陳 強

（新疆醫(yī)科大學(xué)網(wǎng)絡(luò)中心 新疆 830011）

0 引言

高級持續(xù)性威脅攻擊（Advanced Persistent Threat，APT），它以黑客攻擊、竊取核心資料為目的，針對目標客戶所發(fā)起的網(wǎng)絡(luò)攻擊和侵襲行為。APT具有非常強的隱蔽性，在業(yè)內(nèi)也稱這種攻擊為“惡意商業(yè)間諜威脅”。

APT不同于通常的網(wǎng)絡(luò)攻擊行為，常見的網(wǎng)絡(luò)攻擊屬于泛洪式的攻擊模式，比較有名的攻擊如DDOS（拒絕服務(wù)攻擊），能夠造成攻擊目標大面積癱瘓，影響的范圍比較廣。而APT攻擊具有非常明確的攻擊目標，針對特定對象進行長期、有計劃和組織性地竊取有價值的數(shù)據(jù)。

1 網(wǎng)絡(luò)攻擊概述

Internet自上個世紀產(chǎn)生并發(fā)展至今，已經(jīng)延伸到各行各業(yè)中，特別是21世紀，隨著虛擬化、數(shù)據(jù)中心、物聯(lián)網(wǎng)等技術(shù)從實驗室陸續(xù)商用、民用。不管是企業(yè)還是個人，都加快了改變數(shù)據(jù)固有屬性的步伐，從“本地化“到”網(wǎng)絡(luò)化“、“平臺化”、“共享化”。互聯(lián)網(wǎng)的發(fā)展在改善了企業(yè)和個人的方方面面的同時，也引入了讓人頭疼的問題，那就是“網(wǎng)絡(luò)攻擊”。它伴隨的網(wǎng)絡(luò)的發(fā)展而發(fā)展。

網(wǎng)絡(luò)攻擊（Network Attack）就是利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。主要分為主動攻擊和被動攻擊兩大類。

主動攻擊：包含攻擊者訪問所需要信息的故意行為；

被動攻擊：主要是收集信息而不進行訪問，數(shù)據(jù)的合法用戶對這種活動一點也不會察覺到，被動攻擊包括：

竊聽：包括鍵擊記錄、網(wǎng)絡(luò)監(jiān)聽、非法訪問數(shù)據(jù)、獲取密碼文件。

欺騙：包括獲取口令、惡意代碼、網(wǎng)絡(luò)欺騙。

拒絕服務(wù)：包括導(dǎo)致異常型、資源耗盡型、欺騙型。

數(shù)據(jù)驅(qū)動攻擊：包括緩沖區(qū)溢出、格式化字符串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。

2 網(wǎng)絡(luò)攻擊的發(fā)展

在網(wǎng)絡(luò)攻擊發(fā)展的歷史長河中，不得不提到兩個名詞，那就是“駭客”和“黑客”。

駭客就是利用現(xiàn)有的一些程序進入別人的計算機系統(tǒng)后發(fā)現(xiàn)安全漏洞，并且利用這些漏洞破壞你的網(wǎng)站，讓你出洋相；還有那些專門破譯軟件密碼的從而制作盜版軟件的人也是駭客的一種，可以說中國盜版如此嚴重也是駭客的“功勞”。駭客并沒有想象中可怕，很多人一提到他們就聯(lián)想到網(wǎng)絡(luò)犯罪，這完全是沒必要的。駭客們也只不過是為了炫耀自己的技術(shù)，大多數(shù)人并沒有惡意。他們未必具有很高的技術(shù)，但有老頑童周伯通的心理，老是喜歡跟你開玩笑，通常用一些簡單的攻擊手段去搞一搞BBS、聊天室之類的。

然而黑客的做法則與駭客有著本質(zhì)的區(qū)別，他們通常情況下會受到經(jīng)濟利益的驅(qū)使，利用自己掌握的電腦技術(shù)，入侵相關(guān)系統(tǒng)，竊取有價值的數(shù)據(jù)從而給自己帶來經(jīng)濟上或者其他方面的好處，他們不是一群技術(shù)的炫耀者，而是網(wǎng)絡(luò)世界里的“小偷”。

