APT 多維度分析和防御探究

劉 昀,張 輝,任建偉,蘇 丹,閆 磊,崔領先,楊大路,印 權

（1.國網冀北信通公司，北京,100055；2.北京國電通網絡技術有限公司，北京,100053）

0 引言

互聯網技術的革新應用的增長促成了一個不斷進化的網絡環境，企業和政府面臨的威脅會持續存在。從早些年為了炫技而攻擊網站，到拒絕服務攻擊DDoS 來中斷網站服務，再到現在為牟利和重要信息而攻擊。攻擊者動機上的變化也致使攻擊手段不斷演變，威脅更加縱深，更加隱蔽。

1 APT 攻擊概念

APT（Advanced Persistent Threat）--------高級持續性威脅。是指組織(尤其是政府)或小團體利用先進的攻擊手段對特定目標進行長期且持續的網絡攻擊形式。通常APT 攻擊都是有目的有蓄謀的，多數會以竊取數據為主要目的。

從最基本面來看，有三項特點讓我們認為這攻擊是APT：

[1] 經濟利益驅動或行業競爭

[2] 一個長期持續的攻擊

[3] 針對某特定的公司、組織或平臺

因此，APT 的概念在許多方面都沒有什么新意。不斷更新的是執行這種威脅的具體操作方法，會根據新的漏洞或技術沖擊網絡和應用程序的領域。

2 APT 攻擊分析

2.1 APT 典型攻擊

APT 攻擊屬于一種革命性的高精度攻擊，其整個攻擊過程針對不同的攻擊目的和攻擊對象也會不同，在整個攻擊過程中多種攻擊方式與技術手段并行使用，造就了APT 攻擊的千變萬化。但是，APT 攻擊也并非無規律可循，綜合已捕獲的各類APT 攻擊案例來看，APT 攻擊的流程大概額可以總結為“社工結合，外圍切入，由點到面，關聯利用”，在整個APT 攻擊中由于系統層和網絡層的直接利用難得較高，所以攻擊者往往會將Web 服務器作為攻擊的主要突破口。Web 服務器通常是公司郵件網絡的關鍵節點，這也使得電子郵件系統淪為APT 攻擊使用最頻繁的途徑之一，而且EMAIL 中發現有價值信息的幾率相當之大，可能帶來非常以外的“驚喜”。攻擊者攻擊Web 服務器的主要目的是為了尋找合適的入侵中轉站，所以針對郵件系統的攻擊行為通常會執行如下工作：

●發送釣魚郵件：竊取用戶ID 與密碼；

●執行惡意腳本：掃描終端用戶操作系統及應用程序，探測可利用的攻擊資源；

●植入惡意軟件：針對用戶應用環境中的程序漏洞，植入惡意代碼，完成僵尸網絡的構建。

在通過郵件系統實現的APT 攻擊的過程中，各類辦公系統的文檔0day 往往是攻擊者利用最頻繁的宿主，例如WORD、PPT 、PDF 等，文檔普及率越高，越有可能降低用戶防范意識。

2.2 APT 攻擊途徑詳解

工欲善其事，必先利其器。在APT 在發動攻擊之前同樣要做很多鋪墊和探路的準備，對攻擊目標的業務和系統進行大量信息收集。首先通過社會工程學，對目標企業及權限較高的員工進行觀察和研究，從而了解公司的辦公或者業務流程，發現企業和員工在安全方面的弱點，然后再采用包括社會工程學在內的各種攻擊手段進行攻擊。APT 攻擊具備嚴密的數據收集和攻擊流程邏輯，整個攻擊過程可能長達數月甚至數年，攻擊者通過對目標系統、業務流程、員工關系及特征的綜合分析進而確定入侵方式和入侵途徑。在確定攻擊對象后，信息收集最常見有如下幾種入侵起點：

●目標單位的網絡架構、軟硬件產品名稱及具體版本

●員工身份信息及關聯的資料信息

●公司組織架構及業務流程

●合作相關單位、供貨、渠道及代理在內的關聯單位業務信息

在明確目標單位基礎信息后，攻擊者將進一步確定攻擊途徑和方式，從現有案例來看，攻擊者主要的攻擊途徑為：●選擇跳板利用Web 層漏洞進行滲透

由于防火墻等安全設備的存在，使目標單位網絡“相對獨立于”外網，以及Web 層漏洞挖掘成本相對低于系統及網路層漏洞的挖掘，跨站腳本XSS、SQL 注入、Web 釣魚、CSRF 漏洞等漏洞的成本都較低，挖掘與運用起來會更容易建立有效的攻擊途徑。

●通過郵件、網絡服務發起釣魚攻擊

并非目標單位的所有員工都具備安全意識和防范措施，所以通過郵件、第三方網絡服務等途徑對目標單位員工實施釣魚攻擊，獲取目標單位員工重要信息或設備權限，為資料獲取和進一步滲透創造條件。

