作者簡介：劉暢（1992-），男，碩士，助理工程師。研究方向為網(wǎng)絡(luò)信息安全。

DOI：10.19981/j.CN23-1581/G3.2024.21.002

摘" 要：隨著網(wǎng)絡(luò)在社會的應(yīng)用越來越廣泛和深入，信息安全的重要性也得到越來越多的關(guān)注，高級持續(xù)性威脅（Advanced Persistent Threat， APT）已成為高等級網(wǎng)絡(luò)安全威脅的主要組成部分，其相對傳統(tǒng)安全威脅具有隱蔽性強(qiáng)、時間跨度久、針對性強(qiáng)等特點(diǎn)，對傳統(tǒng)安全防御體系造成嚴(yán)重威脅。該文介紹歷史上一些典型的APT攻擊案例，梳理APT的攻擊特點(diǎn)和典型流程，最后探討現(xiàn)有的對抗APT比較有效的檢測方法。

關(guān)鍵詞：高級持續(xù)性威脅；社會工程學(xué)；惡意郵件；零日漏洞；攻擊檢測

中圖分類號：TP39" " "文獻(xiàn)標(biāo)志碼：A" " " " " 文章編號：2095-2945（2024）21-0008-04

Abstract： As the application of the Internet in society becomes more extensive and profound， the importance of information security has also received increasing attention. Advanced Persistent Threat （APT） has become a major component of high-level cybersecurity threats， which is characterized by strong concealment， long time span， and strong pertinence compared to traditional security threats， thus posing a serious threat to traditional security defense systems. This paper introduces some typical APT attack cases in history， summarizes the attack characteristics and typical processes， and finally reviews the existing effective detection methods against APT.

Keywords： Advanced Persistent Threat; social engineering; malicious email; zero-day vulnerability; attack detection

網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用給我們的社會帶來了極大的變革，但同時也帶來了信息安全方面的風(fēng)險，在網(wǎng)絡(luò)威脅中，高級持續(xù)性威脅（Advanced Persistent Threat，APT）已經(jīng)造成了嚴(yán)重危害，引起了學(xué)術(shù)界和企業(yè)界的關(guān)注，特別是在近十年來，隨著社交媒體應(yīng)用的興起，相關(guān)的社會工程學(xué)方法日益成為了針對性滲透策略突破口。作為一種新興的攻擊模式，APT具有持續(xù)時間長、針對性強(qiáng)、隱蔽性高等特點(diǎn)，因此被越來越多地、有組織地使用在國家、企業(yè)的信息系統(tǒng)上。

自2006年起，APT的概念被正式提出，此后由于APT攻擊日益增多，國際著名黑客大會和國內(nèi)安全大會相繼舉辦APT專題研討會或論壇[1]。與此同時，安全廠商也開始推出APT解決方案，國內(nèi)的就有360公司的天眼未知威脅感知系統(tǒng)等。

APT的概念提出后，學(xué)界一直沒有給APT一個精確性的定義，各研究機(jī)構(gòu)和學(xué)者分別給出了自己的描述和理解，這些描述基本上都是大同小異的，總的來說，APT攻擊是某組織或團(tuán)體以高水平的技術(shù)和豐富的資源為基礎(chǔ)，使用各種攻擊方式對特定目標(biāo)進(jìn)行長時間、隱蔽性的網(wǎng)絡(luò)攻擊，目的是獲取目標(biāo)的內(nèi)部關(guān)鍵信息或破壞關(guān)鍵設(shè)施以阻礙目標(biāo)重要目標(biāo)的任務(wù)實施。

1" APT攻擊的典型流程

APT攻擊一般具有比較明顯的商業(yè)或政治目的，其目標(biāo)也經(jīng)過精心選取而不是大規(guī)模攻擊。這種攻擊方式非常注重隱蔽性，追求每一步達(dá)成一個目標(biāo)而不是做很多無用的事情來打草驚蛇。

1.1" 典型APT攻擊案例簡析

對世界各國的APT攻擊時有發(fā)生，例如2009年美國國防部對中國長城網(wǎng)進(jìn)行了后門植入和情報竊??；2010的“震網(wǎng)”病毒攻擊了伊朗的核設(shè)施計算機(jī)系統(tǒng)，成功干擾了伊朗核計劃；2011年的“夜龍行動”成功竊取到了全球主要能源公司的機(jī)密文檔；2012年最早發(fā)現(xiàn)于伊朗能源部門電腦的“火焰”威脅了包括伊朗在內(nèi)多個中東國家能源相關(guān)的大量機(jī)密信息。從以上事例可以看出，APT攻擊無論是對企業(yè)還是對政府等都造成了不可忽視的威脅，有必要對這類攻擊案例進(jìn)行解析。

