针对当前未知威胁APT攻防技术的浅析

舒岳波

摘 要：从未知威胁尤其是APT检测体系上应该形成一个纵深且关联分析深入的防御体系。前期是完善地渗透攻击检测技术针对多样的攻击、0day漏洞和木马等恶意程序的防护，然后就是智能的事件及流量特征关联与分析上进行识别。这就是结合目前现有技术可以提出的一个更加完整，且针对未知威胁的检测体系。

关键词：未知威胁；APT攻防技术

1 未知威胁的主要攻击方式

很多人以为自己重要的数据信息，只要做了真正地物理隔离就不再可能遭受到外界的安全攻击和数据盗窃。但是即使我们从物理上阻止了网络层的信息，却阻止不了逻辑上的信息流，也就是说只要黑客想要的数据信息没有与外界环境真正地隔离或者消失，逻辑上看就是有可能获取到想要的数据信息的。RSA被APT攻击利用了FLASH 0DAY窃取了在RSA内网严密保护的SECURID令牌种子，震网利用7个0DAY和摆渡成功渗透进了伊朗核设施级的物理隔离网络都是活生生的实例。

基于各种技术结合的APT攻击与以前的攻击相比有很大区别，首先，它本身主要还是面向各种终端资产或者人员寻找突破点，当一个组织足够庞大的时候，它没法保证每个人的个人终端或者平时的工作和生活习惯都足够安全。其次，它采用了Oday结合恶意软件和社会工程学等方法来进行攻击的渗透，然后采用透码绕过相关安全工具的检测，最后通过加密的安全通道获取到数据，并且很好地隐藏了自己的身份、位置和行为。

这一系列的攻击过程决定了APT攻击较长的持续时间，它本身具有显著的多阶段逐步渗透的特征。大致可以分为嗅探、入侵、潜伏、撤离几个过程，这四个过程一般情况下是循序渐进的，但并不排除少数针对性强的攻击为了实现其特定目标只采取特定的阶段或者重复进行几个阶段。

1.1 嗅探

嗅探是攻击者采集攻击目标多方面数据信息的阶段。攻击者一般使用巧妙多样的社会工程学手段收集大量内部人员数据、业务流程资料、内外网络环境等关键信息，并且也会结合渗透攻击的传统手段搜集目标在基础设施和防护手段上可能的漏洞和防护信息，通过设备策略、网络流量、系统版本、应用系统、开放端口、员工信息、管理措施等维度的整理和分析，得出攻击目标可能存在的安全缺陷或者其他隐藏的数据信息。

攻击者在此期间中也需要实时地收集各类0day、编写恶意代码和程序、选择合理的攻击方案等。

1.2 入侵

最终攻击者的攻击方法可以说层出不穷，例如定期定时地翻查目标对象的废纸篓垃圾箱，冒充可信人员以远程协助的名义在后台运行恶意程序或者开启某些安全漏洞，将针对目标的Web或者其他服务请求重定向到其自己或者第三方的恶意地址，以一定频率和特定的内容发送垃圾电子邮件打乱IT监管的节奏和措施，修改网站后台的链接地址等。

虽然攻击手段千变万化但都是为了逐步渗透到目标对象的网络环境中，可能从员工家属、一般员工先开始，然后逐步渗透。整个过程严谨准确，全部是正常业务数据的形式进入从而让目标不会察觉到。

1.3 潜伏

入侵成功之后，攻击者一般并不會急于窃取数据信息，而是会先隐藏自身，除了规避之前入侵行为与真正窃取信息行为之间的关联性之外，同时也在寻找进一步行动的最佳时机。

一般在检测到内部环境达到要求且符合自己攻击目的的时候，人工的远程操作或者嵌入的恶意程序就会开始执行预先设计好的相关动作。根据攻击目的的不同，会选择通过相对安全的链路或者加密的通道如vpn进行数据的传输，再有可能直接针对关键数据进行修改或者破坏，从而达到最终的攻击目的。

1.4 撤离

为了保全攻击者个人的安全，隐藏真实的攻击来源，通常在攻击达到目的之后都会针对之前在网络和数据环境中留下的信息进行销毁，包括日志数据、配置参数、状态信息、监控数据等等。这些数据就需要依赖于在嗅探和入侵阶段中所获取到的数据作为合理依据。且不能影响当前攻击目标的使用环境，让对方无法在平时的运维监管和业务使用中察觉出异样。

