APT攻擊分層表示模型

譚 韌，殷肖川，廉 哲，陳玉鑫

(空軍工程大學(xué) 信息與導(dǎo)航學(xué)院，西安 710077)(*通信作者電子郵箱redstorm@live.cn)

APT攻擊分層表示模型

譚 韌，殷肖川*，廉 哲，陳玉鑫

(空軍工程大學(xué) 信息與導(dǎo)航學(xué)院，西安 710077)(*通信作者電子郵箱redstorm@live.cn)

針對(duì)攻擊鏈模型攻擊階段劃分過(guò)細(xì)且無(wú)法表示攻擊手段的問(wèn)題，提出了一種高級(jí)可持續(xù)性威脅(APT)攻擊分層表示模型(APT-HARM)。通過(guò)總結(jié)分析大量公開(kāi)的APT事件報(bào)告和參考APT攻擊鏈模型與分層攻擊表示模型(HARM)，將APT攻擊分為攻擊鏈和攻擊樹(shù)上下兩層，并將其形式化定義。首先,將APT攻擊分為由偵察、滲透、行動(dòng)和撤出四個(gè)階段組成的攻擊鏈，并研究了各階段特點(diǎn)；然后,研究各階段中采取的攻擊手段，并依據(jù)其邏輯關(guān)系組成攻擊樹(shù)。APT攻擊按照攻擊鏈分階段依次進(jìn)行，各階段按照攻擊樹(shù)流程依次執(zhí)行。案例分析表明，本模型相較攻擊鏈模型具有粒度劃分合理、攻擊描述完備準(zhǔn)確的優(yōu)點(diǎn)。APT-HARM形式化地定義了APT攻擊，為APT攻擊的預(yù)測(cè)和防范提供了一種思路。

高級(jí)可持續(xù)性威脅；攻擊鏈；攻擊樹(shù)；分層攻擊表示模型

0 引言

現(xiàn)代社會(huì)的運(yùn)轉(zhuǎn)已經(jīng)愈發(fā)離不開(kāi)互聯(lián)網(wǎng)，各類(lèi)信息及工業(yè)控制系統(tǒng)，例如金融、交通、電力系統(tǒng)等，都需要互聯(lián)網(wǎng)支撐其正常運(yùn)轉(zhuǎn)。而高級(jí)可持續(xù)性威脅(Advanced Persistent Threat, APT)[1]攻擊的出現(xiàn)，給網(wǎng)絡(luò)空間安全提出了一個(gè)棘手的挑戰(zhàn)。APT的類(lèi)型可分為兩種：其一是竊密型，即入侵目標(biāo)系統(tǒng)后竊取知識(shí)產(chǎn)權(quán)及其他信息，例如2011年10月發(fā)生的Duqu APT攻擊[2]；其二是破壞型，即入侵目標(biāo)系統(tǒng)后破壞數(shù)據(jù)、軟件甚至是硬件設(shè)施，例如2010年發(fā)生的Stuxnet APT攻擊[3]。無(wú)論是竊密型還是破壞型APT攻擊都能給運(yùn)行在互聯(lián)網(wǎng)上的信息系統(tǒng)造成嚴(yán)重危害。

Symantec和ANRC相繼發(fā)布白皮書(shū)[4-5]指出，APT攻擊目標(biāo)極為明確，具有很強(qiáng)的反偵察能力，同時(shí)擁有高級(jí)而復(fù)雜的攻擊工具與手段，一般使用一個(gè)或多個(gè)0day漏洞[6]實(shí)施攻擊，因此防病毒軟件很難檢測(cè)并從系統(tǒng)中清除惡意代碼。而APT攻擊往往持續(xù)幾個(gè)月甚至幾年，可疑流量基本隱藏在正常流量當(dāng)中，這給傳統(tǒng)的入侵防御系統(tǒng)提出了極大的挑戰(zhàn)。因此，為了增強(qiáng)對(duì)APT攻擊的防御能力，有必要對(duì)APT攻擊的攻擊階段、攻擊目標(biāo)和攻擊方法展開(kāi)研究，建立形式化模型，從而有針對(duì)性地防范APT攻擊。

