Whats APT：浅谈APT攻击

最新推荐文章于 2024-06-14 10:23:36 发布

鹏阿鹏

最新推荐文章于 2024-06-14 10:23:36 发布

阅读量921

点赞数

文章标签：安全网络 web安全

原文链接：https://www.freebuf.com/160412.html

版权

文章目录

转载：https://www.freebuf.com/160412.html
本文作者：Torjan，来自FreeBuf.COM

APT(Advanced Persistent Threat):高级持续威胁，主要特点是利用手段高，攻击持续，高危害。换句话说其实当于持续性高级渗透，加上恶意的目的或者谋取利益的想法时，就成了威胁，而APT防御一般出现于酒足饭饱之后。

1 APT到底是什么？

APT:高级持续威胁（Advanced Persistent Threat),普遍认可的定义是，利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。也就是说很难去确定是不是APT攻击，只能从已发生过的APT攻击事件，分析其特点，进而与上述解释性概念相关联，得出APT攻击的一般规律。大致有这些规律：

高度目的性
高度隐蔽性
高度危害性
目标实体化

APT攻击大致包含以下内容：

目标 - 威胁的最终目标
时效性 - 探测和访问系统的时间
资源 - 事件中使用的知识和工具的级别（技能和方法将会影响到这一点）
风险容忍度 - 为了不被发现而受到威胁的程度
技巧和方法 - 整个活动中使用的工具和技巧
行动 - 威胁或许多威胁的确切行动
攻击起点 - 事件发生点的数量
参与攻击的人数 - 事件涉及多少个内部和外部系统，有多少人的系统具有不同的影响/重要性权重
信息来源 - 通过在线信息收集来识别关于任何特定威胁的任何信息的能力（可以通过一点积极主动的方式找到）

通过拆开APT（Advanced Persistent Threat）来进行分析，我们可以这样看待一个APT：

高级Advanced- 威胁背后的运营商拥有全方位的情报收集技术。这些可能包括计算机入侵技术和技术，但也延伸到传统的情报收集技术，如电话拦截技术和卫星成像。虽然攻击的各个组件可能不被归类为特别“高级”的攻击技术（例如恶意软件），从通常可用的自己动手构建的恶意软件工具包，或者使用容易获得的漏洞，APT攻击人员通常可以根据需要访问和开发更高级的工具。他们经常结合多种定位方法，工具和技术，以达到并保持对目标的访问。
持续Persistent - APT攻击一方优先考虑某项具体任务，而不会投机取巧地寻求获取财务或其他收益的信息。这个意味着攻击者是由外部实体引导的。攻击的针对性是通过持续监控和互动来实现的，以达到既定的目标。这并不意味着需要不断的攻击和恶意软件更新的攻势。事实上，“低级”的做法通常更成功。如果APT攻击方失去对目标的访问权限，他们通常会重新尝试访问，而且通常是成功的。APT攻击方的目标之一是保持对目标的长期访问，而不会仅仅满足于短时间的访问权限。
威胁Threat - APT是一个威胁，因为他们有能力和意图。APT攻击是通过团队协作来执行的，而不是通过无意识和自动化的代码。并且APT攻击方都有一个特定的目标，同时他们技术精湛，积极主动，有组织有目的，资金充足，所以有大多数的APT攻击都是针对其他国家的，也被视为一种间谍活动。

通过这些APT攻击特征，可以得到以下结论：一是高价值信息网络系统是实施APT攻击的主要目标，也是应重点设防目标；二是攻击过程不可能采用单一攻击技术，防护技术应综合运用；三是攻击持续时间长，重要系统应长期设防；四是社会工程学被广泛使用，必须内防与外防并重，技术防范与管理制度并举的防范策略。

最后，用我自己的话总结一下：一些目的性极强，攻击方式极为先进，复杂多样，至少是在漏洞圈子公开之前就已经利用了，最后是攻击时间跨度较长，攻击隐蔽的攻击。最好的判断方式就是根据业务级别来确定被攻击资产的重要性，把每一次异常都当成APT是保持一个安全攻城狮应有的意识！(但不要当成了APT事件处理了)

2 APT的一些知名论坛，团体

目前业界比较流行的防御APT思路有三种：

1、采用高级检测技术和关联数据分析来发现APT行为，典型的公司是FireEye；

2、采用数据加密和数据防泄密(DLP)来防止敏感数据外泄，典型的公司是赛门铁克；

3、采用身份认证和用户权限管理技术，严格管控内网对核心数据和业务的访问，典型的公司是RSA。

至于其他说什么人工智能，机器学习防止APT，都还在发展阶段，而题主觉得防御应该是从基础传统防御到到云大物移四个层面，最后到人工智能，这些都是基础环境，技术层面的防御措施。

