再谈APT攻击

CNRio

已于 2022-04-07 12:22:32 修改

阅读量3.7k

点赞数

分类专栏：网络安全文章标签：网络安全数据安全

于 2022-04-07 12:12:30 首次发布

本文链接：https://blog.csdn.net/dinofish/article/details/124012042

版权

网络安全专栏收录该内容

24 篇文章 15 订阅

订阅专栏

在这里插入图片描述
APT(Advanced Persistent Threat)攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

一、概念

（一）定义

对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。
(1)攻击者：拥有高水平专业知识和丰富资源的敌对方。
(2)攻击目的：破坏某组织的关键设施,或阻碍某项任务的正常进行
(3)攻击手段：利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
(4)攻击过程：在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

An adversary that possesses sophisticated levels of expertise and significant resources which allow it to create opportunities to achieve its objectives by using multiple attack vectors (e.g., cyber, physical, and deception). These objectives typically include establishing and extending footholds within the information technology infrastructure of the targeted organizations for purposes of exfiltrating information, undermining or impeding critical aspects of a mission, program, or organization; or positioning itself to carry out these objectives in the future. The advanced persistent threat: (i) pursues its objectives repeatedly over an extended period of time; (ii) adapts to defenders’ efforts to resist it; and (iii) is determined to maintain the level of interaction needed to execute its objectives.

（二）Apt攻击过程

整个apt攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤：

1. 定向情报收集

在实施攻击之前，攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样，通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站，甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析，可以清晰地了解攻击目标所使用的应用、防御软件，组织内部架构和人员关系，核心资产存放情况等等。于是，攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞，并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时，攻击者搭建好入侵服务器，开展技术准备工作。

2. 单点攻击突破

攻击者在完成情报收集和技术准备后，开始采用木马/恶意代码攻击特定员工的个人电脑，攻击方法主要有：
①社会工程学方法，如电子邮件攻击，攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱，冒充发件人给该员工发送带有恶意代码附件的邮件，一旦该员工打开附件，员工电脑便感染了恶意软件。
②远程漏洞攻击方法，如网站挂马攻击，攻击者在员工常访问的网站上放置木马，当员工再次访问该网站时，个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理，因此现有的杀毒软件和防火墙均无法察觉，攻击者便能逐渐获取个人电脑权限，最后直至控制个人电脑。

3. 控制通道构建

攻击者在突破防线并控制员工电脑后，在员工电脑与入侵服务器之间开始建立命令控制通道。通常，命令控制通道采用HTTP/HTTPS等协议构建，以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立，攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀，并在恶意软件被安全软件检测到前，对恶意软件进行版本升级，以降低被发现的概率。

4. 内部横向渗透

入侵和控制员工个人电脑并不是攻击者的最终目的，攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器，同时不断地提升自己的权限，以求控制更多的电脑和服务器，直至获得核心电脑和服务器的控制权。

5. 数据收集上传

攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识剔，并做出最终的判断，甚至实施网络攻击破坏。

卡巴斯基对此有不同的阶段定义（链接）：

Stage One: Gain Access（获取访问权）
Stage Two: Establish a Foothold（基地建立）
Stage Three: Deepen Access（深入渗透）
Stage Four: Move Laterally（横向移动）
Stage Five: Look, Learn, and Remain（探索、学习与生存）

二、入侵方式

APT入侵客户的途径多种多样，主要包括以下几个方面。

（一）移动设备

以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

（二）社会工程学

恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。

（三）漏洞（系统设计缺陷）

利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
总之，高级持续性威胁(APT)正在通过一切方式，绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测。

三、主要特征

APT攻击具有不同于传统网络攻击的5个显著特征：针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。

（一）针对性强

APT攻击的目标明确，多数为拥有丰富数据/知识产权的目标，所获取的数据通常为商业机密、国家安全数据、知识产权等。
相对于传统攻击的盗取个人信息，APT攻击只关注预先指定的目标，所有的攻击方法都只针对特定目标和特定系统，针对性较强。

（二）组织严密

APT攻击成功可带来巨大的商业利益，因此攻击者通常以组织形式存在，由熟练黑客形成团体，分工协作，长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源，具备长时间专注APT研究的条件和能力。