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)攻擊也經(jīng)歷這前所未有的發(fā)展，在過去，具有高超電腦技術(shù)的畢竟是少數(shù)，他們熱衷于電腦技術(shù)，去專研。通常情況下，要成功入侵目標系統(tǒng)需要經(jīng)過系統(tǒng)的分析過程，從踩點、信息收集、隱藏到最后成功實施入侵，需要經(jīng)過漫長和復(fù)雜的過程。而隨著互聯(lián)網(wǎng)的發(fā)展，給相關(guān)技術(shù)的傳播提供了廣闊的平臺，現(xiàn)在要實施一起入侵攻擊行為，對于入侵者的要求則遠遠的低于之前，現(xiàn)在只需要網(wǎng)絡(luò)、簡單的工具就可以完成一次入侵攻擊。

入侵技術(shù)的發(fā)展如圖1所示，紅線代表入侵者的水平。

圖1 入侵技術(shù)的發(fā)展圖

隨著現(xiàn)在入侵攻擊手段越來越隱蔽，以及攻擊成本的低廉，很多破壞者的入侵步驟越來越簡單，如圖2所示：

圖2 入侵步驟

Internet上的安全是相互依賴的，每個Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進步，一個攻擊者可以比較容易地利用分布式系統(tǒng)，對一個受害者發(fā)動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅將繼續(xù)增加。

網(wǎng)絡(luò)攻擊的發(fā)展趨勢主要體現(xiàn)在：攻擊工具越來越復(fù)雜、發(fā)現(xiàn)安全漏洞越來越快、防火墻滲透率越來越高、自動化和攻擊速度提高和對基礎(chǔ)設(shè)施威脅增大這幾個方面。

3 高級持續(xù)性威脅（APT）由來及威脅

自2010年Goog1e承認遭受嚴重黑客攻擊之后，APT高級持續(xù)性威脅便成為信息安全圈子人盡皆知的“時髦名詞”，當然對于像Goog1e、RSA、Comodo等深受其害的公司而言APT無疑是一場噩夢，噩夢的結(jié)果便是對現(xiàn)有安全防御體系的深入思考。

APT是指高級的持續(xù)性的滲透攻擊，是針對特定組織的多方位的攻擊；這種攻擊行為首先具有極強的隱蔽能力，通常是利用企業(yè)或機構(gòu)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來形成攻擊者所需的相關(guān)信息；其次APT攻擊具有很強的針對性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務(wù)流程和目標系統(tǒng)使用情況的精確信息，情報收集的過程更是社工藝術(shù)的完美展現(xiàn)；當然針對被攻擊環(huán)境的各類0day收集更是必不可少的環(huán)節(jié)。

在已經(jīng)發(fā)生的典型的APT攻擊中，攻擊者經(jīng)常會針對性的進行為期幾個月甚至更長時間的潛心準備，熟悉用戶網(wǎng)絡(luò)壞境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲位置與通信方式。當一切的準備就緒，攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉(zhuǎn)移。

對于APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰(zhàn)策略，法國人的整條防線便淪落成擺設(shè)，至于APT攻擊，任何疏忽大意都可能為信息系統(tǒng)帶來災(zāi)難性的破壞（如表1）。

表1 APT攻擊特點

不難看出APT攻擊更像一支配備了精良武器的特種部隊，這些尖端武器會讓用戶網(wǎng)絡(luò)環(huán)境中傳統(tǒng)的IPS/IDS、防火墻等安全網(wǎng)關(guān)失去應(yīng)有的防御能力。無論是0day或者精心構(gòu)造的惡意程序，傳統(tǒng)的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業(yè)界熱議的NGFW，利用CA證書自身的缺陷也可讓受信的應(yīng)用成為網(wǎng)絡(luò)入侵的短板。

