长期潜伏的恶意网络安全商业间谍

NO.1 小白剧场

小白:
　东哥，我最近比较喜欢看间谍片，你有什么好的推荐吗？
大东:
　间谍片我看得比较少，不过说到间谍，我想考考你，你知道APT是什么吗？
小白:
　东哥既然这么问，那它多半是个病毒吧！
大东:
　回答错误，看来你不太知道，那我给你讲讲吧。
小白:
　好的，小板凳上坐好听东哥讲课。

NO.2 大话始末

大东:
　APT是英文Advanced Persistent Threat的简称。
小白:
　那这个英文是啥意思呢？
大东:
　小白，你的英语还有待提高啊。
小白:
　从小英语就不好，可能我语言天赋太弱了，所以东哥，以后讲课的时候最好多讲点英文方面的术语，这样我也好提升一下英文水平。
大东:
　没问题，那就从这个词开始讲吧，这个词的意思是高级持续性威胁。它主要使用一些攻击手段对特定的目标进行长期的并且持续的攻击，并且这种攻击形式要更加高级与先进。
小白:
　它的高级性体现在哪里呢？
大东:
　APT在发起攻击之前就会对攻击对象的业务流程和目标系统进行精确的搜集。
小白:
　信息搜集应该是发起一次网络攻击的前提吧。
大东:
　没错，信息搜集在整个攻击过程中占用的时间是最多的，精确全面的信息搜集可以为后期的攻击提供很大的便利。
小白:
　既然信息搜集是网络攻击的前提，那这样也看不出它的高级性呀。
大东:
　我刚才还没有讲完，就是想看看你能不能主动地发现问题并提出问题。
小白:
　哈哈，没想到我这么优秀吧，是不是通过东哥你的审核了呢？
大东:
　小白，积极思考的态度值得表扬，来，送你一朵小红花。
小白:
　谢谢东哥的表扬，东哥，你继续讲刚才没讲完的内容吧。
大东:
　既然小白同学这么积极，那我只好恭敬不如从命了。APT组织在信息收集的过程中，会主动挖掘被攻击对象的受信系统和应用程序的漏洞，之后就可以利用这些挖掘到的漏洞攻击目标用户了。
小白:
　那它的持续性体现在哪里呢？
大东:
　有的APT组织为了攻击指定的目标，会花费近十年的时间。
小白:
　十年！这可真够有毅力的。
大东:
　其实APT组织最可怕的地方恰恰是其持续性，任何一个人被这样一个如此有毅力的黑客组织瞄上，都不会太轻松的。
小白:
　那它发起攻击是为了盗取资料吗？
大东:
　对，APT从另一个角度来看可以说是一种蓄谋已久的“恶意商业间谍威胁”。黑客的目的是窃取国家、企业内部的核心资料。这种攻击行为往往会经过长期的经营与策划，从而严重地威胁企业的数据安全甚至国家的网络安全。
小白:
　这么厉害，那它的隐蔽性是不是很强？
大东:
　没错，小白你猜得很准，APT的攻击手法在于隐匿自己，其本身具备高度的隐蔽性。
小白:
　那为什么APT组织会跟间谍挂钩呢？
大东:
　因为像这种针对特定对象，长期、有计划性和组织性地窃取数据的行为（而且这种行为还发生在数字空间中），其实就是一种典型的网络间谍行为。
小白:
　那它以何种方式窃取企业甚至国家的数据呢？
大东:
　APT入侵系统的途径多种多样，主要包括以下几个方面：以智能手机、平板电脑等移动设备为中介入侵企业信息系统。
小白:
　那APT攻击屡屡成功的原因是什么？
大东:
　许多APT攻击成功的重要原因之一就是社交工程恶意邮件的存在，这些恶意邮件几乎难辨真假。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键原因都与普通员工收到社交工程的恶意邮件有关。黑客刚一开始就针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。
小白:
　太恐怖了，那还有没有其他的方法？
大东:
　当然有了，利用防火墙、服务器等系统漏洞获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。总之，APT正在通过一切方式，绕过基于代码的传统安全方案（如防病毒软件、防火墙、IPS等），并更长时间地潜伏在系统中，让传统防御体系难以侦测。
小白:
　东哥，你认为APT攻击最大的威胁是什么？
大东:
　APT攻击最大的威胁前面我们也有提过，就是它的潜伏性和持续性，这些攻击和威胁可能存在于用户的环境之中一年之久甚至更长。
小白:
　持续这么久难道防御系统都不会发现吗？
大东:
　APT攻击具有持续性很高的特征，这让企业的管理人员无从察觉。在此期间，这种持续性体现在攻击者不断尝试各种攻击手段，以及渗透到网络内部后长期蛰伏等方面。
小白:
　那攻击者是如何长期潜伏并获取数据的？
大东:
　攻击者会建立一个类似僵尸网络（Botnet）的远程控制架构，然后定期传送有潜在价值文件的副本给命令和控制服务器（C&C Server）审查。服务器将过滤后的敏感机密数据利用加密的方式外传。我来给你仔细讲讲它的过程吧。
小白:
　好的！
大东:
　恶意的电子邮件被攻击者发送给一个组织内部的收件人。例如，CryptoLocker就是一种感染方式，它也被称为勒索软件。它的攻击目标是采用Windows操作系统的个人计算机，CryptoLocker会在本地磁盘上进行文件的加密和网络磁盘的映射。如果用户不乖乖地交赎金，它就会删除加密密钥，使用户没有办法访问自己的数据。
小白:
　这个方法就有点恐怖啦。
大东:
　这只是其中一个方法，还有两个方法，一个是攻击者会攻击一个组织中用户经常访问的网站。著名的Gameover Zeus就是一个例子，一旦进入网络，它就能使用P2P通信去控制受感染的设备。另一个是攻击者会通过一个直连物理设备（如感染病毒的U盘）攻击网络。
小白:
　进入组织内部以后它怎样窃取数据呢？
大东:
　一旦进入组织内部，几乎在所有的攻击案例中，恶意软件执行的第一个重要操作都是使用DNS从一个远程服务器上下载真实的APT。在成功实现恶意目标方面，真实的APT比初始感染要强大许多。
小白:
　那杀毒软件察觉不到这些恶意行为吗？
大东:
　在下载安装之后，APT会禁用运行在已感染计算机上的杀毒软件或类似软件，不幸的是，这个操作并不难。然后，APT通常会收集一些基础数据，再使用DNS连接一个命令与控制服务器，接收下一步的指令。
小白:
　那么多数据，攻击者要如何将其转移到自己的计算机上呢？
大东:
　这个问题问得很好，因为攻击者可能在一次成功的APT中发现数量达到太字节（TB）级的数据。在一些案例中，APT会通过接收指令的相同命令与控制服务器来接收数据。然而，通常这些中介服务器的带宽和存储容量不足以在有限的时间范围内传输完数据。
小白:
　所以黑客用的是什么样的方法呢？
大东:
　因为传统数据传输还需要更多的步骤，而步骤越多就越容易被人发现，所以APT通常会直接连接另一个服务器，将它作为数据存储服务器，再将所有盗取的数据上传到这个服务器中。最后这个阶段一样会使用DNS。

