APT攻防技术浅析

2018-03-04王海松赵志根刘一利

网络安全技术与应用 2018年12期

◆王海松赵志根刘一利

APT攻防技术浅析

◆王海松赵志根刘一利

（中国人民解放军66018部队天津 300380）

针对APT攻击事件影响大、破坏力强、防御难等现状。本文从APT攻击的定义、特点入手，分析了APT攻击的方法步骤，根据APT攻击步骤，相应分析研究了防御APT攻击的常用技术、防御的方法及防御中需要注意的事项，为进一步提高防御APT攻击提供了理论指导。

APT攻击；APT防御；网络安全

0 引言

当前网络攻防事件频繁发生，其中APT（Advanced Persistent Threat）攻击，即“高级持续威胁攻击”事件持续高发，而且影响十分严重。例如，APT28 Roskosmos事件，Patchwork 事件，BlackEnergy事件，SWIFT系统攻击事件,勒索病毒事件等，造成了很多国家、企业和个人受到极大损失，经济损失高达上亿美元。如何对APT攻防事件进行有效防护已经成为一个热点问题。本文从APT攻击的定义、特点入手，重点研究APT攻击的常用手段及实现过程，分析总结防御APT攻击的主要方法，为有效防御APT攻击提供借鉴。

1 APT攻击的定义和特点

1.1 APT攻击的定义

目前APT攻击还没有一个权威的定义，但不同的研究机构和学者也提出了不同的理解和描述。美国国家标准技术研究所给出的定义是：攻击者掌握先进的专业知识和有效的资源，通过多种攻击途径，在特定组织的信息技术基础设施建立并转移立足点，窃取机密信息，破环或阻碍任务、程序或组织的关键系统，或者驻留在组织的内部网络，进行后续攻击。美国著名的FireEye公司认为：APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。安天公司认为：APT是组织（政府）或者小团体使用先进的攻击手段对特定目标进行长期持续网络攻击的攻击形式[1]。虽然各个不同机构给出了不同的定义。但APT攻击并没有任何崭新的攻击手段，依旧采用0 Day、钓鱼邮件、社工、木马、DDOS等存在已久的攻击手段，只是多种攻击手段的战术性综合利用而已。APT攻击不是单个黑客或者几个黑客就能搞出来的，是有着深厚背景和强大支撑力量的组织发起的，是有大量时间、人力、物力与财力来支撑的。因此APT攻击应该是国与国之间，组织与组织之间网络战的一种具体表现形式，并非一种可供炒作的黑客入侵手段。

1.2 APT攻击的特点

从定义上看，APT攻击具有攻击技术高级、攻击持续时间长、威胁大等特点。攻击技术高级是指攻击者掌握先进的攻击技术，使用多种攻击途径，包括购买或自己挖掘的0Day漏洞，而且，攻击过程复杂，攻击持续过程中攻击者能够动态调整攻击方式，从整体上控制攻击过程。攻击持续时间长是指与传统黑客进行网络攻击的目的不同，实施APT攻击组织通常具有明确的攻击目标和目的，通过长期不断的信息搜集、信息监控、渗透入侵实施攻击等步骤，攻击成功后一般还会继续留在网络中，等待时机进行后续攻击。威胁性大是指APT攻击通常拥有雄厚的资金支持，由经验丰富的黑客团队发起，一般以破坏国家或是大型企业的关键基础设施为目标，窃取内部核心机密信息，危害国家安全和社会稳定[2]。

在宏观上APT攻击具备如下特征：高度目的性、高度隐蔽性、高度突然性、高度规模性、高度危害性、高度复合性、共时并发性、目标实体化和攻击非对称化[3]。

2 APT攻击的常用手段及攻击过程

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web渗透、钓鱼邮件传递、社会工程学、木马程序等，进行提权控守，获取核心信息，进行网络攻击和破环活动。另外还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。整个攻击过程可分解为以下五个阶段：

2.1 情报收集

即攻击者有针对性的搜集特定组织的网络环境、应用程序的弱点、服务器分布和员工信息等。情报获取的方法主要包括网络隐蔽扫描和社会工程学方法等。从常用的APT攻击手法来看，大多数APT攻击都是从外围员工入手，搜集员工详细的信息，通过员工的微博、博客、推特等社交网站，了解他们的社会关系及其爱好，然后通过社会工程学方法来攻击该员工电脑，从而进入组织网络。

2.2 代码上传

攻击者收集了足够的信息后，会向目标组织的员工电脑发送包含恶意代码的文件，如电子邮件，其中包含诱骗其打开的恶意附件，Google极光攻击行动即采用该方法；或利用远程漏洞攻击，在员工经常访问的网站上放置网页木马，当员工访问该网站时，就遭受到网页代码的攻击，RSA公司发现的水坑攻击(Watering hole)就是采用这种攻击方法。这些恶意代码往往攻击的是系统未知漏洞，现有杀毒和个人防火墙安全工具无法察觉，有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周，最终结果是，员工个人电脑感染恶意代码，从而被攻击者完全控制。

2.3 远程控制

一旦恶意软件安装成功，相当于攻击者控制了员工的个人电脑，需要构建某种渠道和攻击者取得联系，以获得进一步攻击指令。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信的。这个命令控制通道目前多采用HTTP协议构建，以便突破组织的防火墙，比较高级的命令控制通道则采用HTTPS协议构建。

2.4 横向渗透

攻击者突破员工个人电脑并不是攻击者的最终目的，其最终目的是突破组织内部其它包含重要资料的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以进入更多的电脑和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

2.5 数据外传

进入核心服务器后，APT攻击者必须将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。首先要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP（数据防泄密）技术的检测和阻止。然后将数据从受害系统偷运到由攻击者控制的外部主机。

