丛 海

内蒙古自治区新闻出版广播影视科研所 内蒙古 呼和浩特市010050

APT高级持续性威胁的攻击具有极强的针对性，目标攻击触发之前通常会收集大量关于用户和目标系统使用情况的精确信息，信息情报收集的过程更是社会学、工程学、艺术学的完美展示；这种攻击行为具备长期性，会长期潜伏在企事业单位等内外网络中，具有极强的隐蔽能力；并具备很高的技术含量，采用各种组合的高级攻击手段和技术，使得检测APT攻击是件非常困难的事情。对于APT攻击我们需要高度重视，任何疏忽大意都可能为信息系统带来灾难性的破坏。

由于APT攻击所带来的巨大损失，很多安全公司纷纷推出自己的APT解决方案，连全球第一家信息技术研究和分析公司（Gartner Group公司）也从3个维度5个方面对APT防御方案进行分类，包括从终端、网络和载荷进行描述。业界的APT解决方案也多会落入这些分类中，每种解决方案的效果也是众说纷纭，各表一家。对于复杂的APT攻击，如何防御是安全界面临的一个需要解决的问题。在确定如何防护APT攻击前，有必要深刻理解APT攻防的一系列的问题，基于对APT攻击的理解，笔者提炼其中的十个重点问题，并就这些问题提出一些应对措施，期望对APT攻防给出一个整体态势的认知。

1 企业“被入侵”不可避免

互联网企业网络信息系统“被入侵”是100%不可避免的，只是时间早晚的问题，“被入侵”是指黑客通过各种途径潜伏进入到企业。APT攻击入侵之所以不可避免，除APT所用的超能武器外，还有重要的外在原因。其一是“对手不对称”的对抗，APT入侵初期只是为了控制一个跳板，因此入侵的攻防实际是一个超级黑客组织和一个安全意识不佳的普通员工之间的对抗，一个稍显专业的钓鱼网站就让员工沦陷而成为跳板，所以企业被入侵也就是自然而然的事情。另外一个原因是个人设备（BYOD）的普及、物联网（IOT）的发展以及供应链（合作伙伴）的接入，企业的终端控制权将逐渐丧失，大量属于企业和非属于企业的移动设备随时随地的接入网络，控制权的消失，标志安全控制权的消失，跳板的可选择性也越来越大。总而言之，企业被入侵是不可避免的事情，入侵后的内网检测则必定会成为攻防战役的主战场。

APT攻击活动隐藏在网络正常的行为中，要想从中找出蛛丝马迹远非寻常方法可以达到。网络速度越来越快，也意味抓包处理和转发速度越来越快，网络中的事件发送速率随之激增，需要分析的数据也急剧上升。我们可以充分利用大数据，通过CIS网络安全智能系统安全分析平台和大数据基础平台，对海量信息进行高效挖掘和处理。CIS从时间和空间两个维度上扩大了流量收集范围，通过采集全网的流量、日志、文件等数据，尤其是关键路径的流量，以及终端的各种流量等，以这些实时和离线的流量形成检测APT攻击的数据基础。在CIS大数据平台中，内置有丰富的异常检测模型，可以从海量的数据中找到APT攻击的蛛丝马迹。

2 传统安全防御力不足

APT攻击所采用攻击工具多是采用了逃避技术或者零日漏洞，零日漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。这些工具在被发现之前并无相应的签名对应，而传统基于签名的安全防御是依靠对漏洞和攻击工具的理解，并在此基础上进行签名设计，只有匹配签名的攻击，才能被识别。此种模式下，签名的质量与范畴直接影响了防御体系的有效性，过度依赖于签名的传统防御系统，在面对变化多端的高级威胁时，由于缺乏对未知威胁的检测能力，往往导致防御能力力不从心，其滞后性完全无法应对APT攻击中采用的各种高级逃逸技术以及零日攻击。

实现对未知威胁有效的检测，是防御APT攻击的基础。我们可以利用APT解决方案中的沙箱功能，沙箱可以在虚拟环境中对各种未知的恶意软件进行有效的识别，通过静态动态等技术手段，充分识别恶意软件的各种行为，在此技术上可以有效的甄别未知的恶意软件。再通过大数据安全分析平台的大量实时和历史数据与多种异常模型，发现网络中各种微小的行为异常和内容异常，通过这些异常进行攻击链关联分析，可以深度挖掘APT攻击行为。在形成该APT攻击的各种威胁信息后，会将信息下发给部署在企业网络安全的设备中，由这些设备根据威胁信息完成对APT攻击点的彻底防御和清除。通过利用基于情境感知的安全设备，包括NGIPS、NGFW、VNGFW以及各种终端安全设备，从而快速有效的实现对APT各个攻击点的清除。

