新型威胁分析与防范研究

【引言】本文是我在5月份的时候对之前的APT研究的一个总结和综述，并在公司内刊发表。现发表在我的博客上。本文内容比付印的版本的内容（当时受限于版面）更丰富、全面。

新型威胁分析与防范研究

Last Modified @ 2013/5/26by yepeng

【摘要】本文通过对以APT为代表的新型威胁的实例研究，分析了新型威胁的***过程、技术特点、当前国内外的发展现状，给出了新型威胁的基本定义和描述，以及应对新型威胁的总体思路和具体具体手段。最后，本文还简要叙述了新型威胁自身的技术发展动向。

1什么是新型威胁？

网络安全，尤其是Internet互联网安全正在面临前所未有的挑战，这主要就是来自于有组织、有特定目标、持续时间极长的新型***和威胁，国际上有的称之为APT（Advanced Persistent Threat，高级持续性威胁）***，或者称之为“针对特定目标的***”。这些***统称为新型威胁。

2011年美国NIST发布了《SP800-39管理信息安全风险》。其中，对APT进行了定义：拥有高级专家和丰富资源的敌对方使用多种***技术（包括网络的、物理的、欺骗性的）为达成其一系列目标而实施的一类威胁。通过在目标组织的IT基础设施中建立并扩展落脚点，这些目标通常包括窃取信息，破坏或抵制某项使命或任务，或者潜伏起来以便在未来的某个时候达成这些目标。APT为了达成其目标会持续较长的一段时间，会想方设法隐匿自己，会与外界保持一定程度的交互以执行其任务。

一般认为，APT***就是一类特定的***，为了获取某个组织甚至是国家的重要信息，有针对性地进行的一系列***行为的整个过程。APT***利用了多种***手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为***跳板。有时候，***者会针对被***对象编写专门的***程序，而非使用一些通用的***代码。

此外，APT***具有持续性，甚至长达数年。这种持续体现在***者不断尝试各种***手段，以及在***到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。

更加危险的是，这些新型的***和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。

对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备整合起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的***和***，以及信息窃取等新型威胁（例如APT***，以及各类利用0day漏洞的***）。

2新型威胁的国内外发展态势

2.1国际

2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故，621宗确认的数据泄漏案例，以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部，有19%的数据破坏行为来自国家级别的行为，利用脆弱的或者窃取到的用户身份访问凭据进行***的行为占到了76%，而各种***行为和恶意代码依然是主要的信息破坏手段。报告将包括APT***在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、***活跃分子三类。

根据FireEye发布的《2012年下半年高级威胁分析报告》，详细分析了APT***的发展态势。《报告》指出，平均一个组织和单位每三分钟就会遭受一次恶意代码***，特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件；在所有遭受***的企业和组织中，拥有核心关键技术的技术类企业占比最高；在定向钓鱼邮件（spear phishing email）中经常使用通用的商业术语，具有很大的欺骗性；92%的***邮件都使用zip格式的附件，剩下的格式还有pdf等。

此外，国际上，尤其是美国着重炒作来自中国的APT***。最典型的是Mandiant公司发布的《对APT1组织的***行动的情报分析报告》，将APT1***行动的发起者直接定位到中国军方。在美国旧金山举办的RSA2013大会上，直接以中国APT***为主题的报告就有6个之多。其中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、战术。

以防范APT***为引子，各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略，其中就包括应对包括APT在内的国家级的敌对方的***。ENISA（欧洲网络与信息安全局）、北约CCDCOE（协作网络空间防御卓越中心）、兰德公司、欧洲智库SDA公司都对世界主要国家的网络空间安全战略思想、安全威胁特征、安全防御水平等进行了较为深入的对比分析与研究。

各国对新型威胁的重视，也带动了整个网络空间安全市场的崛起。2012年6月份，MarketandMarket公司发布了一份市场分析报告，称到2017年，全球的网络空间安全市场将达到1200亿美元的规模，而在2011年市场价值已经有637亿美元。报告明确指出，网络空间安全未来将来首要应对的问题就是APT，此外还包括僵尸网络、传统蠕虫和病毒等。

