2009年以來，一系列重大安全事件的接連發(fā)生將一個新名詞“APT攻擊”帶入人們的視野,，APT攻擊對現(xiàn)有安全防護體系帶來了巨大的挑戰(zhàn),，成為所有信息安全從業(yè)人員重點關(guān)注的對象。在一些國家,，APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié),，針對APT攻擊行為的檢測與防御被確定是整個風險管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。

文/H3C攻防團隊

APT(Advanced Persistent Threat)高級持續(xù)性威脅是指黑客針對特定目標以竊取核心資料為目的所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為,，這種行為往往經(jīng)過長期的經(jīng)營與策劃并具備高度的隱蔽性,，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。

一,、 APT攻擊特點

APT的攻擊手法在于隱匿攻擊者的蹤跡并針對特定對象進行長期,、有計劃性和組織性地滲透，直到成功竊取數(shù)據(jù),。通常具有如下特點：

攻擊針對特定高價值目標

APT攻擊通常帶有很強的商業(yè)或政治目的,，以竊取具備商業(yè)價值的信息或破壞目標系統(tǒng)為目的。大型互聯(lián)網(wǎng)服務(wù)機構(gòu)（如Google,、Facebook,、亞馬遜）,、金融機構(gòu)（銀行、證券）,、政府機構(gòu)及基礎(chǔ)工業(yè)機構(gòu)（電力能源）是APT攻擊的重災(zāi)區(qū),。

攻擊技術(shù)復雜多樣

APT攻擊的發(fā)起者象是一支配備了精良武器裝備的特種部隊，利用一切可能的防御漏洞圍繞目標系統(tǒng)進行全方位精確打擊,，在整體攻擊過程中通常會綜合利用釣魚,、漏洞掃描、SQL注入,、緩沖區(qū)溢出,、暴力破解、加密傳輸?shù)榷喾N技術(shù)手段繞過目標系統(tǒng)的層層防線,，從系統(tǒng)外圍到核心區(qū)域逐步攻克目標,。

潛伏性和持續(xù)性

發(fā)動APT攻擊的黑客目的往往不是為了在短時間內(nèi)獲利，而是把“被控主機”當成跳板,，持續(xù)搜索直到能徹底掌握所針對的目標人,、事、物,。在已經(jīng)發(fā)生的典型APT攻擊中,，攻擊者經(jīng)常會針對性的進行為期幾個月甚至更長時間的潛心準備，熟悉用戶網(wǎng)絡(luò)壞境,，搜集應(yīng)用系統(tǒng)與業(yè)務(wù)流程中的安全隱患,，定位關(guān)鍵信息的存儲位置與通信方式，整體攻擊過程甚至持續(xù)數(shù)年之久,。2011年8月,，暗鼠行動（Operation Shady RAT）被發(fā)現(xiàn)并披露出來，調(diào)查發(fā)現(xiàn)該攻擊從2006年啟動,，在長達數(shù)年的持續(xù)攻擊過程中,，滲透并攻擊了全球多達72個公司和組織的網(wǎng)絡(luò)，包括美國政府,、聯(lián)合國,、紅十字會、武器制造商,、能源公司,、金融公司等等。

二,、 APT攻擊流程

（1）選定攻擊目標,，了解目標系統(tǒng)的網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)架構(gòu),、人員組織架構(gòu)及關(guān)鍵信息的存儲位置與通信方式,，選定攻擊發(fā)起的突破口,。

（2）通過釣魚,、SQL注入,、緩沖區(qū)溢出等攻擊手段突破目標外圍主機，獲取目標外圍主機的控制權(quán)后通過合規(guī)的加密隧道從遠程主機下載惡意代碼及攻擊工具到被控制的外圍主機,，安裝遠程控制工具并隱匿攻擊痕跡,，為后續(xù)攻擊做好準備。

（3）以外圍受控主機為跳板對內(nèi)部主機展開攻擊并嘗試獲取更多內(nèi)部主機的控制權(quán),，所有被控制的主機會主動搜索敏感信息（如用戶賬號密碼,、通訊錄、Word/Excel/PPT/PDF/數(shù)據(jù)庫等敏感文件）并定期通過加密通道回傳給受攻擊者控制的遠端主機,。

