APT攻击与检测研究

作者简介：刘畅（1992-），男，硕士，助理工程师。研究方向为网络信息安全。

DOI：10.19981/j.CN23-1581/G3.2024.21.002

摘" 要：随着网络在社会的应用越来越广泛和深入，信息安全的重要性也得到越来越多的关注，高级持续性威胁（Advanced Persistent Threat， APT）已成为高等级网络安全威胁的主要组成部分，其相对传统安全威胁具有隐蔽性强、时间跨度久、针对性强等特点，对传统安全防御体系造成严重威胁。该文介绍历史上一些典型的APT攻击案例，梳理APT的攻击特点和典型流程，最后探讨现有的对抗APT比较有效的检测方法。

关键词：高级持续性威胁；社会工程学；恶意邮件；零日漏洞；攻击检测

中图分类号：TP39" " "文献标志码：A" " " " " 文章编号：2095-2945（2024）21-0008-04

Abstract： As the application of the Internet in society becomes more extensive and profound， the importance of information security has also received increasing attention. Advanced Persistent Threat （APT） has become a major component of high-level cybersecurity threats， which is characterized by strong concealment， long time span， and strong pertinence compared to traditional security threats， thus posing a serious threat to traditional security defense systems. This paper introduces some typical APT attack cases in history， summarizes the attack characteristics and typical processes， and finally reviews the existing effective detection methods against APT.

Keywords： Advanced Persistent Threat; social engineering; malicious email; zero-day vulnerability; attack detection

网络技术的广泛应用给我们的社会带来了极大的变革，但同时也带来了信息安全方面的风险，在网络威胁中，高级持续性威胁（Advanced Persistent Threat，APT）已经造成了严重危害，引起了学术界和企业界的关注，特别是在近十年来，随着社交媒体应用的兴起，相关的社会工程学方法日益成为了针对性渗透策略突破口。作为一种新兴的攻击模式，APT具有持续时间长、针对性强、隐蔽性高等特点，因此被越来越多地、有组织地使用在国家、企业的信息系统上。

自2006年起，APT的概念被正式提出，此后由于APT攻击日益增多，国际著名黑客大会和国内安全大会相继举办APT专题研讨会或论坛[1]。与此同时，安全厂商也开始推出APT解决方案，国内的就有360公司的天眼未知威胁感知系统等。

APT的概念提出后，学界一直没有给APT一个精确性的定义，各研究机构和学者分别给出了自己的描述和理解，这些描述基本上都是大同小异的，总的来说，APT攻击是某组织或团体以高水平的技术和丰富的资源为基础，使用各种攻击方式对特定目标进行长时间、隐蔽性的网络攻击，目的是获取目标的内部关键信息或破坏关键设施以阻碍目标重要目标的任务实施。

1" APT攻击的典型流程

APT攻击一般具有比较明显的商业或政治目的，其目标也经过精心选取而不是大规模攻击。这种攻击方式非常注重隐蔽性，追求每一步达成一个目标而不是做很多无用的事情来打草惊蛇。

1.1" 典型APT攻击案例简析

对世界各国的APT攻击时有发生，例如2009年美国国防部对中国长城网进行了后门植入和情报窃取；2010的“震网”病毒攻击了伊朗的核设施计算机系统，成功干扰了伊朗核计划；2011年的“夜龙行动”成功窃取到了全球主要能源公司的机密文档；2012年最早发现于伊朗能源部门电脑的“火焰”威胁了包括伊朗在内多个中东国家能源相关的大量机密信息。从以上事例可以看出，APT攻击无论是对企业还是对政府等都造成了不可忽视的威胁，有必要对这类攻击案例进行解析。