●通過存儲介質或WIFI 設備發起擺渡型攻擊

通過系統特性利用U 盤、光盤作為惡意軟件執行載體，在目標單位機器中種植木馬或資料收集（僅限于U 盤），從而達到入侵目標機器和資料收集與轉發的目的。

然后利用惡意程序進一步收集目標應用程序和受信系統的漏洞，基于這些漏洞建立攻擊者所需的C&C[ control and command,命令與控制]神經網絡。由于這些行為目的性很強，常規的防御軟件不容易發現和識別，也很難引起告警或者提示，這就使得攻擊更貼合被攻擊者的系統應用或程序。以2012 年著名的APT 攻擊“火焰(Flame)”為例，該攻擊通過利用MD5 的碰撞漏洞，偽造合法的數字證書，假裝成系統正常的軟件，騙過防護系統輕松攻擊得手。

由此看來，APT 攻擊依賴于三個關鍵環節：

1)作為制定社工和攻擊策略的前提，攻擊者必須充分了解被攻擊者的信息；

2)如果想突破當前防護體系，必須利用好針對性的漏洞和攻擊程序；

3)與傳統防護設備對抗，包括網絡審計產品、各類殺毒軟件，HIPS 等，必須有針對性很強的木馬和加密技術。

攻擊跳板的選擇上，APT 往往更趨向于利用組織內部的人員身份。為了獲得更好的掩護和更好的攻擊效果，通用的攻擊代碼往往會被發現或攔截，攻擊者不得不單獨針對被攻擊對象編寫程序進行攻擊。

除此以外，網頁上的多種應用程序可能會關聯多個業務平臺，通過完整的業務流程完成相關服務的穿針引線工作。這也使得在攻擊深度上，進入后臺管理系統成為可能，類似資產管理和財務信息等。而這些信息引起敏感性和重要性，很容易成為漏洞掃描、Sql 注入和信息竊取的對象。在APT 中攻擊流程和路徑不是一成不變的，我們常見的一些技術會根據使用者的習慣和對策而改變。假如管理員發現問題封閉了一條進入系統的路徑，APT會通過其它方式尋找新的攻擊路徑。

3 如何防御APT 攻擊

3.1 已有的技術手段

APT 攻擊承載的不僅僅是某種專項技術的縱深延續，而是發起者經驗與智慧的精細配合。沒有一個固定的模式可以檢測APT攻擊，但如果對惡意代碼的每一個細節能夠給予足夠的關注，關注0day 信息、功能變化、指令及控制、社工技巧、脆弱的權限環節、重要流程的干系人、攻擊行為周期等信息，理論上APT 是可以發現的。通常情況下，安全人員遭遇單一攻擊事件時，都會快速定位攻擊源頭，并作出應對策略和防御措施，只是單一的動作無法定位，也很難提取到攻擊特征和屬性。所以，檢測APT 攻擊必須要搭建一個多維度的攻擊模型，不但要包括技術層面的檢測手法，也要包括對整個產業鏈條的實時跟進和洞察分析。有鑒于此，在針對APT 攻擊行為檢測上，可著重從三個維度進行：

3.1.1 靜態檢測方式

1)從攻擊樣本中提取功能特點和代碼特征；

2)對攻擊樣本逆向分析；

3.1.2 動態檢測方式

●模擬實際生產環境，在沙箱內執行APT 代碼段，捕獲并記錄APT 所有的攻擊動作；

●關注網絡中應用程序的資源占用情況，特別是帶寬利用率；

●APT 攻擊溯源；

3.1.3 產業鏈跟蹤

針對APT 攻擊防御的需要建立關聯分析模型與審計模型，主要涉及如下幾方面：

●提取并核查Shellcode、PE 文件頭以及執行文件體；

●拆解文件中的異常結構和對象；

●模擬安裝系統應用中各種執行文件體；

●關鍵代碼的各類API 鉤子或注入檢測；

●已知特征的代碼分片檢索；

●實時關注掃描系統內存與CPU 中資源的異常調用；

●檢測Rootkit、KeyLogger、Anti-AV 等惡意程序；

●檢測URL、IP 地址、郵件、域中來源不詳的字符串。

3.2 防御體系的構架

3.2.1 無單獨產品可防APT

由于APT 沒有固定攻擊模式，如果說某種方法或技術可通過部署一個ASIC 軟件或硬件的簽名來檢測APT，那肯定是個容易被識別的簡單持續攻擊，而不是高級持續威脅攻擊。

3.2.2 重點人群，重點跟蹤

針對具有重要權限的人員，需要定期的、自動化的郵件及網絡傳輸內容的額外檢查。檢查的文件類型和范圍都需要比常規病毒檢查更深入，比如惡意PDF 等。要考慮到常規防病毒軟件很多威脅都無法檢測查殺，而這些“威脅”通常會對漏洞利用的關鍵字內容上作修改，看上去不符合特征碼，或者運行多個殺毒引擎進行掃描免殺。

