张增波 韩一剑 牛泽彬 李少杰 公安部第一研究所

一、APT组织研究现状

（一）APT研究机构

国外研究APT组织的厂商机构较多，主要集中在美国和俄罗斯等网络安全能力较强的国家。其中美国主要是CIA、ATT&CK等官方机构、火眼、微软、思科等软硬件厂商和杀毒软件厂商，俄罗斯主要是卡巴斯基。国外披露的APT组织和攻击情况细节比较多，质量相对较高。

国内公开研究APT组织的机构约在30家左右，主要集中在杀毒软件厂商、安全设备厂商、威胁情报厂商等，具有首先发现并披露APT组织的厂商约为5家左右。

总体来看，具有首次发现APT攻击的研究机构主要集中在提供基础安全能力的厂商，如杀毒软件、网络安全设备等，而受害单位并不具备首次披露APT攻击的能力。

（二）APT研究模型

研究网络攻击的模型有很多，如STRIDE、KillChain、ATT&CK、CAPEC等模型，Cyber Kill Chain、STRIDE威胁模型可以划分为高层次模型，ATT&CK被划分为中层次模型，CAPEC漏洞库及漏洞利用模型划分为低层次模型。高层次可以用来表达和理解高层次的攻击者目标和防护系统风险。抽象层次越高，越难以表达具体的攻击行为和攻击行为关联的具体数据、防护措施、配置资源等。

对比上述网络攻击分析模型，可以发现各个模型侧重点和应用场景各不相同，如表1所示，对比了CAPEC模型和ATT&CK模型。例如，我们可将某一攻击行为对应到攻击链的“C&C”阶段，这提醒防御方需要采取必要的措施了，但采取怎样的措施，攻击链模型是难以表达的。而在ATT&CK模型中，该攻击行为可能对应到战术 “Command and Control”，同时采用的是“Multi-hop Proxy”的技术手段以达成战术目标，至此，我们可以进一步获取针对该技术手段的一些通用的防护措施。当然，中层次的ATT&CK模型所描述的仍然是TTP的抽象，具体到实例化的行为描述，仍然需要细粒度的划分。

?

CAPEC（Common Attack Pattern Enumeration and Classification）模型关注的是攻击者对网络空间脆弱性的利用，其核心概念是攻击模式（Attack Pattern）。从攻击机制的角度而言，CAPEC模型通过多个抽象层次对攻击进行分类和枚举。其目标是全面的归类针对已知的应用程序脆弱性的攻击行为。相对而言，ATT&CK模型的目标不是对不同攻击战术目标下技术的穷尽枚举，而是从APT组织的可观测数据中提取共性的战术意图和技术模式。战术意图是CAPEC模型枚举库难以表达的。从攻击检测的角度来看，只有明确攻击的战术意图，才能进一步推测攻击的关联上下文信息，以支持攻击威胁的评估和响应。此外，通过提供攻击组织和软件信息，ATT&CK模型还能够串联起威胁情报和事件检测数据，打通对威胁事件的理解链路。

（三）已被披露的APT组织情况

目前全球被披露的APT组织已达600多个，2013年美国麦迪安网络安全公司就发布了对141个客户可组织的跟踪分析报告。APT组织从分布的区域、攻击水平、攻击目标各有不同。目前较为活跃的在60个左右，主要集中在北美、东亚和南亚地区，针对中国的APT攻击最多。

二、当前APT研究存在的局限性

目前APT攻击行为的认定和APT组织的发现都是后知后觉，即在攻击发生后进行复盘总结，整体来看进行认定，在攻击发生当时，并没有被认定为APT攻击行为，甚至没有发现攻击行为。一是初次认定命名无标准，当前各个研究机构首次披露APT组织的名称标准不一，命名规范不统一，各自有自己的一套标准体系，ATT&CK按照披露时间顺序以数字序号命名；360按照植物、动物、怪兽等类别进行命名；CrowdStrike目前在全球追踪150多个民族国家、电子犯罪分子和黑客行动主义者命名系统，“BEAR”指的是俄罗斯，“CHOLLIMA”指的是朝鲜，“PANDA”指的是中国，“KITTEN”指的是伊朗。“SPIDER”用于非国家资助的电子犯罪。二是APT攻击初始阶段难以发现，按照杀伤链模型的七个阶段，很难将前6个阶段的侦察、测试、潜伏的攻击行为准确归属为APT攻击行为，甚至普通的攻击行为可以模仿已知的APT攻击特征，没有明确的边界区分是普通探测扫描还是APT攻击的前奏，造成误判和漏判。三是关基单位尚未协同联动信息共享，APT研究的门槛较低，但取得新发现的门槛较高。根据公开的威胁情报，关基防护单位、研究机构均可对已知的APT进行研究，但是若要第一时间了解APT的全貌，则需要部署全面的监测体系、专业的分析团队，同时还必须与关基单位保持密切联系，在第一时间进行全面的线索收集和取证分析。四是APT研究成果主要输出形式是威胁观测值，例如IP地址、URL、恶意文件MD5值等静态数值，而真正的APT组织的威胁指标、攻击技战法并没有深入的发现。