1.1.1" 极光攻击

极光攻击（Operation Aurora）[2]是针对Google等20多家大型高科技企业的APT攻击。攻击者首先通过社会工程学，将目标锁定在Google公司的一个员工以及他的一个好友上，通过对Facebook上的公开资料进行分析，该员工好友有一个摄影的爱好，而且喜欢将摄影得到的照片进行分享。接着攻击者入侵并控制了这个好友的计算机，搭建了一个部署有攻击IE代码的假照片服务器。然后，攻击者使用被控制的好友账号给该Google员工发消息请他来欣赏拍摄的最新照片，但消息中附带的URL却指向的是带IE攻击的Web页面，一旦该员工点击了这个恶意URL，他的计算机就被攻击者控制，然后攻击者利用这个员工的内网权限在Google公司的内网中持续渗透，最终成功获取了GMail系统中很多敏感用户的访问权限，并窃取了GMail系统中的机密信息，最后使用加密信道将数据传递出去。经过调查，还有20多家美国高科技公司都遭到了此类方法的攻击，甚至包括赛门铁克这样的提供网络安全产品的开发商。

1.1.2" 震网攻击

震网攻击（Stuxnet）[3]是针对伊朗核设施的APT攻击。伊朗核电站内部网络与外界物理隔离，因此钓鱼邮件之类的攻击无法生效，为了顺利达成攻击，攻击者首先利用社会工程学收集了核电站一些工作人员及其家庭成员的信息，对这些家庭成员的个人电脑进行攻击，成功控制了这些家庭成员的主机。然后，攻击者利用了4个Windows的零日漏洞，通过摆渡攻击方式借助USB移动介质成功渗透进入物理隔绝的伊朗核电站内网。最后攻击者利用3个西门子工业系统的零日漏洞成功控制了离心机的控制系统，使其运转参数改变，但在监视器上显示其运行状态一切正常。

1.2" 典型APT攻击案例简析

通过对以上等典型案例的分析，可以将APT的攻击流程分为信息收集、定向入侵、远程操控、横向渗透、数据挖掘、资料窃取/系统破坏6个阶段。

6阶段划分是比较细的划分，现在也有研究者提出准备阶段、发动攻击阶段、潜伏阶段、数据传回阶段4阶段的划分[4]。本文仍然按照6阶段进行介绍。

第一阶段，信息收集。一方面针对目标系统的网络环境信息，包括网络结构、防护体系、业务系统和应用程序版本等，寻找目标所使用的可能存在漏洞的软件和基础架构。另一方面使用爬虫和大数据等手段基于社会工程学挖掘目标机构的人员相关信息，这些手段使得攻击者可以从公开数据中提取出目标组织的机密信息[5]。基于这些信息，攻击者就可以针对性地制定详细的攻击计划并开发对应的攻击工具。

第二阶段，定向入侵。攻击者通过钓鱼电子邮件、远程SQL注入等其他手段来执行零日漏洞攻击或利用Word、Excel及Adobe Reader的已知漏洞进行攻击，图1展示了APT攻击者常用的攻击方式[4]。

从图1可以得到APT攻击者主要使用的手段：通过电子邮件链接或附件进行鱼叉式钓鱼攻击、水坑攻击等。

附带链接的钓鱼邮件攻击通常是通过电子邮件中的链接引诱用户向伪造网站发送密码或点击恶意链接来实现攻击目的。攻击者通常以管理员身份，发送密码维护、系统升级、通知公告等邮件，要求用户发送密码或点击文本链接进行身份验证，或者诱骗用户点击指向恶意页面的链接。携带附件的钓鱼邮件攻击是通过精心设计的电子邮件主题和电子邮件正文，通过综合欺骗、诱惑和其他方式诱使用户点击电子邮件附件，从而下载并运行恶意代码。从公开的APT案例分析中，我们还发现攻击者通常使用的电子邮件附件是色情图片、官方文件等。一旦用户打开恶意附件，漏洞利用程序将在后台启动，攻击者可以远程控制目标系统。

