網(wǎng)絡(luò)威脅格局已經(jīng)改變。我們以前面對(duì)的是傳統(tǒng)意義上的黑客，從系統(tǒng)探險(xiǎn)者到腳本小子，腳本小子使用的是新型自動(dòng)化利用工具，即通過(guò)利用黑客技術(shù)知識(shí)并將其封裝開(kāi)發(fā)而來(lái)的工具。在這個(gè)背景下還潛伏著地下組織和其他犯罪類型，只要有足夠的時(shí)間，他們能夠竊取到任何內(nèi)容。

這些早期罪犯的作案手法與現(xiàn)在很多企業(yè)所遇到的情況沒(méi)有太多不同。這涉及網(wǎng)絡(luò)釣魚活動(dòng)，試圖誘騙人們登錄到自己的網(wǎng)上銀行賬戶，并在此過(guò)程中，泄露其登錄憑證。攻擊者還開(kāi)發(fā)了病毒和僵尸程序來(lái)提供對(duì)受害者電腦的遠(yuǎn)程訪問(wèn)和管理工具，允許僵尸程序主人獲取受害者的所有數(shù)據(jù)?，F(xiàn)在國(guó)家情報(bào)部門開(kāi)始利用這些早期罪犯開(kāi)發(fā)的這些工具，以使用互聯(lián)網(wǎng)作為提高其情報(bào)收集能力的渠道。

在過(guò)去沒(méi)有什么像這樣發(fā)生得如此之快，或者具有這么深遠(yuǎn)的影響和依存關(guān)系。關(guān)鍵網(wǎng)絡(luò)、公共事業(yè)和其他基礎(chǔ)設(shè)施都與企業(yè)及政府的網(wǎng)絡(luò)交織在一起，并且，我們構(gòu)建、設(shè)計(jì)和制造的一切事物都在互聯(lián)網(wǎng)上。如果互聯(lián)網(wǎng)停止運(yùn)行，全球經(jīng)濟(jì)將會(huì)崩潰。從這點(diǎn)來(lái)看，這又引出了國(guó)家安全問(wèn)題。各國(guó)政府已經(jīng)意識(shí)到在電磁領(lǐng)域具有防御和進(jìn)攻能力的戰(zhàn)略性和戰(zhàn)術(shù)性優(yōu)勢(shì)。

這種模式的轉(zhuǎn)變?yōu)楦呒?jí)網(wǎng)絡(luò)威脅奠定了基礎(chǔ)。基于網(wǎng)絡(luò)罪犯的早期技術(shù)，很多國(guó)家的安全服務(wù)已經(jīng)具有為其國(guó)家利益進(jìn)行攻擊和竊取的能力。隨著這些組織被其政府要求獲取情報(bào)信息，全新類型的“威脅”出現(xiàn)在網(wǎng)絡(luò)中。

2006年美國(guó)空軍上校Greg Rattray創(chuàng)造的高級(jí)持續(xù)威脅(APT)術(shù)語(yǔ)描述了自20世紀(jì)90年代末和21世紀(jì)初在政府網(wǎng)絡(luò)中發(fā)現(xiàn)的強(qiáng)大的網(wǎng)絡(luò)攻擊。對(duì)于美國(guó)政府而言，APT就是中國(guó)；而對(duì)于中國(guó)來(lái)說(shuō)，APT則是美國(guó)。這始終是個(gè)角度問(wèn)題。#p#

情報(bào)收集方法

APT攻擊如何發(fā)生以及原因?想要了解APT攻擊的構(gòu)造和生理機(jī)能，我們需要知道世界各地安全機(jī)構(gòu)使用的情報(bào)收集方法。所有這些機(jī)構(gòu)(包括美國(guó)中情局、軍情六處和俄羅斯聯(lián)邦安全局)有著管理程序來(lái)接收政府的情報(bào)產(chǎn)品和信息請(qǐng)求。他們會(huì)優(yōu)先這些請(qǐng)求，并傳遞到各個(gè)部門或者組織，然后這些組織負(fù)責(zé)獲取信息或產(chǎn)品。

