飛速發(fā)展的IT技術(shù)使得信息安全業(yè)站在產(chǎn)業(yè)發(fā)展的風口浪尖，無論是云計算、物聯(lián)網(wǎng)，還是3G、移動互聯(lián)，IT技術(shù)在推動產(chǎn)品創(chuàng)新與變革的同時，各種安全問題也隨之而來。近日，與某友商技術(shù)大牛關(guān)于APT攻防的話題進行了一番爭論，故撰文一篇，科普關(guān)于APT攻擊的那些事。

自2010年Google承認遭受嚴重黑客攻擊之后，APT高持續(xù)性威脅便成為信息安全圈子人盡皆知的"時髦名詞"，當然對于像Google、RSA、Comodo等深受其害的公司而言APT無疑是一場噩夢，噩夢的結(jié)果便是對現(xiàn)有安全防御體系的深入思考。

何為APT攻擊

APT（Advanced Persistent Threat）高持續(xù)性威脅顧名思義，這種攻擊行為首先具有極強的隱蔽能力，通常是利用企業(yè)或機構(gòu)網(wǎng)絡中受信的應用程序漏洞來形成攻擊者所需C&C網(wǎng)絡；其次APT攻擊具有很強的針對性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務流程和目標系統(tǒng)使用情況的精確信息，情報收集的過程更是社工藝術(shù)的完美展現(xiàn)；當然針對被攻擊環(huán)境的各類0day收集更是必不可少的環(huán)節(jié)。

在已經(jīng)發(fā)生的典型的APT攻擊中，攻擊者經(jīng)常會針對性的進行為期幾個月甚至更長時間的潛心準備，熟悉用戶網(wǎng)絡壞境，搜集應用程序與業(yè)務流程中的安全隱患，定位關(guān)鍵信息的存儲位置與通信方式，整個驚心動魄的過程絕不遜于好萊塢巨制《偷天換日》。當一切的準備就緒，攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉(zhuǎn)移。例如，在某臺服務器端成功部署Rootkit后，攻擊者便會通過精心構(gòu)造的C&C網(wǎng)絡定期回送目標文件進行審查。

也許很多IT管理者認為APT攻擊這種長期而復雜的攻擊方式不可能幸運的發(fā)生在您所負責網(wǎng)絡中，但在西方先進國家APT攻擊已經(jīng)成為國家網(wǎng)絡安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國國防部的High Level網(wǎng)絡作戰(zhàn)原則中，明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。

對于APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰(zhàn)策略，法國人的整條防線便淪落成擺設(shè)，至于APT攻擊，任何疏忽大意都可能為信息系統(tǒng)帶來災難性的破壞。相信您迫切想了解傳統(tǒng)的網(wǎng)絡犯罪集團與APT攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。

不難看出APT攻擊更像一支配備了精良武器的特種部隊，這些尖端武器會讓用戶網(wǎng)絡環(huán)境中傳統(tǒng)的IPS/IDS、防火墻等安全網(wǎng)關(guān)失去應有的防御能力。無論是0day或者精心構(gòu)造的惡意程序，傳統(tǒng)的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業(yè)界熱議的NGFW，利用CA證書自身的缺陷也可讓受信的應用成為網(wǎng)絡入侵的短板。

典型的APT攻擊，通常會通過如下途徑入侵到您的網(wǎng)絡當中：

通過SQL注入等攻擊手段突破面向外網(wǎng)的Web Server；

通過被入侵的Web Server做跳板，對內(nèi)網(wǎng)的其他服務器或桌面終端進行掃描，并為進一步入侵做準備；

通過密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳號，并最終突破AD服務器或核心開發(fā)環(huán)境；

被攻擊者的私人郵箱自動發(fā)送郵件副本給攻擊者；

通過植入惡意軟件，如木馬、后門、Downloader等惡意軟件，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）；

通過高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點擊并入侵內(nèi)網(wǎng)終端。

典型的APT攻擊流程

為什么Web Server會成為攻擊者發(fā)起APT攻擊起點？通常這里是公司郵件網(wǎng)絡的集散地，這也驗證了EMAIL電子郵件已淪為APT攻擊最重要的途徑之一，而且EMAIL中包含的各類重要信息更可能帶來意想不到的收獲。前面我們說到，攻擊者攻擊Web Server的主要目的是為了充當進一步入侵的跳板，因此針對EMAIL的攻擊行為通常會執(zhí)行如下工作：

