近些年來，一系列重大安全事件的接連發生將一個新名詞"APT攻擊"帶入人們的視野，APT攻擊對現有安全防護體系帶來了巨大的挑戰，成為所有信息安全從業人員重點關注的對象。

那麼到底是什麼APT攻擊呢？它的原理是什麼呢？如何被利用又如何防範呢？今天小編就以本篇文章內容給大家詳細闡述一下"APT攻擊的前世今生"。

一、 APT攻擊是什麼？

APT（AdvancedPersistent Threat）高級持續性威脅。是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為。

二、 APT攻擊流程是什麼？

整個apt攻擊過程包括定向情報收集、單點攻擊突破、控制通道構建、內部橫向滲透和數據收集上傳等步驟：

1、定向情報收集

定向情報收集，即攻擊者有針對性的蒐集特定組織的網絡系統和員工信息。信息蒐集方法很多，包括網絡隱蔽掃描和社會工程學方法等。

2、單點攻擊突破

單點攻擊突破，即攻擊者收集了足夠的信息後，採用惡意代碼攻擊組織員工的個人電腦，攻擊方法包括：

1)社會工程學方法，如通過email給員工發送包含惡意代碼的文件附件，當員工打開附件時，員工電腦就感染了惡意代碼;

2)遠程漏洞攻擊方法，比如在員工經常訪問的網站上放置網頁木馬，當員工訪問該網站時，就遭受到網頁代碼的攻擊，rsa公司去年發現的水坑攻擊(watering hole)就是採用這種攻擊方法。

3、控制通道構建

控制通道構建，即攻擊者控制了員工個人電腦後，需要構建某種渠道和攻擊者取得聯繫，以獲得進一步攻擊指令。攻擊者會創建從被控個人電腦到攻擊者控制服務器之間的命令控制通道，這個命令控制通道目前多采用http協議構建，以便突破組織的防火牆，比較高級的命令控制通道則採用https協議構建。

4、內部橫向滲透

內部橫向滲透，一般來說，攻擊者首先突破的員工個人電腦並不是攻擊者感興趣的，它感興趣的是組織內部其它包含重要資產的服務器，因此，攻擊者將以員工個人電腦為跳板，在系統內部進行橫向滲透，以攻陷更多的pc和服務器。攻擊者採取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

5、數據收集上傳

數據收集上傳，即攻擊者在內部橫向滲透和長期潛伏過程中，有意識地蒐集各服務器上的重要數據資產，進行壓縮、加密和打包，然後通過某個隱蔽的數據通道將數據傳回給攻擊者。

三、 APT攻擊常利用的安全漏洞

四、 典型APT攻擊案例分享

1、Google極光攻擊

2010年的Google Aurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名僱員點擊即時消息中的一條惡意鏈接，引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月，並且造成各種系統的數據被竊取。這次攻擊以Google和其它大約20家公司為目標，它是由一個有組織的網絡犯罪團體精心策劃的，目的是長時間地滲入這些企業的網絡並竊取數據。

原理圖如下：

該攻擊過程大致如下：

1) 對Google的APT行動開始於刺探工作，特定的Google員工成為攻擊者的目標。攻擊者儘可能地收集信息，蒐集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發佈的信息。

2) 接著攻擊者利用一個動態DNS供應商來建立一個託管偽造照片網站的Web服務器。該Google員工收到來自信任的人發來的網絡鏈接並且點擊它，就進入了惡意網站。該惡意網站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出，進而執行FTP下載程序，並從遠端進一步抓了更多新的程序來執行(由於其中部分程序的編譯環境路徑名稱帶有Aurora字樣，該攻擊故此得名)。

3) 接下來，攻擊者通過SSL安全隧道與受害人機器建立了連接，持續監聽並最終獲得了該僱員訪問Google服務器的帳號密碼等信息。

4) 最後，攻擊者就使用該僱員的憑證成功滲透進入Google的郵件服務器，進而不斷的獲取特定Gmail賬戶的郵件內容信息。

2、超級工廠病毒攻擊(震網攻擊)

