据信息和实施后续攻击等步骤：

⑴选定攻击目标，即攻击者有针对性的选择攻击的目标，搜集特定组织的网络系统和员工信息。一般从组织员工入手，搜集组织员工的个人和工作信息，并进一步了解目标系统的网络架构部署、应用系统架构、常用软件、人员组织架构及关键信息的存储位置与通信方式，然后通过社会工程方法来攻击该员工电脑，选定攻击发起的突破口，从而进入组织网络。

⑵实施单点攻击，即攻击者收集了足够的信息后，通过钓鱼、远程漏洞、email恶意代码、SQL注入、缓冲区溢出等手段，绕过现有杀毒和个人防火墙安全工具，以单点方式攻击组织员工的个人电脑，使员工个人电脑感染恶意代码，从而被攻击者完全控制。

⑶控制目标通道，即攻击者控制了员工个人电脑后，以员工个人电脑为跳板对组织内部其它主机展开攻击并尝试获取更多内部主机的控制权，搜索所有被控制的主机的敏感信息，从而创建下一步攻击的命令控制通道。

⑷渗透攻击范围，即攻击者通过控制更多的员工个人电脑，以员工个人电脑为跳板，将攻击范围进一步扩大和渗透，利用口令窃听和漏洞攻击等方法，获取更多的信息，进而攻击组织内部重要信息的目标服务器。

⑸回传数据信息，即攻击者通过控制员工个人电脑和相关服务器，搜集重要数据信息，并通过进某个隐蔽的数据通道将数据传回给攻击者。

⑹实施后续攻击，即攻击者利用获取的目标数据信息，对目标组织展开下一轮攻击。

4 APT攻击检测

从APT攻击流程发现，实施单点攻击、控制目标通道、渗透攻击范围、窃取数据信息等几个步骤是APT攻击实施的关键，因此应该围绕这几个步骤进行对APT攻击的检测。

⑴检测恶意代码，控制APT攻击过程中的恶意代码传播，阻击攻击者实施的单点攻击。

⑵检测网络入侵，通过采用传统入侵检测方法来检测APT的命令控制通道，在网络边界处部署入侵检测系统来检测APT攻击的命令，阻击APT攻击过程中的控制目标通道。

⑶分析检测大数据，通过构建大数据存储和分析平台，全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，覆盖整个APT攻击过程，进一步阻击攻击者控制目标通道和渗透攻击范围。

5 APT攻击防范策略

分析APT攻击事件及其特点可以看出，APT攻击主要依赖于：一是攻击者对被攻击者的信息了解，这是实施单点攻击策略的前提；二是有针对性的0DAY漏洞，这是突破当前防护体系和有一些安全意识的人员的利器；三是有针对性的木马和行为的对抗，特别是杀毒及网络审计产品的对抗。所以，APT攻击不是单一型安全产品、单层防御能解决的问题，综合性防御、多层网络防御与检测技术、本地与云端资源的调用才是防御之道，需要构建一个多维度的安全模型，既有技术层面的检测手段，也要包含用户安全意识的提高。

⑴提高人员安全防范意识。安全是一个系统工程，通过安全防范教育计划提升人员安全防范意识是这个工程中一个重要的环节。攻击者在选择目标和单点攻击阶段，我们可以依托安全威胁检測、预警系统，定期对员工进行安全意识培训，提高员工的安全防范意识，提高初始攻击的难度，主动识别攻击者对组织网络的嗅探、扫描行为，加强对信息系统的安全管理，避免使用系统默认配置及过于简单的密码，不要在网络中泄漏个人信息，不要随便打开陌生的邮件或访问未知的URL链接，这些简单的安全防范意识可以帮助我们避免遭受钓鱼、仿冒欺骗等社会工程学攻击，使APT攻击的发起者因找不到突破口而放弃攻击。

⑵合理构建端到端立体安全防护网络。通过部署分层控制来实现深度网络安全防御的方法是帮助组织抵御APT攻击的最佳方法，不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，合理构建端到端立体安全防护网络，则可以有效防御APT攻击，即在关键路径上层层把关，增加入侵者对内部网络进行探测及侵入核心数据的难度，覆盖APT攻击过程中的单点攻击突破和回传数据信息阶段，加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全。

⑶重视系统的安全审计和权限管理。网络数据、用户行为及系统运行状态的审计与分析是预防安全风险的有效补充。特别是渗透阶段与进入阶段，攻击者都会尝试不同的攻击技术、攻击手段对目标系统进行入侵，因此，要定期进行系统安全风险评估，及时更新系统相关安全补丁，构建安全配置基线并定期进行审视，通过SOC系统收集汇总全网日志进行智能关联分析，通过合理规划安全域、加强系统账户的安全审计、系统账号及权限管理、系统安全策略优化等手段提高攻击者继续渗透的难度，及时发现可疑行为并通过有效的技术手段进行封堵，有效阻止攻击者。

6 结束语

APT的出现，给传统检测技术带来了新的挑战，由于其攻击的复杂性、隐蔽性，所以无法通过单一的安全产品和安全技术进行有效的检测、防护，只有建立以安全技术与安全管理相结合的纵深防护体系，及时调整系统以适应新的安全形势需要，防患于未然，才能抵御APT攻击的威胁，使系统得以安全有效的运行。

[参考文献]

[1]张帅.对APT攻击的检测与防御.信息安全与技术，2011.（09）.

[2]周涛.大数据与APT攻击检测.信息安全与通讯保密，2012.（07）.

[3]陈阳.中小企业如何应对APT攻击.硅谷，2012.（08）.