一,、什么是APT

高級(jí)持續(xù)性威脅(Advanced Persistent Threat,，APT)，APT（高級(jí)持續(xù)性滲透攻擊）是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類別,，通常使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊,，具有長(zhǎng)期經(jīng)營(yíng)與策劃、高度隱蔽等特性,。這種攻擊不會(huì)追求短期的收益或單純的破壞,，而是以步步為營(yíng)的滲透入侵策略，低調(diào)隱蔽的攻擊每一個(gè)特定目標(biāo),，不做其他多余的活動(dòng)來打草驚蛇,。

二、APT攻擊階段劃分

APT攻擊可劃分為以下6個(gè)階段:

• 情報(bào)搜集

• 首次突破防線

• 幕后操縱通訊

• 橫向移動(dòng)

• 資產(chǎn) / 資料發(fā)掘

• 資料外傳

（一）情報(bào)收集

黑客透過一些公開的數(shù)據(jù)源 (LinkedIn,、Facebook等等) 搜尋和鎖定特定人員并加以研究,，然后開發(fā)出客制化攻擊。

• 這個(gè)階段是黑客信息收集階段,，其可以通過搜索引擎,，配合諸如爬網(wǎng)系統(tǒng)，在網(wǎng)上搜索需要的信息,，并通過過濾方式篩選自己所需要的信息,；

• 信息的來源很多，包括社交網(wǎng)站,，博客,，公司網(wǎng)站，甚至通過一些渠道購(gòu)買相關(guān)信息（如公司通訊錄等）

  
  

（二）首次突破防線

黑客在確定好攻擊目標(biāo)后,，將會(huì)通過各種方式來試圖突破攻擊目標(biāo)的防線.常見的滲透突破的方法包括：

• 電子郵件,；

• 即時(shí)通訊；

• 網(wǎng)站掛馬；

• 通過社會(huì)工程學(xué)手段欺騙企業(yè)內(nèi)部員工下載或執(zhí)行包含零日漏洞的惡意軟件（一般安全軟件還無(wú)法檢測(cè)）,，軟件運(yùn)行之后即建立了后門,，等待黑客下一步操作。

（三）幕后操縱通訊

黑客在感染或控制一定數(shù)量的計(jì)算機(jī)之后,，為了保證程序能夠不被安全軟件檢測(cè)和查殺,，會(huì)建立命令，控制及更新服務(wù)器（C&C服務(wù)器）,，對(duì)自身的惡意軟件進(jìn)行版本升級(jí),，以達(dá)到免殺效果；同時(shí)一旦時(shí)機(jī)成熟,，還可以通過這些服務(wù)器,，下達(dá)指令。

• 采用http/https標(biāo)準(zhǔn)協(xié)議來建立溝通,，突破防火墻等安全設(shè)備,；

• C&C服務(wù)器會(huì)采用動(dòng)態(tài)遷移方式來規(guī)避企業(yè)的封鎖

• 黑客會(huì)定期對(duì)程序進(jìn)行檢查，確認(rèn)是否免殺,，只有當(dāng)程序被安全軟件檢測(cè)到時(shí),，才會(huì)進(jìn)行版本更新，降低被IDS/IPS發(fā)現(xiàn)的概率,；

（四）橫向移動(dòng)

黑客入侵之后,，會(huì)嘗試通過各種手段進(jìn)一步入侵企業(yè)內(nèi)部的其他計(jì)算機(jī)，同時(shí)盡量提高自己的權(quán)限,。

• 黑客入侵主要利用系統(tǒng)漏洞方式進(jìn)行,；

• 企業(yè)在部署漏洞防御補(bǔ)丁過程存在時(shí)差，甚至部分系統(tǒng)由于穩(wěn)定性考慮,，無(wú)法部署相關(guān)漏洞補(bǔ)丁

• 在入侵過程中可能會(huì)留下一些審計(jì)報(bào)錯(cuò)信息,，但是這些信息一般會(huì)被忽略。

（五）資產(chǎn) / 資料發(fā)掘

在入侵進(jìn)行到一定程度后,，黑客就可以接觸到一些敏感信息,，可通過C&C服務(wù)器下發(fā)資料發(fā)掘指令：

• 采用端口掃描方式獲取有價(jià)值的服務(wù)器或設(shè)備；

• 通過列表命令,，獲取計(jì)算機(jī)上的文檔列表或程序列表,；

（六）資料外傳

一旦搜集到敏感信息，這些數(shù)據(jù)就會(huì)匯集到內(nèi)部的一個(gè)暫存服務(wù)器,，然后再整理,、壓縮，通常并經(jīng)過加密,，然后外傳,。

