作者｜高尉峰，單位：中移雄安產(chǎn)業(yè)研究院智慧城市平臺部

?Labs 導(dǎo)讀

近年來，高級可持續(xù)性威脅（APT）大幅增加，多個國家都受到了來自APT組織的攻擊，網(wǎng)絡(luò)戰(zhàn)也愈演愈烈，對企業(yè)安全和國家安全造成了重大威脅。APT溯源與反溯源技術(shù)對于APT攻擊的防御有著舉足輕重的作用，攻擊事件發(fā)生后，溯源是應(yīng)急響應(yīng)過程中的核心環(huán)節(jié)，對攻擊行為能否準確溯源，直接決定應(yīng)急響應(yīng)的安全加固措施是否有效。知己知彼才能百戰(zhàn)不殆，所以本文針對APT攻擊的特征、溯源和反溯源技術(shù)做一個全面的講解。

1什么是APT攻擊？

高級可持續(xù)性威脅（APT），是指隱匿而持久的主機入侵過程，通常出于商業(yè)或政治動機，由某些人員精心策劃，然后針對特定組織或國家進行攻擊，該攻擊的主要特征是能夠持續(xù)監(jiān)控靶機，并從靶機獲取數(shù)據(jù)。

1.1 APT攻擊與傳統(tǒng)攻擊的區(qū)別

• 組織性：APT攻擊通常是由一個組織發(fā)起的攻擊，可能具有軍事或政治目的，會與國家關(guān)聯(lián)在一起，背后往往有雄厚的資金支持；而傳統(tǒng)的攻擊通常是由黑客個人發(fā)起，沒有嚴密的組織。
• 目標針對性：APT組織不會盲目攻擊，通常會針對性的選擇一個攻擊目標，該目標往往具有軍事、政治、經(jīng)濟上的較高價值。而傳統(tǒng)的攻擊通常采用“大水漫灌”式的無差別攻擊手段。
• 攻擊戰(zhàn)術(shù)：APT攻擊的樣本變種多且升級頻繁，同時利用零日漏洞進行樣本的投遞，使得基于特征匹配的傳統(tǒng)防御技術(shù)很難有效檢測出攻擊；而傳統(tǒng)的攻擊大多使用流量泛洪或者已知漏洞進行攻擊。
• 隱蔽性：APT攻擊使用加密隧道進行通信，具有較強的隱蔽能力，基于流量檢測的防御很難發(fā)揮作用；而傳統(tǒng)的攻擊未使用加密隧道進行敏感信息竊取。
• 持續(xù)時間：APT攻擊往往會持續(xù)數(shù)年的時間。而傳統(tǒng)的攻擊持續(xù)時間較短，漏洞利用成功后不會給靶機留下后門程序。

下圖表示APT攻擊常用的戰(zhàn)術(shù)：

1.2 APT攻擊步驟

• 情報收集：攻擊者使用魚叉式釣魚攻擊、google搜索引擎、掃描工具、社會工程學(xué)手段尋找靶機的信息，該信息包含域名，子域名，ip地址，已知漏洞等等。
• 資源開發(fā)：攻擊者會購買、租賃可使用的基礎(chǔ)設(shè)施。包括物理或云服務(wù)器、域名和第三方Web服務(wù)、僵尸網(wǎng)絡(luò)等等。 
• 初始訪問：攻擊者利用0 day漏洞、N day漏洞攻擊軟件供應(yīng)鏈，達到利用靶機漏洞的目標。
• C2通信：給靶機投遞樣本，從而使得C2服務(wù)器和靶機建立通信加密隧道。
• 橫向移動：攻擊者通過C2服務(wù)器對內(nèi)網(wǎng)中的主機進行橫向滲透，最終拿下內(nèi)網(wǎng)主機的控制權(quán)，同時給靶機留下后門程序，便于持續(xù)攻擊。
• 資產(chǎn)發(fā)現(xiàn)：使用掃描工具掃描內(nèi)網(wǎng)主機的指紋信息，比如ip，開放端口，未修復(fù)的已知漏洞。
• 數(shù)據(jù)泄露：攻擊者會將靶機敏感信息壓縮、加密，然后通過加密隧道竊取。

下圖展示了橫向運動的過程，V代表C2服務(wù)器，紅線左側(cè)代表公網(wǎng)，紅線右側(cè)代表內(nèi)網(wǎng)，內(nèi)網(wǎng)中的四臺主機只有192.73.1.19可以與公網(wǎng)通信，其他三臺主機均與公網(wǎng)隔離，但是C2服務(wù)器通過打通內(nèi)網(wǎng)路由的方式成功控制了內(nèi)網(wǎng)的四臺主機。

2什么是APT攻擊溯源？

通過攻擊溯源，我們可以確定源IP或媒介IP，及其對應(yīng)的攻擊路徑，從而制定更有針對性的防護或?qū)Σ?，實現(xiàn)主動防御。安全業(yè)界常見的溯源方式是基于防火墻和流量檢測技術(shù)，但是這種溯源方式存在誤報率高，單點安全告警無法聯(lián)動，無法還原完整攻擊鏈的問題，但是APT攻擊溯源能夠解決上述問題。APT攻擊溯源主要分析以下三個問題：

• Why：黑客為什么能攻擊進來，黑客采用了哪些攻擊手段，哪些黑客工具。
• Who：確定攻擊者的身份、個人信息以及網(wǎng)絡(luò)指紋。
• Where：發(fā)現(xiàn)安全事件的軌跡，找出攻擊者的歷史軌跡。