著名的超級工廠病毒攻擊為人所知主要源於2010年伊朗布什爾核電站遭到Stuxnet蠕蟲的攻擊的事件曝光。

遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的，理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破，超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者並沒有廣泛的去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊，以此為第一道攻擊跳板，進一步感染相關人員的移動設備，病毒以移動設備為橋樑進入"堡壘"內部，隨即潛伏下來。病毒很有耐心的逐步擴散，一點一點的進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在於極為巧妙的控制了攻擊範圍，攻擊十分精準。

在2011年，一種基於Stuxnet代碼的新型的蠕蟲Duqu又出現在歐洲，號稱"震網二代"。 Duqu主要收集工業控制系統的情報數據和資產信息，為攻擊者提供下一步攻擊的必要信息。攻擊者通過殭屍網絡對其內置的RAT進行遠程控制，並且採用私有協議與CC端進行通訊，傳出的數據被包裝成jpg文件和加密文件。

3、夜龍攻擊

夜龍攻擊是McAfee在2011年2月份發現並命名的針對全球主要能源公司的攻擊行為。

該攻擊的攻擊過程是：

1) 外網主機如Web服務器遭攻擊成功，多半是被SQL注入攻擊;

2) 被黑的Web服務器被作為跳板，對內網的其他服務器或PC進行掃描;

3) 內網機器如AD服務器或開發人員電腦遭攻擊成功，多半是被密碼暴力破解;

4) 被黑機器被植入惡意代碼，多半被安裝遠端控制工具(RAT)，傳回大量機敏文件(WORD、PPT、PDF等等)，包括所有會議記錄與組織人事架構圖;

5) 更多內網機器遭入侵成功，多半為高階主管點擊了看似正常的郵件附件，卻不知其中含有惡意代碼。

4、RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其後果導致很多使用SecurID作為認證憑據建立VPN網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。在RSA SecurID攻擊事件中，攻擊方沒有使用大規模SQL注入，也沒有使用網站掛馬或釣魚網站，而是以最原始的網路通訊方式，直接寄送電子郵件給特定人士，並附帶防毒軟體無法識別的惡意文件附件。

其攻擊過程大體如下：

1) RSA有兩組同仁們在兩天之中分別收到標題為"2011 Recruitment Plan"的惡意郵件，附件是名為"2011 Recruitment plan.xls"的電子表格;

2) 很不幸，其中一位同仁對此郵件感到興趣，並將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609);

3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具，並開始自C&C中繼站下載指令進行任務;

4) 首批受害的使用者並非"位高權重"人物，緊接著相關聯的人士包括IT與非IT等服務器管理員相繼被黑;

5) RSA發現開發用服務器(Staging server)遭入侵，攻擊方隨即進行撤離，加密並壓縮所有資料(都是rar格式)，並以FTP傳送至遠端主機，又迅速再次搬離該主機，清除任何蹤跡。

5、Nitro攻擊

2011年10月底，Symantec發佈的一份報告公開了主要針對全球化工企業的進行信息竊取的Nitro攻擊。

該攻擊的過程也十分典型：

1) 受害企業的部分僱員收到帶有欺騙性的郵件;

2) 當受害人閱讀郵件的時候，往往會看到一個通過文件名和圖標偽裝成一個類似文本文件的附件，而實際上是一個可執行程序;或者看到一個有密碼保護的壓縮文件附件，密碼在郵件中註明，並且如果解壓會產生一個可執行程序。