水坑攻击常见的做法是分析攻击目标的上网活动规律，经常访问哪些网站，然后利用网站漏洞在其中植入攻击代码，用户访问该网站就被攻击了。这种方式隐蔽性高，成功率较高，前提是网站要有漏洞可利用，以便攻击者将恶意代码部署于其上。当用户访问被“加工”过的网站时，攻击代码会向客户端植入恶意代码或者直接窃取用户信息，有些就是将用户跳转到其他恶意网站。

第三阶段，远程操控。当受害者点击钓鱼邮件的附件或恶意链接时，攻击者便可以向受害者的机器中植入后门或木马程序，远程控制该用户的计算机。接着攻击者可以使用各类网络协议与受害者的机器通信以完成远程控制，从统计数据可以分析得出攻击者喜欢使用DNS、HTTP/HTTPS、FTP以及邮件协议[6]。

第四阶段，横向渗透。处在这个阶段的攻击者一般会进行2种动作，一是进行信息收集，在被控制的计算机所在的内部网络继续搜索其他计算机，以获取更多的潜伏点和敏感信息，最终可能找到具有较高攻击价值的机器；二是进行权限升级，这里又分为系统权限升级和网络权限升级。系统权限升级指获取更高级别账户的控制权，否则主机终端保护机制会发现低级别权限的异常行为，通常通过扫描键盘获取密码；网络权限升级指利用被控制的主机进一步渗透和控制内网关键目标（如邮件服务器、数据库服务器等），逐步获取对重要目标的访问权限。

第五阶段，数据挖掘。这个阶段是潜伏阶段，APT程序在受害者的机器以及入侵的网络中进行数据挖掘以发现更多信息，在这个阶段通常有人工进行介入以提高效率。

第六阶段，资料窃取/系统破坏。这是攻击的最后阶段，通常有极高的暴露风险。攻击者将窃取到的数据发到指定服务器上，或控制关键系统进行隐蔽毁坏，比如伊朗的离心机系统就受到震网攻击而导致转速异常，使得其核计划延迟了数年。图2展示了经统计得出的大量APT攻击者实施攻击的目的[4]。

可以看到信息窃取在所有的APT攻击目的中占到了82%，是第一目的，为了避免被发现，攻击者在发送数据回传的过程中，使用加密通信和隐蔽通信技术来隐藏其行为。此外，还会进行日志清理来避免追踪，包括清理操作系统的审计日志和应用软件的日志，如果能找到网络中的安全审计设备，攻击者还会致力于对网络安全审计设备的日志、系统监控数据和报警日志等进行清理，不过要做到这一点不仅要准确找到网络中的审计设备，还要准确清除与APT攻击相关的日志，实际的APT攻击者很多选择在整个攻击过程中尽可能模拟正常应用程序，这使得APT攻击淹没在大量正常的系统和网络审计记录中，以实现数据清洗的目标。

2" APT攻击的检测技术

2.1" APT检测的难点

APT普遍利用零日漏洞和未知木马，通过低频度相互联络、加密通信等手段，躲避传统检测手段；由于APT常结合使用多种攻击手段，整个攻击过程很可能长达数月乃至数年，常规的基于单点时间的检测难以面对这种变化；APT攻击的路径也很不确定，组织内任何网络终端都有可能成为入侵的起始点，攻击者通常会使用大数据分析技术针对性地收集目标组织的人员信息，精心地挑选攻击对象。

2.2" 现有APT检测技术

2.2.1" 网络入侵检测

网络入侵检测方面的研究基本上有两方面：基于特征的入侵检测和基于异常行为的入侵检测[7]。

基于特征的入侵检测需要维护一个已知特征的数据库，通过这个数据库就能通过基于特征的模式匹配检测到恶意软件和控制命令服务器之间的网络通信流量。这种方法的优点在于数据库如果比较全面则能够有效检测已知的恶意软件，误检率比较低；但其缺点也很明显，在面对未知的APT攻击时，由于数据库的局限性，这种方法无法检测到具有新特征的恶意软件。