3 网络Web诱惑暗藏威胁

让全球震惊的APT攻击事件中，起因都是那些毫不起眼的一个个链接，一个个看似平常的链接背后，可能就隐藏着潜在的威胁。在基于WEB流量承载恶意代码的攻击形式中，目前最大的风险在于精确钓鱼网站攻击和水坑攻击，水坑攻击指黑客组织通过分析被攻击者使用的网络的活动规律，寻找被攻击者经常访问的网站弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施精准攻击。定制化的精准钓鱼就是在前期精确的用户信息收集基础上，实施的一种钓鱼攻击，比普遍撒网式的钓鱼更聚焦、更定制化。通过发送链接给用户，只有在被攻击者名单中的人才能看到这个钓鱼网页。

有些企业客户的互联网出口基于WEB的流量可以高达95%以上。通过对其实现WEB流量的监测，尤其是对其中的零日漏洞的恶意代码的检测，是防护APT攻击的一个关键点。使用重量级沙箱是目前可以检测WEB流量中零日攻击的，在检测WEB流量时，先采用静态检测模式，通过指令流检测和信息熵检测模式，实现对恶意代码的检测。对于未能检测到恶意代码的网页，通过提取调用的系统API方法、属性、函数名称、插件列表、DOM节点列表等信息多重判断页面的恶意与否，对于可疑的页面，则将页面送到WEB重量级沙箱中进行检测。重量级沙箱系统是针对可疑页面检测定制的检测环境，通过监视页面在WEB重量级沙箱内运行的整个过程，获取到可疑页面运行过程中对操作系统的所有行为，最后将这些行为送到恶意行为识别模块进行识别。

4 利用恶意软件攻城拔寨

随着安全技术的发展，产品安全的防护能力有了很大的提升，而恶意软件也主动适应变化，除利用零日漏洞外，还发生很多让人诧异的进化。第一个进化是伪装性，恶意软件采用各种逃逸技术躲避安全检测，目前发展到有500多种逃逸技术，平均每个高级恶意软件采用10种以上的逃逸技术，足以逃避基于特征为基础的安全检测；第二个变化是恶意软件不以文件形式存在，所有组件只存储在注册表里，通过系统合法的进程读取并运行注册表中存储的恶意代码，恶意进程只存在于系统内存中，传统的扫描和杀毒根本就无法检测和清除，越来越多的恶意软件采取这种无文件的手法，而且不仅仅使用Windows注册表来隐藏恶意软件，他们还使用其它更复杂的技术来隐藏组件，无需在文件系统中留下痕迹。

基于对未来网络安全形式的发展，在应对未知恶意软件的检测上要不断拓展采取新的思路，未知恶意软件之所以是未知，原因是没有可以匹配的特征码信息，特征虽然“未知”，但是却有“已知”特性，那就是行为的“已知”，任何软件要达到自己破坏或窃取的目的，必然会有一系列的行为发生，而这些行为都具备相似性，通过行为检测恶意软件，尤其是未知的高级恶意软件，利用沙箱通过多重的方式对软件进行检测，最后基于行为判断，实现对未知恶意软件的判定，由于沙箱可以支持多种软件类型的虚拟环境，通过这种方式可以有效的保护企业免遭恶意软件的攻击，成为企业防护APT攻击的保护伞。

5 网络办公文档防不胜防

图1 2016年APT攻击恶意文件附件类型

恶意软件给企业安全带来的危害难以估量，类型也是各式各样，恶意软件离其实我们并不遥远，在恶意软件的类型上，更多的是我们每天看到的办公文档，这些再正常不过的文件，都可以成为这些高级恶意软件的载体。有多少人能想到，我们每天处理的.DOC文档竟然含有恶意代码，让人防不胜防。（如图1所示）

通过利用沙箱在虚拟环境中对这些文件进行的静态检测和虚拟执行，实现对办公文档中恶意代码的检测，实现对办公文档类型的全部覆盖，同时可以根据用户的实际环境，构建完全匹配用户办公环境的虚拟环境，真正有效的保证了对企业造成威胁的各种文档的过滤，保护企业的网络环境安全。