3如何實現(xiàn)APT攻擊的溯源？

APT溯源的過程類似警方破案的過程，溯源需要證據(jù)，不能靠猜測。常見的溯源技術(shù)如下：

3.1 對APT組織畫像

3.2 通過IOC（特征值）進行攻擊溯源

1. 0 day，N day漏洞，web漏洞，主機漏洞，容器漏洞等等；
2. 異常流量；
3. 樣本（病毒，蠕蟲，木馬等等）；
4. 攻擊ip地址，受害ip地址；
5. 高危端口；
6. 惡意進程及其調(diào)用鏈；
7. 主機日志；
8. DNS解析歷史；

3.3 通過沙箱進行攻擊溯源

為解決特征匹配對新型攻擊的滯后性而產(chǎn)生的解決方案。其原理是將實時流量先引入沙箱，通過對沙箱的文件系統(tǒng)、進程、注冊表、網(wǎng)絡(luò)行為實施監(jiān)控，判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術(shù)相比，沙箱方案對未知惡意代碼具有較好的檢測能力，但其難點在于模擬的客戶端類型是否全面，如果缺乏合適的運行環(huán)境，會導(dǎo)致流量中的惡意代碼在檢測環(huán)境中無法觸發(fā)，造成漏報。

3.4 通過異常行為進行攻擊溯源

其原理是通過對網(wǎng)絡(luò)中的正常行為模式建模。核心技術(shù)包括元數(shù)據(jù)提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊。

3.5 通過全流量審計進行攻擊溯源

其原理是對鏈路中的流量進行深層次的協(xié)議解析和應(yīng)用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時，在全流量存儲的條件下，回溯分析相關(guān)流量，例如可將包含的http訪問、下載的文件、及時通信信息進行還原，協(xié)助確認攻擊的完整過程。這種方案具備強大的事后溯源能力和實時檢測能力，是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結(jié)合的解決方案。

3.6 樣本溯源

樣本的靜態(tài)特征有語言、pdb、字符串等，pdb文件主要存儲了VS調(diào)試程序時所需要的基本信息，主要包括源文件名、變量名、函數(shù)名、FPO(幀指針)、對應(yīng)的行號等等?？梢酝ㄟ^樣本的聚類和同源分析，ip、domain、url、md5等的關(guān)聯(lián)實現(xiàn)溯源。

3.7 溯源案例分析

WannaCry勒索攻擊是2017年5月由WannaCry蠕蟲發(fā)起的全球網(wǎng)絡(luò)攻擊，該攻擊通過加密數(shù)據(jù)并要求以比特幣加密貨幣支付贖金。

通過樣本溯源和流量分析就能準確定位WannaCry勒索攻擊，分析方法如下：

• 對比WannaCry1.0和WannaCry2.0的樣本信息，可以確定樣本歸屬于同一攻擊組織。

• 如果內(nèi)網(wǎng)主機的445端口建立了大量連接，說明WannaCry蠕蟲正在橫向移動，從而證明內(nèi)網(wǎng)已經(jīng)被WannaCry蠕蟲感染。

4如何實現(xiàn)APT攻擊的反溯源？

“道高一尺，魔高一丈”，既然有溯源技術(shù)，那就肯定有反溯源技術(shù)。對于APT組織來說，通信信道的隱蔽性直接決定了是否能夠持續(xù)攻擊，如果缺少隱蔽性，就需要不斷開發(fā)樣本，因此會提高攻擊成本，下面介紹一種通過端口映射隱藏攻擊ip的方法。

• 通過隧道將C2服務(wù)器回連端口映射到其他公網(wǎng)地址，從而隱藏C2服務(wù)器真實ip，隧道最好采用https，可以加強通信的隱蔽性。

• 通過CS軟件控制內(nèi)網(wǎng)靶機，下圖表示靶機已經(jīng)被控制。

• 在靶機上通過網(wǎng)絡(luò)連接查看攻擊ip，發(fā)現(xiàn)C2服務(wù)器的ip已經(jīng)被隱藏，靶機顯示的目標ip是偽造的公網(wǎng)ip。

5如何防御APT攻擊？

目前安全業(yè)界比較流行的防御APT思路如下：

1. 采用機器學(xué)習和大數(shù)據(jù)分析技術(shù)來發(fā)現(xiàn)APT行為，典型的公司是FireEye；該方法的優(yōu)勢是能夠快速分析出同源樣本以及樣本的歸屬組織，劣勢是需要海量的樣本數(shù)據(jù)進行模型訓(xùn)練，很多企業(yè)沒有海量的樣本數(shù)據(jù)來訓(xùn)練模型。
2. 采用數(shù)據(jù)加密和數(shù)據(jù)防泄密(DLP)來防止敏感數(shù)據(jù)外泄，典型的公司是賽門鐵克；該方法的優(yōu)勢是可以最大程度的保證數(shù)據(jù)安全，而且容易操作，劣勢是敏感數(shù)據(jù)分類分級的標準不統(tǒng)一，導(dǎo)致防泄密策略不明確。
3. 采用身份認證和用戶權(quán)限管理技術(shù)，嚴格管控內(nèi)網(wǎng)對核心數(shù)據(jù)和業(yè)務(wù)的訪問，典型的公司是RSA。該方法的優(yōu)勢是可以降低樣本橫向移動的可能性，劣勢是網(wǎng)絡(luò)的微隔離可能影響業(yè)務(wù)訪問速度。
4. 采用應(yīng)用程序白名單和域白名單，通過白名單控制網(wǎng)絡(luò)訪問的域以及用戶安裝的應(yīng)用程序，該方法對防御樣本在靶機上的執(zhí)行非常有效。該方法的優(yōu)勢是可以有效防止樣本執(zhí)行，劣勢是可能導(dǎo)致正常的程序無法運行。