Hutchins等[7]針對(duì)常規(guī)的網(wǎng)絡(luò)防御手段(例如入侵檢測(cè)系統(tǒng)和防病毒系統(tǒng))難以防范手段復(fù)雜多樣的APT攻擊的問(wèn)題，以阻止APT攻擊為目標(biāo)，通過(guò)對(duì)各階段攻擊特點(diǎn)的分析，最先提出了APT攻擊7階段攻擊鏈模型(Intrusion Kill Chain, IKC)。第一階段是偵察，進(jìn)行信息搜集和目標(biāo)選擇；第二階段是武器化，進(jìn)行APT惡意程序制作；第三階段是傳播，將惡意程序釋放到目標(biāo)系統(tǒng)；第四階段是漏洞利用，運(yùn)用操作系統(tǒng)和應(yīng)用程序的漏洞觸發(fā)惡意程序；第五階段是安裝，即安裝遠(yuǎn)程控制軟件或者后門(mén)程序；第六階段是指控，即惡意程序與外部攻擊者建立指控通路，使得攻擊者能夠控制內(nèi)部網(wǎng)絡(luò)；最后一個(gè)階段是行動(dòng)與目標(biāo)，即實(shí)施破壞或是竊取信息。文中指出，攻擊鏈中各階段均按照順序執(zhí)行，任一階段被阻止都會(huì)使得攻擊失敗。IKC模型使用攻擊鏈來(lái)同時(shí)描述APT攻擊的各個(gè)階段以及其攻擊手段，這樣帶來(lái)了從攻擊階段考慮表示粒度過(guò)細(xì)，而從攻擊手段考慮表示粒度過(guò)粗的問(wèn)題。Symantec公司先后在文獻(xiàn)[4]和文獻(xiàn)[8]中提到了APT攻擊鏈，前者依次包含入侵、發(fā)現(xiàn)、獲取和滲出四個(gè)階段，后者在入侵階段之前加入了偵察階段。該攻擊鏈模型較好地說(shuō)明了APT攻擊各階段特點(diǎn)及典型的攻擊方法，但是沒(méi)有對(duì)APT攻擊進(jìn)行形式化描述，難以對(duì)其進(jìn)行有效運(yùn)用。Li等[9]更進(jìn)一步地提出了APT攻擊4階段攻擊模型，分別是準(zhǔn)備階段、進(jìn)入階段、駐留階段和收割階段。準(zhǔn)備階段主要完成信息搜集和惡意軟件開(kāi)發(fā)；進(jìn)入階段主要完成社會(huì)工程學(xué)攻擊和直接攻擊；駐留階段完成內(nèi)網(wǎng)信息搜集、提升權(quán)限、遠(yuǎn)程控制和橫向移動(dòng)[10]；收割階段主要完成信息回傳和痕跡清理工作。文中也介紹了最新的社會(huì)工程學(xué)方法，如魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)[11]和水坑攻擊[12]。但是該模型只分析了竊密型APT攻擊而沒(méi)有對(duì)破壞型APT攻擊進(jìn)行分析，也沒(méi)有對(duì)APT攻擊進(jìn)行形式化定義。業(yè)界提出的滲透測(cè)試標(biāo)準(zhǔn)PTES[13]以攻擊者的視角詳細(xì)說(shuō)明了一次網(wǎng)絡(luò)攻擊的攻擊流程，包括情報(bào)搜集、威脅建模、漏洞分析、滲透攻擊和后滲透攻擊等。在每一個(gè)流程階段都有相應(yīng)的攻擊要素和攻擊方法，這對(duì)針對(duì)性防范APT攻擊提供了參考。廉哲等[14]針對(duì)APT防御態(tài)勢(shì)獲取問(wèn)題，使用軟件定義網(wǎng)絡(luò)(Software Defined Networking, SDN)技術(shù)架設(shè)虛擬蜜網(wǎng)。通過(guò)誘騙誘騙攻擊者對(duì)網(wǎng)內(nèi)節(jié)點(diǎn)進(jìn)行攻擊，可記錄攻擊行為并加以分析。

從Hutchins等[7]提出APT攻擊鏈的7個(gè)階段開(kāi)始，IKC模型便廣泛運(yùn)用在APT攻擊的表示中。該模型能夠十分清晰地描述APT攻擊進(jìn)行的流程以及各個(gè)階段的主要特點(diǎn)，但是沒(méi)有對(duì)各階段的主要攻擊手段進(jìn)行詳細(xì)分析，同時(shí)也沒(méi)有對(duì)模型進(jìn)行明確的形式化描述。而APT攻擊與傳統(tǒng)的網(wǎng)絡(luò)攻擊有著較多不同，各階段攻擊手段之間存在著較為復(fù)雜的組合關(guān)系，單純使用攻擊鏈模型難以對(duì)其進(jìn)行描述。針對(duì)上述問(wèn)題，本文通過(guò)總結(jié)大量公開(kāi)的APT攻擊分析報(bào)告，結(jié)合分層攻擊表示模型(Hierarchical Attack Representation Model, HARM)[15]提出一種APT攻擊分層表示模型(Advanced Persistent Threat Hierarchical Attack Representation Model, APT-HARM)，給出了APT攻擊的形式化定義，并利用相關(guān)APT攻擊案例對(duì)模型進(jìn)行了對(duì)比說(shuō)明。

1 APT攻擊表示模型

本文形式化地定義了兩層的APT攻擊分層表示模型APT-HARM，分別為上層的攻擊鏈和下層的攻擊樹(shù)。

1.1 相關(guān)定義

定義1 APT-HARM由三元組L=(AC,AT,M)表示。AC指模型上層的攻擊鏈，aci指攻擊鏈中某一階段。AT指模型下層的攻擊樹(shù)，ati表示某一攻擊階段對(duì)應(yīng)的攻擊樹(shù)。M=AC|→AT指aci到ati的映射關(guān)系。

定義2 攻擊鏈AC位于APT-HARM的上層，由有向圖C=(S,E)表示。其中S是攻擊鏈中aci的有限集；E={(aci,acj,Oi)}，表示aci階段完成目標(biāo)Oi后可以遷移到acj階段。

定義3 攻擊樹(shù)AT位于APT-HARM的下層，由三元組T=(M,W,G)表示。其中M表示可能采取的攻擊手段或攻擊子樹(shù)的有限集，mi表示集中元素；W指以{(children,gate)}形式表示的二元組，其中children表示當(dāng)前子樹(shù)中的{mi}，gate∈{AND-gate,OR-gate}；G為當(dāng)前攻擊樹(shù)的目標(biāo)，整棵樹(shù)的目標(biāo)是完成AC中的攻擊目標(biāo)O。

定義4 原子攻擊是指APT攻擊中不可再分的攻擊形態(tài)。一種攻擊手段只可能是或不是原子攻擊，非原子攻擊由原子攻擊組成。

1.2 攻擊鏈

本文提出了以偵察(Reconnaissance)、滲透(Infiltration)、行動(dòng)(Operation)和撤出(Exfiltration)的4攻擊階段攻擊鏈RIOE。

