基于行动特征的APT攻击追踪溯源浅析

2019-08-07王浩淼

网络安全技术与应用 2019年8期

◆王浩淼

（福州大学至诚学院福建 350002）

高级持续性威胁（APT），即攻击手段复杂（Advanced）、持续时间长（Persistent）、高危害性（Threat）。针对目标所发起的一种有组织、有规划，具有难追踪、难分析、难维护等特点的恶意网络间谍行动。这种行动往往经过长期经营与策划，传统的网络安全防护手段已经难以应对APT攻击。

1 APT攻击阶段模型

APT攻击手法复杂且多样性，往往随着目标发生变化而改变攻击行动。

1.1 攻击框架模型

总结近年来出现的APT攻击案例，可将整个攻击模型分为两大类，即高级持续渗透和即时渗透。

（1）高级持续渗透

一般有明确的诉求文件，流程基本符合PTES执行标准——6段1报：前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透攻击阶段以及报告编写。持久渗透长期把控权限为主，其核心可归纳为“以时间换空间”。

（2）即时渗透

攻击流程可分为5段1清1报。即前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、清理攻击痕迹和报告编写。与高级持续渗透攻击不同，即时渗透攻击会关联已知线索，放大已知条件，快速入侵目标，以达到攻击诉求。

1.2 攻击阶段特性

（1）在信息收集阶段，攻击者不仅需要通过各种手段收集与目标相关的资料，还要编制特定的恶意代码、后门程序，为入侵目标系统做足准备；（2）当渗透进行时，攻击者运用上一阶段收集来的情报，横向挖掘系统可能存在的漏洞，甚至利用0-Day。同时建立C2（Command and Control）通信，保障内部敏感信息不断获取，攻击过程实时可控；（3）达到其预定目的后，攻击者会销毁整个过程中留下的痕迹，包括恢复主机配置信息、删除注册表、销毁后门等，彻底清除攻击痕迹，确保不给受害者留下任何有价值的证据。

就目前监测到的大量APT攻击来看，破坏型攻击非常罕见，绝大多数的APT攻击都是以情报窃取为目的的窃密型攻击。

2 APT常见攻击载荷

无论是在全球还是针对中国的APT攻击中，鱼叉邮件都是最主要的攻击方式，而排在鱼叉攻击之后的就是水坑攻击，其次是中间人攻击…

2.1 鱼叉攻击（Spear Fishing）

一种基于电子邮件针对特定团体的社工欺诈行为，目的是不通过授权访问机密数据。最常见的方法是发送一封看起来来自声誉良好的来源（如银行）的电子邮件，将木马程序作为附件发送给特定的攻击目标，并尝试诱使其打开附件引诱出私人信息。与其他攻击方式相比，鱼叉攻击的技术含量和防御难度都相对较低，有一定安全意识，掌握一些基本的、非专业的安全技能，一般都能够识别出绝大多数的鱼叉邮件进行有效防范。不过，尽管鱼叉攻击的防范门槛并不是很高，但鱼叉攻击的使用成本是最低的，因此，一般的专用木马与鱼叉攻击相结合，就形成了 APT攻击中成本最为低廉，使用也最为广泛的攻击形式——携带恶意二进制可执行文件的鱼叉邮件。这在实践应用中，仍然不失为当前最为有效的APT攻击手段。

图1 鱼叉攻击和水坑攻击的基本流程

像鱼叉邮件社工突出的海莲花（APT-C-00）就曾对之前已经攻击过的目标进行反复攻击。在某些仍然被控制着的电脑终端上，通过推送新的木马程序，将木马的C&C服务器转换到新的IP或域名；而双尾蝎组织（APT-C-23）的木马主要伪装成文档以及一些特定软件，通过鱼叉或水坑等攻击方式配合社会工程学手段进行渗透，入侵成功后开始窃取系统中的各类资料并实时监控。

2.2 水坑攻击（Water Holing）

水坑攻击是指黑客以特定组织为目标，通过分析网络活动规律，寻找他们经常访问的网站的弱点，先攻陷该网站植入恶意代码，等待目标用户访问该网站上钩。

相比于鱼叉攻击，水坑攻击技术含量要相对高一些，这不仅仅是因为其防御难度之大，而且更重要的是，水坑攻击通常是在目标人群访问自己常用的或“可信”的网站时，暗中发动的伏击战，所以绝大多数情况下，被攻击者对于水坑攻击的攻击过程毫无感知，因此也就谈不上识别和防御了。

攻击行动具有代表性的是活跃于叙利亚地区的黄金鼠组织（APT-C-27），该组织于2016年开始使用Facebook进行水坑攻击，将带有水坑链接的消息置顶，以更好地欺骗用户点击该链接下载恶意载荷；相关攻击行动最早还可追溯到2010年，通过大数据关联解析上百个恶意样本文件，一次以窃取敏感信息为目的的针对性攻击，该攻击属于美人鱼行动（APT-C-07）的一部分。丹麦外交部为主的政府机构网站被植入恶意链接，而这类URL很可能是其他木马请求下载或者由漏洞文档、水坑网站在触发漏洞成功后下载执行，且目标熟悉英语、波斯语，不难推测幕后组织来自中东。