详解介绍 APT 攻击的问题

　　现在智能手机、平板电脑和其它移动设备的快速普及令它们已经成为恶意软件的新目标。移动设备甚至已经成为“高持续性威胁(Advanced Persistent Threat，APT)”的重点攻击目标，并尝试窃取人们的敏感性资料。本文就在此给大家说说APT究竟是什么?

　　1、什么是APT攻击

　　APT(Advanced Persistent Threat)一般称为高级持续性威胁，是针对特定组织所进行的复杂、持续性且是量身订作的一连串攻击。APT 并不像以往的一般恶意软件攻击，利用大量散播的病毒，不限定目标地乱枪打鸟，目的是为了入侵网络上数量庞大且安全防护较弱的计算机，攻击的重点在量。相对的， APT 攻击会针对特定目标，花费较长的时间规划、搜集数据、侦查，不断的发掘目标的安全漏洞或弱点，开发量身订作的攻击方式，并且会不断的用各种途径与安全漏洞尝试入侵，一直到成功入侵为止。其攻击的重点在质，因为对象通常是具有庞大商业利益的知名企业，而主要目的是持续的窃取具有商界价值的信息。

　　APT攻击通常会从发给员工钓鱼邮件、Web点击劫持(Web-based Click-jacking)、诈骗签名代码或数字证书等做为攻击的起点。而目前被认为具有高IT风险的前三名应用程序包括：Adobe，谷歌文档和微软的操作系统和应用程序。

　　通俗的来说APT的攻击主要针对于特殊的机构或者公司，在明确攻击目标后，通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、潜伏、攻击和收集，同时不会对网络产生任何破坏的影响，导致用户极难发觉。

　　同时，任何企事业单位，只要内部终端可以访问互联网、收发Email，上传、下载文件等行为，都极有可能受到APT威胁，这些动作都可以作为APT攻击的载体被利用，从而攻击其它的内部终端。这种攻击行为使得国家政府机关、军队、银行、商业公司等机构面临着严峻的威胁。

　　2、APT攻击的一般过程

　　尽管每起APT攻击事件都有不同的企图、不同的攻击目标，但是准备和实施APT攻击有一个通用的过程，一般可以划分为4个阶段：搜索阶段、进入阶段、渗透阶段、收获阶段。

　　1) 搜索阶段：APT攻击与普通网络攻击相比，在信息搜索的深度和广度上有明显不同。APT攻击的攻击者会花费大量的时间和精力用于搜索目标系统的相关信息。他们会了解企业的背景、公司文化、人员组织，还会收集目标系统的网络结构、业务系统、应用程序版本等信息。随后攻击者会制定周密的计划，识别有助于攻击目标达成的系统、人员信息，收集、开发或购买攻击工具，APT攻击可能会利用特种木马、0DAY漏洞利用工具、口令猜测工具，以及其它渗透测试工具。

　　2) 进入阶段：攻击者会进行间断性的攻击尝试，直到找到突破口，控制企业内网的第一台计算机。常见的方法如下：

　　恶意文件：精心构造，并以邮件、IM软件等形式向内部员工发送携带恶意代码的PDF、Word文档;

　　恶意链接：以邮件、IM软件等形式向内部员工发送携带恶意代码的URL链接，诱使员工点击;

　　网站漏洞：利用网站系统的漏洞，例如SQL注入、文件上传、远程溢出等等，控制网站服务器作为跳板，对企业内部进行渗透、攻击;

　　购买“肉鸡”：这是一种最便捷的攻击方式，即从地下黑市直接购买企业内部已经被其它黑客攻陷的计算机。

　　3)渗透阶段：攻击者利用已经控制的计算机作为跳板，通过远程控制，对企业内网进行渗透，寻找有价值的数据，与进入阶段类似，本阶段一样会考验攻击者的耐心、技术、手段。

　　4)收获阶段：攻击者会构建一条隐蔽的数据传输通道，将已经获取的机密数据传送出来。其实本阶段的名字叫“收获阶段”，但却没有时间的限制，因为APT攻击的发起者与普通攻击者相比是极端贪婪的，只要不被发现，攻击行为往往不会停止，持续的尝试窃取新的敏感数据与机密信息。

　　3、常见攻击手法

　　APT 攻击通常都会经由事先规划好的侦察工作来搜集信息，并发掘攻击目标的网络系统架构及其弱点。为了执行这样的任务，攻击者会利用一些可公开取得的信息，包括攻击目标的网站或社交网络帐号上的数据。这样一来，歹徒就能进一步了解攻击目标的哪位员工可以当成攻击的跳板。