• 資料外傳同樣會(huì)采用標(biāo)準(zhǔn)協(xié)議(http/https,，SMTP等）

• 信息泄露后黑客再更具信息進(jìn)行分析識(shí)別,，來判斷是否可以進(jìn)行交易或者破壞,。

• 對(duì)企業(yè)和國(guó)家造成較大影響。

三,、APT防御的建議

（一）情報(bào)收集階段：在這個(gè)階段主要通過加強(qiáng)員工安全意識(shí)以及建議相應(yīng)信息防護(hù)規(guī)章制度來進(jìn)行,。

• 內(nèi)部教育：教育員工有關(guān)在社交網(wǎng)絡(luò)上公開太多信息的風(fēng)險(xiǎn)，尤其是工作相關(guān)的信息,。

• 小心謹(jǐn)慎 – 切勿在公開的個(gè)人網(wǎng)頁(yè)上透露自己的個(gè)人和工作信息,。

• 保持警戒 – 社交網(wǎng)絡(luò)缺乏面對(duì)面接觸的特性，很容易讓人卸下心防,，因而透露一些平常不會(huì)透露給陌生人的訊息,。

• 提防小人 – 因特網(wǎng)上遇到的人，很可能不是他們看起來的樣子,。

• 公司政策：封鎖社交網(wǎng)站或許不是解決此問題的最佳辦法,。不過，訂定一些有關(guān)社交網(wǎng)絡(luò)使用方式的公司政策并加強(qiáng)倡導(dǎo),，將有助于大幅降低鎖定目標(biāo)攻擊的風(fēng)險(xiǎn),。

（二）首次突破防線防御

針對(duì)黑客的首次突破，可采用以下方式進(jìn)行防御

• 尋找遭到滲透的跡象

大多數(shù) APT 攻擊都是使用魚叉式網(wǎng)絡(luò)釣魚,。因此,，檢查看看是否有遭到竄改和注入惡意代碼的電子郵件附件。檢查一下這些郵件,，就能看出黑客是否正嘗試進(jìn)行滲透,。可通過安全郵件網(wǎng)關(guān)來對(duì)外來郵件進(jìn)行檢查和識(shí)別,。

• 安全弱點(diǎn)評(píng)估

發(fā)掘并修補(bǔ)對(duì)外網(wǎng)站應(yīng)用程序和服務(wù)的漏洞,。

• 內(nèi)部教育

教育員工有關(guān)魚叉式網(wǎng)絡(luò)釣魚的攻擊手法，要員工小心可疑電子郵件,、小心電子郵件內(nèi)隨附的鏈接與附件檔案,。

（三）幕后操縱通訊防御

針對(duì)存在的幕后操縱通訊，可采用以下措施進(jìn)行檢測(cè)和防御

• 監(jiān)控網(wǎng)絡(luò)流量是否出現(xiàn)幕后操縱通訊

建置一些可掌握惡意軟件與幕后操縱服務(wù)器通訊的網(wǎng)絡(luò)安全控管措施,，有助于企業(yè)發(fā)掘遭到入侵的主機(jī),，并且切斷這類通訊。

• 識(shí)別判斷攻擊者幕后操縱服務(wù)器的通訊

企業(yè)可在沙盒隔離環(huán)境 (sandbox) 當(dāng)中分析內(nèi)嵌惡意軟件的文件 (如魚叉式網(wǎng)絡(luò)釣魚電子郵件的附件) 來判斷幕后操縱服務(wù)器的 IP 地址和網(wǎng)域,。

• 更新網(wǎng)關(guān)安全政策截幕后通訊

一旦找出幕后操縱服務(wù)器的網(wǎng)域和 IP 地址,，就可更新網(wǎng)關(guān)的安全政策來攔截后續(xù)的幕后操縱通訊。

（四）橫向移動(dòng)防護(hù)

針對(duì)APT攻擊的橫向移動(dòng),，可采取以下措施進(jìn)行防護(hù)

• 漏洞防護(hù)