一個完整的APT攻擊流程主要分為6個階段：

（1）情報收集階段

獲得有關(guān)目標的IT環(huán)境和組織機構(gòu)的戰(zhàn)略信息，31%的雇主會對員工在社交網(wǎng)站上發(fā)布攻擊機密數(shù)據(jù)的行為給予紀律處分。

入口點。通過電子郵件、即時消息、社交網(wǎng)絡(luò)或軟件漏洞進入目標網(wǎng)絡(luò)，87%的目標組織受到了URL的欺騙。

命令和控制通信。確信受攻擊的主機與 C&C服務(wù)器（控制服務(wù)器）之間保持鏈接通信，主要APT活動利用web端口與C&C服務(wù)器通信。

橫向移動。尋找將敏感信息存儲在目標網(wǎng)絡(luò)內(nèi)的重要主機，所用的技術(shù)包括“passing the hash”，該技術(shù)可將攻擊者的權(quán)限提升為管理員權(quán)限，從而獲得訪問關(guān)鍵目標的權(quán)限。

資產(chǎn)/數(shù)據(jù)發(fā)現(xiàn)。識別需要隔離的重要數(shù)據(jù)，以便將來達到數(shù)據(jù)隱蔽泄漏的目的。

數(shù)據(jù)隱蔽泄漏。將數(shù)據(jù)傳輸至威脅實施者控制的問題。

典型的APT攻擊，通常會通過如下途徑入侵到您的網(wǎng)絡(luò)當中：

①通過SQL注入等攻擊手段突破面向外網(wǎng)的Web Server；

②通過被入侵的Web Server做跳板，對內(nèi)網(wǎng)的其他服務(wù)器或桌面終端進行掃描，并為進一步入侵做準備；

③通過密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳號，并最終突破AD服務(wù)器或核心開發(fā)環(huán)境；

④被攻擊者的私人郵箱自動發(fā)送郵件副本給攻擊者；

⑤通過植入惡意軟件，如木馬、后門、Down1oader等惡意軟件，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）；

（2）通過高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點擊并入侵內(nèi)網(wǎng)終端。

APT目前已經(jīng)成為信息資產(chǎn)最大的威脅，很多企業(yè)在遠程傳輸數(shù)據(jù)或本地存儲數(shù)據(jù)的同時，為了確保數(shù)據(jù)的完整性和機密性，通常情況下會采用加密算法，使其數(shù)據(jù)不具備通用的可讀性，只有知道密鑰的訪問者才能正常的讀取相關(guān)數(shù)據(jù)。但是任何一種加密算法都是可以破解的，只要給入侵者時間和計算資源。隨著目前云計算的推出，高性能的計算資源放在云端，民眾可以方便的獲取，入侵者可以利用高性能的計算資源，處理更加復(fù)雜的加密算法，破解一套加密算法的時間將大大縮短。

APT攻擊目前已經(jīng)成為入侵者攻擊特定目標的重要手段，2009年底的“極光行動”，通過收集 goog1e員工在 Facebook、Twitter等社交網(wǎng)上發(fā)布的信息，利用動態(tài)DNS供應(yīng)商建立托管偽造照片網(wǎng)站的Web服務(wù)器，goog1e員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點擊，通過加載惡意代碼獲取goog1e員工訪問goog1e服務(wù)器的權(quán)限，進而獲取goog1e郵件服務(wù)器的權(quán)限，進而不斷獲取特定Gmai1賬戶的郵件內(nèi)容。最著名的應(yīng)屬于發(fā)生在2011年的RSA SecurID竊取攻擊，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認證憑據(jù)建立VPN網(wǎng)絡(luò)的公司受到攻擊，重要資料被竊取。最后導(dǎo)致RSA公司花費600萬美元來修復(fù)系統(tǒng)漏洞。