發(fā)送釣魚郵件：竊取用戶ID與密碼；

執(zhí)行惡意腳本：掃描終端用戶使用環(huán)境，發(fā)掘可利用的攻擊資源；

植入惡意軟件：針對用戶環(huán)境中應用程序漏洞，注入惡意代碼，構(gòu)建僵尸網(wǎng)絡。

在針對郵件系統(tǒng)的APT攻擊的過程中，攻擊者通常會利用各種辦公系統(tǒng)所支持的各類文檔0day，例如WORD、PDF、PPT等，越是頻繁使用的文檔，越有可能降低用戶安全意識。#p#

如何防御APT攻擊

現(xiàn)在，相信博學淵博的您已經(jīng)對APT攻擊有了基礎(chǔ)的認知，面對這種隨時隨地都可能發(fā)生的威脅，如何在長期的持續(xù)的威脅中實現(xiàn)滿足企業(yè)安全生產(chǎn)所必需的IT生產(chǎn)環(huán)境呢？下面我們就來看看如何有效抵御APT攻擊。

電影《角斗士》中，Maximus攻防兼?zhèn)潋斢律茟?zhàn)，無論是面對野蠻兇殘的迦太基勇士，還是饑餓強壯的獅虎猛獸，Maximus總能憑借敏銳的洞察力和豐富的作戰(zhàn)經(jīng)驗一一化解。對于APT攻擊的防范同樣需要深思熟慮，任何疏忽都可能讓您的安全壁壘坍塌。

對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，但對于APT攻擊以點概面的安全檢測手段已顯得不合時宜。面對APT攻擊威脅，我們應當有一套更完善更主動更智能的安全防御體系。

必須承認APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細節(jié)，包括功能、0day信息、命令與控制、社工手法、受害人、攻擊活動頻率等信息。理論上針對單一攻擊事件，安全人員可以快速定位攻擊源頭，并作出對應的安全防御策略，然而這些卻無法準確提取APT攻擊屬性與特征。因此，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，這里既有技術(shù)層面的檢測手段，也有包含深入產(chǎn)業(yè)鏈的動態(tài)分析追蹤。為此，金山在針對APT攻擊行為檢測方面注重從三方面入手：

◆靜態(tài)檢測方式

從攻擊樣本中提取攻擊特征與功能特性；

對攻擊樣本逆向分析；

◆動態(tài)檢測方式

模擬用戶環(huán)境，執(zhí)行APT代碼段，捕獲并記錄APT攻擊的所有行為；

審計網(wǎng)絡中應用程序的帶寬占用情況；

APT攻擊溯源；

◆產(chǎn)業(yè)鏈跟蹤

實時跟蹤分析網(wǎng)絡犯罪團伙的最新動向。

多維度的安全防御體系，正如中醫(yī)理論中倡導的防患于未然思想，在威脅沒有發(fā)生前，為企業(yè)IT生產(chǎn)環(huán)境進行全面的安全體檢，充分掌握企業(yè)所面臨的安全風險。為實現(xiàn)針對APT攻擊防御的多維分析與審計模型，金山安全研發(fā)團隊從如下幾方面著手：

動態(tài)的安全分析

◆提取并審核執(zhí)行文件體、Shellcode以及PE文件頭；

◆分析文件中的對象和異常結(jié)構(gòu)

動態(tài)的安全分析

◆模擬系統(tǒng)環(huán)境安裝各類執(zhí)行文件體；

◆實施掃描系統(tǒng)內(nèi)存與CPU中資源異常調(diào)要；

◆檢測關(guān)鍵位置的代碼注入或各類API鉤子；

◆檢測任意已知的代碼分片；

◆檢測Rootkit、KeyLogger、Anti-AV等惡意程序；

◆檢測郵件、域、IP地址、URL中可疑的字符串。

APT防御利器，KingCloud私有云安全平臺

再好的解決方案，最終需要落地為產(chǎn)品和服務。金山KingCloud私有云安全系統(tǒng)著重實時掌控企業(yè)IT生產(chǎn)環(huán)境變化。豐富的終端運維經(jīng)驗，金山能夠幫助IT運維管理人員構(gòu)建滿足企業(yè)運維需求的終端安全基線，實現(xiàn)干凈可用的初始化環(huán)境，簡單方便的網(wǎng)絡環(huán)境檢測過程，無需管理員干預即可掌握整個網(wǎng)絡應用環(huán)境，一旦確認應用類型即可下發(fā)靈活的權(quán)限控制策略，極大的降低了管理員的管理門檻。

