王浩先

（南京政治學(xué)院上海校區(qū) 上海 200433）

1 APT攻擊簡介

1.1 APT的含義

APT（Advanced Persistent Threat）高級持續(xù)性威脅，是一類針對企業(yè)和政府重要信息資產(chǎn)的，對IT和管理人員構(gòu)成極大挑戰(zhàn)的信息安全威脅[1]。多數(shù)專家和學(xué)者認(rèn)為APT攻擊是基于組織、機(jī)構(gòu)、甚至國家參與的以竊取高價值信息為目的的，針對政府企業(yè)和機(jī)構(gòu)的網(wǎng)絡(luò)攻擊[2]。攻擊者通常通過團(tuán)隊協(xié)作的模式設(shè)計木馬程序、編寫惡意代碼、運用網(wǎng)絡(luò)攻擊手段滲透目標(biāo)網(wǎng)絡(luò)，帶有很高的目的性和持續(xù)性，使被攻擊者防不勝防。

1.2 APT攻擊過程

APT攻擊過程大致可以分為準(zhǔn)備、偵察、入侵、提權(quán)、情報素材獲取、清除痕跡幾個階段。攻擊者在制定攻擊計劃，選取好目標(biāo)后，會對其性質(zhì)，操作系統(tǒng)版本或服務(wù)器信息等進(jìn)行嗅探，采用如“郵件釣魚”、網(wǎng)頁掛馬方式同社會工程學(xué)融合，攻擊入侵目標(biāo)系統(tǒng)。一旦入侵成功，會進(jìn)行一系列提權(quán)活動，最終控制整個計算機(jī)或服務(wù)器。在這個過程中，攻擊者還會開辟多個系統(tǒng)后門，上傳備用木馬、鍵盤記錄等程序。通過遍歷文件樹的方式搜集獲取目標(biāo)情報素材，最后清除網(wǎng)絡(luò)日志、恢復(fù)網(wǎng)絡(luò)參數(shù)，清除惡意活動痕跡，潛伏在目標(biāo)系統(tǒng)中，等待下一次攻擊命令。

2 APT攻擊的情報學(xué)價值

許多 APT攻擊都被簡單認(rèn)為是黑客團(tuán)隊以信息竊取為目的的行為，然而他們竊取這些信息用作什么目的卻不得而知，但針對政府、能源部門、軍工企業(yè)的攻擊活動則可以獲得意想不到的情報素材。APT攻擊的情報學(xué)價值主要表現(xiàn)在以下三點。

2.1 APT直接為情報挖掘服務(wù)

目前的APT攻擊涉及的范圍十分廣泛，如2011年以RSA為首的若干個世界性組織遭到攻擊，直接導(dǎo)致數(shù)百萬用戶的資料被竊取，美國曼迪安特公司披露APT1報告等等，涉及方向有信息技術(shù)、高科技電氣、金融領(lǐng)域等等。雖然這一類信息看似彼此間毫無關(guān)系，但通過將碎片化的信息進(jìn)行重新組合、序化，可以有效挖掘出非常高的情報價值。占有原始資料的數(shù)量越多，得到高價值情報的可能性就越大，APT負(fù)責(zé)攻擊獲取情報資料，而情報挖掘則負(fù)責(zé)將情報資料轉(zhuǎn)換成為有價值的情報信息。

2.2 APT是獲取情報素材的有效手段

與傳統(tǒng)的情報獲取方式相比，APT獲取情報的方式更加注重目標(biāo)的情報價值，具有針對性大、時效性強(qiáng)、不易被發(fā)現(xiàn)的優(yōu)勢。尤其是時效性，基本可以做到情報產(chǎn)生即獲取。近年來隨著網(wǎng)絡(luò)作戰(zhàn)一詞的興起，網(wǎng)絡(luò)偵察方式也層出不窮。愛德華·斯諾登事件更加顯示了國家層面對于網(wǎng)絡(luò)獲取情報的幕后支持，許多情報機(jī)構(gòu)，間諜機(jī)構(gòu)都將網(wǎng)絡(luò)情報獲取列為重中之重，將其作為一種有效手段而廣泛采用。

2.3 情報反向指導(dǎo)APT攻擊

通過情報挖掘產(chǎn)生的 APT情報中有部分是關(guān)于目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、郵箱密碼、服務(wù)器管理員密碼等信息。攻擊者利用這些情報信息可以很輕松的通過目標(biāo)主機(jī)或服務(wù)器作為跳板，橫向拓展攻擊同一網(wǎng)段下的其他高價值目標(biāo)，竊取具有更高情報價值的信息。另外，通過對APT情報的挖掘，可以對目標(biāo)的興趣、愛好、行為等有所掌控，在制定對此類目標(biāo)攻擊的計劃中可更好地利用社會工程學(xué)的方式來指導(dǎo)APT攻擊。