2.2国内

根据CN-CERT发布的《2012年我国互联网网络安全态势综述》，我国面临的新型威胁***的形势还是比较严峻的。利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续***（APT***）活动频现，对国家和企业的数据安全造成严重威胁。2012年，我国境内至少有4.1万余台主机感染了具有APT特征的***程序。

3新型威胁的实例说明

下面列举几个典型的APT***实例，以便展开进一步分析。

3.1Google极光***

2010年的GoogleAurora（极光）***是一个十分著名的APT***。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。这次***以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。该***过程大致如下：

1）对Google的APT行动开始于刺探工作，特定的Google员工成为***者的目标。***者尽可能地收集信息，搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。

2）接着***者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行（由于其中部分程序的编译环境路径名称带有Aurora字样，该***故此得名）。

3）接下来，***者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。

4）最后，***者就使用该雇员的凭证成功***进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。

3.2夜龙***

夜龙***是McAfee在2011年2月份发现并命名的针对全球主要能源公司的***行为。该***的***过程是：

1）外网主机如Web服务器遭***成功，多半是被SQL注入***；

2）被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描；

3）内网机器如AD服务器或开发人员电脑遭***成功，多半是被密码暴力破解；

4）被黑机器被植入恶意代码，多半被安装远端控制工具（RAT），传回大量机敏文件（WORD、PPT、PDF等等），包括所有会议记录与组织人事架构图；

5）更多内网机器遭***成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。

3.3超级工厂病毒***（震网***）

著名的超级工厂病毒***为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的***的事件曝光。

遭遇超级工厂病毒***的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界***。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的***者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染***，以此为第一道***跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，一点一点的进行破坏。这是一次十分成功的APT***，而其最为恐怖的地方就在于极为巧妙的控制了***范围，***十分精准。

在2011年，一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲，号称“震网二代”。Duqu主要收集工业控制系统的情报数据和资产信息，为***者提供下一步***的必要信息。***者通过僵尸网络对其内置的RAT进行远程控制，并且采用私有协议与CC端进行通讯，传出的数据被包装成jpg文件和加密文件。

3.4RSA SecurID窃取***

2011年3月，EMC公司下属的RSA公司遭受***，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立***网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到***，重要资料被窃取。在RSASecurID***事件中，***方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网路通讯方式，直接寄送电子邮件给特定人士，并附带防毒软体无法识别的恶意文件附件。其***工程大体如下：

1）RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件，附件是名为“2011 Recruitment plan.xls”的电子表格；

2）很不幸，其中一位同仁对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的AdobeFlash的0day漏洞（CVE-2011-0609）；

3）该主机被植入臭名昭著的PoisonIvy远端控制工具，并开始自C&C中继站下载指令进行任务；

4）首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；

5）RSA发现开发用服务器（Stagingserver）遭***，***方随即进行撤离，加密并压缩所有资料（都是rar格式），并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹。

3.5Shady RAT***（暗鼠***）

2011年8月份，McAfee/Symantec发现并报告了该***。该***在长达数年的持续***过程中，***并***了全球多达70个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司，等等。其***过程如下：

1）***者通过社会工程学的方法收集被***目标的信息。

2）***者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议，以他同事或者HR部门的名义告知他更新通讯录，请他审阅某个真实存在的项目的预算，等等。

3）当受害人打开这些邮件，查看附件（大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls），受害人的EXCEL程序的FEATHEADER远程代码执行漏洞（Bloodhound.Exploit.306）被利用，从而被植入***。实际上，该漏洞不是0day漏洞，但是受害人没有及时打补丁，并且，该漏洞只针对某些版本的EXCEL有效，可见被害人所使用的EXCEL版本信息也已经为***者所悉知。