（4）攻擊者通過持續(xù)分析收集到的信息不斷尋找突破口發(fā)起迭代攻擊,，直到成功獲取目標信息。

（5）利用獲取的目標信息對相關(guān)系統(tǒng)展開下一輪攻擊,。

三,、 典型的APT攻擊事件

1. 極光行動（Operation Aurora）

極光行動（Operation Aurora）是2009年12月中旬發(fā)現(xiàn)的一場網(wǎng)絡(luò)攻擊，其名稱“Aurora”來自攻擊者電腦上惡意文件所在路徑的一部分,。遭受攻擊的除了Google外還有20多家公司,，其中包括Adobe Systems、Juniper Networks,、Rackspace,、雅虎、賽門鐵克等知名公司,。在這場攻擊中,，以微軟IE瀏覽器中的0day漏洞為突破口，攻擊者組合了加密,、隱秘編程等復雜技術(shù),，先后使用了十幾種惡意代碼和多層次的加密手段，深深地挖掘進了公司網(wǎng)絡(luò)內(nèi)部并巧妙掩蓋了攻擊者的活動蹤跡,，其意圖是竊取Google,、Adobe和許多其他大公司的源代碼等商業(yè)信息。

圖1.極光行動攻擊示意

針對Google遭受的攻擊調(diào)查顯示,，此次攻擊的主要過程如下：

（1）搜集Google員工在Facebook,、Twitter等社交網(wǎng)站上發(fā)布的隱私信息，尋找突破點,。

（2）利用動態(tài)DNS供應(yīng)商建立偽造照片網(wǎng)站的托管Web服務(wù)器,，仿冒信任人員發(fā)送帶有惡意鏈接的信息給被攻擊Google員工；,。（3）被攻擊Google員工點擊惡意鏈接觸發(fā)惡意腳本（經(jīng)過三次加密,，躲避攻擊防御設(shè)備的檢查）利用微軟IE瀏覽器的0day漏洞,，通過溢出攻擊獲取目標機執(zhí)行權(quán)限并創(chuàng)建SSL加密通道與遠程惡意控制器連接，從控制器下載大量漏洞挖掘程序,。

（4）掃描被攻破主機上的敏感信息,，通過SSL安全隧道將信息回傳給惡意控制器，以被攻破主機為堡壘對內(nèi)部系統(tǒng)進行持續(xù)的刺探攻擊并最終獲取訪問Google服務(wù)器的賬號,、密碼信息,。

（5）使用獲取的服務(wù)器訪問賬號及密碼成功滲透進入Google郵件服務(wù)器，進而不斷獲取特定Gmail賬戶的郵件內(nèi)容信息并通過SSL加密隧道傳出,。

2. RSA SecurID竊取攻擊

2011年3月,，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取,。RSA SecurID是一種身份認證系統(tǒng),，管理員通過向授權(quán)用戶發(fā)放單獨的認證設(shè)備（如網(wǎng)銀系統(tǒng)中常用的動態(tài)口令牌）提供給客戶除口令之外的第二個認證憑據(jù)，此認證設(shè)備根據(jù)時間變化每分鐘生成一個唯一的不可預測的令牌碼,，RSA的時間同步身份認證技術(shù)能夠確保在相同的時間用戶持有的令牌碼和認證服務(wù)器產(chǎn)生的令牌碼相同,。

圖2.RSA SecurID同步認證原理

在登錄系統(tǒng)進行認證時，用戶需要同時提供賬戶登錄密碼及令牌碼,，通過雙重因素認證來提高系統(tǒng)訪問的安全性,，只有持有令牌的合法用戶才可以訪問其可以訪問的資源。掌握SecurID生成算法及客戶資料的黑客可以模擬生成客戶手中持有的令牌碼,，使應(yīng)用RSA SecurID技術(shù)作為認證憑據(jù)的客戶面臨非授權(quán)訪問的風險,。由于RSA SecurID已廣泛應(yīng)用于政府、金融等機構(gòu)（SecurID硬件部署量為4000萬臺,，部署SecurID技術(shù)的移動設(shè)備數(shù)量為2.5億部）,，此次泄漏事件導致部分使用SecurID作為認證憑據(jù)建立VPN網(wǎng)絡(luò)的客戶受到攻擊，重要資料被竊取,。

調(diào)查分析得出此次RSA SecurID竊取攻擊的大致過程如下：

（1）攻擊者給RSA的母公司EMC的4名員工發(fā)送了兩組惡意郵件,，附件名為“2011 Recruitment plan.xls”。

（2）其中一位員工將該郵件從垃圾郵件中取出閱讀,，導致附帶的惡意代碼利用當時最新的Adobe Flash的0day漏洞（CVE-2011-0609）獲取該主機的執(zhí)行權(quán)限,。

（3）該員工電腦被植入木馬，開始從僵尸網(wǎng)絡(luò)的C&C服務(wù)器下載指令并執(zhí)行指定攻擊任務(wù),。

（4）以該員工電腦為跳板,，相關(guān)聯(lián)人員（包括IT與非IT等服務(wù)器管理員）的主機相繼被攻陷，攻擊者成功竊取到部分SecurID技術(shù)及客戶資料,。

（5）RSA發(fā)現(xiàn)開發(fā)用服務(wù)器（Staging server）遭入侵并展開調(diào)查,，攻擊者發(fā)現(xiàn)后立即撤離，加密并壓縮所有資料通過FTP傳送至遠程主機,，隨后清除入侵痕跡,。