（三）持续时间长

APT攻击具有较强的持续性，经过长期的准备与策划，攻击者通常在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续攻击，如零日漏洞攻击等。

（四）高隐蔽性

APT攻击根据目标的特点，能绕过目标所在网络的防御系统，极其隐藏地盗取数据或进行破坏。在信息收集阶段，攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透，使被攻击者很难察觉；在攻击阶段，基于对目标嗅探的结果，设计开发极具针对性的木马等恶意软件，绕过目标网络防御系统，隐蔽攻击。

（五）间接攻击

APT攻击不同于传统网络攻击的直接攻击方式，通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中，可由攻击者在远端进行遥控攻击，也可由被攻击者无意触发启动攻击。

APT攻击与传统攻击相比存在较大区别，如下表所示。与传统攻击相比， APT攻击具有更强的组织性，其攻击目标更加明确、攻击手段更加复杂，造成的危害也更大。

对比方向	传统攻击	APT攻击
攻击者特征	个体或小组织网络犯罪分子	全球性、有组织、有纪律的不法团体、公司、敌对者
攻击目标	随机性选择攻击，通常以个体为主，以达到获取金钱、盗窃身份、欺诈等	特定目标攻击，通常针对国家安全信息、重要行业商业机密信息等
攻击手段	攻击手段较单一，常基于已有的恶意软件展开攻击	攻击手段复杂，形式多样，结合0day攻击、特种木马攻击、社会工程学等展开攻击
攻击时间	攻击事件较短，以一次性、大范围攻击为主	攻击时间较长，长期潜伏、多次渗透攻击
攻击痕迹	攻击特征很强，容易在较短时间内被检测和捕获	攻击特征弱，比较隐蔽，缺少样本数据，很难被检测和捕获

四、检测难点

与传统网络攻击相比，APT攻击的检测难度主要表现在以下几方面:

（一）先进的攻击方法。

攻击者能适应防御者的入侵检测能力，不断更换和改进入侵方法，具有较强的隐藏能力，攻击入口、途径、时间都是不确定和不可预见的，使得基于特征匹配的传统检测防御技术很难有效检测出攻击。

（二）持续性攻击与隐藏。

APT通过长时间攻击成功进入目标系统后，通常采取隐藏策略进入休眠状态；待时机成熟时，才利用时间间隙与外部服务器交流。在系统中其并无明显异常，使得基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。

（三）长期驻留目标系统，保持系统的访问权限。

攻击者一旦侵入目标系统便会积极争取目标系统或网络的最高权限，实现程序的自启功能。同时，攻击者会在目标网络中基于已控制的网络主机实现横向转移和信息收集，规避安全检测，扩大被入侵网络的覆盖面，寻找新的攻击目标。一旦其找到了想要攻击的最终目标和适当传送信息的机会，攻击者便会通过事先准备好的隐藏通道获取信息、窃取数据或执行破坏活动，且不留任何被入侵的痕迹。

五、APT检测与防御

纵观整个apt攻击过程发现，有几个步骤是apt攻击实施的关键，包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令，以及最后的敏感数据外传等过程。当前的apt攻击检测和防御方案其实都是围绕这些步骤展开：

（一）恶意代码检测

该类方案主要覆盖apt攻击过程中的单点攻击突破阶段，它是检测apt攻击过程中的恶意代码传播过程。大多数apt攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施的，因此，恶意代码检测对于检测和防御apt攻击至关重要。

（二）主机应用保护

该类方案主要覆盖apt攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，如果能够加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，则可以有效防御apt攻击。

（三）网络入侵检测

该类方案主要覆盖apt攻击过程中的控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测apt攻击的命令和控制通道。安全分析人员发现，虽然apt攻击所使用的恶意代码变种多且升级频繁，但恶意代码所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测apt的命令控制通道。该类方案成功的关键是如何及时获取到各apt攻击手法的命令控制通道的检测特征。

（四）大数据分析检测

该类方案并不重点检测apt攻击中的某个步骤，它覆盖了整个apt攻击过程。该类方案是一种网络取证思路，它全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，它可在发现apt攻击的一点蛛丝马迹后，通过全面分析这些海量数据来还原整个apt攻击场景。大数据分析检测方案因为涉及海量数据处理，因此需要构建大数据存储和分析平台，比较典型的大数据分析平台有hadoop