2 未知威胁的可行防护措施

目前来看业界常规的安全防御体系有如下几个问题：

安全检测基于已知的知识库和安全规则；缺乏对未知威胁的感知能力；安全问题处理能力滞后；缺乏不同模块的关联分析能力。

对于自身可控部分的安全措施，需要通过提高安全管理意识与能力，以及使用通过安全手段进行开发出来的产品及系统。但是在我们绝大多数的网络系统中，普遍存在运维人员的自身能力或者使用的业务情况已经不可控的安全部分。例如，有时候因为自己开发或者管理能力的限制，需要使用第三方提供的产品或者服务，比如一些操作系统、数通设备、驻场的工作人员等。对于这些我们不可控的安全内容，首先，我们要保证此产品、系统或者人员在供应链上的安全，包括准入、保证、监管、追责等几个部分。同时通过目前的实际情况来看，可能提高针对未知威胁的感知能力会更加重要。

为了在现有技术基础之上让我们可以在防护未知威胁的安全攻击，尤其是APT攻击的时候有更好的效果，这里我针对安全攻击事件的事前和事中分别提出一些自己的看法。

首先，目前的安全防护设备可以说基本都是针对安全事件已经发生，或者已经攻击结束之后才能发现并且针对攻击进行一些应对措施，整体上非常被动。在这点上其实我们应该从源头上去做一些安全加固，这一点在目前国内外的大多数产品来说是非常欠缺的。

对一个系统进行安全测试和安全测评，来建立事前安全防御体系的过程，首先要去分析这个系统所要保护的资产是什么？它在什么样的环境下有什么样的用户会去使用。由此可以初步建立一个安全质量的标准，再进一步去分析数据之间的关系，以及它存在的威胁，具体可以分析微观上面的数据权限之间的关系，再把可能存在的威胁进行漏洞化，分析它可能表现为系统的哪些漏洞形式，并对这个系统的安全实现提出要求。这样，就可以获得对一个系统安全策略、安全实现的要求，然后验证它的安全策略、安全功能和安全实现，最终就可以形成一个高覆盖性、完备性的安全测试过程。

其次，就是针对安全事件的事中发现问题。从技术环节上来讲，就是漏洞或者攻击行为的发现，漏洞从应用角度可以分为两类：内存级的漏洞和基于脚本级的漏洞。基于漏洞的分析主流技术包括0day攻击检测技术、木马分析技术、恶意链路分析技术，以及终端和网络边界协同的分析技术等，通过这些技术的组合，就能有效地利用沙箱检测技术较为准确地去检测各种应用上的攻击技术。可以说，APT攻击防御的核心技术就是建立纵深防御体系，包括0day漏洞触发与检测、0day木马对抗与检测、加密链路识别，以及智能事件关联与分析。

针对0day木马检测的技术，通行的技术也是采用沙箱作为分析引擎，其挑战在于：恶意的攻击点很难判别和识别。在这当中可以作为0day漏洞补充的一个技术来进行，通过0day可以判断对方的恶意，可以准确地把他的漏洞行为特征分析出来，可以把他的行为通过智能分析，直接加入到智能学习与关联中间去。

而针对加密数据的可信识别，可以分成两类：未加密协议通道和加密协议通道。未知威胁的APT攻击这种手法早就存在，未加密协议通道可以通过异常流量和行为的智能分析来发现，而加密协议通道的数据更加复杂一些，因此要增加更多的外部分析，通过外部关联站点的信息分析，来识别它远程连接的可信度，但是这一点实现上来说非常困难。

对此，我们可以依托于目前广泛拓展的大数据技术，配合我们現有的相关安全防护模块协同进行工作。既然，APT的攻击方式可以使用多样的技术手段结合大数据分析的方式加上一定的耐性去进行。那我们的安全防护为什么不能也用这种方式去做呢？很多看似相对独立的安全事件，但是其背后可能是有千丝万缕的关联性的。而平时偶尔出现的一些流量特征的异常，网络服务的变化等等可能也蕴藏了大量可被挖掘的安全信息。

我们需要做的仅仅是将目前的流量特征、安全事件、审计日志、数通设备、安全设备、终端信息、人员信息等等相关联的数据进行一定程度的融合，只要数据的量和覆盖度都足够，那我们必然可以发现一些可能的安全隐患或者类似被隐藏在其中的未知威胁安全事件，而这一点不论攻击者使用什么攻击手段基本都是无处遁形的。

3 结语

总之，从未知威胁尤其是APT检测体系上应该形成一个纵深且关联分析深入的防御体系。前期是完善地渗透攻击检测技术针对多样的攻击、0day漏洞和木马等恶意程序的防护，然后就是智能的事件及流量特征关联与分析上进行识别。这就是结合目前现有技术可以提出的一个更加完整，且针对未知威胁的检测体系。

[参考文献]

[1]黄达理，薛质.进阶持续性渗透攻击的特征分析研究[J].信息安全与通信保密.2012，33（05）：87-89.