近日，一份關(guān)于APT攻擊的報(bào)告顯示，在所有數(shù)據(jù)泄漏事件當(dāng)中，黑客平均潛伏的天數(shù)長(zhǎng)達(dá) 205 天。受害企業(yè)通常都有一個(gè)同樣的疑惑：“黑客是如何在我的網(wǎng)絡(luò)中長(zhǎng)期躲藏而不被發(fā)現(xiàn)?”。亞信安全通過(guò)對(duì)APT攻擊長(zhǎng)期的追蹤發(fā)現(xiàn)，黑客往往會(huì)精心選擇隱匿行蹤的技巧，而且擅長(zhǎng)通過(guò)有組織的行動(dòng)將攻擊分散開(kāi)來(lái)，以躲避查殺。針對(duì)APT攻擊的特征，亞信安全建議企業(yè)用戶(hù)持續(xù)監(jiān)察網(wǎng)絡(luò)內(nèi)的異常流量，并格外小心“圖片”和“文檔”中的黑色代碼。

[[161735]]

APT攻擊黑客團(tuán)體特別擅長(zhǎng)隱匿行蹤

在所有黑客攻擊行為當(dāng)中，最有能力在企業(yè)網(wǎng)絡(luò)內(nèi)部四處隱藏及游走的，就應(yīng)該是APT攻擊。黑客團(tuán)體有著組織性犯罪的顯著特征，而且特別擅長(zhǎng)隱匿行蹤，他們通常會(huì)運(yùn)用“零時(shí)差”漏洞進(jìn)入網(wǎng)絡(luò)。其盜取的核心機(jī)密數(shù)據(jù)能夠在地下黑市為其換得高額回報(bào)，巨大的誘惑讓他們長(zhǎng)期潛伏下來(lái)，并且持續(xù)滲透。

黑客團(tuán)體的成員之間，有著統(tǒng)一的指揮通道并且分工明確，要緝拿這些行動(dòng)背后的首腦相當(dāng)困難，尤其是當(dāng)他們躲藏在國(guó)外的時(shí)候。事實(shí)上，許多APT攻擊團(tuán)體通常都有政府在背后支持。還有，即使我們可以從攻擊行動(dòng)所使用的網(wǎng)址來(lái)追溯到某個(gè)地區(qū)，但該網(wǎng)址注冊(cè)的 DNS 和 IP 服務(wù)廠商通常也不愿配合國(guó)外的執(zhí)法機(jī)關(guān)。正因如此，那些由政府在背后撐腰的黑客，就能一再發(fā)動(dòng)惡意攻擊而不會(huì)遭到任何懲罰。嚴(yán)重的是，這些黑客團(tuán)體還會(huì)被一些投機(jī)取巧、惡意競(jìng)爭(zhēng)的企業(yè)，甚至是恐怖組織雇傭。在低風(fēng)險(xiǎn)、高報(bào)酬的條件下，他們會(huì)不斷從過(guò)去的失敗當(dāng)中吸取教訓(xùn)，并且每一次都比上一次的行動(dòng)更加小心謹(jǐn)慎。

“如果我們還不能建立起有效的APT攻擊防御架構(gòu)，任何一個(gè)組織都可能遇到數(shù)據(jù)泄漏的危險(xiǎn)。管理員必須要熟悉黑客竊取數(shù)據(jù)的方法，掌握APT攻擊各個(gè)階段的特點(diǎn)，并且能夠針對(duì)APT攻擊鏈條建立有效的抑制點(diǎn)，在互聯(lián)網(wǎng)入口、內(nèi)部交換層，都要配備更智能的過(guò)濾和分析機(jī)制，因?yàn)楹诳驼诎袮PT攻擊代碼寫(xiě)進(jìn)看似正常的圖片和文檔中。”亞信安全APT治理專(zhuān)家徐江明提醒：“企業(yè)用戶(hù)一定要關(guān)注APT攻擊的變化。我們的工程師已經(jīng)發(fā)現(xiàn)了更糟糕的狀況，地下市場(chǎng)上隨處可見(jiàn)的惡意程序，以及卷土重來(lái)的宏病毒已經(jīng)被APT攻擊者廣泛采用。”