請(qǐng)求可能從何而來(lái)?例如，內(nèi)部收集周期可能源自于參加巴黎航展的商務(wù)代表團(tuán)，在這個(gè)重要活動(dòng)中，數(shù)以百計(jì)的航空航天和國(guó)防公司會(huì)展示其產(chǎn)品和創(chuàng)新。該代表團(tuán)(其中包括情報(bào)人員)拿著“購(gòu)物清單”，花很長(zhǎng)時(shí)間來(lái)尋找特定技術(shù)和系統(tǒng)。他們可能會(huì)發(fā)現(xiàn)一家國(guó)防承包商在“禁止的”國(guó)家出售新的創(chuàng)新雷達(dá)系統(tǒng)，而該制造商出售該技術(shù)給代表團(tuán)屬于違法行為，所以他們不能簡(jiǎn)單地購(gòu)買技術(shù)并進(jìn)行逆向工程。于是，該代表團(tuán)會(huì)拍攝銷售展示的照片，并盡可能獲取信息。當(dāng)該代表團(tuán)回國(guó)后，他們會(huì)將對(duì)這個(gè)雷達(dá)技術(shù)的情報(bào)或收集的正式請(qǐng)求提交給其國(guó)家的情報(bào)機(jī)構(gòu)。該情報(bào)請(qǐng)求會(huì)被優(yōu)先處理，當(dāng)執(zhí)行該請(qǐng)求時(shí)，它會(huì)被分配到網(wǎng)絡(luò)情報(bào)部門，該部門的專長(zhǎng)是獲取他人網(wǎng)絡(luò)的訪問(wèn)權(quán)，以獲取非常具體的信息。

APT是在美國(guó)中情局網(wǎng)站上介紹的經(jīng)典情報(bào)周期的收集部分：

· 規(guī)劃與方向

· 收集

· 處理

· 分析和生產(chǎn)

· 傳播

接著，有針對(duì)性的APT“活動(dòng)”開(kāi)始了。在這種情況下，這是A國(guó)的軍事部門向其情報(bào)部門發(fā)出的情報(bào)請(qǐng)求，其目的是找出在B國(guó)生產(chǎn)的雷達(dá)系統(tǒng)的所有信息。

該情報(bào)部門或其承包商首先會(huì)對(duì)目標(biāo)組織進(jìn)行全面的搜索。這種信息搜索包括關(guān)于該公司的基本信息，例如設(shè)施的物理位置;企業(yè)和供應(yīng)鏈關(guān)系;合同、產(chǎn)品和服務(wù);領(lǐng)導(dǎo)層和董事會(huì);申請(qǐng)報(bào)告和財(cái)務(wù)報(bào)告;及其是否為上市公司。

該組織還會(huì)著眼于該公司的互聯(lián)網(wǎng)足跡：

· 域名、DNS記錄、MX郵件記錄

· 注冊(cè)的IP范圍以及該信息的掃描

· 電子郵件命名約定(名字.姓氏@公司.com)

· 電信關(guān)系以及主機(jī)托管的使用

· 云使用

· 面向公眾的服務(wù)或網(wǎng)站

· 雙因素身份驗(yàn)證的使用

他們將會(huì)建立對(duì)具體部門或計(jì)劃內(nèi)或領(lǐng)導(dǎo)層或企業(yè)共享服務(wù)內(nèi)的員工的信息檔案。這些信息的收集來(lái)自于LinkedIn和Facebook搜索、學(xué)術(shù)論文、公共網(wǎng)站、公開(kāi)演講記錄以及行業(yè)協(xié)會(huì)和論壇等。在編譯好這些數(shù)據(jù)后，他們將會(huì)制定行動(dòng)計(jì)劃來(lái)滲透網(wǎng)絡(luò)一集竊取目標(biāo)的信息。