3 APT情報挖掘

對于獲取到的APT情報素材，需要進(jìn)行深入挖掘，經(jīng)過進(jìn)一步的分析、處理、加工等過程后才能產(chǎn)生其情報學(xué)價值。在美國的情報理論當(dāng)中，情報分析（Intelligence Analysis）是指對有用的信息進(jìn)行分解、合成，通過邏輯推理得出有價值的結(jié)論。本節(jié)就描述對APT攻擊獲取的情報素材進(jìn)行分析、處理、傳遞、存儲、服務(wù)過程來揭示APT情報挖掘的底層運行模式，構(gòu)建過程模型，實現(xiàn)挖掘情報，產(chǎn)生價值的結(jié)果。

3.1 分析

APT情報素材往往是無序化、模塊化、專業(yè)化、碎片化的大量原始信息，對這些數(shù)量龐大、無規(guī)律的信息進(jìn)行分析是尤為重要的環(huán)節(jié)。例如，在曼迪安特公司（Mandiant）的APT1[2]中報告的攻擊者所獲取數(shù)據(jù)量就有近幾個TB。對這些情報素材的分析需要綜合運用多種分析方法，不同的學(xué)者提出了不同的分析方法，代表的有邏輯方法，如歸納與演繹、比較法、綜合法等。在這里采用 WSR分析模型，即物理—事理—人理分析模型。如圖2，WSR分析模型中，三個層次基于對復(fù)雜問題的解決，需要考慮問題的最基本方面即物的方面，考慮問題解決最佳的方式方法即事理方面還有解決問題的關(guān)鍵因素—人的影響。三個層面針對對問題的深入程度，逐步上升，完成對APT情報素材全面、系統(tǒng)、詳細(xì)、理性的分析結(jié)果。

圖1 WSR分析模型

3.1.1 物理層次

物理層中，內(nèi)容分析法作為一種對情報素材內(nèi)容的定量分析方法，在對APT情報素材分析方面具有無可比擬的優(yōu)勢。例如，在Google極光攻擊中，黑客通過APT攻擊獲取了Google員工（被攻擊對象）的大部分網(wǎng)絡(luò)注冊信息，通過分析這類信息成功偽造了一份受到信任的身份信息，為下一步進(jìn)行更高層次的APT攻擊做好了準(zhǔn)備。

相關(guān)分析法是指依據(jù)兩個或兩個以上問題或?qū)傩缘南嚓P(guān)程度來發(fā)現(xiàn)某種關(guān)系和規(guī)律的分析方法。它可以針對一個問題的幾種屬性的相關(guān)程度來分析問題，也可針對在同一時間軸不同次序的幾種問題的相關(guān)程度來分析。在APT情報素材中，有很多素材是針對某一敏感事件從不通角度或在多個時間點對事件進(jìn)行描述，通過相關(guān)分析法可以很好的發(fā)現(xiàn)敏感事件的內(nèi)部聯(lián)系，幫助判斷影響程度。

3.1.2 事理層次

事理層次對情報素材的分析結(jié)果結(jié)果可以作為物理層結(jié)果的深化，同時也為人理層分析結(jié)果提供支撐。層次分析法是對定性分析進(jìn)行定量分析的一種系統(tǒng)性方法，對復(fù)雜問題按因素進(jìn)行劃分，并依據(jù)不同因素間的關(guān)聯(lián)程度將因素聚類劃分層次，逐個進(jìn)行分析。APT情報分析中可以將目標(biāo)進(jìn)行層次劃分，依據(jù)目標(biāo)大小和關(guān)聯(lián)程度可以分析出詳細(xì)的目標(biāo)組織結(jié)構(gòu)。例如2011年的夜龍攻擊，攻擊者通過被黑的WEB服務(wù)器攻擊內(nèi)網(wǎng)服務(wù)器和開發(fā)人員計算機(jī)，竊取被感染主機(jī)的機(jī)密文件，分析得出了所有會議記錄及詳細(xì)的組織結(jié)構(gòu)圖。

模型模擬法是一種仿真方法，它可構(gòu)造模型，通過直觀、可信、形象化的方式將結(jié)果呈現(xiàn)出來。在APT情報分析中，模型模擬法可將情報素材以最簡單的方式構(gòu)造出來，對可能影響結(jié)果的每一環(huán)節(jié)進(jìn)行模擬，分析可能結(jié)果，利于情報人員掌握情報素材。

