APT渗透和防守思路

概要

APT(Advanced Persistent Threat)高级持续威胁，主要特点是利用手段高，攻击持续，高危害。当持续性高级渗透，加上恶意的目的或者谋取利益的想法时，就成了威胁，而APT防御一般出现于酒足饭饱之后。

APT的历史起源

APT这个词汇最早起源于：2005，2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件，放弃特洛伊木马以泄露敏感信息的第一个警告，尽管没有使用“APT”这个名字。

但 “先进的持续威胁”一词被广泛引用，2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。 后来，在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就是一个APT攻击例子。 在计算机安全领域以及越来越多的媒体中，APT这个术语几乎总是用来指向针对政府，公司和政治活动家的黑客攻击的高级持续模式，而且也延伸到涉及到群体这些攻击背后。作为一个术语，高级持续威胁（APT）可以被转移焦点到攻击出现次数。

PC World报告称，从2010年到2011年，特别针对高级别目标的网络攻击增加了81％。 一个常见的误解是APT只针对西方国家。西方国家可能会更多地宣传针对西方国家的技术性APT，但许多国家的行为者都将网络空间安全作为收集有关个人和群体的情报的手段。在美国，网络司令部的任务是协调美国军方，应对高级持续网络威胁，也就是APT攻击。 同时，许多消息来源都觉得一些APT组织实际上隶属于或者代表着民族和国家。否则很难持有大量信息和资源，三类机构容易面临高级持续威胁的高风险，即： 高等教育金融机构政府机构 实际上，一个APT是有一套隐匿和持续攻击的框架的，往往针对特定的实体由一人或多人策划（一般是多人）。APT通常针对高价值目标出于商业或政治动机进行实施的。APT在长时间的攻击中依旧会尽可能的保证高度隐蔽性。而“高级”意味着使用恶意软件来攻击系统漏洞的复杂技术。“持续”过程表明，APT攻击组织外部和控制系统正在持续监测和提取特定目标的数据。“威胁”过程表明攻击会损害目标利益。 APT通常是指一个组织，甚至可能一个政府支持下的组织，因为APT团体是一个既有能力也有意向持续而有效地进行攻击的实体。所以APT通常用来指网络威胁，特别是使用互联网进行间谍活动，利用各种情报搜集技术来获取敏感信息，但同样适用于诸如传统间谍活动或攻击等其他威胁。其他公认的攻击媒介包括受感染的媒体，供应链和社会工程。这些攻击的目的是将自定义的恶意代码放在一台或多台计算机上执行特定的任务，并在最长的时间内不被发现。了解攻击者文件（如文件名称）可帮助专业人员进行全网搜索，以收集所有受影响的系统。个人，如个人黑客，通常不被称为APT，因为即使他们意图获得或攻击特定目标，他们也很少拥有先进和持久的资源。

APT到底是什么？

APT:高级持续威胁（Advanced Persistent Threat),普遍认可的定义是，利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。也就是说很难去确定是不是APT攻击，只能从已发生过的APT攻击事件，分析其特点，进而与上述解释性概念相关联，得出APT攻击的一般规律。