3 APT攻击防御方法

针对APT攻击的防御手段还不完善,目前还没有十分有效的方法,但可以从技术层面、策略层面及管理层面进行研究和改进，降低APT攻击的成功率。

3.1 APT防御常用的技术

3.1.1沙箱技术

沙箱技术是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境，同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离，以便在这个虚拟化环境中测试、观察文件及访问等运行行为。沙箱通过重定向技术，将测试过程中生成和修改的文件定向到特定文件夹中，避免对真实注册表、本地核心数据等的修改。当APT攻击在该虚拟环境发生时，可以及时地观察并分析其特征码，进一步防御其深入攻击[4]。例如，FireEye公司的MPS（Malware protection System）恶意代码防护系统，就是一种新型的沙箱技术，可以直接采集网络流量，抽取所携带文件，然后放到沙箱中进行安全检测。FireEye被认为是APT安全解决方案的佼佼者，其产品被很多500强企业采购。

3.1.2信誉技术

信誉技术是具有较好辅助功能的一项APT攻击检测技术，通过建立信誉库，包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等，可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑，实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用，将进一步提高安全新品的安全防护能力。

3.1.3异常流量分析技术

异常流量分析制度是一种流量检测及分析技术，其采用旁路接入方式提取流量信息，可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测，并基于时间、拓扑、节点等多种统计分析手段，建立流量行为轮廓和学习模型来识别流量异常情况，进而判断并识别0Day漏洞攻击等。

3.1.4大数据分析技术

大数据分析技术是全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析。APT攻击防御离不开大数据分析技术，无论是网络系统本身产生的大量日志数据，还是安全管理平台产生的大量日志信息，均可以利用大数据分析技术进行大数据再分析，运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹，以弥补传统安全防御技术的不足。

3.2 APT攻击防御的方法

相对于APT攻击，防御主要有以下三种方法：

3.2.1针对恶意代码上传

可采用以下方式进行防御：一是大多数 APT 攻击都是使用鱼叉式网络钓鱼[5]。因此，检查是否有遭到篡改和注入恶意代码的电子邮件附件，就能看出黑客是否正尝试进行渗透；二是通过安全邮件网关来对外来邮件进行检查和识别，及时修补对外网站应用程序和服务的漏洞；三是识别判断攻击者幕后操纵服务器的通讯企业，在沙盒隔离环境 (sandbox) 当中分析内嵌恶意软件的文件 (如鱼叉式网络钓鱼电子邮件的附件) 来判断幕后操纵服务器的 IP 地址和网域，一旦找出幕后操纵服务器的网域和 IP 地址，通过更新网关的安全政策来拦截后续的幕后操纵通讯。

3.2.2.针对横向渗透与探测的防御

可采用以下防护措施：一是进行漏洞防护，能侦测任何针对主机漏洞的攻击并加以拦截，进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机，防止已知漏洞和ODay漏洞攻击；二是安装一致性监控软件，如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件，黑客就有可能也会触动一些警示,及时查获攻击行为；三是加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，也可有效防御APT攻击。

3.2.3针对资料外传的风险

可采用以下措施进行防护：一是加密资料外泄防护 (DLP)：将关键、敏感、机密的数据加密，是降低数据外泄风险的一种方法，DLP 可提供一层额外的防护来防止数据外泄。然而，这类工具通常很复杂，而且有些部署条件，例如：数据要分类，要定义政策和规则。二是建立网络入侵检测类方案：该类方案主要覆盖APT攻击过程中的控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道,虽然APT攻击所使用的恶意代码变种多且升级频繁，但恶意代码所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT的命令控制通道。三是建立事件管理制度，制定一套事件管理计划来处理 APT 相关攻击。

3.3 防御APT攻击的注意事项

用纯安全技术的方式来应对APT攻击，是不全面的。更重要的是，要加强人的管理，提高设备的防护性能和制定严格的安全管理制度。

3.3.1加强人员的管理

首先严格控制每个员工可以接触到的信息，切不可越权访问，每次APT有进展的时候都是权限进行跨越的关键点，漏洞可以让APT越权，同样，信息权限不当也可以造成越权，控制好权限十分重要。即便是有一点权限丢失，也要把损失控制在一个较小范围内。其次安全员要做好审计工作[6]，经常去查看日志，看谁在外网下载了可执行文件，这个可执行文件是不是正常；谁向外网发送了文件，是不是秘密文件；哪些计算机频繁外连，正常不正常等。第三就是要问责，出了事儿谁负责，应当如何去惩罚，应当形成制度，以对员工的行为进行预警和威慑，提高员工的安全意识和主人翁意识。

3.3.2提高设备的性能

首先要合理配置网络设备。合理配置边防设备，例如防火墙，要具备基本的出入过滤功能，条件允许的情况下使用屏蔽子网结构；其次要配备相关安全技术，如抗ARP攻击的能力路由器，使用VPN技术，邮件系统要具有防假冒邮件、防垃圾邮件的基本能力，使用可靠可更新的安全反病毒软件；第三善于使用代理服务器、web网关，企业内部的通讯要使用加密技术，对抗监听和中间人。

3.3.3建立安全管理制度

对于重要的安全岗位，必须要制定严苛的安全管理制度。首先要建立安全人事制度，聘用背景清晰的安全工作人员，即要政审；要定期进行安全培训，使员工掌握最新安全知识；离职时要进行安全检查，不能带走任何秘密信息，即做好脱密。其次要建立安全工作制度，要有专门的人员审核边防设备记录的重要信息;秘密文件资料要编号固定存放，避免丢失；及时更新电脑操作系统，有效对抗新的攻击；电脑要使用强密码，防止暴力破解。第三要建立岗位权限制度，要合理分权，最高的权限不能某一些人都有，特别单位领导要主动放弃最高权限。