（3）APT防御初探

在實施一次APT攻擊時，攻擊者會花上幾個月甚至更長的時間對鎖定的“目標”網(wǎng)絡(luò)進行踩點，針對性地進行信息收集，目標網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，業(yè)務(wù)系統(tǒng)的弱點分析，業(yè)務(wù)狀況的梳理，相關(guān)員工信息的收集等等。當攻擊者收集到足夠的信息，就會對目標發(fā)起攻擊。在攻擊過程中，攻擊者會對目標網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)再一次進行深入的分析和研究，所以這種攻擊的成功率非常高。

（4）RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認證憑據(jù)建立VPN網(wǎng)絡(luò)的公司受到攻擊，重要資料被竊取。

（5）暗鼠行動

2011年8月，McAfee和Symantec公司發(fā)現(xiàn)并報告了暗鼠行動。該攻擊從2006年啟動，在長達數(shù)年的持續(xù)攻擊過程中，滲透并攻擊了全球多達72個公司和組織的網(wǎng)絡(luò)，包括美國政府、聯(lián)合國、紅十字會、武器制造商、能源公司、金融公司等等。

（6）極光行動

極光行動是2009年12月中旬可能源自中國的一場網(wǎng)絡(luò)攻擊，Goog1e在它的官方博客上披露了遭到該攻擊的時間。此外還有20多家公司也遭受了類似的攻擊。

APT攻擊自2011年全面爆發(fā)，石油、天然氣和防務(wù)公司已經(jīng)成為了這一復(fù)雜攻擊的目標，這些公司的行業(yè)秘密和機密合同談判等信息均遭到了竊取。對于一些關(guān)系到國民、經(jīng)濟等領(lǐng)域的公司，成為了APT攻擊的主要目標。

APT不是一種新的攻擊手法，因此無法通過阻止一次攻擊就讓問題消失。APT在前期收集情報的過程中，大量會采用社會工程學(xué)的手段，從外圍或與特定目標相關(guān)的人或事尋找突破口，再進入突破口的時候，同樣也會選擇不管緊要的機器先入侵，以此作為網(wǎng)絡(luò)攻擊的跳板，橫向擴展，如果企業(yè)中缺失對網(wǎng)絡(luò)環(huán)境中細微變化的審計及監(jiān)控措施，很容易會忽略網(wǎng)絡(luò)中細微的變化，“千里之堤，毀于蟻穴”。針對目標明確、及其隱蔽的APT攻擊模式，需要進行“內(nèi)外兼修”的方式，建立立體、全方位的防御體系，關(guān)注網(wǎng)絡(luò)環(huán)境發(fā)生的任何細微的變化。對于APT攻擊如何有效的防御？

（1）加強信息安全意識培訓(xùn)

針對企業(yè)的員工，經(jīng)常組織有關(guān)信息安全意識方面的培訓(xùn)，提升雇員在如何保護信息資產(chǎn)方面的能力，通過培訓(xùn)，可以有效杜絕使用社會工程學(xué)等方式的踩點攻擊，同時也能夠提升在遇到信息安全威脅后，員工的處理威脅的能力。

（2）健全信息安全防護系統(tǒng)

對于不同的重要級別的信息系統(tǒng)，定期進行信息安全風(fēng)險評估的測試，發(fā)現(xiàn)目前系統(tǒng)中可能存在的相關(guān)漏洞信息，進行系統(tǒng)補丁升級。加強網(wǎng)絡(luò)層面和應(yīng)用層面防護體系的建設(shè)，通過部署防火墻、防毒墻、IDS/IPS、審計類等安全設(shè)備，形成立體的防護體系。

（3）靜態(tài)檢測方式

從攻擊樣本中提取攻擊特征與功能特性，對攻擊樣本逆向分析；（4）動態(tài)檢測方式

模擬用戶環(huán)境，執(zhí)行APT代碼段，捕獲并記錄APT攻擊的所有行為；審計網(wǎng)絡(luò)中應(yīng)用程序的帶寬占用情況。發(fā)現(xiàn)攻擊后，進行APT攻擊溯源；