4）***开始跟远程的服务器进行连接，并下载恶意代码。而这些恶意代码被精心伪装（例如被伪装为图片，或者HTML文件），不为安全设备所识别。

5）借助恶意代码，受害人机器与远程计算机建立了远程Shell连接，从而导致***者可以任意控制受害人的机器。

3.6Lurid***

2011年9月22日，TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门，还有科研机构APT***——Lurid***。

***者的主要是利用了CVE-2009-4324和CVE-2010-2883这两个已知的Adobe Reader漏洞，以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。

用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序，就会被植入***。***程序会变换多种花样驻留在受害人电脑中，并与C&C服务器进行通讯，收集的信息通常通过HTTP POST上传给C&C服务器。***者借助C&C服务器对***下达各种指令，不断收集受害企业的敏感信息。

3.7Nitro***

2011年10月底，Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro***。该***的过程也十分典型：

1）受害企业的部分雇员收到带有欺骗性的邮件；

2）当受害人阅读邮件的时候，往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件，而实际上是一个可执行程序；或者看到一个有密码保护的压缩文件附件，密码在邮件中注明，并且如果解压会产生一个可执行程序。

3）只要受害人执行了附件中的可执行程序，就会被植入Poison Ivy后门程序。

4）Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯，将受害人的电脑上的信息上传，主要是帐号相关的文件信息。

5）***者在获取了加密的帐号信息后通过解密工具找到帐号的密码，然后借助事先植入的***在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。

6）所有的敏感信息会加密存储在网络中的一台临时服务器上，并最终上传到公司外部的某个服务器上，从而完成***。

3.8Luckycat***

2012年3月份，TrendMicro发布的报告中披露了一个针对印度和日本的航空航天、军队、能源等单位进行长时间的***和刺探的***行动，并命名为Luckycat。

根据报告显示，这次***行动依然是通过钓鱼邮件开始的，例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对 pdf/rtf的漏洞，包括CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE- 2011-0611，CVE-2011-2462等。***进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS域名。

3.9火焰病毒***

2012年5月份，一种比震网（Stuxnet）和毒酷（Duqu）更具杀伤力的病毒——火焰病毒（Flame）曝光。火焰病毒***首先主要是在中东地区传播。火焰既是病毒又是***，既能够借助网络和U盘等进行传播，又能够通过C&C让***者可以远程控制。一旦电脑系统被感染，病毒将开始一系列复杂的行动，包括监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等。被感染系统中所有的数据都能传到***者指定的遍布全球的服务器上去。

3.10IXESHE***

IXESHE（爱寿司）***行动是在2012年6月份披露出来的。该***主要针对的是东亚地区的政府、台湾的电子企业，以及一个德国的电信公司。

***手法采用的是发送给特定目标的恶意邮件，里面的附件利用了多个当时的0day漏洞（包括CVE-2009-4324和CVE-2011-0609），以及其他多个已知漏洞。

受害者在中招后就会开始与C&C进行联络，窃取信息。这些C&C服务器主要分布在台湾和美国。

3.11High Roller***

这个***的主要目标不是窃取信息，而是金融盗窃。

2012年6月25日，McAfee联合GuardianAnalytics发布了一份白皮书，揭示了他们最新发现进行金融欺诈的High Roller行动。该行动已经***了欧美的60多家银行，窃取了7500万美元。

根据报告，该***行动基于Zeus和SpyEye僵尸网络技术，并超越了这些技术，主要的创新是：绕过物理的密码芯片认证机制（例如USB key等双因素认证）、自动化的钱骡账户（也就是用于转移资金的中间账户）、基于服务器端的***（而一般的***都是从客户端发起的）。

报告分析了3种经典的窃取过程，最典型的也是传统的客户端发发起的欺诈。

首先，欺诈者给受害者发送定向钓鱼邮件（spear phishing email）；受害者点击邮件中的链接后，受到0day或者Nday的漏洞利用***，被植入downloader***；Downloader***下载并安装Zeus或SpyEye客户端，加入僵尸网络。