三、APT攻击认定要素

APT攻击是高级可持续威胁，部分研究者从针对性、持续性、威胁性等方面对APT攻击特点进行了总结，从当前已被披露的APT攻击事件分析发现，各个APT组织实施的攻击在目的针对性、攻击能力、背景实力等方面表现出了不同的水平，但其中共同的要素，可作为APT攻击的主要指标，本文提出从攻击技战法特点、攻击造成的影响、攻击的目标、攻击技术、攻击者拥有的基础设施五个方面进行APT攻击衡量。

（一）攻击的技战法较为先进

从具体的攻击方法看，APT攻击采取的技术手段高明，技术能力较强，往往使用一些高级的攻击手段：在突破边界防护入侵内网时往往采用精准社工钓鱼的攻击方式，钓鱼主题大多与国家重大时事相关，例如“毒云藤”制作了大量的模仿国家政府部门网站的邮箱钓鱼网站来定向获取情报信息；APT攻击经常利用操作系统、网络设备的零日漏洞获取网络和系统的控制权，此类攻击利用门槛较低，危害较高，往往具有“一锤定音”的效果。例如“蔓灵花”善于利用Office软件漏洞，在文档中绑定木马后门进行攻击。

（二）攻击产生影响范围较广

美国著名安全公司FireEye披露一件始于2020年春季的大规模黑客入侵事件：攻击者入侵SolarWinds软件开发公司，将木马植入名为Orion的网络和应用程序监视平台产品中，从而将木马后门引入到使用该软件产品的重要单位。截止2021年三月，已确认的受害者包括美国联邦机构、微软、VMware和思科、FireEye等高知名度科技公司，以及欧洲、亚洲和中东的政府、咨询、技术、电信和采掘业实体等攻击18000位客户。据《华盛顿邮报》报道，攻击者为俄罗斯外交情报部门背景的黑客组织APT-29。

（三）攻击目标比较明确

在震网病毒攻击事件中，攻击者使用了多个微软系统的漏洞，同时针对伊朗核设施工业控制系统定制开发了多个零日漏洞，并伪造了相关核设施供应商的数字签名，使攻击具有合法性、隐蔽性，一系列的漏洞和工具都是专门为此次攻击定制。此次攻击被认为是美国针对伊朗的国与国之间的、具有明确政治军事目的的APT攻击。

（四）攻击的技术手段较高

2017年“影子经纪人”曝光的数据中包含一个名为SWIFT的文件夹，完整曝光了“方程式组织”针对SWIFT金融服务提供商及合作伙伴的两起网络攻击行动的详实信息，安天公司还原了“方程式组织”对EastNets网络的攻击过程。通过复盘我们可以看到，这是一起由超强能力网空威胁行为体发起，以金融基础设施为目标；从全球多个区域的预设跳板机进行攻击；以0Day漏洞直接突破两层网络安全设备并植入持久化后门；通过获取内部网络拓扑、登录凭证来确定下一步攻击目标；以“永恒”系列0Day漏洞突破内网Mgmt（管理服务器）、SAA业务服务器和应用服务器，以多个内核级（Rootkit）植入装备向服务器系统植入后门；通过具有复杂的指令体系和控制功能平台对其进行远程控制，在SAA业务服务器上执行SQL脚本来窃取多个目标数据库服务器的关键数据信息的APT攻击事件。

（五）攻击拥有与已知攻击相同的攻击设施

在某单位发现的APT攻击中，攻击者使用的资源中，具有大量的钓鱼网站的代码，与已经披露的APT攻击钓鱼网站页面完全一致，使用的攻击IP也与已披露的攻击IP在邻近网段，斯诺登披露的美国NSA的网络武器库也显示出国家支持的APT组织具有强大的资金、人才、网络等资源。

因此，在监测到网络安全事件时，符合上述基本要素中的一个或者多个，均可能被认定为APT攻击行为。

四、APT攻击组织认定方法

网络安全攻击事件归因分析一直是攻击溯源分析的难点，确定发起APT攻击事件的攻击组织更加困难，主要原因是APT攻击非常隐蔽，攻击技术较为高超，利用较少的线索刻画复杂的攻击全貌非常困难。APT攻击组织认定主要有以下方法：

