APT攻击和防御

1、什么是APT攻击

APT（高级持续性威胁，Advanced Persistent Threat）是一种针对特定目标的长期网络攻击，其特点是持续时间长、隐蔽性强。APT 攻击通常以窃取核心资料为目的，表现为有计划的网络入侵和恶意商业间谍活动。攻击者经过精心策划，采取高度隐秘的方式对目标进行有组织的渗透与数据窃取，这类行为本质上是一种“网络间谍”行为。

APT 攻击综合运用了多种手段突破网络防御，通常通过 Web 或电子邮件传递恶意内容，利用应用程序或操作系统的漏洞。由于 APT 具备多阶段的渗透过程，攻击者逐步侵入网络并提取有价值的信息，传统的网络防护机制往往难以有效应对和发现这些攻击。

2、APT攻击的过程

概括来看，APT攻击的过程具体可以拆解如下：

第一阶段:扫描探测

在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段:工具投送

在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如ava或微软的办公软件)的Oday漏洞，投送其恶意代码。一旦到位，悉意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段:漏洞利用

利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用尸系统e记打个工提很术，A使最新的主很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段:木马植入

随着漏洞利用的成功，更多的恶意软件的可执行文件—―击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段:远程控制

一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段:横向渗透

一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段:目标行动

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

以通常常用的攻击手段为例，APT攻击通常会通过如下途径入侵到目标网络当中：

1. 通过 SQL注入等攻击手段突破面向外网的Web Server、Mail Server等服务器，然后以被入侵的服务器做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备。

2. 通过鱼叉式钓鱼攻击，给员工发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。

3. 通过伪装成熟人给企业内部的员工发送具有针对性的恶意链接，诱骗用户访问这个链接之后并入侵内网终端。

4. 通过连接到 Internet主机将恶意软件通过U盘摆渡到隔离网络，从而入侵到隔离网络实现攻击。

用户一旦被植入恶意软件，如木马、后门、 Downloader 等，恶意软件将持续收集可能含有各类敏感信息的本地文件(WORD、PPT、PDF、CAD文件等)，并回传到攻击者手中。

3、APT攻击的防御

与传统安全威胁相比，APT（高级持续性威胁）攻击的特点在于其手段复杂、潜伏时间长、检测难度高。传统的安全防护手段，如防火墙、IPS/IDS、防病毒软件和终端安全软件，主要依赖于特征匹配进行检测。这种方法基于已知威胁的特征进行防护，因此无法有效应对具有未知特征的APT攻击。

目前，最有效的APT防御方法是沙箱技术。沙箱技术通过构建一个隔离的检测环境，将网络流量导入其中进行分析，以判断是否存在潜在威胁。如果沙箱检测到某些流量是恶意的，可以通知防火墙或WAF等安全设备进行及时阻断，防止攻击进一步蔓延。

3.1 针对APT攻击的防御过程

1. 黑客（攻击者）向企业内网发起APT攻击，防火墙从网络流量中识别并提取需要进行APT检测的文件类型。防火墙将攻击流量还原成文件送入沙箱进行威胁分析。

2. 沙箱通过对文件进行威胁检测;然后将检测结果返回防火墙。

3. 防火墙获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，防火墙侧则可以实施断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

3.2 APT防御与反病毒的差异

反病毒系统通常通过将文件的特征与病毒特征库进行比对，来判断文件是否为病毒。这种方法存在局限性，只能识别已知的病毒，对于未知的攻击则难以防御。

APT防御机制与反病毒系统有所不同。APT防御系统中的沙箱技术可视作模拟真实网络环境的虚拟检测系统，将未知文件放入沙箱后进行运行，并记录其行为。沙箱通过将这些行为与其独有的行为模式库进行匹配，得出该文件是否为恶意程序的结论。行为模式库是基于大量病毒、漏洞和威胁特征的分析，提炼出恶意行为的规律，形成一套判断规则，因而能够提供更为准确的检测结果。

总体来看，反病毒系统通过识别对象的特征进行防御，而APT防御系统则通过分析对象的行为来判断是否为威胁。

当网络流量进入防火墙（FW）并通过安全检查策略后，会进入智能感知引擎进行内容安全检测。智能感知引擎可以解析出流量所使用的应用协议，并根据实际配置执行一系列检测操作，例如反病毒、URL过滤和APT防御等。

如果某个流量符合APT防御配置文件中的应用类型或其他匹配条件，系统会准备对该文件进行还原，并进行进一步的检测，以决定是否需要将还原后的文件送往沙箱进行更深入的分析。如果流量未命中APT防御配置文件中的规则，则该流量会直接被转发，不进行进一步的检测。

具体沙箱技术请参考本系列下一篇文章。