浅析APT攻击检测与防护策略.docVIP

浅析APT攻击检测与防护策略 　　摘 要：PT攻击对现有安全防护体系带来了巨大的挑战，成为信息安全从业人员重点关注的对象。本文分析了APT攻击特点、流程，提出了相应的检测和防御思路。 　　关键词：APT攻击；攻击检测；攻击流程；防护技术 　　1 引言 　　高级持续性威胁APT（Advanced Persistent Threat）是当前信息安全产业界的热点，是指黑客针对特定目标以窃取核心资料为目的所发动的网络攻击和侵袭行为，这种行为往往经过长期的经营与策划并具备高度的隐蔽性，是一种蓄谋已久的“恶意商业间谍威胁”。目前，APT成为了网络安全人员最受瞩目的关键词之一，在一些国家，APT攻击已经成为国家网络安全防御战略的重要环节，针对APT攻击行为的检测与防御，也自然成为了至关重要也是最基础的组成部分。 　　2 APT攻击的技术特点 　　APT在攻击的流程上，同普通网络攻击行为并无明显区别，但APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透，直到成功窃取数据，因此具备更强的破坏性： 　　⑴攻击技术的隐蔽性：为了躲避传统检测设备，APT更加注重攻击技术及行为的隐蔽性。针对攻击目标，发动APT攻击的黑客往往不是为了在短时间内获利，甚至可以长期隐蔽。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。 　　⑵攻击时间的持续性：APT攻击分为多个步骤，攻击者会进行长时间的潜心准备。在已经发生的典型APT攻击中，攻击者从最初的信息搜集，到信息窃取并外传往往要经历几个月或者更长的时间，整体攻击过程甚至持续数年之久。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。如2011年8月，暗鼠行动（Operation Shady RAT）被发现并披露出来，调查发现该攻击从2006年启动，在长达数年的持续攻击过程中，渗透并攻击了全球多达72个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。 　　⑶攻击目标的针对性：APT攻击者通常带有很强的目标针对性，通常带有商业或政治目的，以窃取具备商业价值的信息或破坏目标系统为目的，整个攻击过程都经过攻击者的精心策划，攻击一旦发起，攻击者会针对目标网络尝试不同的攻击技术和方式，直到目标达成。从发生的攻击事件来看，APT攻击是针对有重要价值资产或重要战略意义的目标，其中大型互联网服务机构（如Google、Facebook、亚马逊）、金融机构（银行、证券）、政府机构、军事、重要高科技企业及基础工业机构（电力能源）是APT攻击的重灾区。 　　⑷攻击手段的多样性：APT攻击者如同一个技术高超的隐形特种部队一样，利用一切可能的防御漏洞围绕目标系统进行全方位打击，在整个攻击过程中通常会综合利用钓鱼、漏洞扫描、SQL注入、缓冲区溢出、暴力破解、加密传输等多种技术手段绕过目标系统的层层防线，从系统外围到核心区域逐步攻克目标。目前被曝光的知名APT事件中，0DAY漏洞利用、社交攻击、物理摆渡等方式层出不穷，让传统的检测防不胜防。 　　⑸攻击隐蔽的合法性：攻击者访问到重要信息后，往往通过控制的客户端，分布使用合法加密的数据通道，将信息窃取出来，以绕过严格的审计和异常检测的防护。 　　⑹特征识别的滞后性：APT普遍采用0DAY漏洞获取权限、通过未知木马进行远程控制，而传统基于特征匹配的检测设备总是要先捕获恶意代码样本，才能提取特征并基于特征进行攻击识别，这就存在先天的滞后性。正是因为难以快速提取APT攻击行为的技术特征，使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。 　　3 APT攻击流程 　　整个APT攻击流程包括：选定攻击目标、实施单点攻击、控制目标通道、渗透攻击范围、回传数据信息和实施后续攻击等步骤： 　　⑴选定攻击目标，即攻击者有针对性的选择攻击的目标，搜集特定组织的网络系统和员工信息。一般从组织员工入手，搜集组织员工的个人和工作信息，并进一步了解目标系统的网络架构部署、应用系统架构、常用软件、人员组织架构及关键信息的存储位置与通信方式，然后通过社会工程方法来攻击该员工电脑，选定攻击发起的突破口，从而进入组织网络。 　　⑵实施单点攻击，即攻击者收集了足够的信息后，通过钓鱼、远程漏洞、email恶意代码、SQL注入、缓冲区溢出等手段，绕过现有杀毒和个人防火墙安全工具，以单点方式攻击组织员工的个人电脑，使员工个人电脑感染恶意代码，从而被攻击者完全控制。 　　⑶控制目标通道，即攻击者控制了员工个人电脑后，以员工个人电脑为跳板对组织内部其它主机展开攻击并尝试获取更多内部主机的控制权，搜索所有被控制