用户下次登录在线银行后，植入的恶意代码会检测相关的参数，诸如是哪个银行、什么版本、账户信息、账户余额等。这些信息会透过僵尸网络发送给 C&C服务器，然后C&C服务器会判断该受害者是否符合条件。如果符合条件，就会下发一组针对这个银行的WEB注射欺诈指令（js形式）给受害者。

受害者再次登陆网银，就会遭受man-in-the-browser（浏览器中间人）***，也即是之前下载那组web注射指令的***，受害者会被引导到一个虚假的信息页面上（js生成的），然后会被告知“系统出错，需要等待”等等拖延用户操作时间的行为，让用户的操作暂停一会儿（例如1分钟），而实际上受害者机器上的恶意代码已经开始工作，并执行相关的转账指令，开始倒钱了。而这个过程中，***者精心编写的程序完全绕开了双因素认证等验证机制。而为了隐匿转账的过程，也用到了自动化的钱骡技术。

另一个更加高级的欺诈是在上面基于客户端的欺诈的基础上发展出来的基于服务器的欺诈。这种方式的前面过程跟上面的是一样的，只是客户登录后会被告知等待的时间更长，例如告知客户系统故障，要求客户1到2天后重试。而在这1到2天的时间内欺诈者会使用窃取到的该受害者的凭据从另一台受控的服务器上仿冒受害者客户端登录网银，进行相关转账操作，而完全不需要受害者被动参与。

3.12Xtreme RAT***

2012年11月，TrendMicro曝光了一个关于针对以色列美国等国的基于Xtreme RAT的网络***。

在这次***行动中，***者以DEBKA的名义发送给受害人（例如以色列警察局）一封邮件，题为“以色列国防军在加沙行动的报道和图片”，里面有个RAR文件。一旦受害人打开这个RAR文件，会有一个word文档，里面都是与邮件题目相符的新闻报道。但是同时，***者在这个RAR中植入了一个Xtreme RAT工具，只要一打开这个word，就中招了。以后，***者就能够利用这个RAT远程的窃取客户的相关资料和信息。

3.13Beebus***

2013年4月份，FireEye披露了一个名为Beebus的、重点针对航天和国防企业的持续性***行动。

***依然是从邮件开始的。***者利用了3个PDF漏洞和2个WORD漏洞精心设计了一组极具迷惑性的PDF和WORD文档。这些文档名被包装成白皮书或者是著名公司发布的报告，作为附件连同邮件一并发送给受害人。

受害人十分容易上当打开文档，而只要他/她的PDF或者WORD程序有符合的漏洞，那么就会中招，植入后门程序。后门程序采用DLL库的形式伪装自己，更不易被识别。

***后门在与***者的C&C服务器通讯也都是采用BASE64加密方式，并且将服务器域名伪装的比较看似比较正规（例如bee.businessconsults.net）。

4新型威胁的综合分析

综合分析以上典型的APT***，可以发现，当前的新型***主要呈现以下技术特点：

1）***者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现；

2）***者也经常采用恶意邮件的方式***受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，传统的邮件内容分析也难以奏效；

3）还有一些***是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入***方面缺乏防范；

4）初始的网络***往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞***；

5）在***者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可以连接的分析能力；

6）***者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了；

7）还有的企业部署了内网审计系统，日志分析系统，甚至是安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部***的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从***行为的角度进行整合，发现***路径。

因此，在APT这样的新型威胁面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。

5新型威胁的应对之策

5.1总体思路

2011年7月13日～14日，RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO，CIO和CEO参加，涵盖政府、金融、制造、医药、技术、服务业等多个领域。在峰会上，与会专家总结了应对APT的10条共识：

1）***手段已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界，只要给定恰当的上下文，任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼***。

2）组织必须学会在已经遭受***的情况下生存。阻止***者进来是不现实的，更现实的做法是规划好在***者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口，降低损失上，例如隔离系统、阻止敏感信息外泄，以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产，清楚地知道这些资产在哪儿，谁对他进行了访问，在出现***的时候如何将资产隔离（锁定）；