1.2.1 偵查階段

偵察階段ac1主要完成對(duì)攻擊目標(biāo)的信息搜集工作的目標(biāo)O1。手段主要包括主動(dòng)信息偵察、被動(dòng)信息偵察和半被動(dòng)信息偵察。在主動(dòng)信息偵察中，攻擊者要主動(dòng)連接目標(biāo)進(jìn)行偵察，其主要的行為特點(diǎn)是掃描(Scanning)，這種偵察方式能夠獲取到第一手且準(zhǔn)確的信息，但由于主動(dòng)信息偵察可能會(huì)被目標(biāo)系統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備發(fā)現(xiàn)，因此較少運(yùn)用。在被動(dòng)信息偵察中，攻擊者不會(huì)發(fā)送任何流量給目標(biāo)，只使用公開(kāi)的第三方信息，這種偵察方式足夠隱蔽，但是通過(guò)第三方獲取到的信息可能過(guò)時(shí)甚至不正確。盡管如此，由于不會(huì)被目標(biāo)系統(tǒng)所發(fā)現(xiàn)，被動(dòng)信息偵察往往是APT攻擊者的首選。半被動(dòng)信息偵察介于主動(dòng)信息偵察和被動(dòng)信息偵察之間，其將偵察行為盡量偽裝成正常的網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為，目標(biāo)系統(tǒng)可能會(huì)探測(cè)到偵查行為，但是無(wú)法對(duì)其進(jìn)行溯源。

1.2.2 滲透階段

滲透階段ac2主要完成對(duì)攻擊目標(biāo)進(jìn)行滲透的目標(biāo)O2。主要手段包括社會(huì)工程學(xué)攻擊、水坑攻擊、接觸式攻擊和漏洞攻擊。社會(huì)工程學(xué)攻擊[16]是一種通過(guò)社交網(wǎng)絡(luò)或是其他途徑獲取目標(biāo)敏感信息，隨后利用這些信息進(jìn)行進(jìn)一步滲透的攻擊方式。這種滲透方式利用了人性弱點(diǎn)，十分隱蔽，且難以被安全系統(tǒng)所察覺(jué)，攻擊成功率較高。水坑攻擊是在一種較為特殊的社會(huì)工程學(xué)方法，因此單獨(dú)將其提出，主要手段是通過(guò)了解目標(biāo)人員經(jīng)常訪問(wèn)的網(wǎng)站，然后將其攻陷并植入惡意代碼，當(dāng)目標(biāo)人員再次訪問(wèn)該網(wǎng)站時(shí)就會(huì)觸發(fā)網(wǎng)頁(yè)中的惡意代碼，執(zhí)行攻擊者的指令。這樣既不會(huì)直接發(fā)送攻擊流量避免被溯源，也可以提高攻擊的成功率和準(zhǔn)確率。接觸式攻擊即采用非技術(shù)手段接觸目標(biāo)系統(tǒng)(例如直接插入U(xiǎn)盤(pán))，植入APT病毒，這種方式成本代價(jià)較高，但是特異性和成功率非常高。漏洞攻擊是較為底層的攻擊方式，除了通過(guò)社會(huì)工程學(xué)手段直接獲取目標(biāo)系統(tǒng)管理權(quán)限外，幾乎所有的其他攻擊手段都要通過(guò)漏洞攻擊加以實(shí)施。在實(shí)際的APT攻擊中大量使用被稱(chēng)為0day漏洞[17]的當(dāng)前未知漏洞，從而突破現(xiàn)有的安全防護(hù)體系獲得系統(tǒng)控制權(quán)。

1.2.3 行動(dòng)階段

行動(dòng)階段ac3主要完成在獲取目標(biāo)系統(tǒng)控制權(quán)后對(duì)攻擊目標(biāo)進(jìn)行信息搜集或?qū)嵤┢茐牡哪繕?biāo)O3。主要手段包括建立指揮控制、控制持久化、信息竊取、實(shí)施破壞和橫向移動(dòng)。為了長(zhǎng)時(shí)間在目標(biāo)系統(tǒng)內(nèi)行動(dòng)，攻擊者會(huì)用盡一切手段保持自身的隱蔽性。建立指揮控制(Command & Control, C2)通常是攻擊者獲取目標(biāo)系統(tǒng)控制權(quán)后的第一個(gè)行動(dòng)。通過(guò)隱蔽和加密信道，例如通過(guò)洋蔥路由(The Onion Router, TOR)進(jìn)行通信，或是包裝成正常數(shù)據(jù)通信的信道對(duì)目標(biāo)系統(tǒng)內(nèi)植入的病毒進(jìn)行指揮控制通信。控制持久化的目的是為了了解目標(biāo)系統(tǒng)的硬件、軟件和網(wǎng)絡(luò)環(huán)境和尋找相應(yīng)漏洞，有針對(duì)性地投送遠(yuǎn)程控制木馬和后門(mén)等，以之對(duì)系統(tǒng)進(jìn)行長(zhǎng)期控制。信息竊取和實(shí)施破壞是整個(gè)APT攻擊的核心目標(biāo)。在獲取系統(tǒng)控制權(quán)限、建立指揮控制鏈路、進(jìn)行環(huán)境檢查并上傳相關(guān)工具后，攻擊者開(kāi)始依據(jù)最開(kāi)始設(shè)定的目標(biāo)進(jìn)行信息竊取或是破壞活動(dòng)。橫向移動(dòng)可以理解為滲透擴(kuò)大化，即以已攻陷或是通過(guò)已攻陷的系統(tǒng)對(duì)同一網(wǎng)絡(luò)中的其他系統(tǒng)進(jìn)行滲透。對(duì)于攻擊者而言攻擊鏈又回到了滲透階段。在真實(shí)的APT攻擊中，攻擊者往往不能直接獲取到所需要的系統(tǒng)管理權(quán)限，需要逐步對(duì)核心系統(tǒng)進(jìn)行滲透攻擊。