基于异常行为的入侵检测则需要首先对正常的网络行为进行建模，当检测到网络行为偏离了正常的模型的时候，就可以发出警告[8]。这种方法的优点是不需要提前知道恶意软件的特征，能够检测到未知的APT攻击，但是由于不同应用的网络行为千差万别，很难对“正常”的网络行为进行一个精确的定义，很多合法软件也可能做出和恶意软件类似的网络行为，因此此方法的缺点在于误检率比较高。

2.2.2" 沙箱检测

使用虚拟环境检测恶意代码，在沙箱中提取其API操作、文件系统操作、系统调用等动态特征，可以有效检测恶意代码，这种方法能识别传统方法无法检测到的零日漏洞。但是此方法也有特征提取慢的缺点，而且沙箱检测技术的另一个问题在于其客户端的多样性，虚拟沙箱技术的检测准确率与操作系统类型、浏览器的版本、浏览器安装的插件版本等因素都有关系[9]。

2.2.2" 基于深层协议解析的全流量审计技术

传统攻击检测技术仅止步于对数据包头进行分析，无法检测基于内容的安全威胁。该技术的基础在于通过对全流量进行解析和还原，解析网页访问请求、下载的文件、即时通信消息等内容，进而检测其异常行为。其关键技术包括大数据存储及处理、应用层协议解析、文件还原等。全流量审计目前面临的最大问题是数据处理量非常庞大，一个百兆网络出口一天的数据流量甚至能达到1 TB[10]。因此，要实现针对APT攻击的全流量审计功能，必须依靠大数据存储和处理技术。

3" 结束语

对于内部计算机系统来说，做好保密工作是很重要的一环，应该加强教育引导，提高全体人员的安全防范意识，更新网络安全保密观念，牢固树立保密就是保安全的观念，教育涉密人员严格遵守相关规定等，预防APT攻击者利用社会工程学攻击[11]。对于网络运维人员来说，要做好交换机、路由器、防火墙等设备的安防策略调整，设置定期更换且不易被暴力破解的口令，修复漏洞，封堵高危端口，裁剪不必要的网络服务等措施，确保单位各网络安全高效运行，一旦出现网络安全事件要尽快处置并及时上报。

参考文献：

[1] 张瑜，潘小明，LIU Q Z，等.APT攻击与防御[J].清华大学学报（自然科学版），2017，57（11）：1127-1133.

[2] ADITYA K， ENBODY R J. ENBODY.Targeted Cyberattacks： A Superset of Advanced Persistent Threats[J].IEEE Security amp; Privacy， 2013， 11（1）：54-61.

[3] 许佳，周丹平，顾海东.APT攻击及其检测技术综述[J].保密科学技术，2014（1）：34-40.

[4] LI M， HUANG W， WANG Y， et al. The study of APT attack stage model[C].2016 IEEE/ACIS 15th International Conference on Computer and Information Science （ICIS）， Okayama， Japan， 2016：1-5.

[5] 胡晓波.网络对抗技术中社会工程学攻击的研究[J].信息安全与通信保密，2009（5）：111-113，117.

[6] 王晓琪.高级持续性威胁中隐蔽可疑DNS行为的检测[D].长春：吉林大学，2018.

[7] 肖蒲.人工智能及大数据技术在计算机监测控制中的应用分析[J].信息记录材料，2023，24（4）：177-179.

[8] 潘孝闻.APT攻击中横向移动及数据回传阶段DNS隐蔽特征分析与行为检测[D].长春：吉林大学，2019.

[9] 周涛.大数据与APT攻击检测[J].信息安全与通信保密，2012（7）：23.

[10] 付钰，李洪成，吴晓平，等.基于大数据分析的APT攻击检测研究综述[J].通信学报，2015，36（11）：1-14.

[11] 牛延莉，李余彪，罗双春，等.战区计算机网络应对APT攻击防范策略[A].2019年全国公共安全通信学术研讨会优秀论文集[C].中国通信学会，2019：229-233.