（5）產(chǎn)業(yè)鏈跟蹤

實時跟蹤分析網(wǎng)絡(luò)犯罪團伙的最新動向。多維度的安全防御體系，正如中醫(yī)理論中倡導(dǎo)的防患于未然思想，在威脅沒有發(fā)生前，為企業(yè)IT生產(chǎn)環(huán)境進行全面的安全體檢，充分掌握企業(yè)所面臨的安全風(fēng)險。

（6）建立信息安全管理體

俗話說“七分管理、三分技術(shù)”，技術(shù)上不能解決所有的問題，必須加強信息安全管理體系的搭建，規(guī)范信息系統(tǒng)在使用過程中的規(guī)則，從信息的創(chuàng)建、加工、傳輸、存儲、銷毀幾個方面規(guī)范操作行為，確保信息資產(chǎn)在可控的框架下服務(wù)。

4 總結(jié)

在2013年的全球RSA大會上，APT防御再次成為熱點議題。在APT防范領(lǐng)域，國內(nèi)外廠商也展出了最優(yōu)秀的APT解決方案，他們的防范策略和解決方案可以概括為四類：

（1）主機文件保護類

不管不管攻擊者通過何種渠道執(zhí)行攻擊文件，必須在員工的個人電腦上執(zhí)行。因此，能夠確保終端電腦的安全則可以有效防止APT攻擊。主要思路是采用白名單方法來控制個人主機上應(yīng)用程序的加載和執(zhí)行情況，從而防止惡意代碼在員工電腦上執(zhí)行。很多做終端安全的廠商就是從這個角度入手來制定APT攻擊防御方案，典型代表廠商包括國內(nèi)的金山網(wǎng)絡(luò)和國外的Bit9。

（2）大數(shù)據(jù)分析檢測APT類

該類APT攻擊檢測方案并不重點檢測APT攻擊中的某個步驟，而是通過搭建企業(yè)內(nèi)部的可信文件知識庫，全面收集重要終端和服務(wù)器上的文件信息，在發(fā)現(xiàn) APT攻擊的蛛絲馬跡后，通過全面分析海量數(shù)據(jù)，杜絕APT攻擊的發(fā)生，采用這類技術(shù)的典型廠商是RSA。

（3）惡意代碼檢測類

該類APT解決方案其實就是檢測APT攻擊過程中的惡意代碼傳播步驟，因為大多數(shù)APT攻擊都是采用惡意代碼來攻擊員工個人電腦以進入目標網(wǎng)絡(luò)，因此，惡意代碼的檢測至關(guān)重要。很多做惡意代碼檢測的安全廠商就是從惡意代碼檢測入手來制定 APT攻擊檢測和防御方案的，典型代表廠商包括FireEye。

（4）網(wǎng)絡(luò)入侵檢測類

通過網(wǎng)絡(luò)邊界處的入侵檢測系統(tǒng)來檢測 APT攻擊的命令和控制通道。雖然APT攻擊中的惡意代碼變種很多，但是，惡意代碼網(wǎng)絡(luò)通信的命令和控制通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測方法來檢測APT通信通道。典型代表廠商有飛塔。

APT攻擊是近年流行的殺傷力很大，并且很難防御的一種攻擊模式，是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性的進行的一系列攻擊行為的整個過程。主要就針對企業(yè)的商業(yè)機密信息和國家重要的基礎(chǔ)設(shè)施進行，包括能源、電力、金融、國防等關(guān)系到國計民生，或者是國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

對于這些單位而言，盡管已經(jīng)部署了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設(shè)備，也包括了將各種單一安全設(shè)備串聯(lián)起來的管理平臺，而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個階段。但是，這樣的防御體系仍然難以有效防止來自互聯(lián)網(wǎng)的入侵和攻擊，以及信息竊取，尤其是新型APT攻擊。

[1]基維百科.2013.

[2]國際信息安全學(xué)習(xí)聯(lián)盟.2013.

[3]綠盟科技技術(shù)內(nèi)刊.2014.