1.2.4 撤出階段

撤出階段ac4主要完成在預(yù)定行動(dòng)完成后執(zhí)行數(shù)據(jù)回傳和痕跡清理的目標(biāo)O4。主要手段包括回傳敏感數(shù)據(jù)和刪除日志記錄。確定回傳路徑是回傳敏感數(shù)據(jù)之前的必要操作，通常攻擊者會(huì)選擇與指控信道不同的路徑進(jìn)行信息回傳，通過(guò)隱蔽和加密信道或是包裝成正常數(shù)據(jù)通信進(jìn)行數(shù)據(jù)回傳。在數(shù)據(jù)回傳時(shí)，攻擊者需要確定控制鏈?zhǔn)欠衲軌蚋采w回傳路徑。由于過(guò)大的外泄流量會(huì)導(dǎo)致目標(biāo)系統(tǒng)的察覺(jué)，因此有必要對(duì)回傳的信息流量進(jìn)行稀釋?zhuān)蛊潆[藏在常規(guī)的通信流量中，這使得要獲得完整的數(shù)據(jù)需要相當(dāng)長(zhǎng)的時(shí)間，而文獻(xiàn)[4]指出，APT攻擊的平均時(shí)間為145 d，而最長(zhǎng)可達(dá)660 d，因此攻擊者有足夠時(shí)間獲取到完整信息。在完成信息回傳的同時(shí)，攻擊者也要對(duì)攻擊痕跡進(jìn)行清理，防止被溯源。然而攻擊者很難只清除自身活動(dòng)的日志，特別是日志數(shù)量較多且存在備份的條件下。因此攻擊者一般將攻擊偽裝成正常行為躲避日志審查，在必要時(shí)將刪除所有日志。

1.2.5 形式化表示

攻擊鏈AC由有向圖C=(S,E)表示。其中S={ac1,ac2,ac3,ac4}，ac1至ac4分別代表偵查階段、滲透階段、行動(dòng)階段和撤出階段；E={(ac1,ac2,O1),(ac2,ac3,O2),(ac3,ac2,O3),(ac3,ac4,O3)}，其中(ac3,ac2,O3)代表橫向移動(dòng)。其圖形表示如圖1所示。

圖1 攻擊鏈的圖形化表示

攻擊鏈中每一階段都有其對(duì)應(yīng)的完成各階段目標(biāo)的攻擊樹(shù)。前述各階段的攻擊手段均由對(duì)應(yīng)的原子攻擊組成。

1.3.1 偵察攻擊樹(shù)

偵察攻擊樹(shù)由主動(dòng)信息偵察子樹(shù)、被動(dòng)信息偵察子樹(shù)和半被動(dòng)信息偵察子樹(shù)組成，分別記為mr1，mr2和mr3。表1中at1列出了偵察攻擊樹(shù)中包含的攻擊方式。

在主動(dòng)信息偵察中包含端口掃描、操作系統(tǒng)掃描、漏洞掃描和網(wǎng)絡(luò)拓?fù)涮讲?種。被動(dòng)信息偵察種包含WhoIS查詢(xún)和搜索引擎查詢(xún)，著名的Google Hacking就屬于搜索引擎查詢(xún)。半被動(dòng)信息偵察包括網(wǎng)絡(luò)爬蟲(chóng)偵察和社交網(wǎng)絡(luò)偵察。

1.3.2 滲透攻擊樹(shù)

滲透攻擊樹(shù)由社會(huì)工程學(xué)子樹(shù)、水坑攻擊子樹(shù)、接觸式攻擊子樹(shù)和漏洞攻擊子樹(shù)組成，分別記為mi1，mi2，mi3和mi4。表1中at2列出了滲透攻擊樹(shù)中包含的攻擊方式。

社會(huì)工程學(xué)攻擊包括魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)(Spear phishing)、網(wǎng)頁(yè)釣魚(yú)和社會(huì)工程學(xué)字典攻擊等。在APT攻擊中的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)與傳統(tǒng)意義上的釣魚(yú)攻擊不同，其前期收集了目標(biāo)用戶(hù)的相關(guān)社會(huì)信息，包括但不限于姓名、工作單位、職務(wù)等，大部分的垃圾郵件過(guò)濾器都難以對(duì)其進(jìn)行有效防范，而依靠制定使用規(guī)定和用戶(hù)培訓(xùn)也沒(méi)有達(dá)到杜絕魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的作用[18]，因此這是攻擊者進(jìn)行滲透的重要手段。水坑攻擊包括注入攻擊、跨站腳本攻擊(Cross-Site Scripting, XSS)和跨站請(qǐng)求偽造(Cross-Site Request Forgery, CSRF)。接觸式攻擊包括移動(dòng)存儲(chǔ)設(shè)備接觸和其他接觸方式。漏洞攻擊包括硬件漏洞攻擊、操作系統(tǒng)漏洞攻擊和應(yīng)用系統(tǒng)漏洞攻擊。無(wú)論是社會(huì)工程學(xué)攻擊、水坑攻擊還是接觸式攻擊，為了使得滲透行為不被目標(biāo)防御系統(tǒng)察覺(jué)，最終都要使用漏洞攻擊。從防御者的角度看，如何減少可被攻擊者利用的漏洞成為防御APT攻擊的關(guān)鍵問(wèn)題之一。

1.3.3 行動(dòng)攻擊樹(shù)