APT活動(dòng)的進(jìn)攻方面是從攻擊者執(zhí)行其計(jì)劃開(kāi)始。在這個(gè)例子中，最開(kāi)始是通過(guò)社會(huì)工程。在確定生產(chǎn)目標(biāo)數(shù)據(jù)的設(shè)施的物理位置后，APT在社交媒體撒網(wǎng)來(lái)“鏈接”與該項(xiàng)目有關(guān)或者接近該項(xiàng)目的個(gè)人--基于他們的LinkedIn資料。攻擊者創(chuàng)建虛假的人物角色，使用LinkedIn、Facebok頁(yè)面和其他社交媒體。然后他們?cè)噲D與這些個(gè)人“交朋友”以發(fā)現(xiàn)電子郵件地址(工作和個(gè)人郵箱)、其他朋友或關(guān)聯(lián)、地址、他們擁有的技能以及他們從事的其他項(xiàng)目。

根據(jù)這些社交媒體信息，APT創(chuàng)建了目標(biāo)人物清單，這些人與目標(biāo)項(xiàng)目有著直接或間接的關(guān)系，或者能夠間接參與到項(xiàng)目，或者為目標(biāo)提供下一步信息。這個(gè)社會(huì)工程學(xué)確定了魚叉式釣魚攻擊活動(dòng)的目標(biāo)。幾乎所有APT攻擊都包括某種形式的魚叉式釣魚攻擊，或者使用惡意信息，其目的是感染受害者的計(jì)算機(jī)。#p#

APT工具集

APT為了執(zhí)行這些活動(dòng)，他們需要準(zhǔn)備基礎(chǔ)設(shè)施和工具。大型APT活動(dòng)有來(lái)自國(guó)家政府的大量資助，用于研發(fā)工作，例如針對(duì)大多數(shù)商業(yè)安全工具創(chuàng)建漏洞利用或測(cè)試代碼。APT工具集通常包括以下：

云服務(wù)提供商出租的命令控制(C2)計(jì)算機(jī)主機(jī)，或者作為C2主機(jī)的目的而被感染的主機(jī)。這些主機(jī)會(huì)間接與攻擊者通信。使用由A國(guó)政府擁有的C2主機(jī)，或者間接與A國(guó)通信的C2主機(jī)，都不是明智的做法。相反，這些主機(jī)應(yīng)該通過(guò)主機(jī)層和代理服務(wù)器進(jìn)行通信，以掩蓋流量的目的地。通過(guò)這些C2主機(jī)網(wǎng)絡(luò)，惡意軟件通過(guò)魚叉式釣魚攻擊進(jìn)行通信，以建立通道到受感染主機(jī)，然后下載工具集和遠(yuǎn)程管理工具(RAT)。

· 包含水坑或路過(guò)式漏洞利用(電子郵件中網(wǎng)址鏈接到的地方)的網(wǎng)站，可感染主機(jī)

· 用于保存滲出數(shù)據(jù)的互聯(lián)網(wǎng)文件共享，這些文件共享可能包括Google Docs或者Dropbox賬戶。

· 廣泛的惡意軟件庫(kù)，以在網(wǎng)絡(luò)獲取立足點(diǎn)來(lái)下載RAT和工具集。該惡意軟件將會(huì)嘗試?yán)媒闳栈蛄闳章┒?。零日漏洞通常用于高價(jià)值目標(biāo)，因?yàn)楫?dāng)這些漏洞在互聯(lián)網(wǎng)時(shí)，可能會(huì)開(kāi)發(fā)補(bǔ)丁和簽名。

· 在域名和主機(jī)配置方面具有豐富技能的Windows管理員。這些技術(shù)人員將會(huì)推動(dòng)受感染主機(jī)繼續(xù)在被感染網(wǎng)絡(luò)獲取主機(jī)，找到數(shù)據(jù)并滲出數(shù)據(jù)。

