◆刘 峥

(中国移动广东公司 广东 510623)

浅谈APT攻击及安全防御解决办法

◆刘 峥

(中国移动广东公司 广东 510623)

APT即高级持续性威胁，是指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，实现其目标。本文以分析APT攻击过程和方法、防御难点为基点，提出APT防御方法、实践方式。

APT攻击；安全防御思路；安全防御解决方案

0 引言

APT（Advanced Persistent Threat）——高级持续性威胁，指一个拥有顶尖的专业技能和有效资源的对手，允许其通过攻击多种不同攻击媒介（如，网络，物理和欺骗）产生的机会，实现其目标。典型的就是在组织的信息系统技术基础架构里建立和扩展据点，达成持续的信息泄露，或者破坏和阻碍作战计划或者组织达成关键任务使命，或者放置在以后能作用的地方。此外，高级持续性威胁为了达成其目标，会反复多次地持续较长的时间，通过各种方式（自动升级）来抵抗防护者的努力。同时与外界保持一定程度的交互以执行其目标。

APT威胁着企业的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

1 APT攻击过程方法

APT会使用多方面的或混合式的技术，包括社交工程、贿赂、恶意程序、物理盗窃、官方影响等来实现其目的。一般来说，APT攻击可分为如下六个阶段。

图1 APT攻击过程

1.1 文件下载

攻击者会利用鱼叉式钓鱼软件或者水坑式攻击方法，诱使用户打开一个特定的邮件附件，或者访问一个已被插入恶意代码的Web网页。邮件或Web链接往往会显示其是热点或者人们感兴趣的内容，一旦访问此附件或者网页，则就可能发生后续的漏洞利用过程。

1.2 漏洞利用

一个典型的漏洞利用，往往只是几百字节大小，在含有漏洞的软件中运行，就可以执行攻击者预想的任意代码。初始漏洞利用非常重要，当网络攻击者利用常见软件的弱点（如office文档、Flash等），就可以得到一个最初的受害系统。整个过程在受害系统的内存中发生，并不涉及任何的文件磁盘操作，通过检查写入主机硬盘的文件和可执行程序的传统方式几乎不可能察觉。

1.3 控制系统

利用漏洞获得系统权限后，会下载一个较大的恶意软件程序，以此来控制受害主机。 因为下载行为来自内部主机，且文件看似无害（如恶意软件是从一个.jpg文件，而不是.exe文件中提取出来），因此可以避免传统安全技术对可执行文件的检测。

攻击者为逃避安全产品（如防火墙、IPS、IDS、防病毒软件）的检测，会采取针对性的对抗措施，确认环境中是否存在防病毒软件，如果发现就会尝试进行破坏。由于漏洞利用后其具备较高的系统权限，这个活动轻而易举。还可能出现的情况是，攻击者检测是否运行在沙箱环境中，并采取相应的逃避检测手段。如延时进行后续的活动，由于沙箱检测不可能对一个文件进行无限期的观察分析，这种策略往往是非常有效的。

1.4 连接命令控制服务器

较大的恶意软件下载成功后，它将启动到外部命令和控制服务器（攻击者操控受害主机的服务器）的出局连接，一旦连接成功建立，攻击者对受害主机就完成了完整的控制。这个阶段通常会使用 SSL加密通信方式，并且由于是从内部主机发起的对外连接，因采用加密传输，传统的安全检测设备将无法发现。

1.5 数据窃取

建立和命令控制服务器的可靠连接，攻击者将着手巩固对主机的控制并进行持续渗透，或者直接传输主机的敏感数据，如知识产权、信用卡信息、用户凭据和敏感文件等。

1.6 持续渗透

很多情况下，最初的受害主机不太可能包含攻击者需要的资料，因此攻击者会通过网络来查找其它的内部系统，深入组织网络内部搜索有价值的信息，包括 IT 管理员的操作主机（为获取进一步的内部网络权限）以及包含机密资料的重要服务器和数据库等。这种组织内部的持续渗透已不是在边界位置可以完整检测的。

通过以上对高级恶意软件攻击过程的分析，可以了解到在初始漏洞利用阶段的检测最为重要，如果在这个阶段不能发现恶意软件，那么要发现恶意软件就会更困难。就比如防范盗贼，最好在他还没有进门之前。

2 APT攻击防御难点

纵观国内外各类型APT事件，可以发现实施APT攻击均通过办公人员入手，并且利用内部网络进行横向移动，逐步渗透。

企业网作为企业网络重要的组成部分，但存在网络覆盖面大、网络结构复杂、网络区域边界访问控制策略不严格、互联网访问需求多、设备种类及数量多、软硬件安全漏洞多、人员安全意识薄弱等负面因素，使企业内网成为 APT攻击的主要目标。这类风险被攻击者发现利用后，通过 APT攻击持续放大，最后影响整个企业的生产。

