近些年來(lái)，一系列重大安全事件的接連發(fā)生將一個(gè)新名詞"APT攻擊"帶入人們的視野，APT攻擊對(duì)現(xiàn)有安全防護(hù)體系帶來(lái)了巨大的挑戰(zhàn)，成為所有信息安全從業(yè)人員重點(diǎn)關(guān)注的對(duì)象。

那么到底是什么APT攻擊呢？它的原理是什么呢？如何被利用又如何防范呢？今天小編就以本篇文章內(nèi)容給大家詳細(xì)闡述一下"APT攻擊的前世今生"。

一、 APT攻擊是什么？

APT（AdvancedPersistent Threat）高級(jí)持續(xù)性威脅。是指組織(特別是政府)或者小團(tuán)體利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為。

二、 APT攻擊流程是什么？

整個(gè)apt攻擊過(guò)程包括定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟：

1、定向情報(bào)收集

定向情報(bào)收集，即攻擊者有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多，包括網(wǎng)絡(luò)隱蔽掃描和社會(huì)工程學(xué)方法等。

2、單點(diǎn)攻擊突破

單點(diǎn)攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工的個(gè)人電腦，攻擊方法包括：

1)社會(huì)工程學(xué)方法，如通過(guò)email給員工發(fā)送包含惡意代碼的文件附件，當(dāng)員工打開(kāi)附件時(shí)，員工電腦就感染了惡意代碼;

2)遠(yuǎn)程漏洞攻擊方法，比如在員工經(jīng)常訪問(wèn)的網(wǎng)站上放置網(wǎng)頁(yè)木馬，當(dāng)員工訪問(wèn)該網(wǎng)站時(shí)，就遭受到網(wǎng)頁(yè)代碼的攻擊，rsa公司去年發(fā)現(xiàn)的水坑攻擊(watering hole)就是采用這種攻擊方法。

3、控制通道構(gòu)建

控制通道構(gòu)建，即攻擊者控制了員工個(gè)人電腦后，需要構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進(jìn)一步攻擊指令。攻擊者會(huì)創(chuàng)建從被控個(gè)人電腦到攻擊者控制服務(wù)器之間的命令控制通道，這個(gè)命令控制通道目前多采用http協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級(jí)的命令控制通道則采用https協(xié)議構(gòu)建。

4、內(nèi)部橫向滲透

內(nèi)部橫向滲透，一般來(lái)說(shuō)，攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的pc和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽(tīng)和漏洞攻擊等。

5、數(shù)據(jù)收集上傳

數(shù)據(jù)收集上傳，即攻擊者在內(nèi)部橫向滲透和長(zhǎng)期潛伏過(guò)程中，有意識(shí)地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包，然后通過(guò)某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

三、 APT攻擊常利用的安全漏洞

四、 典型APT攻擊案例分享

1、google極光攻擊

2010年的Google Aurora(極光)攻擊是一個(gè)十分著名的APT攻擊。Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接，引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。這次攻擊以Google和其它大約20家公司為目標(biāo)，它是由一個(gè)有組織的網(wǎng)絡(luò)犯罪團(tuán)體精心策劃的，目的是長(zhǎng)時(shí)間地滲入這些企業(yè)的網(wǎng)絡(luò)并竊取數(shù)據(jù)。

原理圖如下：

該攻擊過(guò)程大致如下：

1) 對(duì)Google的APT行動(dòng)開(kāi)始于刺探工作，特定的Google員工成為攻擊者的目標(biāo)。攻擊者盡可能地收集信息，搜集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。

2) 接著攻擊者利用一個(gè)動(dòng)態(tài)DNS供應(yīng)商來(lái)建立一個(gè)托管偽造照片網(wǎng)站的Web服務(wù)器。該Google員工收到來(lái)自信任的人發(fā)來(lái)的網(wǎng)絡(luò)鏈接并且點(diǎn)擊它，就進(jìn)入了惡意網(wǎng)站。該惡意網(wǎng)站頁(yè)面載入含有shellcode的JAVAScript程序碼造成IE瀏覽器溢出，進(jìn)而執(zhí)行FTP下載程序，并從遠(yuǎn)端進(jìn)一步抓了更多新的程序來(lái)執(zhí)行(由于其中部分程序的編譯環(huán)境路徑名稱(chēng)帶有Aurora字樣，該攻擊故此得名)。