NO.3 小白内心说

小白:
　真可怕！有没有什么办法能防止数据被盗？
大东:
　有很多方法呀，例如使用威胁情报，它包括APT操作者的最新信息，从分析恶意软件获取的威胁情报，已知的不良域名，恶意电子邮件地址、附件、主题行，以及恶意链接和网站。
小白:
　那我们应该怎样具体地利用威胁情报呢？
大东:
　建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享、网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。
小白:
　这样做有什么用呢？
大东:
　这样可以关闭恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。而且企业还应收集和分析对关键网络和主机的详细日志记录以检查异常行为，详细的日志记录应保留一段时间以便进行调查；还应该建立与威胁情报匹配的警报。企业还应聘请安全分析师。
小白:
　安全分析师是做什么的？
大东:
　安全分析师的作用是配合企业进行威胁情报、日志分析以及提醒企业对APT进行积极防御。
小白:
　这个方法有点难懂，东哥可不可以介绍点简单的方法？
大东:
　当然可以了，其实我们还可以使用cookie管理技术，特别是对企业的Web站点。
小白:
　cookie的作用是什么？
大东:
　当你成功登录一个网站时，服务器会返回一个认证（即cookie）给浏览器，然后你再次进入与这些网站界面相关的网页时，可以直接通过cookie登录，这样可以持续一段时间，除非你把cookie删除。
小白:
　这个cookie还是挺实用的，但是如果泄露或被盗取是不是有风险呀？
大东:
　没错，小白，你这个问题问得非常好，这说明你认真思考了。现在确实有很多类型的攻击可以盗取cookie。
小白:
　能不能详细地说一下盗取cookie的方式？
大东:
　这个有很多，一时半会儿讲不完，下次我再跟你讲，我们还是继续讨论如何防止数据被盗吧。
小白:
　嗯嗯，那还有其他的方式来防御吗？
大东:
　当然了，我们可以使用安全套接字协议（Secure Sockets Layer，SSL）技术。
小白:
　这个技术又是什么？我感觉自己懂的东西好少呀。
大东:
　SSL技术是一种加密技术，它是一种特别简单的保密机制。
小白:
　怎么判断是否使用了SSL技术呢？
大东:
　其实SSL技术主要用在Web网站中，如果你发现一个网站的前缀是“HTTPS”，那它使用的就是SSL技术。
小白:
　为什么SSL技术可以加密呢？
大东:
　一个SSL连接，可以将数据打乱后再发布到一个网站。如果你正在阅读或发送电子邮件，SSL连接将隐藏你与任何计算机或路由器的关系。如果你要通过一个公共场所的Wi-Fi上网，同样的道理，使用SSL可以阻止网站或其他任何人访问你的计算机。
小白:
　听了个半懂，先记好笔记，以后学明白了再回来看，感觉收获会更大。
大东:
　嗯，小白，加油