高偉

摘要：APT（Advanced Persistent Threat）高級(jí)持續(xù)性威脅，并不是一種跟傳統(tǒng)單一的攻擊方式一樣的的攻擊行為，如果從整體的攻擊手段和意圖上來(lái)解釋，APT威脅是一種結(jié)合了各種IT資產(chǎn)漏洞、社會(huì)工程學(xué)并且集合了各種威脅利用的攻擊手段的多種行為集合。

關(guān)鍵詞：APT；可持續(xù)性威脅；0day；黑白名單

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）07-0033-03

Abstract：APT（Advanced Persistent Threat）， Is not a means of attack is the same as the traditional single attack behavior， if the overall intent and attack means of explanation， APT threat is a combination of a variety of IT assets vulnerability， and set the various threats to use social engineering attack means collection of a variety of behaviors.

Key words：APT；Persistent Threat；0day；blacklist and whitelist

1 前言

隨著互聯(lián)網(wǎng)的高速發(fā)展和普及，使各個(gè)企業(yè)的業(yè)務(wù)系統(tǒng)的信息的獲取渠道比以往任何時(shí)候都更加便捷，而同時(shí)也導(dǎo)致企業(yè)信息系統(tǒng)受到各種網(wǎng)絡(luò)攻擊、病毒感染、釣魚(yú)欺騙等攻擊行為的幅度大幅增加。雖然很多企業(yè)都部署了常見(jiàn)的各種信息安全設(shè)備，但據(jù)可靠數(shù)據(jù)統(tǒng)計(jì)，仍有66%的企業(yè)發(fā)生過(guò)惡意病毒感染、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等事件。在企業(yè)信息化安全的歷程中面臨的安全問(wèn)題主要有這么幾個(gè)方面：（1）傳統(tǒng)的信息安全技術(shù)和設(shè)備是基于“黑名單”技術(shù)，這種技術(shù)方案對(duì)新型病毒木馬和海量攻擊響應(yīng)過(guò)于滯后；（2）利用word、pdf等文檔的溢出漏洞的社會(huì)工程學(xué)攻擊很難過(guò)濾防范；（3）未知的惡意代碼和0day漏洞；

而目前這些面臨的安全問(wèn)題都集中體現(xiàn)在APT威脅這個(gè)新型概念上。關(guān)于APT威脅和APT威脅里面的各種行為的防御已經(jīng)到了刻不容緩的地步。

2 APT防御概述和設(shè)計(jì)

2.1 APT簡(jiǎn)介

APT（Advanced Persistent Threat）高級(jí)持續(xù)性威脅，從整體的攻擊手段和意圖上來(lái)解釋，APT威脅是一種結(jié)合了各種IT資產(chǎn)漏洞、社會(huì)工程學(xué)并且集合了各種威脅利用的攻擊手段的多種行為集合。分析APT威脅的整個(gè)過(guò)程可以發(fā)現(xiàn)：

1） APT威脅的發(fā)起攻擊者在選擇攻擊的突破口時(shí)，都是想盡辦法得以被攻擊者內(nèi)部網(wǎng)絡(luò)中的某個(gè)終端上運(yùn)行惡意代碼，比如采用惡意網(wǎng)頁(yè)誘惑點(diǎn)擊、郵件釣魚(yú)燈方式。這種類型的惡意代碼往往帶有非常強(qiáng)的偽裝性、欺騙性，尤其一些惡意代碼會(huì)采用0 Day漏洞時(shí)，則很難在第一時(shí)間通過(guò)技術(shù)手段和產(chǎn)品來(lái)發(fā)現(xiàn)這種0 Day攻擊。然后APT威脅的發(fā)起攻擊者在獲取一定的內(nèi)部終端控制權(quán)限后，通過(guò)控制的終端進(jìn)行遠(yuǎn)程控制，繼續(xù)內(nèi)網(wǎng)的橫向滲透，并最終將所需要的信息竊取。

2） APT威脅的隱蔽能力強(qiáng)，為了躲避傳統(tǒng)的安全設(shè)備的檢測(cè)，它更加注重動(dòng)態(tài)行為、靜態(tài)文件的隱蔽性。例如通過(guò)加密通道、隱蔽手段來(lái)避免它的網(wǎng)絡(luò)行為被檢測(cè)到，或通過(guò)偽造合法證書(shū)簽名的方式避免惡意代碼文件本身被惡意軟件檢測(cè)系統(tǒng)所識(shí)別，這樣就給傳統(tǒng)基于簽名的安全檢測(cè)帶來(lái)很大困難。