3) 接下來(lái)，攻擊者通過(guò)SSL安全隧道與受害人機(jī)器建立了連接，持續(xù)監(jiān)聽(tīng)并最終獲得了該雇員訪問(wèn)Google服務(wù)器的帳號(hào)密碼等信息。

4) 最后，攻擊者就使用該雇員的憑證成功滲透進(jìn)入Google的郵件服務(wù)器，進(jìn)而不斷的獲取特定Gmail賬戶的郵件內(nèi)容信息。

2、超級(jí)工廠病毒攻擊(震網(wǎng)攻擊)

著名的超級(jí)工廠病毒攻擊為人所知主要源于2010年伊朗布什爾核電站遭到Stuxnet蠕蟲(chóng)的攻擊的事件曝光。

遭遇超級(jí)工廠病毒攻擊的核電站計(jì)算機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的，理論上不會(huì)遭遇外界攻擊。堅(jiān)固的堡壘只有從內(nèi)部才能被攻破，超級(jí)工廠病毒也正充分的利用了這一點(diǎn)。超級(jí)工廠病毒的攻擊者并沒(méi)有廣泛的去傳播病毒，而是針對(duì)核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻擊，以此為第一道攻擊跳板，進(jìn)一步感染相關(guān)人員的移動(dòng)設(shè)備，病毒以移動(dòng)設(shè)備為橋梁進(jìn)入"堡壘"內(nèi)部，隨即潛伏下來(lái)。病毒很有耐心的逐步擴(kuò)散，一點(diǎn)一點(diǎn)的進(jìn)行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍，攻擊十分精準(zhǔn)。

在2011年，一種基于Stuxnet代碼的新型的蠕蟲(chóng)Duqu又出現(xiàn)在歐洲，號(hào)稱(chēng)"震網(wǎng)二代"。 Duqu主要收集工業(yè)控制系統(tǒng)的情報(bào)數(shù)據(jù)和資產(chǎn)信息，為攻擊者提供下一步攻擊的必要信息。攻擊者通過(guò)僵尸網(wǎng)絡(luò)對(duì)其內(nèi)置的RAT進(jìn)行遠(yuǎn)程控制，并且采用私有協(xié)議與CC端進(jìn)行通訊，傳出的數(shù)據(jù)被包裝成jpg文件和加密文件。

3、夜龍攻擊

夜龍攻擊是McAfee在2011年2月份發(fā)現(xiàn)并命名的針對(duì)全球主要能源公司的攻擊行為。

該攻擊的攻擊過(guò)程是：

1) 外網(wǎng)主機(jī)如Web服務(wù)器遭攻擊成功，多半是被SQL注入攻擊;

2) 被黑的Web服務(wù)器被作為跳板，對(duì)內(nèi)網(wǎng)的其他服務(wù)器或PC進(jìn)行掃描;

3) 內(nèi)網(wǎng)機(jī)器如AD服務(wù)器或開(kāi)發(fā)人員電腦遭攻擊成功，多半是被密碼暴力破解;

4) 被黑機(jī)器被植入惡意代碼，多半被安裝遠(yuǎn)端控制工具(RAT)，傳回大量機(jī)敏文件(word、PPT、PDF等等)，包括所有會(huì)議記錄與組織人事架構(gòu)圖;

5) 更多內(nèi)網(wǎng)機(jī)器遭入侵成功，多半為高階主管點(diǎn)擊了看似正常的郵件附件，卻不知其中含有惡意代碼。

4、RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商——受到攻擊，重要資料被竊取。在RSA SecurID攻擊事件中，攻擊方?jīng)]有使用大規(guī)模SQL注入，也沒(méi)有使用網(wǎng)站掛馬或釣魚(yú)網(wǎng)站，而是以最原始的網(wǎng)路通訊方式，直接寄送電子郵件給特定人士，并附帶防毒軟體無(wú)法識(shí)別的惡意文件附件。

其攻擊過(guò)程大體如下：

1) RSA有兩組同仁們?cè)趦商熘蟹謩e收到標(biāo)題為"2011 Recruitment Plan"的惡意郵件，附件是名為"2011 Recruitment plan.xls"的電子表格;

2) 很不幸，其中一位同仁對(duì)此郵件感到興趣，并將其從垃圾郵件中取出來(lái)閱讀，殊不知此電子表格其實(shí)含有當(dāng)時(shí)最新的Adobe Flash的0day漏洞(CVE-2011-0609);