3.2.3 有效的探測與響應體系建設

首先，要關注所有與安全相關的重要日志。作為對各種操作行為的溯源依據，產生、收集和查詢日志的數量將決定判斷問題的成功幾率高低。包括操作系統日志、防火墻日志、認證日志、登錄日志、權限變更日志等。

其次，對網絡中重要的關鍵節點的包需要更深度的檢測和分析。

第三，關注流量信息。通過netflow 或者類似軟件服務關注網絡的關鍵節點流量的異常情況，要能快速的查詢到網絡中的連接或者流量狀態，以便對相關的進程做到有效關聯。

第四，專業人員。具備了以上三個重要的防御要素（日志、DPI、網絡）外，我們需要專業人員根據經驗對歷史數據、當前記錄做好流程上的梳理和判斷，以便對下一步的安全趨勢做預估，提高預警能力。

第五，信息共享。除了在個體的資源和人員配備上要盡可能詳盡外，還需要將個人的情報及信息同步和可靠的組織共享，以便對大規模的行為作出更有說服力的分析和聯動響應。

最后，對復雜的攻擊必須要借助專家的研判分析。可以自己儲備技術專家或者尋求外部的技術咨詢服務，以便針對各種異常進行分析和預測。盡管如此，鑒于APT 的復雜屬性和唯一性特點，兩次攻擊的路徑最多是原理相似，其絕對路徑根據時間的變化各方面要素一定有很大區別，所以一勞永逸的解決辦法是不存在的，這也是信息安全的特點之一。

3.2.4 個人資料：人是最薄弱的環節

某些情況下，促使企業被入侵的信息一般是沒能獲得重視和沒能獲得保護的信息。這些信息通常是用戶郵件地址列表、文檔元數據、通訊電話號碼、員工姓名、公司歷史信息等。

3.2.5 元數據：進入企業的隱藏的鑰匙

內嵌于圖像以及文檔中的信息稱為元數據。很多人都不清楚自己上傳在網絡上的圖片包含著圖片拍攝的地理位置和硬件信息、時間點等。例如從一個PDF 的文檔轉換為PPT 的文檔，攻擊者可從其中得到很多的元數據信息，如IP 地址、文檔作者、使用軟件產品名和版本號、位置等。

3.2.6 技術信息：入侵基礎設施

入侵者利用ISINT 查找潛在線索外，還會查詢目標企業網站使用的程序與腳本。入侵者探測目標對象整個網絡環境中存在的漏洞，腳本與應用程序只是比較輕易獲得的線索，并不是唯一的入侵點。

3.2.7 OSINT 數據

● 可下載文件：成為直接信息以及元數據信息采集的最佳途徑

● 員工照片和企業活動照片：·這為入侵者的直接信息和元數據信息收集提供便利

● 人員名單以及領導層信息：熟悉具體人員，建立目標企業關系網

● 項目和產品數據：可為尋找攻擊面及背景信息提供便利

● B2B 關系：·通過這些數據建立銷售渠道和供應鏈關系為漏洞利用提供便利

● 員工的詳細信息：包括個人和公共的社交媒體數據

● 軟件數據：·通常包括目標對象使用的軟件種類

3.2.8 構建完整的個人資料

完整個人資料包括：全名、出生日期、電話號碼(個人和工作)、地址(過去和現在)、ISP 的數據(IP 地址、提供商) 、公共記錄數據(稅收、信貸歷史、法律記錄)、用戶名、密碼、最喜歡的餐館、愛好、電影、書籍等等。

3.2.9 構建完整的技術資料

技術資料信息包括：操作系統詳細信息、平臺開發數據和驗證措施、IP 地址、網絡地圖、可用硬件和軟件信息、從元數據獲取的技術詳細信息。

掌握相關資料后，入侵者便可通過相關資料數據針對服務臺行動。了解ID 建立過程便可能了解郵件的建立過程，有效地執行釣魚攻擊等。通常入侵者還會這么做：查找系統、平臺數據、匿名訪問、第三方應用漏洞等。

4 總結

APT 攻擊作為當前網絡安全的一個重量級攻擊方式將長期存在，并與時俱進的成長。防止偵察幾乎是不可能的。只能是緩解一些攻擊，有些數據并不是特別重要，但這些數據可以提供廣泛的攻擊面。過濾元數據也是關鍵的緩解措施。然而，對這些數據的限制需要通過風險評估來確定，這需要所有業務領域的參與。

[1] 2013-08-29 08:54 51CTO《八大典型 APT 攻擊過程詳解》

[2] 2011-07-18 12:48:47 本文摘自：硅谷動力《認識APT——進階持續性滲透網絡攻擊》

[3] 2013-04-25 11:04 玉文鋒 51CTO.com 《APT 攻擊需綜合防御》

[4] 2011（9）張帥《對ATP 攻擊的檢測與防御》

[5] 2011 葉蓬 《APT 攻擊實例研究與企業現有防御體系缺陷分析》

[6] 2014 freebuf 《APT 防御他山石：思科內部安全團隊解讀APT - 產品和技術 - 賽迪網》