行動(dòng)攻擊樹(shù)由建立指揮控制子樹(shù)、控制持久化子樹(shù)、信息竊取子樹(shù)、實(shí)施破壞子樹(shù)組成，分別記為ma1，ma2，ma3和ma4。表1中at3列出了行動(dòng)攻擊樹(shù)中包含的攻擊方式。

未來(lái)，天津石化將以“建設(shè)世界一流綠色企業(yè)”為目標(biāo)，積極踐行綠色發(fā)展理念，認(rèn)真落實(shí)打好“污染防治攻堅(jiān)戰(zhàn)”和“藍(lán)天保衛(wèi)戰(zhàn)”重要部署，全面啟動(dòng)綠色企業(yè)行動(dòng)計(jì)劃，努力為社會(huì)提供更多清潔能源和綠色產(chǎn)品。

建立指揮控制主要涉及到加密通信和隱蔽通信，加密通信包括使用SSL/TLS和自定義的加密協(xié)議進(jìn)行通信；隱蔽通信包括利用TCP/IP協(xié)議的未定義部分和偽裝成正常協(xié)議的通信形式。控制持久化包括放置后門(mén)，放置木馬和內(nèi)存駐留。內(nèi)存駐留是APT木馬的高級(jí)形式，即不存在磁盤(pán)上的數(shù)據(jù)文件，一直駐留在系統(tǒng)內(nèi)存中，因此難以發(fā)現(xiàn)與清除。信息竊取包括硬件信息搜集、操作系統(tǒng)信息搜集、應(yīng)用程序信息搜集和用戶(hù)信息搜集。實(shí)施破壞包括破壞硬件和損毀數(shù)據(jù)。

橫向移動(dòng)將部分或整個(gè)攻擊流重定向到了滲透階段，利用目前被攻陷的系統(tǒng)作為跳板或通路對(duì)更深層的系統(tǒng)進(jìn)行滲透，直至完成預(yù)定目標(biāo)。

1.3.4 撤出攻擊樹(shù)

撤出攻擊樹(shù)由執(zhí)行數(shù)據(jù)回傳子樹(shù)和刪除日志記錄子樹(shù)組成，分別記為me1和me2。表1中at4列出了撤出攻擊樹(shù)中包含的攻擊方式。

執(zhí)行數(shù)據(jù)回傳主要涉及到確定回傳路徑、加密通信和隱蔽通信。而后兩者在行動(dòng)階段中也起著關(guān)鍵作用，因此防御方如果能夠阻斷其進(jìn)行加密和隱蔽通信則能夠有效切斷APT攻擊鏈。刪除日志記錄包括設(shè)備日志銷(xiāo)毀、操作系統(tǒng)日志銷(xiāo)毀和應(yīng)用系統(tǒng)日志銷(xiāo)毀。

表1 攻擊樹(shù)詳細(xì)信息

1.3.5 形式化表示

以行動(dòng)攻擊樹(shù)為例對(duì)攻擊樹(shù)形式化定義進(jìn)行說(shuō)明。其余各階段攻擊樹(shù)的表示與之類(lèi)似，不再贅述。

圖2 行動(dòng)攻擊樹(shù)的圖形表示

1.4 形式化表示

APT-HARM三元組L=(AC,AT,M)，AC={ac1,ac2,ac3,ac4}，AT={at1,at2,at3,at4}，M={ac1|→at1,ac2|→at2,ac3|→at3,ac4|→at4}。其中AC在1.2.5節(jié)中進(jìn)行了說(shuō)明，AT在1.3.5節(jié)中進(jìn)行了說(shuō)明。

2 典型APT案例分析

Duqu 2.0攻擊[19]和夜龍(Night Dragon)攻擊[20]是較為典型的APT攻擊，前者針對(duì)世界領(lǐng)先信息安全廠商卡巴斯基實(shí)施信息竊取，后者針對(duì)歐美主要能源公司實(shí)施信息竊取。本節(jié)從這兩個(gè)典型案例出發(fā)，對(duì)APT-HARM模型與IKC模型進(jìn)行對(duì)比分析。

2.1 Duqu 2.0 攻擊

Duqu 2.0攻擊鏈包含有RIOE的全部四個(gè)階段，即偵查階段、滲透階段、行動(dòng)階段和撤出階段。

在偵察階段，攻擊者至少掌握了目標(biāo)的社會(huì)關(guān)系(實(shí)驗(yàn)室員工)、電子郵件地址、計(jì)算機(jī)操作系統(tǒng)及其漏洞信息(0day漏洞)、初步拓?fù)湫畔ⅲ灰虼斯粽呤褂昧酥鲃?dòng)信息偵察、被動(dòng)信息偵察和半被動(dòng)信息偵察，其中使用了操作系統(tǒng)掃描、漏洞掃描、網(wǎng)絡(luò)拓?fù)涮讲椤hoIS查詢(xún)和社交網(wǎng)絡(luò)偵察等。

在滲透階段，攻擊者采用了極其具有針對(duì)性的電子郵件釣魚(yú)，利用郵件將帶有攻擊載荷的word文檔發(fā)送給目標(biāo)，誘騙目標(biāo)打開(kāi)該文檔，利用CVE-2014-4148漏洞獲取系統(tǒng)控制權(quán)，因此，攻擊者使用了社會(huì)工程學(xué)攻擊和漏洞攻擊，其中使用了魚(yú)叉式網(wǎng)路釣魚(yú)和操作系統(tǒng)漏洞攻擊等。