3) 該主機(jī)被植入臭名昭著的Poison Ivy遠(yuǎn)端控制工具，并開(kāi)始自C&C中繼站下載指令進(jìn)行任務(wù);

4) 首批受害的使用者并非"位高權(quán)重"人物，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑;

5) RSA發(fā)現(xiàn)開(kāi)發(fā)用服務(wù)器(Staging server)遭入侵，攻擊方隨即進(jìn)行撤離，加密并壓縮所有資料(都是rar格式)，并以FTP傳送至遠(yuǎn)端主機(jī)，又迅速再次搬離該主機(jī)，清除任何蹤跡。

5、Nitro攻擊

2011年10月底，Symantec發(fā)布的一份報(bào)告公開(kāi)了主要針對(duì)全球化工企業(yè)的進(jìn)行信息竊取的Nitro攻擊。

該攻擊的過(guò)程也十分典型：

1) 受害企業(yè)的部分雇員收到帶有欺騙性的郵件;

2) 當(dāng)受害人閱讀郵件的時(shí)候，往往會(huì)看到一個(gè)通過(guò)文件名和圖標(biāo)偽裝成一個(gè)類(lèi)似文本文件的附件，而實(shí)際上是一個(gè)可執(zhí)行程序;或者看到一個(gè)有密碼保護(hù)的壓縮文件附件，密碼在郵件中注明，并且如果解壓會(huì)產(chǎn)生一個(gè)可執(zhí)行程序。

3) 只要受害人執(zhí)行了附件中的可執(zhí)行程序，就會(huì)被植入Poison Ivy后門(mén)程序。

4) Poison Ivy會(huì)通過(guò)TCP 80端口與C&C服務(wù)器進(jìn)行加密通訊，將受害人的電腦上的信息上傳，主要是帳號(hào)相關(guān)的文件信息。

5) 攻擊者在獲取了加密的帳號(hào)信息后通過(guò)解密工具找到帳號(hào)的密碼，然后借助事先植入的木馬在受害企業(yè)的網(wǎng)絡(luò)尋找目標(biāo)、伺機(jī)行動(dòng)、不斷收集企業(yè)的敏感信息。

6) 所有的敏感信息會(huì)加密存儲(chǔ)在網(wǎng)絡(luò)中的一臺(tái)臨時(shí)服務(wù)器上，并最終上傳到公司外部的某個(gè)服務(wù)器上，從而完成攻擊。

五、APT攻擊主流防御技術(shù)

1、基于沙箱的惡意代碼檢測(cè)技術(shù)——未知威脅檢測(cè)

要檢測(cè)惡意代碼，最具挑戰(zhàn)性的就是利用0day漏洞的惡意代碼。因?yàn)槭?day，就意味著沒(méi)有特征，傳統(tǒng)的惡意代碼檢測(cè)技術(shù)就此失效。

沙箱技術(shù)簡(jiǎn)單說(shuō)就是構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在這個(gè)模擬環(huán)境中運(yùn)行起來(lái)，通過(guò)監(jiān)控可疑文件所有的真正的行為（程序外在的可見(jiàn)的行為和程序內(nèi)部調(diào)用系統(tǒng)的行為）判斷是否為惡意文件。

沙箱技術(shù)的模擬環(huán)境可以是真實(shí)的模擬環(huán)境，也可以是一個(gè)虛擬的模擬環(huán)境。而虛擬的模擬環(huán)境可以通過(guò)虛擬機(jī)技術(shù)來(lái)構(gòu)建（KVM），或者通過(guò)一個(gè)特制程序來(lái)虛擬（Docker）。

2、基于異常的流量檢測(cè)技術(shù)——IDS（已知的特征庫(kù)的檢測(cè)）

傳統(tǒng)的IDS都是基于特征的技術(shù)去進(jìn)行DPI分析（入侵檢測(cè)系統(tǒng)），檢測(cè)能力的強(qiáng)弱主要看ids庫(kù)的能力（規(guī)則庫(kù)要廣泛還要及時(shí)更新），主要是安全分析人員要從各種開(kāi)源機(jī)構(gòu)或自發(fā)滲透挖掘出利用代碼或惡意代碼，來(lái)加入ids規(guī)則庫(kù)來(lái)增強(qiáng)檢測(cè)能力。這種防御技術(shù)的方法顯而易見(jiàn)對(duì)已知的網(wǎng)絡(luò)威脅檢測(cè)時(shí)可以的，對(duì)未知的威脅就尷尬了。