1.1.1" 極光攻擊

極光攻擊（Operation Aurora）[2]是針對Google等20多家大型高科技企業(yè)的APT攻擊。攻擊者首先通過社會工程學(xué)，將目標(biāo)鎖定在Google公司的一個員工以及他的一個好友上，通過對Facebook上的公開資料進(jìn)行分析，該員工好友有一個攝影的愛好，而且喜歡將攝影得到的照片進(jìn)行分享。接著攻擊者入侵并控制了這個好友的計算機(jī)，搭建了一個部署有攻擊IE代碼的假照片服務(wù)器。然后，攻擊者使用被控制的好友賬號給該Google員工發(fā)消息請他來欣賞拍攝的最新照片，但消息中附帶的URL卻指向的是帶IE攻擊的Web頁面，一旦該員工點(diǎn)擊了這個惡意URL，他的計算機(jī)就被攻擊者控制，然后攻擊者利用這個員工的內(nèi)網(wǎng)權(quán)限在Google公司的內(nèi)網(wǎng)中持續(xù)滲透，最終成功獲取了GMail系統(tǒng)中很多敏感用戶的訪問權(quán)限，并竊取了GMail系統(tǒng)中的機(jī)密信息，最后使用加密信道將數(shù)據(jù)傳遞出去。經(jīng)過調(diào)查，還有20多家美國高科技公司都遭到了此類方法的攻擊，甚至包括賽門鐵克這樣的提供網(wǎng)絡(luò)安全產(chǎn)品的開發(fā)商。

1.1.2" 震網(wǎng)攻擊

震網(wǎng)攻擊（Stuxnet）[3]是針對伊朗核設(shè)施的APT攻擊。伊朗核電站內(nèi)部網(wǎng)絡(luò)與外界物理隔離，因此釣魚郵件之類的攻擊無法生效，為了順利達(dá)成攻擊，攻擊者首先利用社會工程學(xué)收集了核電站一些工作人員及其家庭成員的信息，對這些家庭成員的個人電腦進(jìn)行攻擊，成功控制了這些家庭成員的主機(jī)。然后，攻擊者利用了4個Windows的零日漏洞，通過擺渡攻擊方式借助USB移動介質(zhì)成功滲透進(jìn)入物理隔絕的伊朗核電站內(nèi)網(wǎng)。最后攻擊者利用3個西門子工業(yè)系統(tǒng)的零日漏洞成功控制了離心機(jī)的控制系統(tǒng)，使其運(yùn)轉(zhuǎn)參數(shù)改變，但在監(jiān)視器上顯示其運(yùn)行狀態(tài)一切正常。

1.2" 典型APT攻擊案例簡析

通過對以上等典型案例的分析，可以將APT的攻擊流程分為信息收集、定向入侵、遠(yuǎn)程操控、橫向滲透、數(shù)據(jù)挖掘、資料竊取/系統(tǒng)破壞6個階段。

6階段劃分是比較細(xì)的劃分，現(xiàn)在也有研究者提出準(zhǔn)備階段、發(fā)動攻擊階段、潛伏階段、數(shù)據(jù)傳回階段4階段的劃分[4]。本文仍然按照6階段進(jìn)行介紹。

第一階段，信息收集。一方面針對目標(biāo)系統(tǒng)的網(wǎng)絡(luò)環(huán)境信息，包括網(wǎng)絡(luò)結(jié)構(gòu)、防護(hù)體系、業(yè)務(wù)系統(tǒng)和應(yīng)用程序版本等，尋找目標(biāo)所使用的可能存在漏洞的軟件和基礎(chǔ)架構(gòu)。另一方面使用爬蟲和大數(shù)據(jù)等手段基于社會工程學(xué)挖掘目標(biāo)機(jī)構(gòu)的人員相關(guān)信息，這些手段使得攻擊者可以從公開數(shù)據(jù)中提取出目標(biāo)組織的機(jī)密信息[5]?；谶@些信息，攻擊者就可以針對性地制定詳細(xì)的攻擊計劃并開發(fā)對應(yīng)的攻擊工具。