（一）攻击者或者组织声称负责

部分APT组织具有公开的政治倾向，攻击行为具有挑衅性和明确的目的，例如“匿名者”组织宣称将攻击马斯克星链计划，也曾扬言要在春节期间攻击100个中国政府网站；公开情报显示名为“图兰军”（TuranOrdusu）的土耳其黑客组织曾在某黑客论坛上发帖，煽动土耳其黑客针对我国境内网站发起攻击。

（二）利用攻击特征中带有的明显标识认定APT组织

部分APT组织会在攻击的载荷中暴露自己的特征。2016由美国安全公司Forcepoint披露的“蔓灵花”组织，在其远程访问工具（RAT）变体使用的网络通信头包含“BITTER”，所以将此次攻击命名为“BITTER”，同年国内安全厂商也跟进发布了分析报告，命名为“蔓灵花”。“索伦之眼”因其攻击程序的配置文件中存在“SURON_ KBLOG_KEY”的关键词，被卡巴斯基实验室命名。“方程式”攻击组织的名字是由卡巴斯基实验室发现并命名的。卡巴斯基在报告中曾说，之所以叫他们方程式，是因为在他们的行动中，比较偏爱加密算法、模糊策略等比较复杂的技术。

（三）通过地缘政治认定APT组织

黄金雕（APT-C-34）组织的基础设施和绝大部分的受害者均集中在哈萨克斯坦国境内，根据受害者的数据推测，该组织的大部分攻击行动主要是针对哈萨克斯坦国境内的情报收集任务，支持该组织背后的实体机构疑似与哈萨克斯坦国政府机构存在关联。Lazarus别名APT38、Guardians of Peace，被认为是隶属于朝鲜的一个APT组织。据一位计算机科学教授透露，该组织的成员主要来源于朝鲜海外情报机构，主要负责以获得外汇为目的的攻击。

（四）通过暴露的攻击武器认定APT组织

APT组织具有自己的攻击工具或者软件系统，根据使用相同攻击软件的特点可以判定其归属。360披露的APT-C-39组织多次使用了Fluxwire、Grasshopper等CIA专属网络武器针对我国目标实施网络攻击。通过对比相关的样本代码、行为指纹等信息，可以确定该组织使用的网络武器即为“Vault7（穹窿7）”项目中所描述的网络攻击武器。APTC-39组织使用的部分攻击武器同NSA存在关联。WISTFULTOLL是2014年NSA泄露文档中的一款攻击插件。在2011年针对我国某大型互联网公司的一次攻击中，APTC-39组织使用了WISTFULTOOL插件对目标进行攻击。与此同时，在维基解密泄露的CIA机密文档中，证实了NSA会协助CIA研发网络武器，这也从侧面证实了APT-C-39组织同美国情报机的关联。

上述已知的APT组织的归因方法从样本同源、代码相似、政治目的等方面基于小样本空间和历史经验进行归因认定，缺乏更多的数据支撑。

因此，APT组织的归因方法还应该从大数据的方向，利用人工智能的算法，依托上述提到的特征，综合考虑攻击时间跨度、语言、命名特点、时区、遗留信息、C2信息、攻击手法、攻击技术、攻击复杂度、攻击资源等建立APT的威胁情报库，以APT的情报库为数据源，建立相关模型，利用机器学习中的训练聚类算法模型，去预测相关组织的特性，甚至发现新的APT组织。

五、APT攻击及组织认定的应用

依托安全设备抓取网络流量，利用APT认定方法中的相关特征分析网络攻击流量，通过分析能够实现以下应用：一是根据APT相关认定方法建立APT组织档案，对APT攻击组织的常用手法、攻击特点进行动态跟踪。二是监测APT组织的攻击动态和攻击趋势，从开源、本地情报、第三方情报等多渠道的线索融合分析，监测APT的攻击动作。三是监测信息基础设施受APT攻击的态势，通过在关基信息基础设施网络内部或者互联网出口部署基于APT情报的流量监测设备，全天候监测APT相关特征的流量，辅助研判APT攻击态势。

六、结语

目前我国APT监测发现和认定方面与国外均存在较大差距，基本上处于跟随报道的阶段，个别厂商虽然也首次揭露了APT组织的攻击组织，但是基本上是基于已有的成果或者已披露的线索，尚未达到能够完全自主、确凿归因攻击组织的水平，并且我国披露APT攻击事件尚未能定位到具体攻击者，对于攻击组织的国家背景关联分析更是缺乏。因此迫切需要从政策、机制和技术等多个方面追赶与国外的差距，提升APT的监测和认定能力，保护我国关键信息基础设施安全。