6 远程控制也可运筹帷幄

在APT攻击中，黑客可以通过C2通 道（communication &control通道）随心所欲的控制各种恶意软件。通过C2通道传输控制命令以及反馈信息，可以远程操控软件完成入侵和破坏过程。为了保证C2通道能保持畅通，APT攻击采用几种新的技术，包括采用动态算法随机生成域名，借用第三方域名等。动态域名生成算法是每天生成一些随机字符串域名，然后选其中的一些注册当作C2服务器域名。定制恶意软件也按照同样的算法尝试生成这些随机域名，碰撞得到当天可用的C2域名。采用域名生成算法（DGA）随机生成域名，传统的方式完全无法检测该种类型的C2通道。第三方域名进行通信，则是通过选择可以写入并修改内容的各种公开网站，如各种论坛网站等。黑客提前在网站上发布内容，并在其中插入控制命令信息，之后定制的恶意后门，就会解析到该第三方网站去获取其中的控制命令，同时后门也可以模拟编辑此前黑客发布的内容，写入执行结果的数据。

一旦C2服务器的位置暴露，控制通道很容易被切断，而且幕后恶意操作的黑手也会很容易被发现，因此所有的攻击组织才会努力地去隐藏C2服务器位置。传统的方法无法检测与拦截C2通道，通过利用沙箱和大数据安全分析系统可以实现对各种伪装的C2通道进行检测。如大数据安全分析系统，通过对DGA生成域名进行海量的分析，在多种特征的基础上生成DGA识别模型，所有的DNS解析流量中的域名通过DGA模型的识别，能快速准确DGA锁定随机域名。以系统中强大的自学习的流量行为模型自动识别所有关键设备的流量行为，对异常域名进行解析，并对类似心跳线的连接等流量行为进行异常告警，通过其他深度关联分析同样能准确识别其他隐藏技术下的C2通道，只有有效检测和拦截C2通道，才能真正控制APT入侵，保证企业的网络信息安全。

7 企业内网渗透悄无声息

攻击者在占据跳板立足之后，为让自己可以在环境中长期驻留而不被检测到，会继续以秘密方式存在，也会在内网中快速移动。这些往往伴随着与侦察、扫描、渗透其它计算机等有关的活动（即木马行为）。攻击者首先从受到入侵的跳板电脑或用户那里获得访问权限，然后对其执行特权提升，进而访问关键的重要目标。例如攻击者为获取管理员权限，通常会跟踪AD之类目录服务或administrator权限的账号，使用一定的技巧和工具，将攻击者权限提升。这个过程一旦成功，攻击者可以随意访问更敏感的内网服务器，从而加快敏感数据的发掘和泄露。由于最终数据窃取利用了合法的管理账号，这使得数据窃取检测变得更加困难。

APT攻击在任何阶段有活动，则都会产生一定的流量，这些流量所隐藏的行为就是APT攻击活动的真实反映。通过网络安全设备中的流探针、沙箱、终端探针和日志采集器等功能收集完整性数据收集分析。流探针通过镜像全流量，尤其是关键路径流量进行分析，提取有价值的元数据信息，当数据包载荷为文件时，则将文件传递给沙箱进行检测，由沙箱提起文件的元数据信息，终端探针则采集关键终端的各种行为，而日志采集器则采集关键设备和应用系统的日志。通过探针把企业网络中不同时间、不同位置的关键信息都完全采集到CIS大数据平台中，保证了整个检测的完整性。通过对全网的流量信息，尤其是关键路径的流量信息进行异常的检测分析，由此构筑了检测APT的基础。

8 利用异常发现抽丝剥茧

APT攻击具备超强的隐蔽性，以便逃逸各种安全检测，例如在网络中，黑客很少会创建账号，所有的活动会参考正常的行为以避免被检测或者暴露，黑客在利用正常用户的思考模式行动。而从内容而言，黑客也会尽量伪装，如采用DGA域名，从传统眼光看这些域名完全没有任何问题。按照传统的安全设备检测能力，也许能检测到一些轻微的异常，由于这些安全设备之间并无关联，因此这些异常也都是离散的状态，很难检测到APT在内网中的一些活动。

如果通过CIS大数据平台能同时存储大量的历史流量元数据信息，有效的利用大数据平台在空间和时间维度的扩容能力，在海量信息的基础上，充分利用机器学习的能力，生成各种关于异常信息的检测模型，包括WEB异常模型、MAIL异常模型、域名异常模型等，实现对APT攻击的异常行为和内容进行检测，在细微之处发现异常，这些异常行为覆盖了APT攻击的各个阶段，任何一个阶段的异常检测都可以作为一个攻击的线索，由点连线，由线连面，找到真正的攻击行为，最后完整的画出APT攻击的轮廓。CIS通过对APT攻击的有效分析和判断，进而快速的将攻击威胁信息同时上传到云端安全智能中心，以及下传到部署在企业各地的安全设备中，从而为有效拦截APT攻击确定了基石。