3）要提前监测出威胁必须依靠态势感知，尤其是需要更大范围的态势感知，不能只关注于自身网络中的态势，而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。

4）利用供应链发起***的情况正在抬头，供应链正在成为安全防御中的最薄弱环节，***者正在通过研究和收集可信供应商的弱点来发起***。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法，例如信誉评级、第三方审计、外部监测等。

5）突发事件响应应该是整个组织的事情，而非纯安全的事，并且要事先就制定好应对APT的突发事件响应程序/计划，并做好演练。

6）定制化——作为APT的一个重要特点——是对传统的基于签名（特征）的检测方法的重大挑战。定制化即意味着***的目的性极强，并且利用0day包装出一个***的速度极快，而研究出这个漏洞的签名（特征）则慢得多。

7）目前***方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的情报共享是目前的第一要务。

8）组织必须积极主动地去尽早发现***，并用各种方式破坏***链条（路径）。

9）现在公开出来的APT***仅仅是冰山一角。同时，除了关注数据窃取，还要关注其他目的的APT***，例如poisoning, disruption，embarrassment 。

10）简单的安全才是更好的安全。我们要简化我们的技术环境（IT基础架构），只有更好的理解资产、流程和端点（终端）才有机会进行真正的防御。使用最小的技术去达成一个目标。

2012年8月，RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷，导致很难识别APT***。现有的防护体系包括FW，AV，IDS/IPS，SIEM/SOC，以及CERT和组织结构，工作流程等等。都存在不足。报告指出，应对APT需要采取一种与以往不同的信息安全策略，这种策略被称作“高级方法”。他与传统的方法相比，更加注重对核心资产的保护、技术手段上更加注重检测技术、以数据为中心、分析日志更多是为了检测威胁、注重***模式的发现和描述、从情报分析的高度来分析威胁。

《当APT成为主流》提出了7条建议：

1）进行高级情报收集与分析–让情报成为战略的基石。

2）建立智能监测机制–知道要寻找什么，并建立信息安全与网络监控机制，以寻找所要寻找之物。

3）重新分配访问控制权–控制特权用户的访问。

4）认真开展有实效的用户培训–培训用户以识别社会工程***，并迫使用户承担保证企业信息安全的个人责任。

5）管理高管预期–确保最高管理层认识到，抗击高级持续性***的本质是与数字军备竞赛战斗。

6）重新设计IT架构–从扁平式网络转变为分隔式网络，使***者难以在网络中四处游荡，从而难以发现最宝贵的信息。

7）参与情报交换–分享信息安全威胁情报，利用其他企业积累的知识。

Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己、更要知彼，强调真正的主动安全是料敌先机，核心就是对安全威胁情报的分析与分享。

5.2技术手段分析

从具体的技术层面来说，为了应对APT***，新的技术也是层出不穷。

从监测和检测的角度，为了识别APT，可以从APT***的各个环节进行突破，任一环节能够识别即可断开整个链条。

根据APT***过程，我们可以从防范钓鱼***、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络（C&C）通讯、监测网络数据渗出等多个环节入手。

而不论从哪个环节入手，都主要涉及以下几类新型技术手段：

5.2.1基于沙箱的恶意代码检测技术

要检测恶意代码，最具挑战性的就是利用0day漏洞的恶意代码。因为是0day，就意味着没有特征，传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境，让可疑文件在这个模拟环境中运行起来，通过可疑文件触发的外在行为来判定是否是恶意代码。

沙箱技术的模拟环境可以是真实的模拟环境，也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建，或者通过一个特制程序来虚拟。

5.2.2基于异常的流量检测技术

传统的IDS都是基于特征（签名）的技术去进行DPI分析，有的也用到了一些简单DFI分析技术。面对新型威胁，DFI技术的应用需要进一步深化。基于Flow，出现了一种基于异常的流量检测技术，通过建立流量行为轮廓和学习模型来识别流量异常，进而识别0day***、C&C通讯，以及信息渗出。本质上，这是一种基于统计学和机器学习的技术。