（6）在拿到SecurID信息后,，攻擊者開始對使用SecurID的公司展開下一輪攻擊。

四,、 APT攻擊防范

分析APT攻擊事件,，APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，檢測APT攻擊必須密切關(guān)注攻擊者所執(zhí)行的所有刺探行為以及釋放惡意代碼的每一個細節(jié),，包括系統(tǒng)功能完整性,、系統(tǒng)日志,、命令與控制通道,、0day安全風險、社會工程學手法,、受害人,、攻擊活動頻率等信息。針對單一攻擊事件,，安全人員可以利用現(xiàn)有技術(shù)手段快速定位攻擊源頭并作出對應(yīng)的安全防御策略,，然而這些傳統(tǒng)技術(shù)手段卻無法及時發(fā)現(xiàn)并準確提取APT攻擊的屬性與特征。針對APT攻擊行為的防范需要構(gòu)建一個多維度的安全模型,，既有技術(shù)層面的檢測手段,，也包含用戶安全意識的提高。

圖3.端到端立體安全防護網(wǎng)絡(luò)

合理分區(qū),，構(gòu)建端到端立體安全防護網(wǎng)絡(luò)

通過部署分層控制來實現(xiàn)深度網(wǎng)絡(luò)安全防御的方法是幫助企業(yè)抵御APT攻擊的最佳方法,。網(wǎng)絡(luò)規(guī)劃時需要根據(jù)不同業(yè)務(wù)的安全等級進行分區(qū)隔離，充分考慮終端接入安全,、通信線路安全,、內(nèi)網(wǎng)安全防護及應(yīng)用系統(tǒng)安全等多個緯度，結(jié)合嚴格的訪問控制,、通信線路加密,、安全域隔離及應(yīng)用層安全掃描與防護等技術(shù)手段，構(gòu)建端到端立體安全防護網(wǎng)絡(luò),，在關(guān)鍵路徑上層層把關(guān),，增加入侵者對內(nèi)部網(wǎng)絡(luò)進行探測及侵入核心數(shù)據(jù)的難度。

重視審計,，預判安全風險

網(wǎng)絡(luò)數(shù)據(jù),、用戶行為及系統(tǒng)運行狀態(tài)的審計與分析是預防安全風險的有效補充。關(guān)注系統(tǒng)訪問權(quán)限的控制,，確認每一個開放連接的用途,，持續(xù)對各系統(tǒng)進/出數(shù)據(jù)流進行有效的監(jiān)控，定期進行系統(tǒng)安全風險評估,，及時更新系統(tǒng)相關(guān)安全補丁,，構(gòu)建安全配置基線并定期進行審視,，通過SOC系統(tǒng)收集匯總?cè)W(wǎng)日志進行智能關(guān)聯(lián)分析，及時發(fā)現(xiàn)可疑行為并通過有效的技術(shù)手段進行封堵,，將可能的安全風險扼殺于萌芽狀態(tài),。

提高人員安全防范意識

特洛伊木馬屠城的戰(zhàn)例告訴我們，堅不可摧的堡壘往往都是從內(nèi)部被攻破的,，提高人員的安全防范意識對抵御APT攻擊起著至關(guān)重要的作用,。2010年7月爆發(fā)的超級工廠蠕蟲病毒（Stuxnet）就是通過一個授權(quán)用戶的閃存驅(qū)動器來侵入伊朗核設(shè)施物理隔離邊界的控制，進而入侵內(nèi)部網(wǎng)絡(luò)展開進一步的攻擊,。安全是一個系統(tǒng)工程,，通過安全防范教育計劃提升人員安全防范意識是這個工程中一個重要的環(huán)節(jié)。避免使用系統(tǒng)默認配置及過于簡單的密碼,，不要在網(wǎng)絡(luò)中泄漏個人信息,，不要隨便打開陌生的郵件或訪問未知的URL鏈接，這些簡單的安全防范意識可以幫助我們避免遭受釣魚,、仿冒欺騙等社會工程學攻擊,，使APT攻擊的發(fā)起者因找不到突破口而放棄攻擊。

結(jié)束語

技術(shù)的發(fā)展日新月異,，新技術(shù)的應(yīng)用總會伴隨產(chǎn)生新的安全問題,。在經(jīng)濟誘惑及政治的雙重驅(qū)使下，信息安全地下產(chǎn)業(yè)的規(guī)模在日漸壯大,。作為系統(tǒng)信息安全的管理者,，只有持續(xù)跟蹤信息安全領(lǐng)域技術(shù)的發(fā)展及相關(guān)安全動態(tài)，及時調(diào)整系統(tǒng)以適應(yīng)新的安全形勢需要,，才能防患于未然,，使系統(tǒng)得以安全有效的運行。