基于對(duì)目標(biāo)最初的搜索，該活動(dòng)的模板被選定為從目標(biāo)獲取數(shù)據(jù)。這些模板或者運(yùn)作模式是基于目標(biāo)公司部署的技術(shù)、目標(biāo)的網(wǎng)絡(luò)安全狀況以及目標(biāo)的價(jià)值。

在模板被選定和批準(zhǔn)后，資源也準(zhǔn)備就緒，魚叉式釣魚電子郵件被發(fā)送到目標(biāo)。郵件被發(fā)送，并隱藏在目標(biāo)的防火墻背后。如果惡意軟件信標(biāo)進(jìn)入C2主機(jī)(其地址在利用代碼中)，就會(huì)成功。

幾年前，大多數(shù)公司對(duì)這種威脅都手足無(wú)措，攻擊者很容易得手。這些早期攻擊活動(dòng)的作案手法還在延續(xù)，并根據(jù)防御的改進(jìn)作出了調(diào)整。隨著大家對(duì)APT認(rèn)識(shí)的提高，針對(duì)它的主動(dòng)防御也在提高，這意味著，APT操作者需要調(diào)整其MO來(lái)抵御企業(yè)部署的新興防御技術(shù)。#p#

主動(dòng)防御

了解了APT操作者如何攻擊可以幫助企業(yè)構(gòu)建抵御APT的主動(dòng)防御。傳統(tǒng)基于簽名的防火墻和IDS無(wú)法對(duì)抗APT攻擊。APT操作者具有所有商業(yè)安全設(shè)備和軟件的副本，并構(gòu)建其模板來(lái)輕松抵御防病毒和反惡意軟件工具等系統(tǒng)。

這里還有一些方法來(lái)防止APT攻擊：

使用威脅情報(bào)。這包括APT操作者的最新信息;從分析惡意軟件獲取的威脅情報(bào);已知的C2網(wǎng)站;已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行;以及惡意鏈接和網(wǎng)站。威脅情報(bào)在進(jìn)行商業(yè)銷售，并由行業(yè)網(wǎng)絡(luò)安全組共享。企業(yè)必須確保情報(bào)的相關(guān)性和及時(shí)性。威脅情報(bào)被用來(lái)建立“絆網(wǎng)”來(lái)提醒你網(wǎng)絡(luò)中的活動(dòng)。

建立強(qiáng)大的出口規(guī)則。除網(wǎng)絡(luò)流量(必須通過(guò)代理服務(wù)器)外，阻止企業(yè)的所有出站流量，阻止所有數(shù)據(jù)共享、誒網(wǎng)站和未分類網(wǎng)站。阻止SSH、FTP、Telnet或其他端口和協(xié)議離開(kāi)網(wǎng)絡(luò)。這可以打破惡意軟件到C2主機(jī)的通信信道，阻止未經(jīng)授權(quán)的數(shù)據(jù)滲出網(wǎng)絡(luò)。

收集強(qiáng)大的日志分析。企業(yè)應(yīng)該收集和分析對(duì)關(guān)鍵網(wǎng)絡(luò)和主機(jī)的詳細(xì)日志記錄以檢查異常行為。日志應(yīng)保留一段時(shí)間以便進(jìn)行調(diào)查。還應(yīng)該建立與威脅情報(bào)匹配的警報(bào)。

聘請(qǐng)安全分析師。安全分析師的作用是配合威脅情報(bào)、日志分析以及提醒對(duì)APT的積極防御。這個(gè)職位的關(guān)鍵是經(jīng)驗(yàn)。

你的企業(yè)是否面臨APT威脅?你的公司是否存在吸引APT攻擊者愿意花時(shí)間和金錢試圖竊取的東西?企業(yè)可以詢問(wèn)美國(guó)聯(lián)邦調(diào)查局他們是否可能受到APT攻擊。如果答案是否定的，那么，花錢在抵御APT的防御工作并不是很好的投資。但可能成為潛在“目標(biāo)”的企業(yè)必須考慮進(jìn)行防御。