3 APT有哪些攻击阶段？

所谓攻击阶段只是在进行黑客攻击中典型的攻击手段和形式，不一定界限清晰，但都有迹可循。

题主最早了解阶段是从我们最常见的大规模，也是比较简单的一个类似于黑客渗透攻击阶段模型：信息收集，攻击阶段，提权阶段，后渗透阶段，销声匿迹。

但APT攻击会更加系统，分布，协作，一般分成信息收集，武器化部署，传递载荷，利用，安装，命令和控制，执行

而杀伤链一般是6个阶段：发现-定位-跟踪-瞄准-入侵-完成，APT攻击模型Cyber-Kill-chain与之对应

4 APT分析模型：Cyber-Kill-Chain攻击杀伤链

对于混迹于安全圈的我们来说，洛克希德-马丁的网络杀伤链（Cyber-Kill-Chain，也被我们称网络攻击生命周期），专门用来识别和防止入侵。然而，攻击模式会一直变化，就拿Valut7来说，里面提到的攻击模型，都是在08年就已经开始在使用，而却在16年，17年才被曝光，可想而知，攻防之间的时间差是多么的严峻，所以我不给予希望一个Kill-Chain能够带来多大的安全防护，而重在开拓视野，最好能未雨绸缪，如今，Valut8已经曝光，企业安全，似乎远远没有我们想象的那么安静。

网络攻击杀伤链模型用于拆分恶意软件的每个攻击阶段，在每个阶段有对应的特征用于识别，但用我后面会提到的一句：堵不如疏，殊途同归，具体如何，后面会具体说说我自己的理解，现在先简单说说Cyber-Kill-Chain的每个阶段。

4.1 什么是网络攻击杀伤链（Cyber-Kill-Chain）？

“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，理论上也可以用来预防此类攻击（即反杀伤链）。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。

在越早的杀伤链环节阻止攻击，防护效果就越好。例如，攻击者取得的信息越少，这些信息被第三人利用来发起进攻的可能性也会越低。

洛克希德-马丁公司提出的网络攻击杀伤链Cyber-Kill-Chain与此类似，本质是一种针对性的分阶段攻击。同样，这一理论可以用于网络防护，具体阶段如下图所示：

在这里插入图片描述
Cyber-Kill-Chain

这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境，需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后，企业需要第一时间获悉，为此企业可以设置攻击警报。

另一个需要牢记的点是：在越早的杀伤链环节阻止攻击，修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止，那么企业就不得不修理设备并核验泄露的信息。

要想明确杀伤链技术是否适合自己的企业，不妨通过杀伤链模型的几个阶段入手，来发现企业应当核实的问题。

4.2 网络攻击杀伤链的各个阶段

4.2.1 RECONNAISSANCE 识别目标，信息收集
在这个阶段，犯罪分子试图确定目标的好坏。他们从外部了解企业的资源和网络环境，并确定是否值得攻击。最理想的情况是，攻击者希望目标防备薄弱、数据价值。罪犯可以找到的信息门类，以及这些信息如何被使用。

企业的信息价值往往超出他们想象。雇员的姓名和详细信息（不仅是企业网站，而且包括社交网站的信息）是否在网端存储？这些信息可以用来进行社会工程用途，比如，让人们透露用户名或密码。企业的网站服务器或物理位置是否接入网络吗？这些也可以用于社会工程，或帮助攻击者缩小企业环境漏洞的寻找范围。

这个层面上的问题很难处理，社交网络的普及让它变得尤为棘手。将敏感信息隐藏起来是一个廉价的改善方式，虽然这也增加信息调用的时间成本。

	攻击方	防御方
特点	攻击方的攻击计划阶段。他们进行研究，以了解其目标，使他们能够实现自己的目标	探测侦察，因为它发生是非常困难的，但是，当守军发现侦察 - 事后甚至好 - 它可以揭示了攻击方的意图。
常用攻击/防御方式	获取电子邮件地址，确定员工社交媒体网络，收集新闻稿，合约奖励，会议出席者名单，探索放在公网上运行的服务器	收集网站访问者日志警报和历史搜索，与网站管理员合作对其现有浏览器进行分析，建立浏览异常、行为独特的检测机制，优先周围的防御，特别是基于技术和人的侦察活动。

