摘 要：APT高級(jí)持續(xù)性威脅（Advanced Persistent Threat），是一種新型的攻擊手段，威脅著網(wǎng)絡(luò)信息安全。本文通過(guò)APT攻擊典型案例介紹了APT攻擊的基本概念、攻擊過(guò)程、攻擊原理及攻擊方法等，逐步找到防范策略。

關(guān)鍵詞：APT攻擊；網(wǎng)絡(luò)安全；入侵檢測(cè)

中圖分類號(hào)：TP393.08

1 概述

1.1 什么是APT

APT（Advanced Persistent Threat）高級(jí)持續(xù)性威脅這種新攻擊方式在2010年Google承認(rèn)遭受嚴(yán)重黑客攻擊之后逐漸被大家熟知，并且已經(jīng)造成了嚴(yán)重破壞，成為近幾年來(lái)網(wǎng)絡(luò)安全最為熱門的話題，這種攻擊行為具有極強(qiáng)的隱蔽性，攻擊對(duì)象通常是政府、軍隊(duì)、金融、能源、運(yùn)營(yíng)商、大企業(yè)網(wǎng)絡(luò)。

近幾年世界各地發(fā)生了多起名噪一時(shí)的APT攻擊事件，主要有：2010年1月，極光行動(dòng)（Operation Aurora）攻擊GMail。2010年7月，震網(wǎng)（Stuxnet）攻擊伊朗布什爾核電站。2011年5月，美國(guó)軍火大廠洛克希德馬?。↙ockheed Martin）的被入侵。2011年6月，CIA被入侵。2011年11月，日本總務(wù)省發(fā)現(xiàn)計(jì)算機(jī)遭木馬入侵已三個(gè)月。2012年3月，央視3.15晚會(huì)曝光招商銀行、中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行員工以一份十元到幾十元的價(jià)格大肆兜售個(gè)人征信報(bào)告、銀行卡信息，導(dǎo)致部分用戶銀行卡賬號(hào)被盜。

APT攻擊與普通攻擊兩者并無(wú)本質(zhì)的區(qū)別，都是網(wǎng)絡(luò)攻擊行為，但前者相對(duì)于后者主要體現(xiàn)在攻擊三要素就是“APT”，但不是“Advanced Persistent Threat”而是“Advanced Persistent Targeted”，即針對(duì)性、高級(jí)性、持續(xù)性攻。

A：攻擊手段高級(jí)，由于攻擊過(guò)程的高難度，決定了攻擊手段必須高級(jí)，主要體現(xiàn)在人力、物力及財(cái)力的大量投入和高級(jí)技術(shù)的大量運(yùn)用。

P：攻擊過(guò)程時(shí)間長(zhǎng)，由于攻擊過(guò)程的高難度性決定了要尋找機(jī)會(huì)進(jìn)行縱向突破攻擊目標(biāo)網(wǎng)絡(luò)，再進(jìn)行橫向摸索滲透，為了避免暴露需隱藏在目標(biāo)網(wǎng)絡(luò)正常行為中，整個(gè)過(guò)程需要經(jīng)歷數(shù)月甚至數(shù)年。

T：攻擊目標(biāo)、目的明確，攻擊目標(biāo)通常都具有深厚背景，包括政府、軍隊(duì)、金融、能源、運(yùn)營(yíng)商、大企業(yè)等組織，攻擊目的通常都是竊取、控制、破壞攻擊目標(biāo)所掌握的重要資源。

1.2 APT攻擊典型案例

極光行動(dòng)（2009-2010）。針對(duì)GOOGLE等三十多個(gè)高科技公司的極光攻擊。攻擊者通過(guò)FACEBOOK上的好友分析，鎖定了GOOGLE公司的一個(gè)員工和他的一個(gè)喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的電腦，然后偽造了一個(gè)照片服務(wù)器，上面放置了IE的0DAY攻擊代碼，以電腦小白的身份給GOOGLE員工發(fā)送IM消息邀請(qǐng)他來(lái)看最新的照片，其實(shí)URL指向了這個(gè)IE 0DAY的頁(yè)面。GOOGLE的員工相信之后打開(kāi)了這個(gè)頁(yè)面然后中招，攻擊者利用GOOGLE這個(gè)員工的身份在內(nèi)網(wǎng)內(nèi)持續(xù)滲透，直到獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問(wèn)權(quán)限。竊取了MAIL系統(tǒng)中的敏感信息后，攻擊者通過(guò)合法加密信道將數(shù)據(jù)傳出。事后調(diào)查，不止是GOOGLE中招了，三十多家美國(guó)高科技公司都被這一APT攻擊搞定，甚至包括賽門鐵克這樣的安全廠商。

