張濱，袁捷，喬喆，白雪

（中國(guó)移動(dòng)通信集團(tuán)信息安全管理與運(yùn)行中心，北京 100053）

1 概述

高級(jí)持續(xù)性威脅(APT)是以竊取核心資料，或者破壞網(wǎng)絡(luò)核心設(shè)施為目的，經(jīng)過(guò)長(zhǎng)期情況搜集、精準(zhǔn)策劃，針對(duì)特定目標(biāo)進(jìn)行有組織、有預(yù)謀，并具備高度隱蔽性的“網(wǎng)絡(luò)間諜”行為。

1.1 APT組織

近年來(lái)，維基解密、影子經(jīng)紀(jì)人等組織公開(kāi)了大量境外組織針對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施開(kāi)展APT攻擊的工具，與“棱鏡門(mén)”中斯諾登披露的美國(guó)國(guó)家安全局（NSA）文件內(nèi)容高度一致。有跡象表明方程式、摩柯草等境外APT組織已對(duì)我國(guó)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了試探性攻擊，其中：

方程式組織（Equation Group）是來(lái)自美國(guó)的APT組織，最早由卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)，被稱為最尖端的網(wǎng)絡(luò)攻擊組織之一，該組織在網(wǎng)絡(luò)攻擊中習(xí)慣使用強(qiáng)加密方法。

摩柯草組織（APT-C-09）是來(lái)自東南亞地區(qū)的APT組織，最早由Norman安全公司發(fā)現(xiàn)。該組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行以竊取敏感信息為主的網(wǎng)絡(luò)間諜活動(dòng)。

1.2 危害與影響

日益頻繁的APT等網(wǎng)絡(luò)攻擊，導(dǎo)致政企行業(yè)機(jī)密情報(bào)被竊取、工業(yè)系統(tǒng)被破壞、金融系統(tǒng)遭受經(jīng)濟(jì)損失，甚至對(duì)地緣政治產(chǎn)生影響。

2010年10月，震網(wǎng)攻擊，導(dǎo)致伊朗什爾核電站，3萬(wàn)個(gè)網(wǎng)絡(luò)終端感染，1/5的離心機(jī)報(bào)廢。2017年5月，勒索軟件攻擊，導(dǎo)致全球超過(guò)100個(gè)國(guó)家受到攻擊，其中英國(guó)NHS、西班牙Telefonica、中國(guó)政府部門(mén)等IT系統(tǒng)幾乎癱瘓，經(jīng)濟(jì)損失超過(guò)10億美元。

移動(dòng)運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)或重要客戶系統(tǒng)一旦被APT入侵，極有可能會(huì)被黑產(chǎn)組織長(zhǎng)期獲取有價(jià)值的敏感數(shù)據(jù)信息，甚至有可能導(dǎo)致網(wǎng)絡(luò)癱瘓的災(zāi)難局面。

2 APT攻擊原理

2.1 APT攻擊鏈

圖1 APT攻擊鏈

APT攻擊鏈如圖1所示，主要包括5個(gè)環(huán)節(jié)：信息采集、踩點(diǎn)駐留、權(quán)限提升、滲透擴(kuò)散、竊取破壞。信息采集環(huán)節(jié)中獲取的網(wǎng)絡(luò)環(huán)境、組織架構(gòu)、業(yè)務(wù)營(yíng)業(yè)等信息的復(fù)雜度決定當(dāng)前APT攻擊鏈的內(nèi)容和長(zhǎng)度。

一方面，APT組織常用的外部入侵手段包括魚(yú)叉郵件攻擊、水坑攻擊和中間人劫持攻擊等。

（1）魚(yú)叉郵件攻擊：是以郵件為投遞載體，通過(guò)郵件標(biāo)題、正文或附件攜帶惡意代碼實(shí)現(xiàn)攻擊的方式。魚(yú)叉郵件內(nèi)容包括嵌入木馬程序的惡意文檔、包含惡意程序的壓縮文件或者志向惡意釣魚(yú)網(wǎng)站的鏈接等。最新公布的微軟office 漏洞（CVE-2017-11826）就可被利用于魚(yú)叉郵件攻擊。