作為全新的企業(yè)IT運維級安全解決方案，金山私有云充分考慮終端資源濫用問題，細粒度的應用控制策略和低于10M的內(nèi)存資源占用，確保了在現(xiàn)有的IT環(huán)境中最大限度的優(yōu)化終端系統(tǒng)可用性。強大的云防御功能可以精確抵御各種非授權(quán)行為對網(wǎng)絡的破壞，管理員可根據(jù)用戶業(yè)務類型嚴格限定用戶的訪問權(quán)限和文件操作權(quán)限，無論是企業(yè)文件服務器、終端工作站、瘦客戶端、移動PC或者智能終端，金山KingCloud私有云安全系統(tǒng)都可發(fā)揮極佳的安全防御效果。

獨有的云修復功能，可在企業(yè)內(nèi)網(wǎng)終端發(fā)生異常宕機或藍屏時，快速恢復系統(tǒng)初始狀態(tài)，為企業(yè)IT信息系統(tǒng)的安全穩(wěn)定運營提供強大的運維保障。值得注意的是，金山KingCloud私有云可以幫助IT管理者實時掌控企業(yè)IT生產(chǎn)環(huán)境點滴變化，無論是受信軟件還是未知應用，企業(yè)生產(chǎn)環(huán)境關(guān)鍵位置上所產(chǎn)生的任意微笑變化都將第一時間上報企業(yè)IT管理。，之前提到的受害者郵箱自動轉(zhuǎn)發(fā)副本郵件給攻擊者，惡意腳本對用戶境的自動檢測等行為，都逃不脫金山私有云安全平臺的掌控，管理員只需針對惡意行為或文件進行統(tǒng)一策略下發(fā)，便可瞬間切斷隱藏在企業(yè)機構(gòu)背后的黑手。

當然，今天的信息安全已不再是只靠產(chǎn)品解決方案便可衣食無憂的年代，企業(yè)機構(gòu)內(nèi)部員工安全意識培訓同樣必不可少。對于APT攻擊行為，控制用戶終端使用習慣提升安全操作意識，制定明確的信譽評估，甚是網(wǎng)內(nèi)傳出數(shù)據(jù)與流量，了解安全威脅趨勢和合理的終端設(shè)備管理，都會幫助用有效降低APT攻擊的發(fā)生。在殺毒軟件已經(jīng)成為企業(yè)安全防御的基本武器的同時，終端應用與事件的精確管控同樣必不可少。

今天當IT與日常生活工作結(jié)合的愈發(fā)緊密之時，安全的邊界已經(jīng)從傳統(tǒng)的網(wǎng)關(guān)、終端延續(xù)到任何應用及業(yè)務可能到達的每一個節(jié)點，此時APT攻擊很可能就潛伏在您的身邊。，僅2011年就有多起嚴重的APT攻擊事件被媒體曝光，曾經(jīng)可靠的CA證書隨時可能成為擺設(shè)，Comodo、DigiNotar、RSA、洛克希德馬丁每一起事件的發(fā)生都足以引起整個信息安全業(yè)界的思考，還有什么理由疏忽任何看似細小的威脅？

可以預見APT攻擊行為將在未來成為威脅政府、企業(yè)等重要信息系統(tǒng)的致命威脅，然而值得慶幸的是矛與盾的較量始終還在繼續(xù)，我們有理由相信正義終將戰(zhàn)勝邪惡。最后讓我們見證APT攻擊給今天信息安全帶來的改變：

西方先進國家已將APT防御議題提升到國家安全層級，這絕不僅僅造成數(shù)據(jù)泄露；

APT攻擊時代的來臨預示著定向攻擊將成為惡意軟件發(fā)展的新趨勢，傳統(tǒng)的蜜罐或蜜網(wǎng)將難以捕捉APT樣本；

針對APT攻擊防御手段，需要對整個信息安全環(huán)境有清晰的認知，只有形成及時的產(chǎn)業(yè)鏈情報收集，甚至全球安全動態(tài)跟蹤方有可能真正做到防患于未然；

落實信息安全管理策略，例如嚴格按照等級保護規(guī)范實施嚴格的系統(tǒng)隔離策略，制定嚴格的移動設(shè)備管理策略。