高级可持续威胁攻击关键技术探究

李建方，张士铎

(中国传媒大学计算机学院，北京 100024)



高级可持续威胁攻击关键技术探究

李建方，张士铎

(中国传媒大学计算机学院，北京 100024)

高级可持续威胁(APT)是目前全球范围内互联网安全领域最难防范的攻击之一。本文收集了从2008年到2015年的180个APT攻击事件，根据其攻击目标、持续时间、攻击目标地理分布、是否国家支持等因素，选取其中89个典型攻击案例进行深度剖析。从5维度上详细分析了其攻击背景，攻击方案，攻击溯源，并总结了APT攻击生命周期及其各阶段特点。

APT；攻击手段；鱼叉式钓鱼；水坑攻击；0day漏洞

1　引言

近些年来，互联网空间的安全形势发生了巨大改变，APT攻击增长趋势呈指数式发展，成为最具威胁的网络攻击方式。与传统的来自病毒和木马的安全威胁不同，APT攻击破坏性之大、隐蔽性之强，持久性之久等特性，让如今企业单位所面临的网络安全风险愈加复杂。现有的网络防御系统很难抵御APT攻击。国外专家学者通过分析每次攻击的特点[1]，认为攻击Google、RSA、Comodo等大公司的黑客使用了前所未有的战术，组合了加密、隐秘编程技术和IE中的未知漏洞，意图是窃取Google、Adobe和许多其他大公司的源代码，从而利用窃取的信息得到更大的利益。同时，大量的专家学者也在为解决APT攻击这一新兴网络攻击技术出谋划策。

美国国家标准和技术研究院(NIST)在2013年公开的《SP800-53管理信息安全风险》中对APT的定义是[2]：精通复杂技术的攻击者利用多种攻击方案(如：网络，物理和欺诈)，借助丰富资源创建机会实现自己目的。这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据，执行或阻止一项任务，程序，又或者是潜入对方架构中伺机进行偷取数据。

2　ATP案例分析

我们收集了从2008年到2015年的180个APT攻击事件，根据其攻击目标、持续时间、攻击目标地理分布、是否国家支持等因素，我们选取以上89个典型攻击案例，从5个维度(基本信息、准备、进入、驻留、收获)详细分析其攻击背景、攻击方案、攻击溯源手段等关键技术。下面(表1)列出了5个APT典型攻击案例的基本信息，攻击手段和时间影响。

表1　2008～2015年间5个典型案例分析列表

根据分析汇总可以得到以下的结论：

2.1APT攻击特征典型特征。

对这89个典型案例的深入分析可知，APT进入阶段的主要手段分为鱼叉式钓鱼邮件攻击，水坑攻击和EvilTwins攻击，其中鱼叉式钓鱼邮件攻击又根据其漏洞利用手法分为钓鱼邮件附件攻击，钓鱼邮件正文攻击和webmail漏洞利用攻击。由对89个案例的统计分析表可以知道，在89个APT攻击案例中有39个鱼叉式钓鱼邮件攻击，1个APT攻击事件选用直接攻击方式，有些攻击事件的进入方式还不唯一，因为针对现实生活中的情况来讲，相对于“技防”，“人防”明显更薄弱一下，利用社会工程学从“人”下手，利用人们防范意识薄弱的弱点诱使其点击钓鱼邮件实现攻击进入。

2.2按照“异常发现—知识构建—深度分析”的主线，建立APT攻击生命周期的4阶段模型

准备。攻击者会采用网络扫描和应用踩点等方式收集关于被攻击目标的网络、系统等信息。

进入。攻击者在收集了足够的关于被攻击目标信息之后，将会采取社会工程学攻击、水坑攻击和直接入侵三大类手段试图进入目标网络。

驻留。攻击者一旦进入目标网络，会尝试在网络中寻找可驻留节点。典型的可被驻留节点包括：计算机终端设备、手机、服务器等。通常为了实现驻留目标，攻击者所需要采取的攻击手段包括：提升权限、横向移动、远程控制。

收获。和传统的网络入侵行为相比，APT攻击的目标更明确、更坚定。在已有公开的APT事件中，窃密成为攻击者当仍不让的首选目标。攻击者利用其在驻留阶段建立起的控制信道回传窃得的数据，一旦完成目标，攻击者往往会进行清理工作，删除系统和应用软件的日志，清理远控和回传过程中产生的所有临时文件，最后卸载植入端软件，实现毁灭证据、销声匿迹。

2.3APT攻击案例中使用0day进入的比例远远低于使用已知漏洞利用代码的比例

由89案例的统计分析表可以看到，采用0day漏洞的攻击事件有17件，而未采用0day漏洞的攻击事件有72件，直接采用0day漏洞攻击在技术实现上相对比较复杂，况且挖掘0day漏洞非常困难，0day漏洞的数量也相对较少，利用成本很高。利用公开漏洞实现攻击就相对比较简单，即使相关软件也推出了相应的补丁，但是有些公司的网管水平不够，IT基础设施运维管理能力不足，都给攻击者提供了很好的攻击机会，攻击者利用社会工程学发现公司员工使用软件的版本存在哪些漏洞，那么就会可能造成一次攻击事件。