「漏洞防護(hù)」是一種主機(jī)式技術(shù),，能偵測(cè)任何針對(duì)主機(jī)漏洞的攻擊并加以攔截,，進(jìn)而保護(hù)未修補(bǔ)的主機(jī)。這類解決方案可保護(hù)未套用修補(bǔ)程序的主機(jī),，防止已知和零時(shí)差 (zero-day) 漏洞攻擊,。

• 檔案/系統(tǒng)一致性監(jiān)控

黑客有可能留下一些蛛絲馬跡，如果系統(tǒng)安裝了能夠偵測(cè)可疑與異常系統(tǒng)與組態(tài)變更的一致性監(jiān)控軟件,，黑客有可能也會(huì)觸動(dòng)一些警示,。

• 限制并監(jiān)控使用者存取與權(quán)限的使用

黑客常用的一種手法是，搜集技術(shù)支持系統(tǒng)管理員的登入信息,，因?yàn)樗麄兘?jīng)常要權(quán)限較高的賬號(hào)來登入出現(xiàn)問題的端點(diǎn)系統(tǒng)/主機(jī),。將系統(tǒng)管理員的訪問權(quán)限與關(guān)鍵系統(tǒng)/數(shù)據(jù)的訪問權(quán)限分開，能有效預(yù)防黑客透過端點(diǎn)上的鍵盤側(cè)錄程序搜集高權(quán)限的賬號(hào)登入信息,。

• 運(yùn)用安全信息與事件管理 (Security Information & Events Management,，簡(jiǎn)稱 SIEM) 工具來輔助記錄文件 / 事件分析

對(duì)網(wǎng)絡(luò)上的事件進(jìn)行交叉關(guān)聯(lián)分析，有助于企業(yè)發(fā)掘潛在的黑客滲透與橫向移動(dòng)行為,。單一事件或個(gè)案本身雖不具太大意義,。但如果數(shù)量一多，就可能是問題的征兆,。

（五）資產(chǎn) / 資料發(fā)掘防御

針對(duì)APT對(duì)內(nèi)部資料進(jìn)行挖掘和探測(cè)的防御,，可采用以下防護(hù)措施：

• 運(yùn)用安全信息與事件管理 (Security Information & Events Management，簡(jiǎn)稱 SIEM) 工具來輔助記錄文件 / 事件分析

對(duì)網(wǎng)絡(luò)上的事件進(jìn)行交叉關(guān)聯(lián)分析,，有助于企業(yè)發(fā)掘潛在的黑客滲透與橫向移動(dòng)行為,。單一事件或個(gè)案本身雖不具太大意義。但如果數(shù)量一多,，就可能是問題的征兆,。

• 漏洞防護(hù)

「漏洞防護(hù)」是一種主機(jī)式技術(shù)，能偵測(cè)任何針對(duì)主機(jī)漏洞的攻擊并加以攔截,，進(jìn)而保護(hù)未修補(bǔ)的主機(jī),。這類解決方案可保護(hù)未套用修補(bǔ)程序的主機(jī)，防止已知和零時(shí)差 (zero-day) 漏洞攻擊,。

• 檔案 / 系統(tǒng)一致性監(jiān)控

黑客有可能留下一些蛛絲馬跡,，如果系統(tǒng)安裝了能夠偵測(cè)可疑與異常系統(tǒng)與組態(tài)變更的一致性監(jiān)控軟件，黑客有可能也會(huì)觸動(dòng)一些警示,。

（六）資料外傳防護(hù)

針對(duì)資料外傳的風(fēng)險(xiǎn),，一般可采用以下措施進(jìn)行防護(hù)：

• 加密和資料外泄防護(hù) (DLP)

• 將關(guān)鍵、敏感,、機(jī)密的數(shù)據(jù)加密,，是降低數(shù)據(jù)外泄風(fēng)險(xiǎn)的一種方法

• DLP 可提供一層額外的防護(hù)來防止數(shù)據(jù)外泄。然而,，這類工具通常很復(fù)雜,，而且有些部署條件,，例如：數(shù)據(jù)要分類，要定義政策和規(guī)則,。

• 事件管理制度建立

制定一套事件管理計(jì)劃來處理 APT 相關(guān)攻擊,。針對(duì) APT 的每一個(gè)攻擊階段清楚定義并實(shí)行因應(yīng)計(jì)劃，包括：評(píng)估,、監(jiān)控與矯正,。

