淺析APT攻擊檢測與防護策略

王在富

摘 要：PT攻擊對現有安全防護體系帶來了巨大的挑戰，成為信息安全從業人員重點關注的對象。本文分析了APT攻擊特點、流程，提出了相應的檢測和防御思路。

關鍵詞：APT攻擊；攻擊檢測；攻擊流程；防護技術

1 引言

高級持續性威脅APT（Advanced Persistent Threat）是當前信息安全產業界的熱點，是指黑客針對特定目標以竊取核心資料為目的所發動的網絡攻擊和侵襲行為，這種行為往往經過長期的經營與策劃并具備高度的隱蔽性，是一種蓄謀已久的“惡意商業間諜威脅”。目前，APT成為了網絡安全人員最受矚目的關鍵詞之一，在一些國家，APT攻擊已經成為國家網絡安全防御戰略的重要環節，針對APT攻擊行為的檢測與防御，也自然成為了至關重要也是最基礎的組成部分。

2 APT攻擊的技術特點

APT在攻擊的流程上，同普通網絡攻擊行為并無明顯區別，但APT的攻擊手法在于隱匿攻擊者的蹤跡并針對特定對象進行長期、有計劃性和組織性地滲透，直到成功竊取數據，因此具備更強的破壞性：

⑴攻擊技術的隱蔽性：為了躲避傳統檢測設備，APT更加注重攻擊技術及行為的隱蔽性。針對攻擊目標，發動APT攻擊的黑客往往不是為了在短時間內獲利，甚至可以長期隱蔽。例如通過隱蔽通道、加密通道避免網絡行為被檢測，或者通過偽造合法簽名的方式避免惡意代碼文件本身被識別，這就給傳統基于簽名的檢測帶來很大困難。

⑵攻擊時間的持續性：APT攻擊分為多個步驟，攻擊者會進行長時間的潛心準備。在已經發生的典型APT攻擊中，攻擊者從最初的信息搜集，到信息竊取并外傳往往要經歷幾個月或者更長的時間，整體攻擊過程甚至持續數年之久。而傳統的檢測方式是基于單個時間點的實時檢測，難以對跨度如此長的攻擊進行有效跟蹤。如2011年8月，暗鼠行動（Operation Shady RAT）被發現并披露出來，調查發現該攻擊從2006年啟動，在長達數年的持續攻擊過程中，滲透并攻擊了全球多達72個公司和組織的網絡，包括美國政府、聯合國、紅十字會、武器制造商、能源公司、金融公司等等。

⑶攻擊目標的針對性：APT攻擊者通常帶有很強的目標針對性，通常帶有商業或政治目的，以竊取具備商業價值的信息或破壞目標系統為目的，整個攻擊過程都經過攻擊者的精心策劃，攻擊一旦發起，攻擊者會針對目標網絡嘗試不同的攻擊技術和方式，直到目標達成。從發生的攻擊事件來看，APT攻擊是針對有重要價值資產或重要戰略意義的目標，其中大型互聯網服務機構（如Google、Facebook、亞馬遜）、金融機構（銀行、證券）、政府機構、軍事、重要高科技企業及基礎工業機構（電力能源）是APT攻擊的重災區。

⑷攻擊手段的多樣性：APT攻擊者如同一個技術高超的隱形特種部隊一樣，利用一切可能的防御漏洞圍繞目標系統進行全方位打擊，在整個攻擊過程中通常會綜合利用釣魚、漏洞掃描、SQL注入、緩沖區溢出、暴力破解、加密傳輸等多種技術手段繞過目標系統的層層防線，從系統外圍到核心區域逐步攻克目標。目前被曝光的知名APT事件中，0DAY漏洞利用、社交攻擊、物理擺渡等方式層出不窮，讓傳統的檢測防不勝防。

⑸攻擊隱蔽的合法性：攻擊者訪問到重要信息后，往往通過控制的客戶端，分布使用合法加密的數據通道，將信息竊取出來，以繞過嚴格的審計和異常檢測的防護。

⑹特征識別的滯后性：APT普遍采用0DAY漏洞獲取權限、通過未知木馬進行遠程控制，而傳統基于特征匹配的檢測設備總是要先捕獲惡意代碼樣本，才能提取特征并基于特征進行攻擊識別，這就存在先天的滯后性。正是因為難以快速提取APT攻擊行為的技術特征，使得傳統以實時檢測、實時阻斷為主體的防御方式難以有效發揮作用。

3 APT攻擊流程

整個APT攻擊流程包括：選定攻擊目標、實施單點攻擊、控制目標通道、滲透攻擊范圍、回傳數據信息和實施后續攻擊等步驟：

⑴選定攻擊目標，即攻擊者有針對性的選擇攻擊的目標，搜集特定組織的網絡系統和員工信息。一般從組織員工入手，搜集組織員工的個人和工作信息，并進一步了解目標系統的網絡架構部署、應用系統架構、常用軟件、人員組織架構及關鍵信息的存儲位置與通信方式，然后通過社會工程方法來攻擊該員工電腦，選定攻擊發起的突破口，從而進入組織網絡。

⑵實施單點攻擊，即攻擊者收集了足夠的信息后，通過釣魚、遠程漏洞、email惡意代碼、SQL注入、緩沖區溢出等手段，繞過現有殺毒和個人防火墻安全工具，以單點方式攻擊組織員工的個人電腦，使員工個人電腦感染惡意代碼，從而被攻擊者完全控制。