3.1.3 人理層次

一切分析方法最終都離不開人作為其關(guān)鍵的因素。在人理層次中，APT情報素材的分析可以劃分為邏輯法和經(jīng)驗法。邏輯法中又包含了傳統(tǒng)的歸納與演繹方法、比較與分類法等。而經(jīng)驗法中，此方法的運用對情報分析人員的要求最高，不僅需要其在判斷結(jié)果的過程中掌握大量的APT情報素材，同時還需要對素材的各方面問題有科學(xué)、準(zhǔn)確、獨到的認(rèn)識，結(jié)合情報人員的自身特點，運用創(chuàng)造性的思維方式，分析情報。如在2011年的暗鼠攻擊中，分析人員發(fā)現(xiàn)攻擊者通過長時間收集目標(biāo)信息，掌握大量APT情報素材，通過特定版本的Excel漏洞植入木馬程序。由此可見受害者的軟件版本信息已經(jīng)暴露在攻擊者面前，后者制作具有高針對性的木馬程序，另受害者猝不及防，獲取情報素材。

3.2 APT情報處理

APT情報素材的主流素材格式繁多，數(shù)據(jù)量大，時效要求強(qiáng)。對這些信息的處理也需要借助現(xiàn)代化的處理手段，如計算機(jī)輔助處理系統(tǒng)，來提高對情報素材處理的準(zhǔn)確度與效率[3]。對APT情報的處理可以依據(jù)其攻擊目標(biāo)的性質(zhì)、獲取情報的方向、輔助決策的內(nèi)容性質(zhì)等方面進(jìn)行分類、組織、整理。與此同時還需要再次對情報素材進(jìn)行分析，剔除無效信息，并為無效信息建立特征庫，為后續(xù)APT情報分析提供數(shù)據(jù)參考。

3.3 APT情報傳遞

APT情報傳遞具有選擇性強(qiáng)、目的性強(qiáng)、時效性強(qiáng)的特點，傳遞過程中需要保留源情報素材的完整性、真實性。同時，由于數(shù)據(jù)量大，這其中難免會產(chǎn)生一些高價值情報與普通價值情報。高價值情報要優(yōu)先傳遞，降低普通價值情報所占用的遞送資源。在APT情報挖掘過程中，有的過程是單向傳遞，如處理到存儲，而有的過程采用雙向傳遞，如分析與處理環(huán)節(jié)。

3.4 APT情報存儲

對于處理完成的APT情報素材，需要進(jìn)行存儲，歸入情報庫。存儲過程采用數(shù)據(jù)倉庫技術(shù)，對不同數(shù)據(jù)通過設(shè)立一個或多個標(biāo)簽來分類存儲管理不同格式的數(shù)據(jù)。通常可以采用目標(biāo)、類型、任務(wù)、方向、時間特征來建立數(shù)據(jù)倉庫，運用統(tǒng)一的數(shù)據(jù)格式方便檢索。對APT情報的存儲主要有兩個作用，一是為情報咨詢提供服務(wù)，二是檢索情報素材，為攻擊發(fā)起者制定方案提供數(shù)據(jù)支持。

3.5 服務(wù)

APT情報挖掘的最終目的是發(fā)揮其情報價值，為情報組織甚至是高層組織提供情報參考。APT情報挖掘針對高價值目標(biāo)，對目標(biāo)的性質(zhì)、真實身份等特別關(guān)注。這類信息對于掌握目標(biāo)規(guī)律，拓展情報業(yè)務(wù)有著巨大幫助。另外，APT情報服務(wù)還可以用作情報機(jī)構(gòu)制定進(jìn)一步的攻擊計劃，如挖掘目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，詳細(xì)分析網(wǎng)絡(luò)各節(jié)點情報價值，為下一次攻擊獲取情報提供數(shù)據(jù)支持。

圖2 APT情報處理

4 結(jié)語

APT情報挖掘是基于APT攻擊獲取情報素材，對情報素材進(jìn)行分析、處理、存儲，挖掘情報價值，提供情報服務(wù)的過程。未來的APT攻擊則會更加側(cè)重于攻擊高價值服務(wù)器、與核心節(jié)點，移動終端也會成為攻擊活動新的目標(biāo)?；贏PT攻擊的情報挖掘?qū)⒏訌V泛，斗爭將更加激烈，而且會成為國家層面情報機(jī)構(gòu)相互角逐的戰(zhàn)場。本文對APT情報素材的挖掘過程做了比較系統(tǒng)的闡述，但在描述過程中，存在表述不全面、分析不夠系統(tǒng)徹底的缺點。相關(guān)的研究還有待進(jìn)一步深入。

[1]陳劍鋒.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密，2012[7]：24-27.

[2]MANDIANT.Mandiant——APT1[R].MANDIANT，2013.

[3]閆晉中.軍事情報學(xué)[M].北京：時事出版社，2003.