四,、典型案例

• Google極光攻擊：2010年的Google Aurora（極光）攻擊是一個(gè)十分著名的APT攻擊,。Google內(nèi)部終端被未知惡意程序滲入數(shù)月，攻擊者持續(xù)監(jiān)聽并最終獲成功滲透進(jìn)入Google的郵件服務(wù)器,，進(jìn)而不斷的獲取特定Gmail賬戶的郵件內(nèi)容信息,，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

• RSA SecurID竊取攻擊：2011年3月,，EMC公司下屬的RSA公司遭受入侵,，公司關(guān)鍵技術(shù)及客戶資料被竊取。而此次APT攻擊就是利用了Adobe 的0day漏洞植入臭名昭著的Poison Ivy遠(yuǎn)端控制工具在受感染客戶端,，并開始自僵尸網(wǎng)絡(luò)的命令控制服務(wù)器下載指令進(jìn)行任務(wù),。

• 超級(jí)工廠病毒攻擊（震網(wǎng)攻擊）：超級(jí)工廠病毒的攻擊者并沒有廣泛的去傳播病毒，通過特別定制的未知惡意程序感染相關(guān)人員的U盤,，病毒以U盤為橋梁進(jìn)入“堡壘”內(nèi)部,，隨即潛伏下來。病毒很有耐心的逐步擴(kuò)散,，利用多種0 day一點(diǎn)一點(diǎn)的進(jìn)行破壞,。

• 韓國(guó)黑客入侵事件：2013年3月20，韓國(guó)多家銀行與其國(guó)內(nèi)三大電視臺(tái)大量計(jì)算機(jī)出現(xiàn)無(wú)法開機(jī)的問題,，受影響計(jì)算機(jī)超過3萬(wàn)臺(tái),，韓國(guó)花費(fèi)超過3天以上時(shí)間才恢復(fù)正常運(yùn)行。

五,、事件介紹

（一）Google極光攻擊

1.搜集Google員工在Facebook,、Twitter等社交網(wǎng)站上發(fā)布的信息；

2.利用動(dòng)態(tài)DNS供應(yīng)商建立托管偽造照片網(wǎng)站的Web服務(wù)器,，Google員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點(diǎn)擊,，含有shellcode的JavaScript造成IE瀏覽器溢出，遠(yuǎn)程下載并運(yùn)行程序,；

3.通過SSL安全隧道與受害人機(jī)器建立連接,，持續(xù)監(jiān)聽并最終獲得該雇員訪問Google服務(wù)器的賬號(hào)密碼等信息；

4.使用該雇員的憑證成功滲透進(jìn)入Google郵件服務(wù)器,，進(jìn)而不斷獲取特定Gmail賬戶的郵件內(nèi)容信息,。

（二）RSA SecurID竊取攻擊

1.攻擊者給RSA的母公司EMC的4名員工發(fā)送了兩組惡意郵件,，附件名為“2011 Recruitment plan.xls”；

2.在拿到SecurID信息后,，攻擊者開始對(duì)使用SecurID的公司展開進(jìn)一步攻擊,。

3.其中一位員工將其從垃圾郵件中取出來閱讀，被當(dāng)時(shí)最新的 Adobe Flash的0day漏洞（CVE-2011-0609）命中,；

4.該員工電腦被植入木馬,，開始從BotNet的C&C服務(wù)器下載指令執(zhí)行任務(wù)；

5.首批受害的使用者并非“位高權(quán)重”人物,，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑,；

6.RSA發(fā)現(xiàn)開發(fā)用服務(wù)器（Staging server）遭入侵，攻擊方立即撤離,，加密并壓縮所有資料并以FTP傳送至遠(yuǎn)程主機(jī),，隨后清除入侵痕跡；

（三）韓國(guó)黑客入侵事件

根據(jù)韓國(guó)最終發(fā)布的分析報(bào)告認(rèn)為,，此次攻擊持續(xù)時(shí)間長(zhǎng)達(dá)8個(gè)月,，從最初的入侵到最后爆發(fā)，黑客先后在韓國(guó)計(jì)算機(jī)中植入了76中惡意程序,，其中9中具有破壞性,，其余主要用于監(jiān)控，掃描,，入侵使用,。是一起典型的APT攻擊行為。4月韓國(guó)發(fā)布的最終受影響計(jì)算機(jī)數(shù)量由之前的3萬(wàn)2千臺(tái)上升至4萬(wàn)8千臺(tái),。