5.2.3全包捕获与分析技术

应对APT***，需要做好最坏的打算。万一没有识别出***并遭受了损失怎么办？对于某些情况，我们需要全包捕获及分析技术（FPI）。借助天量的存储空间和大数据分析（BDA）方法，FPI能够抓取网络中的特定场合下的全量数据报文并存储起来，进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法，协助分析师剖丝抽茧，定位问题。

5.2.4信誉技术

信誉技术早已存在，在面对新型威胁的时候，可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库，还是威胁情报库，都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建，这需要一个强有力的技术团队来维护。

5.2.5综合分析技术

所谓综合分析，就是在前述所有技术之上的，并且涵盖传统检测技术之上的，一个横向贯穿的分析。我们已经知道APT***是一个过程，是一个组合，如果能够将APT***各个环节的信息综合到一起，有助于确认一个APT***行为。

综合分析技术要能够从零散的***事件背后透视出真正的持续***行为，包括组合***检测技术、大时间跨度的***行为分析技术、态势分析技术、情境分析技术，等等。

5.2.6人的技能

最后，要实现对新型***的防范，除了上述新的监测/检测技术之外，还需要依靠强有力的专业分析服务做支撑，通过专家团队和他们的最佳实践，不断充实安全知识库，进行即时的可疑代码分析、***测试、漏洞验证，等等。安全专家的技能永远是任何技术都无法完全替代的。

6新型威胁的最新技术发展动向

新型威胁自身也在不断发展进化，以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。

6.1精准钓鱼

精准钓鱼是一种精确制导的钓鱼式***，比普通的定向钓鱼（spear phishing）更聚焦，只有在被***者名单中的人才会看到这个钓鱼网页，其他人看到的则是404 error。也就是说，如果你不在名单之列，看不到钓鱼网页。如此一来，一方面***的精准度更高，另一方面也更加保密，安全专家更难进行追踪（因为你不知道名单，且不在名单之列）。

6.2高级隐遁技术

高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司（2013年5月被McAfee收购）的一个研究成果。高级隐遁技术（AET，Advanced Evasion Technology）是一种通过伪装和/或修饰网络***以躲避信息安全系统的检测和阻止的手段。

高级隐遁技术是一系列规避安全检测的技术的统称，可以分为网络隐遁和主机隐遁，而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。

6.3沙箱逃避

新型的恶意代码设计越来越精巧，想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行，从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行，那么恶意代码的制作者就会想办法去欺骗虚拟机。

6.4水坑式***

所谓“水坑***”，是指***通过分析被***者的网络活动规律，寻找被***者经常访问的网站的弱点，先攻下该网站并植入***代码，等待被***者来访时实施***。这种***行为类似《动物世界》纪录片中的一种情节：捕食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起***猎取食物。

7结语

总之，在应对新型威胁的道路上，我们还有很多工作需要去做。

【参考】

Symantec:揭秘Hidden Lynx组织的APT***行动

TrendMicro：新的APT***针对亚洲和欧洲政府组织，包括中国媒体机构

Kapersky：NetTraveler APT***

TrendMicro：Safe APT***

Mandiant：APT1组织的***行动的情报分析报告

RSA：精准钓鱼***，只有榜上有名的人才会被***

TrendMicro：针对以色列美国等国的基于Xtreme RAT的APT***

McAfee：High Roller金融欺诈行动采用了创新性技术

TrendMicro：针对东亚政府和台湾电子企业的APT***IXESHE

Flame解读

Anonymous几天之内攻陷500多个中国网站

TrendMicro：针对印日的LuckyCat***

symantec：硝基***针对化工厂商

针对前独联体国家以及印度、中国的APT***案例

日本抑或也已遭受了APT***？

Stuxnet2.0现身欧洲

APT***实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志：史上最强的恶意软件Stuxnet揭秘