4.2.2WEAPONIZATION 武器化准备工作
这些阶段是攻击者用工具攻击被选目标的具体过程，他们收集的信息将被用于恶意行为。他们手头的信息越多，社会工程攻击就越无缝可击。通过员工在LinkedIn上的信息，他们可以用鱼叉式钓鱼获得公司内部资源。或者，他们可以把远程访问木马提前嵌入可能会录入重要信息的文件里，以诱使接收者运行它。如果他们知道用户或服务器运行的软件信息，比如操作系统版本和类型，他们在企业网络里渗透和布置的把握就大大增加。

就这些阶段的防御而言，企业应当参照标准安全专家的建议去做。

企业的软件是否达到最新？这需要具体到每台终端上的每个应用。大多数公司都有某个小角落还用着老式台式机，系统仍然用的是Windows 98。如果这台设备接入网络，无异于对攻击者门洞大开。

企业使用电子邮件和网页过滤功能吗？电子邮件过滤可以有效阻止攻击中常用的文档类型。如果企业的文件必须用某种标准发送，比如密码保护的ZIP文件，这可以让用户了解文件是否无误。网页过滤则可以防止用户访问已知的不良网站或域名。

企业禁用USB设备吗？从安全的角度来看，让文件不需许可就运行绝非什么好主意。最好在运行前，确保给用户有时间暂停和思考他们所看到的情况。

企业使用端点保护软件的最新功能吗?虽然端点保护软件不是为了应对新型针对性攻击而设计，但是它们常常根据已知的可疑行为或软件漏洞来捕捉威胁。

		攻击方	防御方
	特点	这是攻击方准备工作和分步阶段。恶意软件的生成可能不会用手工完成的-他们使用自动化的工具。一系列武器化准备的恶意软件和攻击再加上武器化的“军火商”，直到攻击达到payload。	这是捍防御方应该了解的重要阶段。虽然它不能检测到攻击部署的发生过程，但这是通过分析恶意软件的一个部分：针对攻击部署的工具检测，这类检测往往是最持久的和有弹性的防御。
常用攻击/防御方式	获得“军火商”的帮助，无论是在公司内部还是通过公共或私人渠道获得，基于文件的攻击，选择“钓鱼”文件呈现给受害者，选择合适的后门植入，命令控制目标基础设施，设计一个特定的“任务ID”并在恶意软件嵌入，编译和后门：工具payload。	进行全面的恶意软件分析 - 而不仅是payload，还应该包括payload的实现，建立攻击源检测 - 找到新的活动和新的有效载荷仅仅是因为他们重新使用攻击工具包（“军火库”），分析恶意软件的时间线：什么时候创建的？什么时候使用的？有时新的恶意软件是由旧的恶意软件合成的，但新的恶意软件可能就意味着活跃，针对性，收集文件和元数据供日后分析，确定攻击“军火库”的来源：可以通过分享常见的APT活动，或者内部共享。

4.2.3传递：传递载荷，启动运行

	攻击方	防御方
特点	在攻击方向目标传达了恶意软件之后。都将开始执行进一部分攻击操作。	这是防御方阻止该操作的第一个也是最重要的机会。有效性的关键措施是阻断入侵尝试和工具传递的重要部分
常用攻击/防御方式	攻击方控制下传递载荷：直接针对Web服务器，攻击方释放载荷：恶意电子邮件，恶意软件的USB存储，社交媒体互动，“水坑式”钓鱼网站攻击	分析和理解载荷传递的介质 - 关注上层的基础设施主要是关键基础设施，了解目标服务器和相关人员，他们的角色和责任，可用的信息，根据攻击方载荷情况推断攻击方的意图，分析“军火库”攻击载荷在传递区域检测新的恶意代码，分析在一天中的什么时间段对方开始行动，收集电子邮件和网络日志，还原取证。即使后期检测到入侵，防御方必须能够确定何时以及如何开始传递载荷。

4.2.4利用获取目标访问权限

	攻击方	防御方
特点	攻击方利用一个漏洞来获得访问权限（实际上可能会运用多个漏洞）。“0day”指的就是此步骤中使用的攻击漏洞。	这里部署的一般是传统的防御措施，同时针对“0day”，“1day”，“Nday”等类型的漏洞增加弹性，定制化的防御能力
常用攻击/防御方式	软件，硬件，或人类的脆弱性，获取或发现“0day”漏洞，攻击方利用基于服务器的安全漏洞，受害者触发漏洞：点击恶意电子邮件，点击恶意链接	用户安全意识培训和员工的电子邮件测试。以及邮箱服务器防护，Web开发人员的对于安全编码培训，定期扫描漏洞和渗透测试，端点防御措施：限制管理员权限，使用Microsoft EMET，自定义端点规则阻断shellcode执行，端点登录审计过程，取证确定攻击源。