2.4攻击者使用了2个区别于以往所有攻击行为的重要模式创新

A模式：直接导致了A(Advanced)难题，我们将其模式特征总结为：组合攻击(同时使用多种攻击工具、漏洞利用程序)、定制化攻击(开发并使用未知漏洞利用程序、针对小众专业或行业软件的漏洞利用程序)和高度伪装(所有攻击行为均寄生于正常且主流的应用层协议)。

P模式：直接导致了P(Persistent)难题，我们将其模式特征总结为：长时间碎片化攻击行为。这是针对传统的以IDS、防火墙为代表的传统网络安全设备的检测模式是基于数据报文级别、会话流级别检测的缺陷，将一个完整的恶意代码或漏洞利用程序切割成多个数据片段，利用非连续时间窗口、使用多个独立传输会话、甚至是从多个不同IP源地址发起传输会话。

3　APT攻击途径

通过分析近年来的APT攻击事件，我们发现，社会工程学攻击是攻击者最擅长也是最喜欢的方法。利用各种系统漏洞或软件漏洞进行渗透的恶意代码已成为目前APT攻击的主要手段，而利用或盗用合法的认证签名，利用浏览器漏洞和水坑攻击将替代邮件攻击将成为APT攻击发展的趋势，与此同时，攻击者也更注重对沙箱的反检测技术，从而躲避安全厂商的动态检测技术[3]。其攻击手段主要有表2所示。

表2　常见的五种APT入侵手段

3.1鱼叉式钓鱼攻击

鱼叉式攻击又分为三种，分别为邮件附件类型、邮件正文类型和Webmail漏洞类型钓鱼攻击。

邮件附件钓鱼攻击是针对特定Email地址发起的钓鱼式攻击。采用这一手段的入侵者，会向特定人群定点发送特定Email。这种针对特定受害者发送的邮件，为了达到诱骗目的，往往使用迷惑性较高的文件或内容，例如色情图片类邮件，通知批文类邮件，商业材料类邮件，诱使用户点击某个链接以下载恶意软件，或者诱使他们打开有问题的邮件附件。而且紧接着会使用电话等途径对潜在的受害者实施进一步的社会工程学攻击。

攻击者会假造内容让它符合时事且更具有说服力，例如：

①者利用常见网页邮件服务(如Yahoo!、Gmail等等)的帐号和之前入侵获得的帐号来寄送Email；

②RSA受到的攻击中，送给员工的电子邮件中有主旨为：RecruitmentPlan(聘雇计划)；

③攻击者伪造来自特定部门或目标办公室内高阶主管的电子邮件；

④攻击者假造附加档案名称来变得更符和时事，更有说服力；

⑤在Nitro攻击活动中，电子邮件伪装成来自目标公司的资讯部门；

邮件正文的钓鱼攻击主要是仿冒管理员，发送密码维护，系统升级等内容的邮件，要求用户发送密码进行身份核对等。或者要求用户点击恶意链接，核对验证身份。

WebMail钓鱼攻击是利用邮件系统或者客户端本身存在漏洞，远程攻击者建立任意文件，进行跨站脚本，获得安装路径等攻击。

3.2水坑攻击

水坑攻击就是当某个企业网站服务器被入侵，出现某个网页被用来针对访客提供特制的恶意软件。这种攻击对于将自己公司网页设成首页的员工来说特别有效，威胁也延伸到客户和合作伙伴。另一种水坑攻击是污染了网站内的广告。这类型的攻击被称为恶意广告。要实施一个水坑攻击，攻击者首先要攻陷某个第三方网站。这种第三方网站通常是目标单位的目标人群通常会访问的网站。一旦有人访问这些第三方网站，他们的电脑就会中招。攻击者使用一个漏洞攻占一个网站后，并不急于立即使用该网站发起攻击，而是在攻占多个网站后，集中地发起对多个目标的攻击。攻击者采用这种策略可能有两方面原因：一是攻击者为了提高漏洞的利用效率，减少开销；另一个可能是不同的攻击者之间交换漏洞信息，增加可用漏洞储备。

3.3Evil Twins

在公共场所、公司、家附件，伪造同名SSID的AP，等待目标连接，从而入侵目标机器，著名的APT事件DarkHotel就是在酒店附近伪造酒店同名的SSID的AP，入侵高管设备。