第二階段，定向入侵。攻擊者通過釣魚電子郵件、遠(yuǎn)程SQL注入等其他手段來執(zhí)行零日漏洞攻擊或利用Word、Excel及Adobe Reader的已知漏洞進(jìn)行攻擊，圖1展示了APT攻擊者常用的攻擊方式[4]。

從圖1可以得到APT攻擊者主要使用的手段：通過電子郵件鏈接或附件進(jìn)行魚叉式釣魚攻擊、水坑攻擊等。

附帶鏈接的釣魚郵件攻擊通常是通過電子郵件中的鏈接引誘用戶向偽造網(wǎng)站發(fā)送密碼或點(diǎn)擊惡意鏈接來實現(xiàn)攻擊目的。攻擊者通常以管理員身份，發(fā)送密碼維護(hù)、系統(tǒng)升級、通知公告等郵件，要求用戶發(fā)送密碼或點(diǎn)擊文本鏈接進(jìn)行身份驗證，或者誘騙用戶點(diǎn)擊指向惡意頁面的鏈接。攜帶附件的釣魚郵件攻擊是通過精心設(shè)計的電子郵件主題和電子郵件正文，通過綜合欺騙、誘惑和其他方式誘使用戶點(diǎn)擊電子郵件附件，從而下載并運(yùn)行惡意代碼。從公開的APT案例分析中，我們還發(fā)現(xiàn)攻擊者通常使用的電子郵件附件是色情圖片、官方文件等。一旦用戶打開惡意附件，漏洞利用程序?qū)⒃诤笈_啟動，攻擊者可以遠(yuǎn)程控制目標(biāo)系統(tǒng)。

水坑攻擊常見的做法是分析攻擊目標(biāo)的上網(wǎng)活動規(guī)律，經(jīng)常訪問哪些網(wǎng)站，然后利用網(wǎng)站漏洞在其中植入攻擊代碼，用戶訪問該網(wǎng)站就被攻擊了。這種方式隱蔽性高，成功率較高，前提是網(wǎng)站要有漏洞可利用，以便攻擊者將惡意代碼部署于其上。當(dāng)用戶訪問被“加工”過的網(wǎng)站時，攻擊代碼會向客戶端植入惡意代碼或者直接竊取用戶信息，有些就是將用戶跳轉(zhuǎn)到其他惡意網(wǎng)站。

第三階段，遠(yuǎn)程操控。當(dāng)受害者點(diǎn)擊釣魚郵件的附件或惡意鏈接時，攻擊者便可以向受害者的機(jī)器中植入后門或木馬程序，遠(yuǎn)程控制該用戶的計算機(jī)。接著攻擊者可以使用各類網(wǎng)絡(luò)協(xié)議與受害者的機(jī)器通信以完成遠(yuǎn)程控制，從統(tǒng)計數(shù)據(jù)可以分析得出攻擊者喜歡使用DNS、HTTP/HTTPS、FTP以及郵件協(xié)議[6]。

第四階段，橫向滲透。處在這個階段的攻擊者一般會進(jìn)行2種動作，一是進(jìn)行信息收集，在被控制的計算機(jī)所在的內(nèi)部網(wǎng)絡(luò)繼續(xù)搜索其他計算機(jī)，以獲取更多的潛伏點(diǎn)和敏感信息，最終可能找到具有較高攻擊價值的機(jī)器；二是進(jìn)行權(quán)限升級，這里又分為系統(tǒng)權(quán)限升級和網(wǎng)絡(luò)權(quán)限升級。系統(tǒng)權(quán)限升級指獲取更高級別賬戶的控制權(quán)，否則主機(jī)終端保護(hù)機(jī)制會發(fā)現(xiàn)低級別權(quán)限的異常行為，通常通過掃描鍵盤獲取密碼；網(wǎng)絡(luò)權(quán)限升級指利用被控制的主機(jī)進(jìn)一步滲透和控制內(nèi)網(wǎng)關(guān)鍵目標(biāo)（如郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器等），逐步獲取對重要目標(biāo)的訪問權(quán)限。

第五階段，數(shù)據(jù)挖掘。這個階段是潛伏階段，APT程序在受害者的機(jī)器以及入侵的網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)挖掘以發(fā)現(xiàn)更多信息，在這個階段通常有人工進(jìn)行介入以提高效率。