4.2.5安装：在目标建立堡垒

		攻击方	防御方
	特点	通常情况下，攻击方安装一个持续后门或植入，可以长时间访问目标的工具	终端防御检测和记录“异常”安装活动。恶意软件分析过程中分析安装阶段的行为可以缓解攻击。
常用攻击/防御方式	Web服务器上安装木马后门，在目标客户端安装后门和植入，在目标上创建持续运行的服务，或者自启的服务和进程等等，有些攻击者会让一些“时间点”的文件，让恶意软件看起来它就是操作系统安装的一部分。	一个好的建议：关注通用软件安装路径，例如RECYCLER，了解恶意软件是需要特权账户还是一般用户的权限，终端接入审计：去发现异常文件的创建，所有的摘录证书，主要是包含签名的可执行文件，了解恶意软件的编译时间，以确定它是旧的还是新出现的恶意软件。

4.2.6命令和控制（C2）：远程控制和植入
一旦威胁在企业的网络环境里扎根，它的下一个任务是给老窝打电话并等待指示。它可能下载额外的组件，更有可能的是通过C&C通道联系一个僵尸网络主控机。无论哪种方式，这都要求网络流量，这意味着企业必须扪心自问：防火墙是否设置了新项目进行网络通信的警报？

如果威胁已经实现了这些，它将对机器进行更改并将耗费IT工作人员对大量精力。有些公司或行业要求诊断受影响的机器上哪些数据被窃取或篡改。受影响的机器需要进行清洗或重置。如果数据已经备份，或者有可以快速加载到机器的标准企业模式，修复工作的成本和时间损耗就会有所降低。

有些攻击会另辟蹊径

去年的攻击状况已经充分证明了一点：攻击者不会严格按照游戏流程来——他们可能跳过步骤、添加步骤，甚至重复之前的步骤。最近的一些最具破坏性的攻击事件都是如此，这些攻击之所以能绕过安全团队耗费多年精心打造的防御体系，是因为它们有不同的流程安排。

“符合洛克希德-马丁公司的杀伤链的恶意行为被重点关注，这也让某些攻击隐形了。”Kudelski Security的全球管理服务副总裁Alton Kizziah说。

数据中心安全的领军者Alert Logic的合伙人、产品营销高级经理Misha Govshteyn指出：“杀伤链从来不能彻底符合我们看到的种种攻击。”

根据2017年威瑞森的数据泄露调查报告，今年，网络程序攻击成为了数据泄露的最常见形式，在数据泄露案例中占到了近三分之一。常见方法是利用应用程序自身的漏洞。最近的Equifax数据泄露事件就是典型例子。这种攻击很难发现。在两个月里，Equifax未在网站上发现可疑的网络流量。“通常到了数据外泄的时候，企业才能察觉。”Positive Technologies的网络安全弹性主管Leigh-Anne Galloway说。“或者，可能需要一个第三方的实体，例如某个客户，来提醒企业出了问题。”Equifax泄露案可以追溯到Apache Struts Web服务器软件中的一个漏洞。如果公司安装了这个漏洞的安全补丁，这个问题可能会避免，但是有时软件更新本身就是恶意攻击的桥梁，9月发生的CCleaner被黑事件就是一例。零日漏洞也是大麻烦。根据Contrast Security的共同创始人兼首席技术官杰夫·威廉姆斯的观点，平均每个软件应用和api拥有26.8个严重漏洞。“这是一个惊人的数字，”他说。“公众对Equifax感到愤怒，但事实是，几乎所有的公司在应用程序层都是不安全的。我们发现，世界各地有成千上万的IP地址正在进行的应用攻击尝试，这一现象正在扩散。”

要抵御这类攻击，企业必须缩短补丁的安装延迟。“过去的时候，直到应用程序漏洞被披露后的数周或数月，针对性的攻击才会出现，”他说，“但是今天，安全窗口已经只有一天左右，而在2018年，这一时间可能进一步缩减到几个小时。”他补充说，企业也需要开始将安全控件直接嵌入到应用程序里。这被称为应用程序的运行自保，Gartner预测这一细分市场的复合年增长率为9%。

“安全需要更贴近应用程序，需要深入了解程序的核心进程和内存使用量，”Virsec Systems的创始人和首席技术官Satya Gupta说。“新的流程控制技术将嵌入到应用程序层面，能理解应用的协议和环境，可以将可接受的应用程序流程绘制出来（就像谷歌地图）。如果应用程序应该从A点走到B点，但是却出现了一段意外的路程，那么肯定出错了。”