（2）水坑攻擊：是以尋找攻擊目標(biāo)的受信網(wǎng)站的弱點(diǎn)，將受信網(wǎng)站植入攻擊代碼實(shí)現(xiàn)攻擊的方式。如替換目標(biāo)網(wǎng)站的可信程序、插入惡意JS代碼、替換網(wǎng)站鏈接等。

（3）劫持攻擊：是通過(guò)劫持目標(biāo)的網(wǎng)絡(luò)流量數(shù)據(jù)，替換流量中的系統(tǒng)、應(yīng)用的升級(jí)包等，實(shí)現(xiàn)惡意代碼植入的攻擊方式。如可利用IP重定向技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)流量的劫持和修改。

另一方面，APT組織常用的內(nèi)部滲透手段有竊密攻擊、輪渡攻擊、隱秘通道等。

（1）竊密攻擊：是通過(guò)獲取瀏覽器、主機(jī)、服務(wù)器系統(tǒng)中存儲(chǔ)的或網(wǎng)絡(luò)通信數(shù)據(jù)中傳遞的明文或加密的賬戶口令敏感數(shù)據(jù)，實(shí)現(xiàn)權(quán)限提升的攻擊方式。如利用mimikatz工具直接抓取Windows明文密碼。

（2）輪渡攻擊：是利用軟盤(pán)、U盤(pán)、光盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)，傳遞控制控制指令，突破邏輯、物理隔離限制，建立控制通道的攻擊技術(shù)。著名的震網(wǎng)攻擊就是方程式組織采用迂回攻擊模式，通過(guò)感染個(gè)人家庭電腦，利用輪渡攻擊將震網(wǎng)病毒“帶入”與外界物理隔離的核電站計(jì)算機(jī)系統(tǒng)。

（3）隱蔽通道：是指利用進(jìn)程復(fù)用、端口復(fù)用等復(fù)用技術(shù)，或者利用仿冒登錄攻擊等方式，將攻擊行為隱藏在正常通信中的攻擊技術(shù)。如利用遠(yuǎn)程進(jìn)程調(diào)用技術(shù)將攻擊代碼注入到瀏覽器通信進(jìn)程當(dāng)中，規(guī)避網(wǎng)絡(luò)通信安全策略限制。

2.2 APT攻擊特性

APT攻擊相對(duì)傳統(tǒng)攻擊模式更具組織性、高級(jí)性、持續(xù)性、隱蔽性，主要體現(xiàn)以下幾方面。

2.2.1 精確攻擊

信息采集過(guò)程貫穿APT攻擊的全過(guò)程，對(duì)攻擊目標(biāo)的網(wǎng)絡(luò)環(huán)境、人員架構(gòu)、業(yè)務(wù)運(yùn)營(yíng)等信息進(jìn)行長(zhǎng)期全面的持續(xù)性收集，逐步挖掘攻擊所需的有價(jià)值的線索，如防火墻、安全網(wǎng)關(guān)、殺毒軟件、補(bǔ)丁升級(jí)等網(wǎng)絡(luò)安全防護(hù)軟、硬件部署情況；目標(biāo)對(duì)象存在的系統(tǒng)漏洞、應(yīng)用程序漏洞以及管理漏洞信息等。

在完備的信息采集基礎(chǔ)上，定制靈活多樣的攻擊預(yù)案，綜合利用多種技術(shù)手段實(shí)施精準(zhǔn)的踩點(diǎn)駐留、權(quán)限提升、滲透擴(kuò)散，如明確定位目標(biāo)人員辦公及私人郵箱，利用信任關(guān)系精準(zhǔn)投遞攻擊郵件。

2.2.2 無(wú)痕入侵

APT攻擊在權(quán)限提升、滲透擴(kuò)過(guò)程中多使用系統(tǒng)自帶標(biāo)準(zhǔn)工具實(shí)施攻擊操作，將攻擊行為隱藏在正常網(wǎng)絡(luò)操作中，如針對(duì)Windows操作系統(tǒng)使用系統(tǒng)自帶的PSTOOLS系列工具進(jìn)行網(wǎng)絡(luò)偵查。甚至將攻擊程序隱藏在內(nèi)存，使得受控主機(jī)中沒(méi)有實(shí)體文件。