第六階段，資料竊取/系統(tǒng)破壞。這是攻擊的最后階段，通常有極高的暴露風(fēng)險。攻擊者將竊取到的數(shù)據(jù)發(fā)到指定服務(wù)器上，或控制關(guān)鍵系統(tǒng)進(jìn)行隱蔽毀壞，比如伊朗的離心機(jī)系統(tǒng)就受到震網(wǎng)攻擊而導(dǎo)致轉(zhuǎn)速異常，使得其核計劃延遲了數(shù)年。圖2展示了經(jīng)統(tǒng)計得出的大量APT攻擊者實施攻擊的目的[4]。

可以看到信息竊取在所有的APT攻擊目的中占到了82%，是第一目的，為了避免被發(fā)現(xiàn)，攻擊者在發(fā)送數(shù)據(jù)回傳的過程中，使用加密通信和隱蔽通信技術(shù)來隱藏其行為。此外，還會進(jìn)行日志清理來避免追蹤，包括清理操作系統(tǒng)的審計日志和應(yīng)用軟件的日志，如果能找到網(wǎng)絡(luò)中的安全審計設(shè)備，攻擊者還會致力于對網(wǎng)絡(luò)安全審計設(shè)備的日志、系統(tǒng)監(jiān)控數(shù)據(jù)和報警日志等進(jìn)行清理，不過要做到這一點(diǎn)不僅要準(zhǔn)確找到網(wǎng)絡(luò)中的審計設(shè)備，還要準(zhǔn)確清除與APT攻擊相關(guān)的日志，實際的APT攻擊者很多選擇在整個攻擊過程中盡可能模擬正常應(yīng)用程序，這使得APT攻擊淹沒在大量正常的系統(tǒng)和網(wǎng)絡(luò)審計記錄中，以實現(xiàn)數(shù)據(jù)清洗的目標(biāo)。

2" APT攻擊的檢測技術(shù)

2.1" APT檢測的難點(diǎn)

APT普遍利用零日漏洞和未知木馬，通過低頻度相互聯(lián)絡(luò)、加密通信等手段，躲避傳統(tǒng)檢測手段；由于APT常結(jié)合使用多種攻擊手段，整個攻擊過程很可能長達(dá)數(shù)月乃至數(shù)年，常規(guī)的基于單點(diǎn)時間的檢測難以面對這種變化；APT攻擊的路徑也很不確定，組織內(nèi)任何網(wǎng)絡(luò)終端都有可能成為入侵的起始點(diǎn)，攻擊者通常會使用大數(shù)據(jù)分析技術(shù)針對性地收集目標(biāo)組織的人員信息，精心地挑選攻擊對象。

2.2" 現(xiàn)有APT檢測技術(shù)

2.2.1" 網(wǎng)絡(luò)入侵檢測

網(wǎng)絡(luò)入侵檢測方面的研究基本上有兩方面：基于特征的入侵檢測和基于異常行為的入侵檢測[7]。

基于特征的入侵檢測需要維護(hù)一個已知特征的數(shù)據(jù)庫，通過這個數(shù)據(jù)庫就能通過基于特征的模式匹配檢測到惡意軟件和控制命令服務(wù)器之間的網(wǎng)絡(luò)通信流量。這種方法的優(yōu)點(diǎn)在于數(shù)據(jù)庫如果比較全面則能夠有效檢測已知的惡意軟件，誤檢率比較低；但其缺點(diǎn)也很明顯，在面對未知的APT攻擊時，由于數(shù)據(jù)庫的局限性，這種方法無法檢測到具有新特征的惡意軟件。

基于異常行為的入侵檢測則需要首先對正常的網(wǎng)絡(luò)行為進(jìn)行建模，當(dāng)檢測到網(wǎng)絡(luò)行為偏離了正常的模型的時候，就可以發(fā)出警告[8]。這種方法的優(yōu)點(diǎn)是不需要提前知道惡意軟件的特征，能夠檢測到未知的APT攻擊，但是由于不同應(yīng)用的網(wǎng)絡(luò)行為千差萬別，很難對“正?！钡木W(wǎng)絡(luò)行為進(jìn)行一個精確的定義，很多合法軟件也可能做出和惡意軟件類似的網(wǎng)絡(luò)行為，因此此方法的缺點(diǎn)在于誤檢率比較高。

2.2.2" 沙箱檢測

使用虛擬環(huán)境檢測惡意代碼，在沙箱中提取其API操作、文件系統(tǒng)操作、系統(tǒng)調(diào)用等動態(tài)特征，可以有效檢測惡意代碼，這種方法能識別傳統(tǒng)方法無法檢測到的零日漏洞。但是此方法也有特征提取慢的缺點(diǎn)，而且沙箱檢測技術(shù)的另一個問題在于其客戶端的多樣性，虛擬沙箱技術(shù)的檢測準(zhǔn)確率與操作系統(tǒng)類型、瀏覽器的版本、瀏覽器安裝的插件版本等因素都有關(guān)系[9]。