在行動(dòng)階段，攻擊者首先攻擊者利用CVE-2014-6324和CVE-2015-2360漏洞將自身權(quán)限提升至管理員級(jí)別，隨后利用被感染的計(jì)算機(jī)作為跳板攻擊域內(nèi)其他計(jì)算機(jī)，同時(shí)使用MSI安裝包釋放支持C2控制(182.253.220.29和186.226.56.103)的遠(yuǎn)程后門(mén)程序。使用正常的SSL和HTTP協(xié)議進(jìn)行通信，同時(shí)使用圖片信息隱藏技術(shù)進(jìn)行通信。Duqu 2.0使用的代碼駐留方式十分特別，絕大部分代碼運(yùn)行在內(nèi)存中，這樣就很難發(fā)現(xiàn)磁盤(pán)上的異常。針對(duì)大規(guī)模斷電導(dǎo)致內(nèi)存信息丟失的問(wèn)題，Duqu 2.0在少數(shù)直連外部網(wǎng)絡(luò)的計(jì)算機(jī)中駐留了支持遠(yuǎn)程桌面的后門(mén)程序，一旦發(fā)生載荷丟失問(wèn)題可以立即重新安裝。Duqu 2.0可以看作是一個(gè)攻擊平臺(tái)，其通過(guò)不同的載荷實(shí)現(xiàn)不同的功能。在卡巴斯基實(shí)驗(yàn)室的報(bào)告中共描述了5種載荷，100多種載荷插件以實(shí)現(xiàn)不同的功能，主要可以分為橫向移動(dòng)和信息竊取兩類(lèi)。就后者而言，其主要搜集USB設(shè)備、DHCP及路由設(shè)備、已連接的打印機(jī)、網(wǎng)絡(luò)適配器設(shè)置、防火墻策略等硬件信息；搜集運(yùn)行進(jìn)程列表、活躍終端會(huì)話、所有網(wǎng)絡(luò)共享、安裝的程序、域管理員SID及密碼HASH等操作系統(tǒng)信息；搜集POP3密碼、VNC密碼，數(shù)據(jù)庫(kù)實(shí)例信息，PuTTY主機(jī)密鑰及會(huì)話等應(yīng)用系統(tǒng)信息。因此，攻擊者建立了指揮控制，使用了控制持久化技術(shù)和進(jìn)行了信息竊取。其中使用了行動(dòng)攻擊樹(shù)中除了破壞硬件和損毀數(shù)據(jù)的所有手段。

在撤出階段，攻擊者執(zhí)行了數(shù)據(jù)回傳和刪除日志記錄。在數(shù)據(jù)回傳過(guò)程中，攻擊者映射了內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，突破了卡巴斯基互聯(lián)網(wǎng)代理服務(wù)器，通過(guò)Windows管道，服務(wù)器信息通信(Server Message Block，SMB)等通過(guò)自定義的私有加密協(xié)議和與行動(dòng)階段類(lèi)似的通信方式進(jìn)行數(shù)據(jù)回傳。同時(shí)，為了擦除攻擊痕跡，攻擊者刪除了所有與攻擊有關(guān)的日志信息，以至于卡巴斯基只發(fā)現(xiàn)了初始攻擊來(lái)自于亞太地區(qū)某個(gè)員工的釣魚(yú)郵件卻無(wú)法發(fā)現(xiàn)攻擊來(lái)源。因此，攻擊者執(zhí)行了撤出攻擊樹(shù)所有的攻擊手段。表2對(duì)APT-HARM模型與IKC模型對(duì)Duqu 2.0攻擊的表示進(jìn)行了對(duì)比。

表2 兩種模型對(duì)Duqu 2.0 APT攻擊表示的比較

2.2 夜龍攻擊

Night Dragon攻擊的攻擊鏈同樣包括RIOE的全部四個(gè)階段。

在偵查階段，攻擊者至少掌握了目標(biāo)的社會(huì)關(guān)系(敏感計(jì)算機(jī)使用員工)以及其電子郵件地址、網(wǎng)頁(yè)后臺(tái)數(shù)據(jù)庫(kù)軟件信息以及其漏洞信息(SQL注入漏洞)、初步的拓?fù)湫畔ⅰＲ虼耍粽呤褂昧酥鲃?dòng)信息偵察，被動(dòng)信息偵察以及半被動(dòng)信息偵察，其中，使用了端口掃描、漏洞掃描、網(wǎng)絡(luò)拓?fù)涮讲椤⑺阉饕娌樵?xún)、WhoIS查詢(xún)和社交網(wǎng)絡(luò)偵察等攻擊手段。

在滲透階段，攻擊者通過(guò)直接利用SQL注入漏洞進(jìn)入管理后臺(tái)獲得網(wǎng)頁(yè)服務(wù)器遠(yuǎn)程執(zhí)行代碼權(quán)限，隨后發(fā)動(dòng)了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，利用郵件將遠(yuǎn)程控制工具(Remote Administration Tool, RAT)直接發(fā)送給目標(biāo)人員，誘騙其運(yùn)行程序使攻擊者獲得了目標(biāo)人員操作系統(tǒng)的管理權(quán)限。因此，攻擊者使用了社會(huì)工程學(xué)攻擊和漏洞攻擊，其中使用了魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和應(yīng)用系統(tǒng)漏洞攻擊等。