3） 一次完整的APT攻擊的持續(xù)時(shí)間長(zhǎng)，不像傳統(tǒng)的網(wǎng)絡(luò)攻擊存在時(shí)間短的情況，它從最初的信息搜集，到潛伏，到信息竊取并外傳往往要經(jīng)歷幾個(gè)月或者更長(zhǎng)的時(shí)間，而傳統(tǒng)的檢測(cè)方式只是基于較短的時(shí)間點(diǎn)的實(shí)時(shí)檢測(cè)，很難對(duì)攻擊時(shí)間跨度如此長(zhǎng)的行為進(jìn)行有效跟蹤和分析。

綜合上面的APT威脅所體現(xiàn)出的特點(diǎn)，使得以特征檢測(cè)、實(shí)時(shí)檢測(cè)為主要功能的傳統(tǒng)防御方式很難起到防范作用。在當(dāng)前APT威脅盛行的時(shí)代，就需要設(shè)計(jì)一套行之有效且針對(duì)APT特征的防御系統(tǒng)從而保障信息化的安全。

2.2 APT防御系統(tǒng)設(shè)計(jì)

完善的APT防御系統(tǒng)產(chǎn)品必須通過(guò)智能集成的海量黑白名單庫(kù)、規(guī)?；膭?dòng)態(tài)鑒定虛擬機(jī)沙盒等核心功能，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量、傳輸文件中所包含的惡意行為代碼進(jìn)行判定，并形成自動(dòng)化的安全分析報(bào)告。APT防御系統(tǒng)通過(guò)與防火墻或UTM進(jìn)行聯(lián)動(dòng)，從而實(shí)現(xiàn)邊界安全、控制通道安全以及0day安全的一體化安全防護(hù)，從而為用戶提供更加全面的安全保障。

首先，在邊界安全防護(hù)層面的APT攻擊中，主要體現(xiàn)在針對(duì)已知漏洞的惡意代碼攻擊。ATP防御系統(tǒng)利用各種特征庫(kù)（入侵防御特征庫(kù)、病毒特征庫(kù)、URL特征庫(kù)）的有效融合，提供涵蓋OSI 2-7層的攻擊防護(hù)，有效的實(shí)現(xiàn)對(duì)惡意代碼攻擊漏洞的分析，阻止已知的惡意代碼漏洞攻擊的惡意流量，從而有效的防范APT攻擊過(guò)程中已知漏洞的惡意代碼攻擊。

其次，針對(duì)零日（0 Day）漏洞的惡意代碼或者是未知的惡意代碼，通過(guò)將安全網(wǎng)關(guān)產(chǎn)品（防火墻或UTM）和APT防御系統(tǒng)進(jìn)行聯(lián)動(dòng)，從而實(shí)現(xiàn)對(duì)未知威脅行為的防護(hù)。一套完善的APT防御系統(tǒng)必須提供各種虛擬環(huán)境模擬能力，即沙盒，通過(guò)為不可信的代碼和程序提供虛擬化的內(nèi)存、文件系統(tǒng)、網(wǎng)絡(luò)等資源，從而實(shí)現(xiàn)隔離運(yùn)行未知或可疑代碼，限制不可信代碼或非法訪問(wèn)在運(yùn)行時(shí)的訪問(wèn)權(quán)限。

同時(shí)APT防御系統(tǒng)通過(guò)與安全網(wǎng)關(guān)產(chǎn)品（防火墻或UTM）進(jìn)行聯(lián)動(dòng)，將APT沙盒模擬系統(tǒng)中分析到的各種動(dòng)態(tài)、靜態(tài)的惡意特征分析結(jié)果，提交給防火墻或UTM，防火墻或UTM根據(jù)提交的結(jié)果將自身的特征庫(kù)進(jìn)行動(dòng)態(tài)更新，從而實(shí)現(xiàn)對(duì)APT威脅的主動(dòng)防御。

2.3 APT防御系統(tǒng)的特征

APT防御系統(tǒng)的特征必須具備以下特征功能才可以稱得上為一個(gè)設(shè)計(jì)良好的系統(tǒng)，這些特征包括：海量的黑白名單特征庫(kù)，文件動(dòng)態(tài)行為檢測(cè)的虛擬環(huán)境，未知惡意代碼檢測(cè)的虛擬環(huán)境，0day漏洞檢測(cè)能力，深度的靜、動(dòng)態(tài)檢測(cè)能力的虛擬環(huán)境。這些特征具體細(xì)節(jié)如下：

2.3.1 海量黑白名單特征庫(kù)