2.2.2" 基于深層協(xié)議解析的全流量審計技術(shù)

傳統(tǒng)攻擊檢測技術(shù)僅止步于對數(shù)據(jù)包頭進(jìn)行分析，無法檢測基于內(nèi)容的安全威脅。該技術(shù)的基礎(chǔ)在于通過對全流量進(jìn)行解析和還原，解析網(wǎng)頁訪問請求、下載的文件、即時通信消息等內(nèi)容，進(jìn)而檢測其異常行為。其關(guān)鍵技術(shù)包括大數(shù)據(jù)存儲及處理、應(yīng)用層協(xié)議解析、文件還原等。全流量審計目前面臨的最大問題是數(shù)據(jù)處理量非常龐大，一個百兆網(wǎng)絡(luò)出口一天的數(shù)據(jù)流量甚至能達(dá)到1 TB[10]。因此，要實現(xiàn)針對APT攻擊的全流量審計功能，必須依靠大數(shù)據(jù)存儲和處理技術(shù)。

3" 結(jié)束語

對于內(nèi)部計算機(jī)系統(tǒng)來說，做好保密工作是很重要的一環(huán)，應(yīng)該加強(qiáng)教育引導(dǎo)，提高全體人員的安全防范意識，更新網(wǎng)絡(luò)安全保密觀念，牢固樹立保密就是保安全的觀念，教育涉密人員嚴(yán)格遵守相關(guān)規(guī)定等，預(yù)防APT攻擊者利用社會工程學(xué)攻擊[11]。對于網(wǎng)絡(luò)運(yùn)維人員來說，要做好交換機(jī)、路由器、防火墻等設(shè)備的安防策略調(diào)整，設(shè)置定期更換且不易被暴力破解的口令，修復(fù)漏洞，封堵高危端口，裁剪不必要的網(wǎng)絡(luò)服務(wù)等措施，確保單位各網(wǎng)絡(luò)安全高效運(yùn)行，一旦出現(xiàn)網(wǎng)絡(luò)安全事件要盡快處置并及時上報。

參考文獻(xiàn)：

[1] 張瑜，潘小明，LIU Q Z，等.APT攻擊與防御[J].清華大學(xué)學(xué)報（自然科學(xué)版），2017，57（11）：1127-1133.

[2] ADITYA K， ENBODY R J. ENBODY.Targeted Cyberattacks： A Superset of Advanced Persistent Threats[J].IEEE Security amp; Privacy， 2013， 11（1）：54-61.

[3] 許佳，周丹平，顧海東.APT攻擊及其檢測技術(shù)綜述[J].保密科學(xué)技術(shù)，2014（1）：34-40.

[4] LI M， HUANG W， WANG Y， et al. The study of APT attack stage model[C].2016 IEEE/ACIS 15th International Conference on Computer and Information Science （ICIS）， Okayama， Japan， 2016：1-5.

[5] 胡曉波.網(wǎng)絡(luò)對抗技術(shù)中社會工程學(xué)攻擊的研究[J].信息安全與通信保密，2009（5）：111-113，117.

[6] 王曉琪.高級持續(xù)性威脅中隱蔽可疑DNS行為的檢測[D].長春：吉林大學(xué)，2018.

[7] 肖蒲.人工智能及大數(shù)據(jù)技術(shù)在計算機(jī)監(jiān)測控制中的應(yīng)用分析[J].信息記錄材料，2023，24（4）：177-179.

[8] 潘孝聞.APT攻擊中橫向移動及數(shù)據(jù)回傳階段DNS隱蔽特征分析與行為檢測[D].長春：吉林大學(xué)，2019.

[9] 周濤.大數(shù)據(jù)與APT攻擊檢測[J].信息安全與通信保密，2012（7）：23.

[10] 付鈺，李洪成，吳曉平，等.基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J].通信學(xué)報，2015，36（11）：1-14.

[11] 牛延莉，李余彪，羅雙春，等.戰(zhàn)區(qū)計算機(jī)網(wǎng)絡(luò)應(yīng)對APT攻擊防范策略[A].2019年全國公共安全通信學(xué)術(shù)研討會優(yōu)秀論文集[C].中國通信學(xué)會，2019：229-233.