在行動(dòng)階段，攻擊者利用被攻陷的網(wǎng)頁(yè)服務(wù)器和用戶(hù)計(jì)算機(jī)作為跳板感染其他計(jì)算機(jī)，同時(shí)在被攻陷的網(wǎng)頁(yè)服務(wù)器上建立C2服務(wù)器，并釋放稱(chēng)為“zwShell”的RAT工具。攻擊者通過(guò)虛擬專(zhuān)用網(wǎng)(Virtual Private Network，VPN)繞過(guò)了防火墻和DMZ直接進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行橫向移動(dòng)擴(kuò)大攻擊，攻擊者關(guān)閉了被攻陷的內(nèi)網(wǎng)計(jì)算機(jī)上的代理設(shè)置，使得內(nèi)網(wǎng)計(jì)算機(jī)能夠直接與互聯(lián)網(wǎng)進(jìn)行通信。在控制持久化上，攻擊者使用了動(dòng)態(tài)DNS技術(shù)來(lái)保證被攻陷計(jì)算機(jī)總能通過(guò)特定域名訪問(wèn)到C2服務(wù)器，這些域名包括is-a-chef.com，thruhere.net等公開(kāi)的動(dòng)態(tài)DNS服務(wù)提供商，因此難以對(duì)攻擊者進(jìn)行溯源。攻擊者使用正常的HTTP協(xié)議與被攻陷計(jì)算機(jī)進(jìn)行數(shù)據(jù)傳輸，同時(shí)與RAT通信時(shí)使用了身份驗(yàn)證機(jī)制。zwShell被設(shè)計(jì)為插件擴(kuò)展式的多功能RAT工具，在邁克菲的報(bào)告中共提到了7種不同的攻擊載荷，包括文件竊取、屏幕錄制、命令執(zhí)行、鍵盤(pán)監(jiān)視等功能。因此，攻擊者建立了指揮控制，使用了控制持久化技術(shù)和進(jìn)行了信息竊取，同樣使用了行動(dòng)攻擊樹(shù)中除破壞硬件和損毀數(shù)據(jù)的所有手段。

在撤出階段，攻擊者執(zhí)行了數(shù)據(jù)回傳。在此過(guò)程中，攻擊者通過(guò)zwShell直接將獲取到的數(shù)據(jù)上傳至C2服務(wù)器上，進(jìn)而轉(zhuǎn)發(fā)至攻擊者手中，攻擊者似乎對(duì)回傳的數(shù)據(jù)沒(méi)有使用任何加密手段，直接明文進(jìn)行回傳。在報(bào)告中沒(méi)有明確提到攻擊者刪除日志記錄的操作，因此攻擊者執(zhí)行了數(shù)據(jù)回傳操作，其中進(jìn)行了確定回傳路徑和隱蔽通信。表3對(duì)APT-HARM模型與IKC模型對(duì)夜龍攻擊的表示進(jìn)行了對(duì)比。

APT-HRAM模型相較IKC模型有三點(diǎn)改進(jìn)。一是合理劃分了攻擊階段與攻擊手段。IKC模型使用攻擊鏈統(tǒng)一描述APT攻擊中的攻擊階段與攻擊手段，這樣就使得APT攻擊的表示從攻擊階段而言粒度過(guò)細(xì)，而從攻擊手段而言粒度過(guò)粗，本模型通過(guò)合并多余的攻擊階段和分別研究各階段的攻擊手段解決了這一問(wèn)題。二是形式化地定義和表示了攻擊階段與攻擊手段的內(nèi)部關(guān)系。通過(guò)將APT攻擊的表示分為兩層，既通過(guò)攻擊鏈突出了APT攻擊階段遞進(jìn)關(guān)系，也通過(guò)攻擊樹(shù)表示了各攻擊手段的內(nèi)部邏輯關(guān)系以及攻擊手段與攻擊鏈中各攻擊階段的組合關(guān)系。三是補(bǔ)充了IKC的攻擊階段。在IKC模型中沒(méi)有提到APT攻擊的結(jié)束階段，對(duì)APT攻擊的表述不夠完整，APT-HARM模型提出了撤出階段并分析了可能的攻擊手段。

表3 兩種模型對(duì)夜龍APT攻擊表示的比較

3 結(jié)語(yǔ)

本文通過(guò)對(duì)大量公開(kāi)的APT攻擊事件的總結(jié)分析，結(jié)合APT攻擊鏈模型和HARM模型，提出了APT攻擊分層表示模型APT-HARM，并利用典型APT攻擊對(duì)本對(duì)模型與IKC模型進(jìn)行了對(duì)比分析。APT-HARM模型將APT攻擊分為兩層進(jìn)行表示，上層為4個(gè)階段組成的攻擊鏈，下層為各階段所可能采取攻擊手段組成的攻擊樹(shù)。本模型相較于IKC模型具有結(jié)構(gòu)劃分合理、攻擊描述完備準(zhǔn)確的優(yōu)點(diǎn)。APT攻擊依靠完整的攻擊鏈，因此只要切斷任意環(huán)節(jié)就可以阻止APT攻擊。基于本模型可以對(duì)APT防御作進(jìn)一步研究，如分析APT攻擊中可能采取的關(guān)鍵攻擊手段，有針對(duì)性地進(jìn)行防護(hù)，從而阻止APT攻擊。

References)

[1] BREWER R. Advanced persistent threats: minimising the damage [J]. Network Security, 2014, 2014(4): 5-9.

[3] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon [J]. IEEE Security & Privacy, 2011, 9(3): 49-51.

[4] Symantec. Advanced persistent threats: a Symantec perspective [EB/OL]. [2016- 11- 17]. http://www.symantec.com/content/en/us/enterprise/white_papers/b-advanced_persistent_threats_WP_21215957.en-us.pdf.

[5] ALBULIWI R. ANRC Advanced Persistent Threat (APT) whitepaper [R]. San Antonio, Texas: ANRC, LLC, 2012.

[6] LAST D. Forecasting zero-day vulnerabilities [C]// Proceedings of the 11th Annual Cyber and Information Security Research Conference. New York: ACM, 2016: Article No. 13.

[7] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains [EB/OL]. [2017- 01- 24]. http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf?__hstc=24651237.ec7d57cd5d75bb934ed81dd4f337ee29.1415232000057.1415232000058.1415232000059.1&__hssc=24651237.1.1415232000060&__hsfp=3972014050.