攻击者也可以利用被泄露的身份信息或强度弱的密码。这一过程不需要安装恶意软件，也不用与C&C服务器通信，不会产生横向操作。“寻找一份泄露的数据库或Amazon S3数据意味着攻击可以简便完成，从而避免和防御者交锋。”Obsidian Security的首席技术官Ben Johnson说。根据RedLock本月发布的一份报告，53%的组织使用Amazon S3等云存储服务，这至少导致了一个意外结果，即数据暴露在公众面前。今年夏天的早些时候，Skyhigh Networks报道称，7%的企业使用的所有AWS S3数据可以无限制访问，另有35%的企业未对数据加密。由于数据是通过合法渠道传出，数据防泄露可能无法检测这种行为。Govshteyn说：“企业需要专门的工具来保护针对网络应用程序的攻击。”DOS攻击也难以被杀伤链解释。“攻击者仍需选择目标，所以必须进行侦察阶段。”Cybereason的首席安全官Sam Curry说。但是在准备之后，攻击者将直接跳转到中断阶段。他补充说DOS攻击也可能只是攻击的第一步，用来掩盖其他恶意行为。“当系统崩溃时，攻击者可以创建一个漏洞，”他说，“或者创建一个高信噪的筛选器，来掩盖痕迹或破坏系统的信号发现能力。”他说，攻击者也可以添加步骤到游戏流程里。例如，他们可以花时间清理痕迹、设置中断、传播虚假数据，或安装未来用得上的后门。他们也可以重新安排各步骤的顺序，或者重复之前的步骤。这不是一个简单的线性过程。这通常更像树状或根系的分支和蔓延，这一过程很复杂，会发生很多事情。

	攻击方	防御方
特点	恶意软件将打开通信信道，以使攻击方远程操作目标。向C2目标开放双向通信通道基础设施；	防御的最后一个最佳时机-阻止C2操作：“通过阻断C2通道”。如果攻击方不能通过通信信道发出命令，相应的防御方就可以实现阻断C2攻击
常用攻击/防御方式	最常见的C2渠道涉及web，DNS和电子邮件协议，C2基础设施可能被攻击方或目标自身所拥有	通过全面的恶意软件分析工具去发现部署和执行了C2的基础设施强化网络：汇总所有存在的互联网点，规范所有类型的代理流量（HTTP，DNS等）；自定义C2模块：网络代理协议；代理类模块，包括“none”或“未分类”的域；DNS穿透和域名服务器毒化防御；实施开源研究发现新的C2攻击方式。

4.2.7行动：使命必达，不达目的，誓不罢休
在拒绝服务攻击案例中，中断不一定是攻击的最后一步。在攻击者成功地破坏、瘫痪或渗入系统后，攻击者可以重复这一过程。也可以转移到另一个阶段——盈利。Preempt Security的首席执行官 Ajit Sancheti 认为，攻击者可能采取任意形式的组合。比如，他们可以通过破坏基础设施来进行广告欺诈或发送垃圾邮件、向企业勒索赎金、出售他们在黑市上获得的数据，甚至劫持基础设施出租给其他罪犯。“攻击的盈利已经急剧增加。”他补充说，比特币的使用让攻击者更简便、安全地得到钱，这导致了攻击动机的变化。不同群体的数量参与也让黑市上被盗数据的消费变得更加复杂。这也为企业、执法部门和其他组织创造了合作破坏这一过程的机会。以被盗的支付卡信息为例。“一旦信用卡数据被盗，这些数据必须被测试、出售、用于获取商品或服务，反过来这些商品或服务必须转换为现金。”Splunk公司的安全研究主管Monzy Merza说。这一切都早已超出了传统网络杀伤链的范畴。黑市生态系统也在影响了网络攻击周期中的攻击准备环节。攻击者们会分享身份凭证列表、漏洞或被修改的应用程序。

	攻击方	防御方
特点	激活键盘接入激活键盘接入，入侵者完成任务的目标。接下来会发生什么将取决于谁是在键盘上。	较长的攻击方有CKC7访问，更大的影响。包括网络数据包捕获，进行损失评估 - 防御方必须通过取证去尽可能快地检测到这一阶段
常用攻击/防御方式	收集用户凭据，权限提升，内部侦查，横向内网渗透，收集和传出数据，破坏系统，覆盖或破坏数据，偷偷修改数据	制定事件响应流程，包括行政参与和沟通计划。检测数据泄露，横向传输，未经授权证书的使用。即时响应分析反馈所有事件告警。预先部署监控节点端点快速分流。网络包捕获，还原攻击活动。让专家进行事件损害评估

转载：https://www.freebuf.com/160412.html
本文作者：Torjan，来自FreeBuf.COM