02

APT攻擊分析

高級持續性威脅（Advanced Persistent Threat，APT），也稱為“APT攻擊”，逐漸進入公眾的視野。研究者目前認為APT攻擊的概念是由美國空軍安全分析師于2006年提出的，是指由掌握豐富攻擊資源的、有組織的專業攻擊者發起的，針對經濟、政治和國家安全相關的重要目標，利用先進的攻擊技術和理念開展的隱蔽的和持續的攻擊過程。

• APT攻擊有三個特點：

高級--是指攻擊者掌握先進的攻擊工具和技術，具備自主開發漏洞利用工具的能力。

持續--是指攻擊者會持續不斷的進行攻擊以達成最終攻擊目標。

威脅--是指攻擊是由掌握豐富資源的攻擊組織發起的，具有明確攻擊動機。

傳統的攻擊檢測方法很難檢測出APT攻擊，針對這一問題筆者提出了一系列APT攻擊檢測的技術和方法，本系列文章將相關的內容進行匯總、分析和整理，為讀者提供參考。

APT攻擊生命周期

對APT攻擊的生命周期可以分為掃描探測、工具投送、漏洞利用、木馬植入、橫向滲透、目標達成等幾個階段。

掃描探測：對目標進行初步研究，確定目標（系統和人員），并確定攻擊方法，主要包括尋找系統中連接Internet的服務或人員信息。

工具投送：攻擊者成功地在目標組織內的一個或多個系統上執行惡意代碼。這可能是通過社會工程學（魚叉式郵件釣魚攻擊），也可能通過利用連接Internet的系統上存在的漏洞或者通過其他方式進行攻擊。

漏洞利用：攻擊者對初步攻擊中攻下的目標系統保持控制權。在初步攻擊之后立即進入此階段，通常攻擊者通過安裝永久性后門、將具有遠程控制功能的惡意軟件下載到攻下的目標系統來建立立足點。

木馬植入：攻擊者獲得對系統和數據的更大的訪問權限。攻擊者可以通過密碼哈希值的轉儲來提升權限（隨后實現密碼破解或哈希攻擊）、通過鍵盤記錄程序記錄登錄憑證、竊取PKI證書、利用某些應用程序擁有的特權或通過漏洞利用等方式提升權限。

橫向滲透：攻擊者使用其訪問權限在受感染的環境中從一個系統拓展到另一個系統。常見的橫向拓展方法包括訪問共享網絡、使用Windows任務計劃執行程序、使用遠程訪問工具（如PsExec）或使用遠程桌面客戶端（如遠程桌面協議RDP、DameWare或虛擬網絡計算VNC）來訪問其他系統、使用圖形化用戶界面與目標系統進行交互等。

目標達成：攻擊者達成其攻擊目標。攻擊目標一般包括竊取知識產權、財務數據、并購信息或者個人身份信息，任務完成后，大多數攻擊者不會離開目標網絡，而是保持訪問權限，以便可以完成新的任務。

傳統安全設備對APT攻擊手段檢測能力

傳統的安全技術對于APT攻擊顯得無能為力,無法對新型的攻擊手法進行有效檢測。

APT攻擊的分析

隨著對APT攻擊的研究不斷深入，已經出現一些有效的防御技術來對抗APT攻擊，其核心思想大多是針對APT“攻擊鏈”的某一步驟展開防御。這些技術主要包括：沙箱技術、信譽技術、異常流量分析技術、大數據分析技術等等。

• 沙箱技術

沙箱，又叫做沙盤，被認為是當前防御APT攻擊的最有效技術之一。沙箱即是通過虛擬化技術形成一個模擬化的環境，同時將本地系統中的進程對象、內存、注冊表等與模擬環境相互隔離，以便在這個虛擬化環境中測試和觀察文件、訪問等運行行為。沙箱通過重定向技術，將測試過程中生成和修改的文件定向到特定文件夾中，避免了對注冊表、本地核心數據等的修改。當APT攻擊在該虛擬環境發生時，可以及時地觀察并分析其特征碼，進一步防御其深入攻擊。

• 信譽技術

安全信譽是對互聯網資源和服務相關實體安全可信性的評估和看法。信譽技術是應用于APT攻擊檢測具有較好輔助功能的一項技術，通過建立信譽庫，包括WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫、威脅情報庫等，可以為新型病毒、木馬等APT攻擊的檢測提供強有力的技術輔助支撐，實現網絡安全設備對不良信譽資源的阻斷或過濾。信譽庫的充分利用，將進一步提高安全產品的安全防護能力。

• 異常流量分析技術

這是一種流量檢測及分析技術，其采用旁路接入方式提取流量信息，可以針對幀數、幀長、協議、端口、標識位、IP路由、物理路徑、CPU/RAM消耗、寬帶占用等進行監測，并基于時間、拓撲、節點等多種統計分析手段，建立流量行為輪廓和學習模型來識別流量異常情況，進而判斷并識別0Day漏洞攻擊等。

• 大數據分析技術

APT攻擊防御離不開大數據分析技術，無論是網絡系統本身產生的大量日志數據，還是SOC安管平臺產生的大量日志信息，均可以利用大數據分析技術進行大數據再分析，運用數據統計、數據挖掘、關聯分析、態勢分析等從記錄的歷史數據中發現APT攻擊的痕跡，以彌補傳統安全防御技術的不足。

總結

APT攻擊無法通過單一的安全產品和安全技術進行有效的檢測、防護，只有建立以安全技術與安全管理相結合的縱深防護體系，才能抵御APT攻擊的威脅。此外，APT攻擊與防御的一般過程中，威脅檢測貫穿始終，因為只有及時發現APT攻擊，我們才能在第一時間阻止網絡攻擊事態的繼續惡化，進而完善安全防護體系。

參考文獻

CAICT中國信通院：《APT分析與應對》

Janu：《淺談APT攻擊的檢測與防御》

也西湖雜談：《APT檢測利器系列2-網絡攻擊生命周期模型》