[8] DOHERTY S, BANERJEE D. Orchestrating Software Defined Networks (SDN) to disrupt the APT kill chain [EB/OL]. [2016- 12- 07]. https://wenku.baidu.com/view/9c8b8d460c22590103029d15.html.

[9] LI M, HUANG W, WANG Y, et al. The study of APT attack stage model [C]// Proceedings of the 2016 IEEE/ACIS 15th International Conference on Computer and Information Science. Washington, DC: IEEE Computer Society, 2016: 1-5.

[10] FAWAZ A, BOHARA A, CHEH C, et al. Lateral movement detection using distributed data fusion [C]// Proceedings of the 2016 IEEE 35th Symposium on Reliable Distributed Systems. Washington, DC: IEEE Computer Society, 2016: 21-30.

[11] HONG J. The state of phishing attacks [J]. Communications of the ACM, 2012, 55(1): 74-81.

[12] O’GORMAN G, MCDONALD G. The elderwood project [R]. Mountain View, CA: Symantec Corporation, 2012.

[13] Penetration Testing Execution Standard. PTES technical guidelines [EB/OL]. [2017- 03- 09]. http://www.pentest-standard.org/index.php/Main_Page.

[14] 廉哲,殷肖川,譚韌,等.面向網(wǎng)絡(luò)攻擊態(tài)勢(shì)的SDN虛擬蜜網(wǎng)研究[J].空軍工程大學(xué)學(xué)報(bào)(自然科學(xué)版),2017,18(3):82-88.(LIAN Z, YIN X C, TAN R, et al. Research on SDN virtual honeynet for network attack situation[J]. Journal of Air Force Engineering University (Natural Science Edition), 2017, 18(3): 82-88.)

[15] HONG J B, KIM D S. Assessing the effectiveness of moving target defenses using security models [J]. IEEE Transactions on Dependable and Secure Computing, 2016, 13(2): 163-177.

[16] NELSON J, LIN X, CHEN C, et al. Social engineering for security attacks [C]// Proceedings of the 2016 3rd Multidisciplinary International Social Networks Conference on Social Informatics. New York: ACM, 2016: Article No. 6.

[17] WANG L, JAJODIA S, SINGHAL A, et al. k-zero day safety: a network security metric for measuring the risk of unknown vulnerabilities [J]. IEEE Transactions on Dependable and Secure Computing, 2014, 11(1): 30-44.

[18] JUNGER M, MONTOYA L, OVERINK F J. Priming and warnings are not effective to prevent social engineering attacks [J]. Computers in Human Behavior, 2017, 66: 75-87.

[19] Global Research and Analysis Team. The Duqu 2.0 technical details [R]. Moscow: Kaspersky Lab, 2015.

[20] McAfee Foundstone Professional Services and McAfee Labs. Global energy cyberattacks: "Night Dragon" [R]. Santa Clara, CA: McAfee Inc, 2011.

HierarchicalrepresentationmodelofAPTattack

TAN Ren, YIN Xiaochuan*, LIAN Zhe, CHEN Yuxin

(InformationandNavigationCollege,AirForceEngineeringUniversity,Xi’anShaanxi710077,China)

Aiming at the problem that the attack chain model for the attack phase is too small to indicate the means of attack, an Advanced Persistent Threat (APT) Hierarchical Attack Representation Model (APT-HARM) was proposed. By summarizing the analysis of a large number of published APT event reports and reference APT attack chain model and HARM, the APT attack was divided into into two layers, the upper layer attack chain and the lower layer attack tree, which were formally defined. Firstly, the APT attack was divided into four stages: reconnaissance, infiltration, operation and exfiltration and the characteristics of each stage were studied. Then, the attack methods in each stage were studied, and the attack tree was composed according to its logical relationship. APT attacks were carried out in stages according to the attack chain, and the attack of each stage was performed in accordance with the attack tree. The case study shows that the model has the advantages of reasonable granularity classification and better attack description compared to the attack chain model. APT-HARM formally defines the APT attack, which provides an idea for the prediction and prevention of APT attacks.

Advanced Persistent Threat (APT); attack chain; attack tree; Hierarchical Attack Representation Model (HARM)

2017- 03- 27;

2017- 05- 18。

國(guó)家自然科學(xué)基金資助項(xiàng)目(61402510)；陜西省工業(yè)科技攻關(guān)項(xiàng)目(2016GY-087)。

譚韌(1993—)，男，湖南婁底人，碩士研究生， CCF會(huì)員，主要研究方向：網(wǎng)絡(luò)與信息安全； 殷肖川(1961—)，男，湖北武漢人，教授，博士，主要研究方向：網(wǎng)絡(luò)與信息安全、數(shù)字水印； 廉哲(1993—)，男，山西運(yùn)城人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全； 陳玉鑫(1993—)，男，甘肅蘭州人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全。

時(shí)間 2017- 06- 08 14:14:29。 網(wǎng)絡(luò)出版地址 http://kns.cnki.net/kcms/detail/51.1307.TP.20170608.1414.002.html。

1001- 9081(2017)09- 2551- 06

10.11772/j.issn.1001- 9081.2017.09.2551

TP309

A

This work is partially supported by the the National Natural Science Foundation of China (61402510), the Industrial Science and Technology Project of Shaanxi Province (2016GY-087).

TANRen, born in 1993, M. S. candidate. His research interests include network and information security

YINXiaochuan, born in 1961, Ph. D, professor. His research include network and information security, digital watermarking.

LIANZhe, born in 1993, M. S. candidate. His research interests include network and information security.

CHENYuxin, born in 1993, M. S. candidate. His research interests include network and information security.