根据市场调研分析，目前企业网中存在以下的安全难题：

（1）恶意代码定位困难，同时造成恶意代码在网络中不断传播；

（2）对于攻击者使用0day漏洞进行攻击时，防御方无法及时检测；

（3）当内网终端被注入恶意代码后执行的大量恶意操作，如异常操作行为、敏感文件传输、病毒恶意传播、对外发异常流量等影响企业网络安全等均无法发现及阻断。

因此，企业需要一套技术手段解决下面问题：

（1）哪些恶意代码在网络中存在？那些恶意代码是已知的？那些是未知的？

（2）哪些终端被植入了恶意代码？

（3）哪些恶意代码造成了那些危害，包括资料外泄、向外发送DDoS、病毒邮件、远程控制等？

3 APT攻击防御方式

传统的纵深防御仍然是必要的，但不足以应对 APT攻击。为应对目前的 APT威胁，需要更新分层防御模型，将被动防御向主动防御转变，主动防御技术分为3个层面：网络、负载（可执行程序、文件和Web对象）及终端。参考国际权威机构Gartner先进的威胁防御框架，提出了5种应对APT攻击的防御方式。

方式1： 网络流量分析

通过分析网络进出流量，如异常DNS流量模式、NetFlow记录等，发现受感染终端。有些工具将协议分析和内容分析结合在一起。

优势： （1）实时检测；（2）包括无签名和基于签名的技术；不需要终端agent。

挑战：（1）需要调试仔细、知识丰富的雇员以避免误报；（2）拦截攻击能力有限（可应用带外工具）；不监测未联网移动终端的流量

方式2： 网络取证

网络取证工具提供全包捕获和网络流量存储能力，并为支持事件响应、调查和预先威胁分析需求提供分析和报告工具。这些工具可提取和保留元数据。

优势： （1）由于减少事件应对时间和人员，可提供高 ROI（投资回报率）；（2）由于具有大容量存储功能，可在几天或几个星期后重建或重放流量和事件；可利用详细的报告来满足监管需求，进行网络流量深度分析和持续监测。

挑战：（1）这些工具很复杂，需要具有一定技能的人员来操作；（2）随着数据量和保留时间的增加，成本随之上涨；（3）分析大量数据报告耗时较长，可能需要下班时间运行；不捕获网外移动终端流量。

方式3： 负荷分析

该方法利用沙盒环境，分析通过网络边界的负荷（PDF、EXE、DLL、 Office、 ZIP、Flash等）的行为。负荷分析技术可以几乎实时地检测恶意程序和目标式攻击。沙盒环境既可部署在本地，也可部署在云端。基于云的负荷分析是一种有效的方法，但其市场门槛较低，利用现成的管理程序和虚拟技术，厂商可以轻易创建沙盒环境，并称其为负荷分析解决方案，但防护效果千差万别。

优势： （1）可非常有效的检测成功绕过基于签名的解决方案的恶意程序；（2）详细的恶意程序行为报告会涉及注册变化、API调用、过程行为和其他恶意程序行为信息；对于可串联的本地解决方案，该技术具有可选的拦截命令控制回调流量的能力。

挑战：（1）由于行为分析需要几秒或几分钟来完成，所以会放行之前未发现的恶意程序，可能会感染一个或更多终端；（2）有些躲避技术可以绕过行为分析技术，如sleep timers；（3）不对在终端执行的恶意程序进行验证；（4）许多解决方案支持的负荷范围有限；（5）虽然有些云方法支持安卓系统，大多解决方案只支持Microsoft Windows；隐私和数据保护顾虑可能会妨碍一些企业使用基于云的沙盒。

方式4： 终端行为分析

该方法提供有关终端是如何被恶意程序和 APT影响的最详细信息。有些厂商侧重于利用“应用容器”概念来保护终端，即将应用程序和文件隔离在虚拟容器中。应用容器方法允许恶意程序在隔离环境中执行，通过隔离WEB浏览器会话防御恶意网站。其他技术还包括：系统配置/内存/进程监测、“白名单”技术等。

优势： （1）可拦截零日攻击和未知恶意程序；（2）可保护处于和未处于公司网络的系统；利用对所拦截的恶意程序的分析，可以提供基本的取证能力。

挑战：（1）部署和管理终端agent可能操作繁杂，在BYOD（自带设备）环境中具有一定挑战性；（2）终端 Agent对所支持的操作系统、文件类型、应用程序和浏览器有不同的限制；容器解决方案占用额外的 CPU和内存资源，使用的容器越多，影响越大。

方式5： 终端取证

终端取证方法可以作为事件响应团队的一个工具。终端agent会从它们所监测的主机搜集数据。这些技术对于确定被感染主机和恶意程序的特定行为非常有帮助。有些解决方案会使用多种感染标示（IOC）来检测终端上的恶意行为，如可疑的 Microsoft Windows注册码、DNS请求等

优势： （1）可以使得耗时间的事件响应自动化；（2）可监测连入和未连入公司网络的主机上的活动；有些Agent可以提供有限的容器特征和有限的整改能力；

挑战：（1）缺乏实时拦截零日攻击的能力；（2）部署和管理管理终端agent可能操作繁杂；（3）本文撰写时，尚不支持非Windows终端；事件并不总会优先化，而且往往需要知识丰富的人员去调查。

[1]百度百科，APT攻击词条．

[2]Gartner．“五种类型的先进威胁防御(ATD)”助企业防御针对性的攻击．NETWORKWORLD FROM IDG．2013．10．

[3]吴玮．对付高级持续威胁，经验很重要[J]．网络与信息，2012．

[4]陈剑锋，王强，伍淼．网络APT攻击及防范策略[J]．信息安全与通信保密，2012．

[5]张锋，康广超．浅谈网络信息安全[J]．数字技术与应用，2012．

[6]吉雨．APT攻击渐成气候企业需对抗未知威胁[J]．信息安全与通信保密，2012．