4　APT 攻击关键技术

4.10day漏洞的利用

根据案例的分析，0day漏洞的使用比率并不占主要部分，主要因为0day漏洞挖掘难度大，数量极少，代价很高，但是它极具有攻击效率。根据FireEye报告，2013年的0day漏洞主要可以分为四类，如图1所示。

图1　2013年0day漏洞数量比例　

Java程序漏洞：2013年上半年，很多著名的攻击都采用了java的0day漏洞，因为java程序的0day漏洞相对而言更易挖掘。之前Java漏洞并没有引起广大安全研究人员的重视，近年来Java程序漏洞的大量曝光，逐渐引起重视。

浏览器漏洞：2013年下半年，爆发出大量IE的0day漏洞，被黑客成功地用于“水坑攻击”。其中老版本的IE7、IE8漏洞居多，新版本的IE浏览器增强了安全性，漏洞相对较少，主要包含信息泄露漏洞。但是攻击者仍然会研究出新的技术绕过微软的防御机制。

4.2恶意软件的利用

APT攻击者在C&C服务器上存储了大量的攻击工具，并定期更新，这些工具主要分为七大类：恶意软件、远程管理、漏洞扫描、网络扫描、网络导向、邮箱刺探、密码导出。而这七大类工具中，恶意软件是攻击者攫取数据的核心，攻击者一般采用匿名通信和隐蔽通信两种技术。匿名通信是由Chaum[4]提出的，他提出了基于Mix节点的匿名通信算法，Mix节点接收多个发送者的消息，并对这些消息进行混合处理，然后传输给接收者，因此掩盖了发送者和接收者的身份信息，实现了匿名。

隐蔽通信可以利用数据的加密和流量隐藏实现，绕过各种检测机制，成功将数据传至C&C服务器。数据加密保证即使数据包被解惑，安全人员也无法解析其内容。流量隐藏是为将攫取的信息数据伪装成常见协议的数据包，误导安全人员以为是正常数据包。

4.3僵尸网络的利用

僵尸网络是目前各大企业单位面临的最严重网络安全威胁之一。僵尸是一个入侵和感染计算机的恶意软件，允许犯罪分子远程控制该计算机。感染计算机可进行非法活动，如窃取数据、散布垃圾邮件、分发恶意软件和参与拒绝服务(DoS)攻击。僵尸还在针对性APT攻击中发挥着关键作用。

APT攻击者经常利用僵尸网络，僵尸网络能够给他们提供更多资源来发动攻击，并且很难追踪到攻击的源头。利用僵尸网络可以进行多种类型的攻击，一个简单的命令和控制服务器就可以控制位于数百个不同网络的电脑，而且不断更新恶意软件，一直“领先于”普通的检测工具。即使有些机器不是APT攻击的目标，但其网络也可能在不知情的情况下被用来作为犯罪工具，用来攻击其他网络。APT组织经常会使用僵尸网络来托管其基础框架并发起DDos等攻击，以破坏银行、政府机构及其他知名组织网站。

5　总结

本文通过跟踪调查大量的APT攻击案例，总结了APT攻击的生命周期，按照“异常发现—知识构建—深度分析”的主线将其分为准备、进入、驻留、收获四个阶段。针对每个阶段，我们进行了详细的分析，对比传统的网络攻击技术，我们对APT攻击的关键技术和入侵方法做了深层次的介绍，包括鱼叉式钓鱼攻击、水坑攻击、漏洞利用等手段，为下一步探究APT的防御策略奠定了基础。

[1]RobSloan.AdvancedPersistentThreat[J].Engineering&TechnologyReference，2012，(1)：7.

[2]NationalInstituteofStandardsandTechnology.SP800-53ManagingInformationSecurityRisks[S].2013.

[3]张帅.对APT的检测与防御[J].信息安全技术.2011，(9)：125-127.

[4]Chaumdl.Untraceableelectronicmailreturnaddressesanddigitalseudonyms[J].CommunicationsoftheACM，1981，24(2)：84-88.

(责任编辑：王谦)

ResearchonAdvancedPersistentThreatAttackTechniques

LIJian-fang，ZHANGShi-duo

(SchoolofComputer，ComunicationUniversityofChina,Beijing100024,China)

AdvancedPersistentthreat(APT)isoneofthehardesttoguardagainstattackintheworldwideinformationsecurityfield.Thispapercollected180APTattackcasesfrom2008to2015.And89typicalattackcaseswereselectedfordepthprofiling，accordingtoitstarget，duration，attacktargetdistribution，whethernationalsupportfactors.WesummarizedtheAPTattacksindifferentstagesofthelifecycleanditscharacteristicsfromfivedimensions.

APT；attackingmethod；spear-phishing；Puddleattacking；0dayvulnerabilities

2016-1-12

李建方(1989-)，男(汉族)，山东菏泽人，中国传媒大学计算机学院研究生.E-mail：jsj3ljf@163.com

TP309.2

A

1673-4793(2016)03-0051-05