初探APT检测与防御方法

1 APT攻击介绍

APT全称为Advanced Persistent Threat（高级持续性威胁/渗透攻击），是指组织（特别是政府）或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，它融合了情报、黑客技术、社会工程等各种手段，通过直接或者间接控制IT系统，针对有价值的信息资产发起复杂而专业的攻击。

1.1 APT攻击特点

APT攻击常常具有以下几个特点：

（1）攻击者通常采用恶意网站，钓鱼的方式诱使目标上钩。

（2）攻击者通常采用恶意邮件的方式攻击受害者，这些邮件会被包装成合法的发件人，附件带有隐含的恶意代码（通常为0day漏洞），导致邮件网关等安全设备难以检测。

（3）攻击者通过 SQL注入等攻击手段入侵企业的 Web Server，以此做跳板对内网的其他服务器或终端不断渗透入侵，直至到达攻击目标。

（4）入侵成功后，使用压缩加密的方式向外传输数据，致使安全设备无法分析加密传输内容。

（5）攻击者通常不是直接攻击最终目标，而是通过外围入侵层层渗透。

1.2 APT攻击环节

APT攻击可以分为事前准备，渗透入侵，攻击收获三个环节。三个环节互相交织，没有严格的分界线。在每个环节，攻击者可能发起循环攻击，这取决于攻击范围、目标环境变化、攻击是否成功等因素。

1.2.1 准备工作

收集信息，了解目标的系统架构、人事管理、安全体系、重要资产。途径可以是：网络公开信息、社工库、钓鱼邮件、网站、漏洞扫描。这些信息会随着时间不断变化，所以收集信息也贯穿整个攻击过程。

攻击技术储备，通过了解系统版本、应用程序、安全软件，自行开发0day恶意代码、木马、溢出漏洞代码，设计攻击路径。

初步入侵外围目标，这些不是攻击的最终目标，但是可以被利用来做跳板，进入系统内部。外围目标可以包括：用户终端、系统帐户、外围服务器、外部基础设施、证书密码。

1.2.2 渗透入侵

在这环节，攻击者不断渗透，使用各种方法展开持续攻击：

常规手段：例如病毒传播、安全管理薄弱环节、社会工程欺骗员工获取目标信息、尝试弱密码和默认密码暴力攻击等。

利用漏洞：包括文件（DOC/PPT/PDF）漏洞、浏览器（ActiveX/CSS）漏洞、业务逻辑漏洞、提权漏洞、溢出漏洞、Web漏洞（SQL/XSS/CSRF）等。

木马植入和提权：攻击者在目标服务器植入木马，提权，获取敏感数据。

1.2.3 攻击收获

攻击者在窃取有用信息后，构建隐蔽的数据传输通道，把数据传送出来。此时，攻击者可以选择：继续收集价值信息，等待合适时机破坏目标，或者删除病毒、木马、服务器日志等攻击痕迹。

2 APT检测及防御方法

2.1 APT攻击检测方法

2.1.1 恶意代码检测

识别攻击者发送的恶意代码，是识别APT攻击关键的一步。

（1）基于签名特征

了解攻击特征，提取攻击特征签名。对网络传输的数据包进行匹配后，可以准确、快速的检测到此类恶意文件的传输。

（2）基于漏洞特征

了解漏洞触发原理，提取漏洞触发的关键代码。一个漏洞特征可以识别所有利用该漏洞进行攻击的恶意代码。

（3）基于行为特征

上面两种检测方法是基于已知（Nday）攻击/漏洞的前提条件下进行针对性的防御。但攻击者利用未知（0day）漏洞开发恶意代码，则可以轻易绕过这些方法。

沙箱技术就是应对 0day恶意代码提出的检测方法。它的原理就是构造一个模拟的执行环境，让可疑文件在这个模拟环境运行，通过观察文件行为来判定是否为恶意代码。

2.1.2 异常流量检测

传统IDS是基于攻击特征签名的技术进行监控分析，它把流量与特征库签名进行比对，“匹配成功为非法，否则为正常”。面对APT攻击，IDS可以做一些优化。我们选择基于Netflow的流量监测技术来采集网络流量，建立流量行为和流量分布的数学模型，学习企业网络的“正常流量”，从而鉴别出“异常流量”，发现APT的攻击痕迹。

2.1.3 信誉技术检测

在面对 APT攻击的时候，可以借助信誉技术进行检测。建立恶意WEB URL库，C&C地址库，僵尸网络地址库，文件MD5代码库，都是识别APT攻击的有效辅助手段。

2.1.4 关联分析

无论是恶意代码检测、异常流量检测、或是木马病毒告警，都只是单一安全设备的告警。APT攻击者会尝试多种路径和方法进行不断渗透入侵，单一设备的告警都是管中窥豹，无法判定是一次普通攻击还是APT攻击。

我们必须建立一套覆盖传统检测技术，可以横向贯穿分析的系统。通过收集所有安全告警信息并进行关联分析，还原 APT攻击的所有或者大部分入侵环节，有效区分普通攻击和 APT攻击。

关联分析首先需要全面地收集安全信息（例如网络入侵检测、网络防火墙、WEB应用防火墙、内网审计系统、服务器日志、防病毒等）；其次需要安全人员具有从零散的安全告警中拼凑出 APT攻击链路的方法和经验，包括识别组合攻击、长时间跨度攻击、态势分析等技能，要求比较高。

2.2 APT攻击的防御

2.2.1 防御手段

在攻击准备阶段，通过 IDS、IPS、Web应用防火墙等安全设备识别攻击者对企业外围设备、系统、应用的扫描行为；定期对企业系统、应用程序加固，对员工进行安全意识培训。

在攻击阶段，合理配置内网安全设备安全策略，在不同区域间设置防火墙，在服务器、终端安装防病毒软件并及时更新特征库，加强系统的安全审计、系统账号管理等，提高攻击者渗透入侵难度。对重要信息、敏感信息，使用高强度加密算法，让攻击者无法识别和判断攻击目标。

在攻击收获阶段，对异常流量、加密流量加强监控，特别对于传出流量的识别和分析是检测APT攻击行为的有效途径。

总体来说，合理利用安全设备，建立关联分析模型，实时分析安全告警，对 APT攻击的每个关键环节都给予高度重视，主动发现和及时处理，是APT防御的关键所在。

2.2.2 团队建设

要实现 APT攻击的防御，必须培养专业的安全团队。通过借助厂商的最佳实践，不断完善安全知识库，进行实时代码分析、渗透测试、漏洞验证、系统修补、安全应急等等工作，建立一套完整的安全防御体系和专业团队。经验丰富的安全团队是任何技术无法取代的。

3 结束语

在互联网+时代，政府、大型机构、企业已经离不开IT系统。APT攻击防御则是IT安全的核心内容之一。建立一套完善的APT检测与防御的安全系统，保护好自己的IT资产，是所有企业必须面临和解决的问题。