APT攻擊“武器”正在升級(jí)

亞信安全的研究人員發(fā)現(xiàn)，當(dāng)前地下市場(chǎng)上最精密的惡意軟件之一就是 Stegoloader，它可以將 C&C 通信隱藏在圖片當(dāng)中。大多數(shù)的系統(tǒng)管理員都會(huì)被這樣的技巧所騙，因?yàn)樗麄兞?xí)慣上只會(huì)在安全網(wǎng)關(guān)上攔截可以執(zhí)行文件并進(jìn)行分析，不會(huì)攔截圖片文件。但這些圖片一旦進(jìn)入目標(biāo)網(wǎng)絡(luò)之后，惡意軟件就會(huì)幫助黑客發(fā)揮“橫向移動(dòng)”的能力。另外，Stegoloader采用了模塊化的設(shè)計(jì)可讓它在不同類(lèi)型的終端之間移動(dòng)，并且迅速發(fā)掘可竊取的數(shù)據(jù)類(lèi)型及數(shù)量，進(jìn)而判斷是否值得花時(shí)間來(lái)發(fā)動(dòng)進(jìn)一步攻擊。大多數(shù)的安全專(zhuān)家都認(rèn)為 Stegoloader 是一種高級(jí)黑客用來(lái)從事長(zhǎng)期攻擊行動(dòng)的工具。

能夠騙過(guò)管理員和用戶(hù)的另外一個(gè)伎倆就是Office文檔，而這也是宏病毒藏身的地方。上世紀(jì)末最?lèi)好颜玫拿符惿《?Melissa)出現(xiàn)之后，宏病毒貌似離開(kāi)了人們的視線。但是，現(xiàn)在宏病毒強(qiáng)勢(shì)回歸，并成為了APT攻擊的慣用工具。例如：2014年出現(xiàn)的數(shù)據(jù)竊取軟件ZeuS，它通過(guò)啟用宏的Microsoft Word文件來(lái)進(jìn)行散播。在同年11月還發(fā)現(xiàn)了DRIDEX(一個(gè)針對(duì)網(wǎng)絡(luò)銀行用戶(hù)的數(shù)據(jù)竊取軟件)采用相同的感染策略。緊隨其后的是ROVNIX、VAWTRAK、BARTALEX這些后門(mén)惡意軟件，黑客還加上自己的防御手段，他們或是對(duì)啟用宏的文件加上密碼保護(hù)來(lái)防止防毒軟件的查殺，或是開(kāi)辟新方法來(lái)通過(guò)宏惡意軟件感染用戶(hù)。

找出APT攻擊的藏身之處

APT攻擊共有六個(gè)階段，這包括：情報(bào)收集、單點(diǎn)突破、命令與控制(C&C 通信)、橫向移動(dòng)、資產(chǎn)/資料發(fā)掘、資料竊取。在黑客團(tuán)體常常分工明確，每一階段由一組專(zhuān)門(mén)的黑客負(fù)責(zé)。另外，需要注意的不僅是在“單點(diǎn)突破”這個(gè)階段的惡意代碼，黑客在第四階段的“橫向移動(dòng)”對(duì)于最后資料竊取階段的布局也至關(guān)重要。不斷地在不同終端之間移動(dòng)，可以讓黑客完整掃描整個(gè)網(wǎng)絡(luò)，并且找到最珍貴的數(shù)據(jù)。

發(fā)現(xiàn)APT攻擊者在企業(yè)內(nèi)部的藏身之處有一定的難度，但不是說(shuō)企業(yè)就束手無(wú)策。相反，企業(yè)必須不斷提升自己的安全防護(hù)，并隨時(shí)掌握整個(gè)企業(yè)網(wǎng)絡(luò)的情況。亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)產(chǎn)品可提供 360度全方位掌握來(lái)偵測(cè) APT，防范黑客竊取企業(yè)敏感信息。在今日的大環(huán)境下，黑客入侵已經(jīng)是無(wú)可避免的事，因此盡可能降低黑客潛伏的時(shí)間，并且妥善保護(hù)核心的數(shù)字資產(chǎn)，這才是最重要的。