APT組織積累了大量未公開(kāi)漏洞和通用設(shè)備和系統(tǒng)的后門(mén)，傳統(tǒng)的防火墻、入侵檢測(cè)等網(wǎng)絡(luò)安全防御設(shè)備很難發(fā)現(xiàn)APT的攻擊蹤跡。另外某些APT攻擊會(huì)使用私有協(xié)議、仿冒入侵、加密傳輸、多級(jí)跳板等方式規(guī)避常規(guī)的流量審計(jì)檢測(cè)，偽裝其入侵滲透行為的“合法性”。

2.2.3 潛伏滲透

APT攻擊潛伏滲透周期長(zhǎng)，危害影響范圍廣。通常在踩點(diǎn)駐留成功后，首先進(jìn)行備份和隱藏等自我保護(hù)措施，而并不急于進(jìn)入下一攻擊環(huán)節(jié)。持續(xù)偵查搜索可利用的攻擊方法和路徑，迂回突破物理、邏輯隔離網(wǎng)絡(luò)。APT攻擊通常最小化的進(jìn)行網(wǎng)絡(luò)攻擊行為操作，滲透操作的規(guī)律性、重復(fù)性很難捕獲。

3 APT檢測(cè)方法

APT攻擊風(fēng)險(xiǎn)檢測(cè)應(yīng)綜合審視整個(gè)APT攻擊鏈的全過(guò)程，考慮其精準(zhǔn)攻擊、無(wú)痕入侵、潛伏滲透等顯著特點(diǎn)，行之有效的APT檢測(cè)方法有安全智能分析、動(dòng)態(tài)威脅捕獲、模擬攻擊等，如圖2所示。

圖2 APT檢測(cè)方法

3.1 安全智能分析

安全智能分析包括對(duì)于安全日志、業(yè)務(wù)流程、漏洞更新、用戶和資產(chǎn)數(shù)據(jù)等，進(jìn)項(xiàng)全方位、多角度、立體化分析，深入關(guān)聯(lián)分析挖掘疑似的APT攻擊鏈。

（1）日志關(guān)聯(lián)分析：通過(guò)對(duì)整個(gè)網(wǎng)絡(luò)的流量日志、DNS解析日志、郵件日志、管理日志、訪問(wèn)日志、安全審計(jì)日志等全量日志進(jìn)行關(guān)聯(lián)分析，交叉比對(duì)日志中的相關(guān)環(huán)節(jié)，查找APT攻擊鏈的線索和蹤跡。海量日志分析的自動(dòng)化程度決定了安全智能分析的時(shí)效性。

（2）流程合規(guī)分析：通過(guò)檢查網(wǎng)絡(luò)管理流程、重要業(yè)務(wù)流程、人員操作流程的合規(guī)性，探測(cè)潛在的APT攻擊風(fēng)險(xiǎn)。如網(wǎng)絡(luò)系統(tǒng)及應(yīng)用漏洞補(bǔ)丁是否及時(shí)安裝，移動(dòng)介質(zhì)（U盤(pán)、光盤(pán)等）是否存在公私混用的情況，正常的業(yè)務(wù)流程是否存在被非法使用的情況等。

（3）訪問(wèn)控制檢測(cè)：針對(duì)網(wǎng)絡(luò)訪問(wèn)控制措施進(jìn)行安全審計(jì)，特別是關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備、重要業(yè)務(wù)系統(tǒng)訪問(wèn)策略，進(jìn)行安全符合性檢測(cè)分析。如對(duì)網(wǎng)絡(luò)安全區(qū)域的劃分進(jìn)行合理性分析，網(wǎng)絡(luò)用戶和訪問(wèn)資源間的組織管理方式進(jìn)行權(quán)限約束性測(cè)試。