9 立体协作对抗无隙配合

在强大利益驱动下，潜伏在网络中的黑客充分利用多种合作模式，不论是在单个APT攻击中的攻击工具组合，还是黑客组织之间的合作都达到至高的境界，如有人在挖掘用户信息，有人在挖掘系统漏洞，有人在制造工具等，这样的配合能让最新的技术或者漏洞迅速转变为黑客手上APT攻击的战斗力，这些快速成型和变化的战斗力让还在单兵作战的安全设备或者厂商无能为力，只有形成强大的产品组合，共享情报才能有效实现防护APT攻击。

网络安全防护也应适时变化构建APT立体协作防御体系，建立CIS大数据安全分析是当之无愧的核心节点，通过对APT攻击的有效分析和判断，为有效拦截APT攻击确定了基石。基于云端的威胁情报系统，一方面通过CIS的检测可以分享在APT检测上的威胁情报，同时也会吸收全球优秀厂商关于APT的情报信息，为CIS大数据平台提供更快捷有效的信息情报，从而更有效、快速、准确的判断APT攻击。沙箱是另外一个非常重要的节点，各种隐藏在常见的如word、excel、PDF等办公软件中的恶意软件，要想进入企业，第一关便是要经过沙箱的检测，构筑了APT防御的第一道防线。最后通过基于情境感知的安全设备，包括NGIPS、NGFW、VNGFW以及各种终端安全设备，在同步APT攻击的各种威胁情报后，会将情报下发给部署在企业网络的安全设备中，由这些设备根据威胁情报完成对APT攻击点的彻底防御和清除。

10 知己知彼方能事半功倍

APT组织采用的攻击方式、恶意软件都依赖于对用户的了解，所有的攻击步骤都是定制的。例如通过搜集组织员工的信息，深入了解他们的社会关系、个人爱好、终端的安全防护等情况，继而定制一些攻击手段来控制该员工电脑，以此为跳板从而顺利进入企业单位组 织 网 络。而Verizon发 布《2013年数据破坏调查报告》，明确提出了应对APT的最高原则——知己、更要知彼，强调真正的主动有效的安全预防体系是“料敌先机”。

近年来安全防御体系也在不断的进化过程中，这种变化其实也是在“知己”方面投入更多的力量。例如NGFWNGIPS等安全产品着力发展情境感知的能力，这些感知能力包括资产、位置、拓扑、应用、身份、内容等信息感知识别能力。这种基于漏洞签名的被动防御体系的优化，可以提高检测精准度，有效减少误报。

所谓“知彼”就是要有效识别攻击对手、工具及相关技术原理等信息，可以利用这些数据来发现恶意活动，甚至可以定位到具体的组织或个人。使用业界主流安全厂商设备，通过实时更新病毒库等措施，一方面坚持加强“知己”的修炼，继续优化提升防火墙等安全产品的感知能力和防御精准度；另一方面也积极探索“知彼”领域的探索，实现积极主动防御模式的创新。利用先进的沙箱、大数据分析平台、云清洗解决方案等系列化的安全产品与解决方案。在大数据平台大量攻击样本和各种威胁信息的基础上，深入分析各种攻击行为和攻击手法，通过专家分析和机器自学习，建立了丰富的异常检测模型，可以有效识别APT攻击链上各个环节的异常行为，同时通过对环境的深入认识，包括识别环境中的价值资产、用户等内部信息，通过最后的多维威胁分析，有效的识别各种高级威胁，同时还可以生成相关的威胁信息并共享给NGFW、NGIPS等传统安全设备，真正构筑了全网“知己知彼”的全网反馈式主动防御体系。

结束语

没有网络安全就没有国家安全，网络安全是国家安全的重要一环。在近年来网络空间已知发生的APT攻防对抗中，因为基础软硬件、人员、信息等不可控因素而引发的攻防移位、功亏一篑的案例也多不胜数，所以在网络空间安全保卫战中，基础安全尤为重要。通过文中归纳的APT攻防重点问题的阐述，网络管理员在日常网络安全维护管理工作中更应该注重细节管理，大力加强对APT攻防的重视和对软硬件应用数据的细节分析。正所谓细节决定成败，通过使用大数据信息分析结论，在众多网络安全设备中提取到的统计信息，可以更快捷、更准确的从海量数据中精准定位并避免APT攻击，另外，网络安全不能只做一味防御，要换位思考，主动出击。在今后网络安全维护管理工作中，从科技创新入手，多元化思考安全防护，加强我国网络安全，努力把我国建设成为网络强国。