1.3 APT攻擊過(guò)程

（1）信息搜集。攻擊過(guò)程首先要了解攻擊目標(biāo)，主要包括目的組織的網(wǎng)絡(luò)系統(tǒng)和人員信息，主要途徑是現(xiàn)實(shí)生活世界和虛擬網(wǎng)絡(luò)世界。從目前所發(fā)現(xiàn)的APT攻擊手法來(lái)看，大多數(shù)APT攻擊都是從組織人員入手，搜集人員的信息，然后攻擊該人員電腦，從而進(jìn)入目標(biāo)組織網(wǎng)絡(luò)；（2）縱向攻擊突破。攻擊者在掌握了攻擊目標(biāo)的足夠信息之后，就開(kāi)始尋找機(jī)會(huì)進(jìn)入目標(biāo)組織網(wǎng)絡(luò)。攻擊的途徑包括外部（外部滲透攻擊或者外部誘騙攻擊）和內(nèi)部（間諜攻擊或物理擺渡攻擊）突破。攻擊方法包括：社會(huì)工程學(xué)方法、遠(yuǎn)程漏洞攻擊方法、物理擺渡攻擊及間諜攻擊等；（3）隱蔽信道構(gòu)建。攻擊者控制了電腦后，需要構(gòu)建某種隱蔽信道長(zhǎng)期與其保持聯(lián)系，發(fā)出攻擊指令及數(shù)據(jù)回傳。為了避免被發(fā)現(xiàn)，通常會(huì)采用合法網(wǎng)絡(luò)協(xié)議搭建隱蔽信道，包括HTTP、HTTPS、DNS、ICMP協(xié)議等；（4）橫向摸索滲透；首先攻入的人員電腦只是跳板，通過(guò)跳板進(jìn)行橫向滲透找到目標(biāo)的重要資源。（5）完成最終攻擊目的。通過(guò)長(zhǎng)期摸索滲透得到重要資源的控制權(quán)限后，就可以完成最終目的，包括操控、破壞、竊取資源。

2 APT攻擊防范四大策略

國(guó)內(nèi)外很多廠商都提出了自己的APT防范策略和解決方案，可以概括為四類：（1）主機(jī)文件保護(hù)類。多數(shù)APT攻擊行為都是以攻擊目標(biāo)內(nèi)部人員的主機(jī)為跳板，因此如果能夠確保終端的安全則可以有效防止APT攻擊。主要思路是監(jiān)控終端上應(yīng)用程序加載和執(zhí)行情況，采用白名單機(jī)制防止惡意代碼程序的加載和運(yùn)行；（2）惡意代碼檢測(cè)類。主要是通過(guò)對(duì)網(wǎng)絡(luò)出口處設(shè)置關(guān)卡，對(duì)所有通過(guò)的郵件、URL、共享文件等進(jìn)行掃描及分析，防止惡意、未知代碼進(jìn)入內(nèi)部網(wǎng)絡(luò)，最終阻止APT攻擊的縱向突破；（3）入侵檢測(cè)類。攻擊者需建立隱蔽信道用于長(zhǎng)期控制及橫向摸索滲透，通常利用HTTP、HTTPS、DNS、ICMP協(xié)議來(lái)實(shí)現(xiàn)，所以可以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)；（4）數(shù)據(jù)分析檢測(cè)類。數(shù)據(jù)分析檢測(cè)類重點(diǎn)在于事后分析。該類方案通過(guò)全面采集網(wǎng)絡(luò)設(shè)備的流量以及終端和服務(wù)器上的日志，在一旦發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，對(duì)這些日志數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，能夠還原整個(gè)APT攻擊過(guò)程。

3 思考

目前所推出的APT檢測(cè)防御方法都具有一定的局限性，主要表現(xiàn)為：很多APT攻擊檢測(cè)和防御方案都只能覆蓋到APT攻擊的某個(gè)階段，從而可能導(dǎo)致漏報(bào)。于是我思考出一種綜合的解決方案，包括三部分內(nèi)容，如下圖所示：

圖1

（1）安全網(wǎng)關(guān)部分。安全網(wǎng)關(guān)負(fù)責(zé)網(wǎng)絡(luò)行為數(shù)據(jù)采集、分析、控制。具體包括：入侵檢測(cè)：基于傳統(tǒng)的入侵檢測(cè)技術(shù)，對(duì)已知網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)；流量審計(jì)：基于傳統(tǒng)的FlOW技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)/出流量進(jìn)行審計(jì)；協(xié)議審計(jì)：對(duì)網(wǎng)絡(luò)傳輸中所使用的應(yīng)用協(xié)議進(jìn)行識(shí)別審計(jì)；深度分析：在協(xié)議審計(jì)的基礎(chǔ)上，對(duì)特定應(yīng)用協(xié)議進(jìn)行深度解析和分析；黑白名單：系統(tǒng)內(nèi)置域名、IP地址、URL、代碼樣本的黑名單和白名單庫(kù)，用于快速判斷網(wǎng)絡(luò)行為是否存在異常，當(dāng)遇到無(wú)法判斷的情況時(shí)則將提交給安全中心進(jìn)行深入分析；（2）安全中心部分。安全中心主要完成三個(gè)主要功能：流量及日志等數(shù)據(jù)的采集、存儲(chǔ)、集成分析；惡意代碼分析；知識(shí)庫(kù)的存儲(chǔ)與分享；（3）安全終端部分。安全終端主要實(shí)現(xiàn)對(duì)終端主機(jī)行為進(jìn)行監(jiān)控，具體包括：黑白名單；進(jìn)程監(jiān)控；網(wǎng)絡(luò)審計(jì)。

參考文獻(xiàn)：

[1]張帥.對(duì)APrr攻擊的檢測(cè)與防御[J].信息安全與技術(shù)，2011（09）：125-127.

[2]陳劍鋒，王強(qiáng)，伍淼.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密，2012（07）：16-18.

作者簡(jiǎn)介：孟憲全（1977.06-），男，河北人，工學(xué)學(xué)士，助理工程師，研究方向：網(wǎng)絡(luò)信息安全。

作者單位：遼寧省公安邊防總隊(duì)，沈陽(yáng) 110034