3.2 動(dòng)態(tài)威脅捕獲

動(dòng)態(tài)威脅捕獲手段包括實(shí)時(shí)關(guān)聯(lián)異常行為監(jiān)測(cè)、沙箱動(dòng)態(tài)發(fā)現(xiàn)、惡意樣本定時(shí)檢測(cè)等。

（1）異常行為監(jiān)測(cè)：通過(guò)對(duì)網(wǎng)絡(luò)異常行為進(jìn)行連續(xù)監(jiān)測(cè)，捕獲惡意郵件及鏈接、周期性外聯(lián)通信、可疑域名解析、暴力破解、非法登陸等異常行為，對(duì)監(jiān)測(cè)到的異常行為進(jìn)行關(guān)聯(lián)分析，追查APT攻擊痕跡。

（2）沙箱動(dòng)態(tài)發(fā)現(xiàn)：通過(guò)仿真和虛擬化的方法，模擬跨平臺(tái)的運(yùn)行環(huán)境，檢測(cè)可疑軟件，根據(jù)可疑軟件真實(shí)運(yùn)行結(jié)果判定被測(cè)軟件是否存在攻擊性，可有效發(fā)現(xiàn)帶有自我保護(hù)機(jī)制（如自復(fù)制、自刪除等）的APT攻擊行為。

（3）樣本定時(shí)檢測(cè)：利用權(quán)威機(jī)構(gòu)共享的威脅情報(bào)庫(kù)，定時(shí)篩查可疑程序特征樣本、回連CC域名樣本，通信數(shù)據(jù)特征樣本等，通過(guò)篩查結(jié)果舉證APT攻擊行為。

3.3 脆弱性測(cè)試

通過(guò)網(wǎng)絡(luò)滲透測(cè)試，主動(dòng)探測(cè)潛在的APT攻擊路徑和攻擊支點(diǎn)。分別從網(wǎng)絡(luò)外部和內(nèi)部，對(duì)目標(biāo)網(wǎng)絡(luò)、系統(tǒng)、主機(jī)、應(yīng)用等資產(chǎn)的安全性作深入的探測(cè)，檢測(cè)系統(tǒng)對(duì)抗攻擊的能力，模擬已公開(kāi)的APT攻擊行為，主動(dòng)發(fā)現(xiàn)可能的攻擊環(huán)節(jié)和攻擊路徑。

4 APT控制措施建議

4.1 建立智能監(jiān)測(cè)防御體系

建議加強(qiáng)高級(jí)網(wǎng)絡(luò)信息安全威脅攻擊動(dòng)態(tài)防御體系建設(shè)，逐步實(shí)現(xiàn)高級(jí)持續(xù)性威脅主動(dòng)發(fā)現(xiàn)、動(dòng)態(tài)防御、智能治理的閉環(huán)管理。建立安全行業(yè)威脅情報(bào)共享機(jī)制，實(shí)時(shí)交換、更新威脅情報(bào)庫(kù)，提高APT攻擊風(fēng)險(xiǎn)發(fā)現(xiàn)治理實(shí)效。

4.2 優(yōu)化網(wǎng)絡(luò)安全架構(gòu)

建議優(yōu)化網(wǎng)絡(luò)IT架構(gòu)，合理劃分安全域，增強(qiáng)網(wǎng)絡(luò)物理、邏輯隔離措施，針對(duì)重要網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)施重點(diǎn)網(wǎng)絡(luò)安全防護(hù)。強(qiáng)化網(wǎng)絡(luò)訪問(wèn)限制，按照最小化原則，實(shí)施分層級(jí)多策略的網(wǎng)絡(luò)維護(hù)管理模式。同時(shí)，要及時(shí)安裝系統(tǒng)、應(yīng)用補(bǔ)丁，定時(shí)執(zhí)行網(wǎng)絡(luò)基線檢測(cè)。

4.3 加強(qiáng)人員安全培訓(xùn)

建議加強(qiáng)保密工作制度建設(shè)，強(qiáng)化從業(yè)人員安全培訓(xùn)，切實(shí)提高從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)，規(guī)范辦公作業(yè)流程。