⑶控制目標通道，即攻擊者控制了員工個人電腦后，以員工個人電腦為跳板對組織內部其它主機展開攻擊并嘗試獲取更多內部主機的控制權，搜索所有被控制的主機的敏感信息，從而創建下一步攻擊的命令控制通道。

⑷滲透攻擊范圍，即攻擊者通過控制更多的員工個人電腦，以員工個人電腦為跳板，將攻擊范圍進一步擴大和滲透，利用口令竊聽和漏洞攻擊等方法，獲取更多的信息，進而攻擊組織內部重要信息的目標服務器。

⑸回傳數據信息，即攻擊者通過控制員工個人電腦和相關服務器，搜集重要數據信息，并通過進某個隱蔽的數據通道將數據傳回給攻擊者。

⑹實施后續攻擊，即攻擊者利用獲取的目標數據信息，對目標組織展開下一輪攻擊。

4 APT攻擊檢測

從APT攻擊流程發現，實施單點攻擊、控制目標通道、滲透攻擊范圍、竊取數據信息等幾個步驟是APT攻擊實施的關鍵，因此應該圍繞這幾個步驟進行對APT攻擊的檢測。

⑴檢測惡意代碼，控制APT攻擊過程中的惡意代碼傳播，阻擊攻擊者實施的單點攻擊。

⑵檢測網絡入侵，通過采用傳統入侵檢測方法來檢測APT的命令控制通道，在網絡邊界處部署入侵檢測系統來檢測APT攻擊的命令，阻擊APT攻擊過程中的控制目標通道。

⑶分析檢測大數據，通過構建大數據存儲和分析平臺，全面采集各網絡設備的原始流量以及各終端和服務器上的日志，然后進行集中的海量數據存儲和深入分析，覆蓋整個APT攻擊過程，進一步阻擊攻擊者控制目標通道和滲透攻擊范圍。

5 APT攻擊防范策略

分析APT攻擊事件及其特點可以看出，APT攻擊主要依賴于：一是攻擊者對被攻擊者的信息了解，這是實施單點攻擊策略的前提；二是有針對性的0DAY漏洞，這是突破當前防護體系和有一些安全意識的人員的利器；三是有針對性的木馬和行為的對抗，特別是殺毒及網絡審計產品的對抗。所以，APT攻擊不是單一型安全產品、單層防御能解決的問題，綜合性防御、多層網絡防御與檢測技術、本地與云端資源的調用才是防御之道，需要構建一個多維度的安全模型，既有技術層面的檢測手段，也要包含用戶安全意識的提高。

⑴提高人員安全防范意識。安全是一個系統工程，通過安全防范教育計劃提升人員安全防范意識是這個工程中一個重要的環節。攻擊者在選擇目標和單點攻擊階段，我們可以依托安全威脅檢測、預警系統，定期對員工進行安全意識培訓，提高員工的安全防范意識，提高初始攻擊的難度，主動識別攻擊者對組織網絡的嗅探、掃描行為，加強對信息系統的安全管理，避免使用系統默認配置及過于簡單的密碼，不要在網絡中泄漏個人信息，不要隨便打開陌生的郵件或訪問未知的URL鏈接，這些簡單的安全防范意識可以幫助我們避免遭受釣魚、仿冒欺騙等社會工程學攻擊，使APT攻擊的發起者因找不到突破口而放棄攻擊。

⑵合理構建端到端立體安全防護網絡。通過部署分層控制來實現深度網絡安全防御的方法是幫助組織抵御APT攻擊的最佳方法，不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼，這個惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此，合理構建端到端立體安全防護網絡，則可以有效防御APT攻擊，即在關鍵路徑上層層把關，增加入侵者對內部網絡進行探測及侵入核心數據的難度，覆蓋APT攻擊過程中的單點攻擊突破和回傳數據信息階段，加強系統內各主機節點的安全措施，確保員工個人電腦以及服務器的安全。

⑶重視系統的安全審計和權限管理。網絡數據、用戶行為及系統運行狀態的審計與分析是預防安全風險的有效補充。特別是滲透階段與進入階段，攻擊者都會嘗試不同的攻擊技術、攻擊手段對目標系統進行入侵，因此，要定期進行系統安全風險評估，及時更新系統相關安全補丁，構建安全配置基線并定期進行審視，通過SOC系統收集匯總全網日志進行智能關聯分析，通過合理規劃安全域、加強系統賬戶的安全審計、系統賬號及權限管理、系統安全策略優化等手段提高攻擊者繼續滲透的難度，及時發現可疑行為并通過有效的技術手段進行封堵，有效阻止攻擊者。

6 結束語

APT的出現，給傳統檢測技術帶來了新的挑戰，由于其攻擊的復雜性、隱蔽性，所以無法通過單一的安全產品和安全技術進行有效的檢測、防護，只有建立以安全技術與安全管理相結合的縱深防護體系，及時調整系統以適應新的安全形勢需要，防患于未然，才能抵御APT攻擊的威脅，使系統得以安全有效的運行。

[參考文獻]

[1]張帥.對APT攻擊的檢測與防御.信息安全與技術，2011.（09）.

[2]周濤.大數據與APT攻擊檢測.信息安全與通訊保密，2012.（07）.

[3]陳陽.中小企業如何應對APT攻擊.硅谷，2012.（08）.