　　攻击者所搜集的信息包括员工的姓名、部门、职称和个人详细资料 (如：电子邮件地址、社交网络帐号等等) 以及该企业的 IT策略、应用程序、套装商用软件以及偏好的实时通讯软件。

　　接下来，攻击者会利用高明的社交工程 ( Social Engineering )陷阱骗局来入侵攻击目标。一旦入侵成功后，歹徒就能用恶意软件来执行后续的各种攻击，例如暗中窃取信息或进行远程监控，如入无人之境。

　　4、APT攻击经典案例

　　虽然大部分的 APT 攻击都经过详细的规划，使用的工具也是千奇百怪，但基本上还是建立在一般的弱点之上，那就是利用社交工程技巧来利用人性的弱点。例如以下两个实际的经典案例：

　　1) Google在一个信息安全会议上针对 Aurora/HYDRAQ 攻击所发表的研究报告中指出：「一位 Google 员工从某位他所信赖的人收到一个链接，并直接点选了该链接，接着，该员工就链接到一个恶意网站并下载了恶意软件」

　　2) RSA 在一篇官方部落格文章当中指出，在该公司所发生的数据外泄事件中，歹徒发了一封标题为「2011 Recruitment Plan」(2011 年招募计划)的网络钓鱼(Phishing)邮件给该公司的员工，一连串的后续攻击便由此展开。

　　类似这样看似平凡无奇的讯息或邮件，实在很难跟恶名昭彰的APT攻击联想在一起，绝大多数的人大概都会不假思索的开启邮件或链接，殊不知就在使用者无心的一个小动作，就为 APT 攻击者开启了一道长驱直入的入侵大门，而使用者还浑然不知。

　　其次，用于进行 APT 攻击的社交工程钓鱼信件通常会夹带一个看似安全的恶意文档，看似安全是因为多数是 Office 文档、 PDF 甚至 JPG 图档，这和使用者平时收发的邮件并无太大的不同，很容易降低使用者的戒心。但这些文档通常都含藏了该应用程序的弱点，可以被用来进行零时差(zero-day)攻击。且由于是量身订作的，这些恶意文档多数是防病毒软件所无法阻挡的。

　　5、防范方法

　　正所谓“知己知彼，百战百胜”，在我们对APT攻击有一定了解后，也要自省其身，了解企业的安全现状，才能做好防护，例如：企业与哪些机构通讯交互?企业的组织结构?现有的安全策略有哪些?哪些数据是机密数据，需要加强保护?是否有检测APT攻击的技术手段?是否有完善处理信息安全入侵事件的应急响应流程?员工的安全意识是否需要强化……

　　回顾APT攻击的四个阶段，我们在每个阶段可以做些什么呢?

　　1)搜集阶段：攻击者在此阶段主要任务是收集信息、制定计划。在此阶段我们可以依托安全威胁检测、预警系统，识别攻击者对企业网络的嗅探、扫描行为，做到提前防范;加强对信息系统的安全管理，例如定期进行安全检查、加固，尽量少的暴露系统信息，提高初始攻击的难度;定期对员工进行安全意识培训，提高员工的安全防范意识。

　　2)进入阶段：攻击者在此阶段会想办法控制企业内部的计算机作为实施入侵行为的第一个落脚点。在本阶段我们可以依托安全威胁检测、预警系统识别正在进行的攻击行为;合理配置入侵防御系统、防火墙等产品的安全策略，阻断常规的攻击尝试行为;提高警惕，避免攻击者利用社会工程学进行诱骗;一旦发现攻击事件，启动事件处置及应急响应流程。

　　3)渗透阶段：渗透阶段与进入阶段类似，攻击者都会尝试不同的攻击技术、攻击手段对目标系统进行入侵。可以考虑通过合理规划安全域，加强系统账户的安全审计、系统账号及权限管理、系统安全策略优化等手段提高攻击者继续渗透的难度;此外，威胁监测和安全意识同样是强化的重点。

　　4)收获阶段：在本阶段攻击者会设法将获取的机密数据信息传送至企业外部网络，因此对于敏感流量、非法连接的检测变得尤为重要。

　　网络信息安全不仅需要安全产品和解决方案，同时内部员工安全意识同样不可或缺，定期进行安全信誉评估，合理的使用计算机终端，会更有效的降低APT攻击的行为发生。