1）內(nèi)置各種世面主流的黑白名單特征庫(kù)。

2）支持對(duì)EXE可執(zhí)行文件、DLL動(dòng)態(tài)鏈接庫(kù)文件、SYS驅(qū)動(dòng)程序文件等檢測(cè)。

3）支持對(duì)PDF文檔、XLS文檔、DOC文檔、RTF文檔、Flash、HTML等客戶端文件的檢測(cè)。

4）支持對(duì)壓縮包的解壓和檢測(cè)，包括主流的壓縮格式：ZIP、RAR、TAR。

2.3.2 文件動(dòng)態(tài)行為檢測(cè)的虛擬系統(tǒng)

1）支持Windows系統(tǒng)中EXE、DLL的分析，對(duì)各種可執(zhí)行文件進(jìn)行深度的解析以及行為監(jiān)控；支持對(duì)Linux系統(tǒng)中的可疑文件進(jìn)行深度分析。

2）支持對(duì)靜態(tài)溢出文檔方面的解析和監(jiān)控，對(duì)包括xls、ppt、swf、PDF、MS word等常見(jiàn)格式的解析和監(jiān)控。

3）支持URL網(wǎng)頁(yè)訪問(wèn)瀏覽的分析監(jiān)控，可以對(duì)于具有惡意行為的網(wǎng)頁(yè)腳本進(jìn)行動(dòng)態(tài)監(jiān)控，可以發(fā)現(xiàn)利用基于主流瀏覽器的客戶端溢出攻擊的行為。

2.3.3 未知惡意代碼檢測(cè)虛擬環(huán)境

虛擬環(huán)境動(dòng)態(tài)檢測(cè)方式，不依賴于惡意代碼特征進(jìn)行檢測(cè)，對(duì)未知木馬病毒具有檢測(cè)能力，可以發(fā)現(xiàn)包括遠(yuǎn)程線程序、注冊(cè)表自啟動(dòng)位置 、注冊(cè)表敏感位置（劫持）、自刪除（主體進(jìn)程鏡像被刪除）、惡意URL訪問(wèn)（惡意的域名，放馬地址等）、惡意IP訪問(wèn)、終止殺軟進(jìn)程、映像劫持、釋放驅(qū)動(dòng)反主動(dòng)防御等各種惡意行為。由此判斷一個(gè)文件是否是惡意的，并將該文件相關(guān)聯(lián)的網(wǎng)址包括、來(lái)源和試圖連接的一些惡意網(wǎng)址呈現(xiàn)給用戶。

2.3.4 0dayy漏洞檢測(cè)虛擬環(huán)境

1）支持檢測(cè)已知和未知的漏洞。

2）對(duì)于特定漏洞可以給出相關(guān)的漏洞編號(hào)（例如CVE編號(hào)）。

3）對(duì)于漏洞同時(shí)支持靜態(tài)和動(dòng)態(tài)兩種方式進(jìn)行檢測(cè)。

2.3.5 深度的靜、動(dòng)態(tài)檢測(cè)能力

1）靜態(tài)檢測(cè)包括格式識(shí)別解析、堆噴射檢測(cè)、Shellcode發(fā)現(xiàn)、字符串信息提取 、漏洞檢測(cè)。

2）動(dòng)態(tài)監(jiān)控能力包括進(jìn)程操作、文件操作、注冊(cè)表操作、網(wǎng)絡(luò)數(shù)據(jù)URL動(dòng)態(tài)、網(wǎng)絡(luò)通信訪問(wèn)檢測(cè)主要采用ring3與Ring0驅(qū)動(dòng)相結(jié)合的方式，互相，形成立體監(jiān)控體系。

3）分析結(jié)果中包含以下行為：

a.進(jìn)程創(chuàng)建、終止

b.對(duì)其他進(jìn)程的數(shù)據(jù)訪問(wèn)（包括但不限于內(nèi)存）

c.網(wǎng)絡(luò)連接行為（包括IP、域名、端口訪問(wèn)）

d.文件訪問(wèn)行為（包括不限于：創(chuàng)建、讀取、修改、隱藏）

e.分析目標(biāo)的父子進(jìn)程關(guān)系

f.自我刪除

g.疑似溢出漏洞行為

h.能夠提供程序運(yùn)行時(shí)截圖

3 APT防御系統(tǒng)的價(jià)值

綜上所述，一套良好的APT防御系統(tǒng)的設(shè)計(jì)后，它可疑面向應(yīng)用層設(shè)計(jì)，能精確識(shí)別用戶、應(yīng)用和內(nèi)容、具備完整的安全防護(hù)能力，為APT防護(hù)提供從主機(jī)層、網(wǎng)絡(luò)層到應(yīng)用層的L2-L7層一體化安全防護(hù)。

參考文獻(xiàn)：

[1] （美）肖恩伯德莫，等.請(qǐng)君入甕-APT攻防指南之兵不厭詐[M].北京：人民郵電出版社，2014.