什么是APT攻击？

什么是APT

APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活
动。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商
业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿
自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情
报的行为，就是一种“网络间谍”的行为。

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是
通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的
防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使
得它的攻击更不容易被发现。

APT的入侵过程

• 第一阶段：扫描探测
  在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标
  网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

• 第二阶段：工具投送
  在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶
  意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软
  件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭
  防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB
  设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

• 第三阶段：漏洞利用
  利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自
  身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们
  很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主
  机也可以被感染，特别是当这个系统脱离企业网络后。

• 第四阶段：木马植入
  随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集
  程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

• 第五阶段：远程控制
  一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制
  工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即
  这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方
  法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

• 第六阶段：横向渗透
  一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重
  要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc
  和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

• 第七阶段：目标行动
  也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT
  攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受
  深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。
  大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是
  寻找"已知的"恶意地址和受到严格监管的数据。

如何防御APT

目前，防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将
网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，
则可以通知FW实施阻断

APT防御技术–沙箱

• 针对APT攻击的防御过程如下∶
  • 黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。
  • FW将攻击流量还原成文件送入沙箱进行威胁分析。
  • 沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。
  • FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧则可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。
• APT防御与反病毒的差异。
  • 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。
    这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。
  • APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造
    的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行
    以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序
    是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提
    炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。
• 总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT防御系统是以被检测对象的行
  为来识别攻击对象。

沙箱防御流程

1. 内容安全检测
   

网络流量进入FW并通过安全检查策略以后，进入智能感知引擎进行内容安全检测。智能感知引擎可以分析出网络流量所使用的应用协议，并根据实际配置对流量进行一系列的检测，如反病毒、URL过滤、APT防御等。如果对应流量命中了APT防御配置文件中的应用类型等匹配条件，则准备对文件进行还原，并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测;如果未命中APT
防御配置文件，则流量直接被转发。
2. 查询Web信誉

• 大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力，所以网立站被侵入口的可能性较小，网站上也几乎不存在恶意文件，用户访问此类网站时的风险很小。相反，随意搭建的小网站或者恶意网站上充斥着大量的恶意文件，用户访问此类网站时的风险也极大。

• Web信誉功能对网站进行了分类，FW会根据不同分类进行差异化处理。对于信誉度低的网站，FW会提取出网络流量中的文件，然后送往沙箱进行进一步的检测;对于信誉度高的网站，FW不会提取网络流量中的文件，即跳过了沙箱检测的步骤。这样处理可以提高FW的检测效率，在不降低安全性的同时，提升用户的访问体验。

• Web信誉网站分类

  • 预定义可信网站。
  • 自定义可信网站
  • 自定义可疑网站
  • 未知网站

• 当某个网站命中预定义可信网站或自定义可信网站列表时，系统不会提取网络流量中的文件;而命中自定义可疑网站或未知网站时，系统会提取出网络流量中的文件，并送往沙箱进行进一步的检测。

• 查询文件信誉 过程
  

• 查询文件信誉

  • 在文件还原之后，提交到沙箱之前，设备会对待检测文件进行文件信誉的查询，判断该文件是否为恶意文件。如果判定为恶意文件，则直接将该文件删除，无需再送往沙箱进行检测;否则送往沙箱进行检测。

• 文件提交至沙箱并进行检测

  • 智能感知引擎将原始文件发送给APT防御模块。智能感知引擎还原出原始文件以后.会将这些文件放入一个缓存区。

  • APT防御模块会定期扫描缓存区，当发现有新的文件以后，通知智能引擎将对应的文件发送给自己。

  • APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的MD5值。

  • 沙箱获取文件后运行此文件，并将文件的行为特征与沙箱的行为特征库进行比对，判定文件是否为恶意攻击文件。然后向APT防御模块发送检测结果。

• 根据沙箱检测结果阻断后续流量

  • APT防御模块随后将检测结果和MD5值发给智能感知引擎。智能感知引擎根据文件的MD5值和检测结果决定是否针对该文件执行阻断操作。

  • 默认系统会在沙箱返回的检测结果为恶意时执行阻断，否则将会对流量放行。

  • 如果用户想要根据检测结果对后续流量进行阻断，则需要在配置内容安全检测时必须配置反病毒和URL过滤功能。因为只有配置了这两个功能之后，IAE会根据沙箱的检测结果更新缓存中的AV特征库、文件信誉库和恶意URL列表。含有同样恶意特征的流量到达防火墙后，由于命中了AV特征库或恶意UJRL列表，可以根据反病毒配置文件或URL过滤配置文件中的动作来对该流量进行告警或者阻断。