高级持续性威胁分析与防护

张滨，袁捷，乔喆，白雪

（中国移动通信集团信息安全管理与运行中心，北京 100053）

1 概述

高级持续性威胁(APT)是以窃取核心资料，或者破坏网络核心设施为目的，经过长期情况搜集、精准策划，针对特定目标进行有组织、有预谋，并具备高度隐蔽性的“网络间谍”行为。

1.1 APT组织

近年来，维基解密、影子经纪人等组织公开了大量境外组织针对我国关键基础设施开展APT攻击的工具，与“棱镜门”中斯诺登披露的美国国家安全局（NSA）文件内容高度一致。有迹象表明方程式、摩柯草等境外APT组织已对我国关键基础设施进行了试探性攻击，其中：

方程式组织（Equation Group）是来自美国的APT组织，最早由卡巴斯基实验室发现，被称为最尖端的网络攻击组织之一，该组织在网络攻击中习惯使用强加密方法。

摩柯草组织（APT-C-09）是来自东南亚地区的APT组织，最早由Norman安全公司发现。该组织主要针对中国、巴基斯坦等亚洲地区国家进行以窃取敏感信息为主的网络间谍活动。

1.2 危害与影响

日益频繁的APT等网络攻击，导致政企行业机密情报被窃取、工业系统被破坏、金融系统遭受经济损失，甚至对地缘政治产生影响。

2010年10月，震网攻击，导致伊朗什尔核电站，3万个网络终端感染，1/5的离心机报废。2017年5月，勒索软件攻击，导致全球超过100个国家受到攻击，其中英国NHS、西班牙Telefonica、中国政府部门等IT系统几乎瘫痪，经济损失超过10亿美元。

移动运营商的基础网络或重要客户系统一旦被APT入侵，极有可能会被黑产组织长期获取有价值的敏感数据信息，甚至有可能导致网络瘫痪的灾难局面。

2 APT攻击原理

2.1 APT攻击链

图1 APT攻击链

APT攻击链如图1所示，主要包括5个环节：信息采集、踩点驻留、权限提升、渗透扩散、窃取破坏。信息采集环节中获取的网络环境、组织架构、业务营业等信息的复杂度决定当前APT攻击链的内容和长度。

一方面，APT组织常用的外部入侵手段包括鱼叉邮件攻击、水坑攻击和中间人劫持攻击等。

（1）鱼叉邮件攻击：是以邮件为投递载体，通过邮件标题、正文或附件携带恶意代码实现攻击的方式。鱼叉邮件内容包括嵌入木马程序的恶意文档、包含恶意程序的压缩文件或者志向恶意钓鱼网站的链接等。最新公布的微软office 漏洞（CVE-2017-11826）就可被利用于鱼叉邮件攻击。

（2）水坑攻击：是以寻找攻击目标的受信网站的弱点，将受信网站植入攻击代码实现攻击的方式。如替换目标网站的可信程序、插入恶意JS代码、替换网站链接等。

（3）劫持攻击：是通过劫持目标的网络流量数据，替换流量中的系统、应用的升级包等，实现恶意代码植入的攻击方式。如可利用IP重定向技术实现网络流量的劫持和修改。

另一方面，APT组织常用的内部渗透手段有窃密攻击、轮渡攻击、隐秘通道等。

（1）窃密攻击：是通过获取浏览器、主机、服务器系统中存储的或网络通信数据中传递的明文或加密的账户口令敏感数据，实现权限提升的攻击方式。如利用mimikatz工具直接抓取Windows明文密码。

（2）轮渡攻击：是利用软盘、U盘、光盘等移动存储介质，传递控制控制指令，突破逻辑、物理隔离限制，建立控制通道的攻击技术。著名的震网攻击就是方程式组织采用迂回攻击模式，通过感染个人家庭电脑，利用轮渡攻击将震网病毒“带入”与外界物理隔离的核电站计算机系统。

（3）隐蔽通道：是指利用进程复用、端口复用等复用技术，或者利用仿冒登录攻击等方式，将攻击行为隐藏在正常通信中的攻击技术。如利用远程进程调用技术将攻击代码注入到浏览器通信进程当中，规避网络通信安全策略限制。

2.2 APT攻击特性

APT攻击相对传统攻击模式更具组织性、高级性、持续性、隐蔽性，主要体现以下几方面。

2.2.1 精确攻击

信息采集过程贯穿APT攻击的全过程，对攻击目标的网络环境、人员架构、业务运营等信息进行长期全面的持续性收集，逐步挖掘攻击所需的有价值的线索，如防火墙、安全网关、杀毒软件、补丁升级等网络安全防护软、硬件部署情况；目标对象存在的系统漏洞、应用程序漏洞以及管理漏洞信息等。