3) 只要受害人執行了附件中的可執行程序，就會被植入Poison Ivy後門程序。

4) Poison Ivy會通過TCP 80端口與C&C服務器進行加密通訊，將受害人的電腦上的信息上傳，主要是帳號相關的文件信息。

5) 攻擊者在獲取了加密的帳號信息後通過解密工具找到帳號的密碼，然後藉助事先植入的木馬在受害企業的網絡尋找目標、伺機行動、不斷收集企業的敏感信息。

6) 所有的敏感信息會加密存儲在網絡中的一臺臨時服務器上，並最終上傳到公司外部的某個服務器上，從而完成攻擊。

五、APT攻擊主流防禦技術

1、基於沙箱的惡意代碼檢測技術——未知威脅檢測

要檢測惡意代碼，最具挑戰性的就是利用0day漏洞的惡意代碼。因為是0day，就意味著沒有特徵，傳統的惡意代碼檢測技術就此失效。

沙箱技術簡單說就是構造一個模擬的執行環境，讓可疑文件在這個模擬環境中運行起來，通過監控可疑文件所有的真正的行為（程序外在的可見的行為和程序內部調用系統的行為）判斷是否為惡意文件。

沙箱技術的模擬環境可以是真實的模擬環境，也可以是一個虛擬的模擬環境。而虛擬的模擬環境可以通過虛擬機技術來構建（KVM），或者通過一個特製程序來虛擬（docker）。

2、基於異常的流量檢測技術——IDS（已知的特徵庫的檢測）

傳統的IDS都是基於特徵的技術去進行DPI分析（入侵檢測系統），檢測能力的強弱主要看ids庫的能力（規則庫要廣泛還要及時更新），主要是安全分析人員要從各種開源機構或自發滲透挖掘出利用代碼或惡意代碼，來加入ids規則庫來增強檢測能力。這種防禦技術的方法顯而易見對已知的網絡威脅檢測時可以的，對未知的威脅就尷尬了。

面對新型威脅，有的ids也加入了DFI技術，來增強檢測能力。基於Flow，出現了一種基於異常的流量檢測技術，通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通訊，以及信息滲出。本質上，這是一種基於統計學和機器學習的技術。

3、全包捕獲與分析技術

應對APT攻擊，需要做好最壞的打算。萬一沒有識別出攻擊並遭受了損失怎麼辦？對於某些情況，我們需要全包捕獲及分析技術（FPI）。

藉助天量的存儲空間和大數據分析（BDA）方法，FPI能夠抓取網絡中的特定場合下的全量數據報文並存儲起來，進行歷史分析或者準實時分析。通過內建的高效索引機制及相關算法，協助分析師剖絲抽繭，定位問題。

有了全流量然後用機器學習—檢測建模—數據挖掘—引擎分析，做全面的大數據安全分析。

4、信譽技術

信譽技術早已存在，在面對新型威脅的時候，可以助其他檢測技術一臂之力。無論是WEB URL信譽庫、文件MD5碼庫、殭屍網絡、惡意IP、惡意郵件，還是威脅情報庫，都是檢測新型威脅的有力武器。而信譽技術的關鍵在於信譽庫的構建，這需要一個強有力的技術團隊來維護。

一般是藉助第三方情報平臺：如國內的有"烽火臺"、"微步在線"等，實時的收集互聯網上的最新威脅情報，實時的更新情報庫。

5、關聯分析技術

把前述的技術關聯在一起，進一步分析的威脅的方法。我們已經知道APT攻擊是一個過程，是一個組合，如果能夠將APT攻擊各個環節的信息綜合到一起，有助於確認一個APT攻擊行為。通過ids+情報+沙箱+機器學習等綜合的判斷網絡數據是否有威脅。

綜合分析技術要能夠從零散的攻擊事件背後透視出真正的持續攻擊行為，包括組合攻擊檢測技術、大時間跨度的攻擊行為分析技術、態勢分析技術、情境分析技術，等等。

6、安全人員的挖掘，提升安全防禦技術

要實現對這種有組織隱蔽性極高的攻擊攻擊，除了監測/檢測技術之外，還需要依靠強有力的專業分析服務做支撐，通過專家團隊和他們的最佳實踐，不斷充實安全知識庫，進行即時的可疑代碼分析、滲透測試、漏洞驗證，等等。安全專家的技能永遠是任何技術都無法完全替代的。

感謝大家的持續關注，我們會持續推出更專業的文章和視頻，想深度學習的小夥伴可以私信我們加我們的學習交流群，也可以加入我們的頭條圈子！！