大致有这些规律：

1)高度目的性

2)高度隐蔽性

3)高度危害性

4)目标实体化

5)极强的持续性

APT攻击大致包含以下内容：

目标 – 威胁的最终目标

时效性 – 探测和访问系统的时间

资源 – 事件中使用的知识和工具的级别（技能和方法将会影响到这一点）

风险容忍度 – 为了不被发现而受到威胁的程度

技巧和方法 – 整个活动中使用的工具和技巧

行动 – 威胁或许多威胁的确切行动

攻击起点 – 事件发生点的数量

参与攻击的人数 – 事件涉及多少个内部和外部系统，有多少人的系统具有不同的影响/重要性权重

信息来源 – 通过在线信息收集来识别关于任何特定威胁的任何信息的能力（可以通过一点积极主动的方式找到）

通过拆开APT（Advanced Persistent Threat）来进行分析，我们可以这样看待一个APT： 高级Advanced- 威胁背后的运营商拥有全方位的情报收集技术。这些可能包括计算机入侵技术和技术，但也延伸到传统的情报收集技术，如电话拦截技术和卫星成像。虽然攻击的各个组件可能不被归类为特别“高级”的攻击技术（例如恶意软件），从通常可用的自己动手构建的恶意软件工具包，或者使用容易获得的漏洞，APT攻击人员通常可以根据需要访问和开发更高级的工具。他们经常结合多种定位方法，工具和技术，以达到并保持对目标的访问。 持续Persistent - APT攻击一方优先考虑某项具体任务，而不会投机取巧地寻求获取财务或其他收益的信息。这个意味着攻击者是由外部实体引导的。攻击的针对性是通过持续监控和互动来实现的，以达到既定的目标。这并不意味着需要不断的攻击和恶意软件更新的攻势。事实上，“低级”的做法通常更成功。如果APT攻击方失去对目标的访问权限，他们通常会重新尝试访问，而且通常是成功的。APT攻击方的目标之一是保持对目标的长期访问，而不会仅仅满足于短时间的访问权限。 威胁Threat - APT是一个威胁，因为他们有能力和意图。APT攻击是通过团队协作来执行的，而不是通过无意识和自动化的代码。并且APT攻击方都有一个特定的目标，同时他们技术精湛，积极主动，有组织有目的，资金充足，所以有大多数的APT攻击都是针对其他国家的，也被视为一种间谍活动。 通过这些APT攻击特征，可以得到以下结论：一是高价值信息网络系统是实施APT攻击的主要目标，也是应重点设防目标；二是攻击过程不可能采用单一攻击技术，防护技术应综合运用；三是攻击持续时间长，重要系统应长期设防；四是社会工程学被广泛使用，必须内防与外防并重，技术防范与管理制度并举的防范策略。 最后，用我自己的话总结一下：一些目的性极强，攻击方式极为先进，复杂多样，至少是在漏洞圈子公开之前就已经利用了，最后是攻击时间跨度较长，攻击隐蔽的攻击。最好的判断方式就是根据业务级别来确定被攻击资产的重要性，把每一次异常都当成APT是保持一个安全攻城狮应有的意识！(但不要当成了APT事件处理了)

APT的知名论坛

团体目前业界比较流行的防御APT思路有三种：

1、采用高级检测技术和关联数据分析来发现APT行为，典型的公司是FireEye；

2、采用数据加密和数据防泄密(DLP)来防止敏感数据外泄，典型的公司是赛门铁克；

3、采用身份认证和用户权限管理技术，严格管控内网对核心数据和业务的访问，典型的公司是RSA。 至于其他说什么人工智能，机器学习防止APT，都还在发展阶段，而题主觉得防御应该是从基础传统防御到到云大物移四个层面，最后到人工智能，这些都是基础环境，技术层面的防御措施。

APT有哪些攻击阶段？

所谓攻击阶段只是在进行黑客攻击中典型的攻击手段和形式，不一定界限清晰，但都有迹可循。

题主最早了解阶段是从我们最常见的大规模，也是比较简单的一个类似于黑客渗透攻击阶段模型：信息收集，攻击阶段，提权阶段，后渗透阶段，销声匿迹。 但APT攻击会更加系统，分布，协作，一般分成信息收集，武器化部署，传递载荷，利用，安装，命令和控制，执行 而杀伤链一般是6个阶段：

发现-定位-跟踪-瞄准-入侵-完成，

APT攻击模型Cyber-Kill-chain与之对应

APT分析模型

这里借用两个分析模型，一个是kill-chain七层模型，一个是钻石模型 4.1Cyber-Kill-Chain攻击杀伤链 对于混迹于安全圈的我们来说，洛克希德-马丁的网络杀伤链（Cyber-Kill-Chain，也被我们称网络攻击生命周期），专门用来识别和防止入侵。然而，攻击模式会一直变化，就拿Valut7来说，里面提到的攻击模型，都是在08年就已经开始在使用，而却在16年，17年才被曝光，可想而知，攻防之间的时间差是多么的严峻，所以我不给予希望一个Kill-Chain能够带来多大的安全防护，而重在开拓视野，最好能未雨绸缪，如今，Valut8已经曝光，企业安全，似乎远远没有我们想象的那么安静。 网络攻击杀伤链模型用于拆分恶意软件的每个攻击阶段，在每个阶段有对应的特征用于识别，但用我后面会提到的一句：堵不如疏，殊途同归，具体如何，后面会具体说说我自己的理解，现在先简单说说Cyber-Kill-Chain的每个阶段。

4.2什么是网络攻击杀伤链（Cyber-Kill-Chain）？ “杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，理论上也可以用来预防此类攻击（即反杀伤链）。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。 在越早的杀伤链环节阻止攻击，防护效果就越好。例如，攻击者取得的信息越少，这些信息被第三人利用来发起进攻的可能性也会越低。