安恒信息近日發(fā)布APT攻擊(網(wǎng)絡(luò)戰(zhàn))預(yù)警平臺，該平臺可識別惡意行為，發(fā)現(xiàn)未知威脅，直擊新型網(wǎng)絡(luò)攻擊。

APT進(jìn)攻是我們目前所能見識過的最危險(xiǎn)的攻擊之一。據(jù)國外權(quán)威信息安全結(jié)構(gòu)統(tǒng)計(jì)，該類型攻擊增長的趨勢呈指數(shù)級發(fā)展。從2003年開始嶄露頭角，2008年開始攻擊次數(shù)一路直線上升，并且目標(biāo)明確、持續(xù)性強(qiáng)、具有穩(wěn)定性。它利用程序漏洞與業(yè)務(wù)系統(tǒng)進(jìn)行融合，不易被察覺，并且有著超常的耐心，最長甚至可達(dá)七年以上，不斷收集用戶信息。發(fā)起APT攻擊所需的技術(shù)壁壘和資源壁壘，要遠(yuǎn)高于普通攻擊行為。其針對的攻擊目標(biāo)也不是普通個(gè)人用戶，而是擁有高價(jià)值敏感數(shù)據(jù)的高級用戶，特別是可能影響到國家和地區(qū)政治、外交、金融穩(wěn)定的高級別敏感數(shù)據(jù)持有者、 甚至各種工業(yè)控制系統(tǒng)。

　　如2011年RSA攻擊事件。攻擊者給RSA的母公司EMC的4名員工發(fā)送了兩組惡意郵件，附件名為“2011 Recruitment plan.xls”;其中一位員工將其從垃圾郵件中取出來閱讀，被當(dāng)時(shí)最新的Adobe Flash的0day漏洞命中。該員工電腦被植入木馬，開始從BotNet的C&C服務(wù)器下載指令執(zhí)行任務(wù)。首批受害的使用者并非“位高權(quán)重”人物，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑。RSA發(fā)現(xiàn)開發(fā)用服務(wù)器(Staging server)遭入侵，攻擊方立即撤離，加密并壓縮所有資料并以FTP傳送至遠(yuǎn)程主機(jī)，隨后清除入侵痕跡。

　　其威脅從以上舉例可見一斑，同時(shí)，從下圖，我們可以看到APT攻擊從2008年開始放量增長，并呈指數(shù)級上升趨勢。

　　多路徑攻擊需要預(yù)警平臺全方位防護(hù)

　　APT攻擊的威脅已經(jīng)不單單是一個(gè)病毒，經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。

　　通過對APT攻擊進(jìn)行大量分析，我們發(fā)現(xiàn)絕大多數(shù)大攻擊通過3條路徑對目標(biāo)發(fā)起攻擊：

　　1. 通過發(fā)送帶惡意附件郵件，利用惡意附件在員工電腦種植入后門，再通過員工電腦進(jìn)行進(jìn)一步帶滲透

　　2. 直接攻擊Web服務(wù)器，由于Web服務(wù)器經(jīng)常存在嚴(yán)重的安全漏洞，所以黑客經(jīng)常對Web服務(wù)器進(jìn)行攻擊，然后再利用Web服務(wù)器為跳板，對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊

　　3. 使用欺騙或流量截獲對方式直接對員工服務(wù)器發(fā)起攻擊，利用員工電腦對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊

　　在APT攻擊中， 使用0day對目標(biāo)進(jìn)行攻擊非常常見，由于沒有已知的特征所這些攻擊很難被傳統(tǒng)對檢測手段發(fā)現(xiàn)。 而APT攻擊檢測設(shè)備的一個(gè)主要目標(biāo)就是需要能夠檢測到0day攻擊。靜態(tài)檢測無法檢測到深度多攻擊行為，而動態(tài)檢測由于存在大量環(huán)境組合無法窮舉，無法觸發(fā)所有多行為。所以不應(yīng)該使用任何一種單獨(dú)的方法對目標(biāo)進(jìn)行檢測。

　　通過關(guān)聯(lián)分析應(yīng)對APT攻擊是必由之路

　　APT攻擊中，由于黑客可能嘗試多種路徑進(jìn)行攻擊，所以無法使用一種方法就能有效的檢測出APT攻擊。我們需要利用多種檢測手段結(jié)合，并進(jìn)行綜合分析發(fā)才能更有效的發(fā)現(xiàn)APT攻擊，常用的檢查步驟為(見下圖)：

　　1. 針對Web、郵件、傳輸?shù)奈募M(jìn)行的攻擊檢測

　　2. 綜合這些攻擊的數(shù)據(jù)分離可疑文件、攻擊流量

　　3. 對Web行為模型進(jìn)行建模和統(tǒng)計(jì)分析

　　4. 對文件進(jìn)行靜態(tài)分析和動態(tài)運(yùn)行分析

　　5. 綜合各種攻擊路徑中對告警，進(jìn)行綜合分析

　　6. 最終發(fā)現(xiàn)APT攻擊

　　常見的檢測方法有：

　　1、深度協(xié)議解析

　　利用各種檢測手段發(fā)現(xiàn)其中的惡意攻擊及0day攻擊。 目前解析的協(xié)議包括HTTP、SMTP、POP、FTP等。

　　APT攻擊預(yù)警平臺能檢測和預(yù)警一系列的攻擊，無論是已知的或未知的，并能夠阻止那些最常見的攻擊。如：基于Web的惡意攻擊、基于文件的惡意攻擊、基于特征的惡意攻擊等。

　　2、 WEB應(yīng)用攻擊檢測

　　該平臺能解碼所有進(jìn)入的請求，檢查這些請求是否合法或合乎規(guī)定;僅允許正確的格式或RFC遵從的請求通過。已知的惡意請求將被阻斷，非法植入到Header、Form 和URL中的腳本將被阻止，能夠阻止那些的攻擊如跨站點(diǎn)腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽、SQL注入等。

　　3、郵件攻擊檢測

　　對郵件協(xié)議進(jìn)行深度分析，記錄并分析每個(gè)郵件，并對其中的附件進(jìn)行分析并檢測，發(fā)現(xiàn)其中的安全問題。通過對附件進(jìn)行對已知攻擊特征的掃描、未知攻擊漏洞的掃描和動態(tài)分析的方式進(jìn)行測試，發(fā)現(xiàn)其中的攻擊。

　　4、文件攻擊檢測

　　安恒通過長期的研究，總結(jié)并提權(quán)各類0day攻擊的特點(diǎn)。在網(wǎng)絡(luò)流量中分析關(guān)心的文件。通過快速檢測算法，對目標(biāo)文件進(jìn)行檢測，發(fā)現(xiàn)其中的0day攻擊樣本。

　　通過檢測目標(biāo)文件中的shellcode以及腳本類文件中的攻擊特征，并結(jié)合動態(tài)分析技術(shù)可以有效檢測0day攻擊行為。

　　5、流量分析檢測

　　APT通常會結(jié)合人工滲透攻擊，在人工滲透攻擊中經(jīng)常使用掃描或病毒擴(kuò)散的過程。這些過程中，通常會產(chǎn)生大量的惡意流量。利用這些惡意流量特征，能檢測攻擊行為。