面對(duì)新型威脅，有的ids也加入了DFI技術(shù)，來(lái)增強(qiáng)檢測(cè)能力?；贔low，出現(xiàn)了一種基于異常的流量檢測(cè)技術(shù)，通過(guò)建立流量行為輪廓和學(xué)習(xí)模型來(lái)識(shí)別流量異常，進(jìn)而識(shí)別0day攻擊、C&C通訊，以及信息滲出。本質(zhì)上，這是一種基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)。

3、全包捕獲與分析技術(shù)

應(yīng)對(duì)APT攻擊，需要做好最壞的打算。萬(wàn)一沒(méi)有識(shí)別出攻擊并遭受了損失怎么辦？對(duì)于某些情況，我們需要全包捕獲及分析技術(shù)（FPI）。

借助天量的存儲(chǔ)空間和大數(shù)據(jù)分析（BDA）方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)中的特定場(chǎng)合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)起來(lái)，進(jìn)行歷史分析或者準(zhǔn)實(shí)時(shí)分析。通過(guò)內(nèi)建的高效索引機(jī)制及相關(guān)算法，協(xié)助分析師剖絲抽繭，定位問(wèn)題。

有了全流量然后用機(jī)器學(xué)習(xí)—檢測(cè)建模—數(shù)據(jù)挖掘—引擎分析，做全面的大數(shù)據(jù)安全分析。

4、信譽(yù)技術(shù)

信譽(yù)技術(shù)早已存在，在面對(duì)新型威脅的時(shí)候，可以助其他檢測(cè)技術(shù)一臂之力。無(wú)論是WEB URL信譽(yù)庫(kù)、文件MD5碼庫(kù)、僵尸網(wǎng)絡(luò)、惡意IP、惡意郵件，還是威脅情報(bào)庫(kù)，都是檢測(cè)新型威脅的有力武器。而信譽(yù)技術(shù)的關(guān)鍵在于信譽(yù)庫(kù)的構(gòu)建，這需要一個(gè)強(qiáng)有力的技術(shù)團(tuán)隊(duì)來(lái)維護(hù)。

一般是借助第三方情報(bào)平臺(tái)：如國(guó)內(nèi)的有"烽火臺(tái)"、"微步在線"等，實(shí)時(shí)的收集互聯(lián)網(wǎng)上的最新威脅情報(bào)，實(shí)時(shí)的更新情報(bào)庫(kù)。

5、關(guān)聯(lián)分析技術(shù)

把前述的技術(shù)關(guān)聯(lián)在一起，進(jìn)一步分析的威脅的方法。我們已經(jīng)知道APT攻擊是一個(gè)過(guò)程，是一個(gè)組合，如果能夠?qū)PT攻擊各個(gè)環(huán)節(jié)的信息綜合到一起，有助于確認(rèn)一個(gè)APT攻擊行為。通過(guò)ids+情報(bào)+沙箱+機(jī)器學(xué)習(xí)等綜合的判斷網(wǎng)絡(luò)數(shù)據(jù)是否有威脅。

綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持續(xù)攻擊行為，包括組合攻擊檢測(cè)技術(shù)、大時(shí)間跨度的攻擊行為分析技術(shù)、態(tài)勢(shì)分析技術(shù)、情境分析技術(shù)，等等。

6、安全人員的挖掘，提升安全防御技術(shù)

要實(shí)現(xiàn)對(duì)這種有組織隱蔽性極高的攻擊攻擊，除了監(jiān)測(cè)/檢測(cè)技術(shù)之外，還需要依靠強(qiáng)有力的專(zhuān)業(yè)分析服務(wù)做支撐，通過(guò)專(zhuān)家團(tuán)隊(duì)和他們的最佳實(shí)踐，不斷充實(shí)安全知識(shí)庫(kù)，進(jìn)行即時(shí)的可疑代碼分析、滲透測(cè)試、漏洞驗(yàn)證，等等。安全專(zhuān)家的技能永遠(yuǎn)是任何技術(shù)都無(wú)法完全替代的。

感謝大家的持續(xù)關(guān)注，我們會(huì)持續(xù)推出更專(zhuān)業(yè)的文章和視頻，想深度學(xué)習(xí)的小伙伴可以私信我們加我們的學(xué)習(xí)交流群，也可以加入我們的頭條圈子！！