在完备的信息采集基础上，定制灵活多样的攻击预案，综合利用多种技术手段实施精准的踩点驻留、权限提升、渗透扩散，如明确定位目标人员办公及私人邮箱，利用信任关系精准投递攻击邮件。

2.2.2 无痕入侵

APT攻击在权限提升、渗透扩过程中多使用系统自带标准工具实施攻击操作，将攻击行为隐藏在正常网络操作中，如针对Windows操作系统使用系统自带的PSTOOLS系列工具进行网络侦查。甚至将攻击程序隐藏在内存，使得受控主机中没有实体文件。

APT组织积累了大量未公开漏洞和通用设备和系统的后门，传统的防火墙、入侵检测等网络安全防御设备很难发现APT的攻击踪迹。另外某些APT攻击会使用私有协议、仿冒入侵、加密传输、多级跳板等方式规避常规的流量审计检测，伪装其入侵渗透行为的“合法性”。

2.2.3 潜伏渗透

APT攻击潜伏渗透周期长，危害影响范围广。通常在踩点驻留成功后，首先进行备份和隐藏等自我保护措施，而并不急于进入下一攻击环节。持续侦查搜索可利用的攻击方法和路径，迂回突破物理、逻辑隔离网络。APT攻击通常最小化的进行网络攻击行为操作，渗透操作的规律性、重复性很难捕获。

3 APT检测方法

APT攻击风险检测应综合审视整个APT攻击链的全过程，考虑其精准攻击、无痕入侵、潜伏渗透等显著特点，行之有效的APT检测方法有安全智能分析、动态威胁捕获、模拟攻击等，如图2所示。

图2 APT检测方法

3.1 安全智能分析

安全智能分析包括对于安全日志、业务流程、漏洞更新、用户和资产数据等，进项全方位、多角度、立体化分析，深入关联分析挖掘疑似的APT攻击链。

（1）日志关联分析：通过对整个网络的流量日志、DNS解析日志、邮件日志、管理日志、访问日志、安全审计日志等全量日志进行关联分析，交叉比对日志中的相关环节，查找APT攻击链的线索和踪迹。海量日志分析的自动化程度决定了安全智能分析的时效性。

（2）流程合规分析：通过检查网络管理流程、重要业务流程、人员操作流程的合规性，探测潜在的APT攻击风险。如网络系统及应用漏洞补丁是否及时安装，移动介质（U盘、光盘等）是否存在公私混用的情况，正常的业务流程是否存在被非法使用的情况等。

（3）访问控制检测：针对网络访问控制措施进行安全审计，特别是关键网络节点设备、重要业务系统访问策略，进行安全符合性检测分析。如对网络安全区域的划分进行合理性分析，网络用户和访问资源间的组织管理方式进行权限约束性测试。

3.2 动态威胁捕获

动态威胁捕获手段包括实时关联异常行为监测、沙箱动态发现、恶意样本定时检测等。

（1）异常行为监测：通过对网络异常行为进行连续监测，捕获恶意邮件及链接、周期性外联通信、可疑域名解析、暴力破解、非法登陆等异常行为，对监测到的异常行为进行关联分析，追查APT攻击痕迹。

（2）沙箱动态发现：通过仿真和虚拟化的方法，模拟跨平台的运行环境，检测可疑软件，根据可疑软件真实运行结果判定被测软件是否存在攻击性，可有效发现带有自我保护机制（如自复制、自删除等）的APT攻击行为。

（3）样本定时检测：利用权威机构共享的威胁情报库，定时筛查可疑程序特征样本、回连CC域名样本，通信数据特征样本等，通过筛查结果举证APT攻击行为。

3.3 脆弱性测试

通过网络渗透测试，主动探测潜在的APT攻击路径和攻击支点。分别从网络外部和内部，对目标网络、系统、主机、应用等资产的安全性作深入的探测，检测系统对抗攻击的能力，模拟已公开的APT攻击行为，主动发现可能的攻击环节和攻击路径。

4 APT控制措施建议

4.1 建立智能监测防御体系

建议加强高级网络信息安全威胁攻击动态防御体系建设，逐步实现高级持续性威胁主动发现、动态防御、智能治理的闭环管理。建立安全行业威胁情报共享机制，实时交换、更新威胁情报库，提高APT攻击风险发现治理实效。

4.2 优化网络安全架构

建议优化网络IT架构，合理划分安全域，增强网络物理、逻辑隔离措施，针对重要网络基础设施实施重点网络安全防护。强化网络访问限制，按照最小化原则，实施分层级多策略的网络维护管理模式。同时，要及时安装系统、应用补丁，定时执行网络基线检测。

4.3 加强人员安全培训

建议加强保密工作制度建设，强化从业人员安全培训，切实提高从业人员的网络安全意识，规范办公作业流程。