安全防御----APT

1. 什么是APT？

        APT全称：Advanced Persistent Threat 高级可持续威胁攻击。

        指的是某组织对特定对象展开持续有效的攻击活动。

        这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质，供应链和社会工程学等手段，实施先进的、持久的有效的威胁和攻击。

        APT攻击是一个集合了多种常见攻击方式的综合攻击，综合多种攻击途径来尝试突破网络防御，通常是通过web或者电子邮件传递，利用应用程序或者操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息。使得它的攻击更不容易被发现。

        

2. APT 的攻击过程？

        APT的攻击周期

                ①扫描探测：在APT攻击中，攻击者会花几个月甚至更长的时间对“目标”网络进行踩点，针对性地进行信息手机，目标网络环境探测，线上服务器的分布情况，应用程序的弱点分析，了解业务情况，员工信息等。

                ②攻击投送：在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或者单击一个经过伪造的恶意URL，希望利用常见软件的0day漏洞，投送其恶意代码，一旦到位，恶意软件可能会复制自己，用微妙的改变使得每个实例都看起来不一样，并且伪装自己，以躲避扫描，也会关闭防病毒扫描引擎，经过清理后重新安装，或者潜伏数天或数周，恶意代码也能被携带在笔记本电脑、USB设备里，或者基于云的文件共享来感染一台主机，并且连接到网络时横向传播。

                ③漏洞利用：利用漏洞，达到攻击的目的，攻击者通过投送恶意代码，并且利用目标企业使用的软件中的漏洞执行自身，而如果漏洞利用成功的话，你的系统将收到感染。普通用户系统忘记打补丁是很常见的，所以塔恩很容易受到已知和位置的漏洞利用攻击，一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

                ④木马植入：随着漏洞利用成功，更多的恶意软件的可执行文件一一击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

                ⑤远程控制：一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的。其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令，这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

                ⑥横向渗透：攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器。因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

                ⑦目标行动：也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输的目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找“已知的”恶意地址和收到严格监管的数据。

3. APT的防御技术

        防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到该流量为恶意流量，则可以通知FW实施阻断。

        针对APT攻击的防御过程如下：

                黑客（攻击者）向企业内网发出APT攻击，FW从网络流量中是被并提取需要进行APT检测的文件类型。

                FW将攻击流量还原成文件送入沙箱进行威胁分析。

                沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。

                FW获取检测结果后，实施相应的动作，如果沙箱分析出该文件是一种恶意攻击文件，FW则可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

        APT防御与反病毒的差异：

                反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法是被未知攻击。

                APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看作是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。

        总体来看，反病毒系统是以被检测对象的特征来是被攻击对象，APT防御系统是以被检测对象的行为来识别攻击对象。

        沙箱处理流程：

  

4. 什么是对称加密？

         加密解密用的是同一把密钥，在数学角度上说是一个双向函数

        对称加密首先要保证算法足够复杂以及密钥传输足够安全。

                加密信息传递有两个通道

                        密文传递通道

                        密钥传递通道

5. 什么是非对称加密？

 加密和解密使用的密钥是不相同的，公钥和私钥，也叫公钥加密技术

        数学方向中称为单向函数  使用模运算   mod

                m^e     mod   p   =   n

        

        DH算法解决了在公开场合密钥安全传递的问题。

        

                        对称加密算法解决信息的安全传输通道

                        非对称加密算法解决对称加密算法密钥的安全传输通道

                对称加密    速度快   但是密钥不安全

                非对称加密算法  速度慢   但是安全

        

                最佳解决方法： 用非对称加密算法加密对称加密算法的密钥

             

        非对称加密的产生过程及原理：

                对称加密的困境

                        密钥的安全传输---对称加密算法的缺陷

                

                密钥传输风险                 密钥管理难

        

         机密性最佳解决：用非对称加密算法加密对称加密算法的密钥

         完整性与身份认证最佳解决：对明文a进行hash运算得到定长值h，然后对h进行非对称运算用私钥加密得到值k，然后对明文a进行对称运算得到y，传输的同时传输y和k，收到后用非堆成公钥解开k得到h‘，然后用对称算法解开y得到a，然后对a 进行hash得到h’‘如果h’与h‘’相同，则证明完整性与身份认证。

        

        
6. 私密性的密码学应用？

        身份认证技术的应用：

                身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。

                身份认证技术：在网络中确认操作者身份的过程而产生的有效解决方法。

        如何确认信息的发送者一定是本人？

        发送者是alice，使用非对称算法，生成私钥A，公钥B。

                        1. alice把公钥给bob

                        2. alice发送信息hello，world！

                        3. alice把发送的信息用对称加密算法加密到加密信息C。

                        4. alice把发送的hello，world！先用hash算法计算得到hash值D。

                        5. alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。

                        6. alice把C，E一起发给bob。

                        7. bob收到C,E值，先用非对称的公钥对E进行解密，如果能正常解开则证明C值是alice的。

                在上述1中如果黑客换了Alice的公钥，那么就会出现身份认证漏洞。

        解决的办法：

                        Alice把公钥给bob的环节能确保是安全的，一定是Alice给的。

                        想办法证明Alice的公钥一定是Alice的。

7. 非对称加密如何解决身份认证问题？

                        公钥的身份证---数字证书

 

         

                PKI(公共密钥体系)是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

                简单来说就是利用公钥技术简历的提供安全服务的基础设施。通过第三方的可信机构，CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户身份。

 

         数字证书：

        包含：

                用户身份信息、用户公钥信息、身份验证机构的信息及签名数据

        数字证书分类：        

                签名证书----身份验证，不可抵赖性。

                加密证书---加密性、完整性、机密性。

9. SSL工作过程

        1.客户端浏览器发送一个消息，表示要和网站简历安全SSL连接

        2.网站服务器响应客户端请求，发给客户端两样东西：网站服务器自己的证书（内含网站的公钥）、一个随机值

        3.客户端浏览器验证网站服务证书是否可信

        4.客户端利用网站服务其发的随机值生成会话密钥

        5.客户端浏览器和网站服务器开始协商加密算法和密钥长度

        6.协商成功后，客户端浏览器利用网站的公钥将生成的会话密钥加密，然后传送给网站服务器。

        7.网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥，然后用自己的私钥解密出会话密钥，由此得到了安全的会话密钥

        8.网站服务器再随机生成一个信息，用解密后的会话密钥加密该随机信息后发送给客户端浏览器（目的是让客户端认证服务器）

        9.浏览器收到随机信息后，用会话密钥解密出信息（自然就认证了服务器），接着浏览器用自己的私钥对此信息做数字签名，连带客户端自己的证书（内含公钥），一起发送给网站服务器（目的是服务器认证客户端）

        SSL记录协议：在SSL握手协议之下，传输层之上，数据传输阶段的封装、压缩、加密（利用SSL握手协议产生的会话密钥对称加密应用层数据）