解构APT：高续性威胁的前生今世.docxVIP

解构APT：高级持续性威胁的前生今世 与来自IT、信息、网络安全行业很多缩略词一样，APT(高级持续性威胁)这个术语正变得广为人知。就像新生概念一样，它和它的兄弟词语AET(高级逃逸技术)占据了当今各大媒体的头条。 然而，从这两个术语涉及的最基本层面上来看，它们并没有任何创新。新的简写的确概括了当今这个高度信息化的时代遇到的一些真正的威胁，但它们只是在没人注意的时候偷偷重新发明了自己。因此，APT里代表持续性(Persistent)的那个“P”看上去才显得如此恰当(apt本身就是个英文单词，有恰当的、合适的意思)。 随着攻击技术的不断发展，历史上的威胁和今天的威胁之间有一个微妙的区别。一些人利用严肃的计划和项目管理技术创造了用于实战的高级逃逸技术，这使得当今的恶意行为如虎添翼。 早在1993年，计算机病毒还是当时最新潮的现象。在英国皇家空军的计算机安全部门进行计算机病毒研究的人员提出了一个疯狂想法：使用单层或多层封装将恶意代码数据隐藏起来，以规避反病毒系统。也就是说，这就是上个世纪90年代的APT。 如今，很多网络安全社区倾向于给遇到的每个安全问题都打上普适性的标签，然后把问题踢给一些相关的技术保护概要，这份概要又会提供某个可行的全/半自动解决方案，最后导出使用某种信息安全灵丹妙药的确切等级。 然而，以APT为例，上述过程并没有考虑到攻击的多面性。例如，APT是病毒?零日漏洞?系统漏洞?还是全新的恶意脚本?对所有这些问题的答案都是令人费解的。 为了对APT的能力和目的有更深刻的理解，我们应当整体审视一下OSI七层模型。然后我们可以看到，APT的制造者是如何依据自己的想象力，将攻击向量运用到针对OSI模型特定一层或几层的漏洞上，并取得成功的。以下是OSI模型七层协议： * 应用层 * 表示层 * 会话层 * 传输层 * 网络层 * 链路层 * 物理层 在面对APT攻击时，一件非常重要的事情是意识到这些攻击有可能随设计者的意图随意演变。攻击者运用攻击向量的某几点展开攻击，目标是找到一些要素的漏洞，或者是一些和OSI协议栈相关的要素。尽管，从某种程度上来讲，不管APT有没有被定制好，都要用到大量暴露的通常信息，但这正是我们防不胜防的东西。 举例而言，攻击者可能决定将攻击放在OSI协议栈的上层部分，并在这部分直接发掘漏洞，这样做有可能导致更底层的漏洞暴露。如果黑客利用社会工程攻击锁定目标人员、跟踪数据包，可能导致OSI模型中更接近技术接口的层面受到威胁，进而使得网络层上的实体遭到针对性攻击。 文章写到这里，应该介绍一下APT的真实定义了： “它是一种使得攻击成为可能的逻辑/物理条件，能造成在多重向量层面上的不利状态，使得人员、软件、系统陷入危险，实现攻击者的直/间接访问，进而发掘目标实体的部分漏洞，甚至造成漏洞的全面暴露。” 关于APT攻击最值得记住的威胁点是，我们完全不知道它们在逻辑上是如何组织的，也不知道它们针对的是OSI协议栈的哪一层的漏洞。举例而言，通过混合型鱼叉式网络钓鱼的方法投放数据包，可以对单个或多人开展攻击;攻击的目标则可以很多样化，或是利用Windows XP的漏洞，或是对外围信息安全基础设施进行直接攻击，亦或是伪造IP包头，骗过保护系统;攻击的结果是在网络层上成功建立恶意连接。 恶意连接有可能是未授权的数据出口，它使得攻击者得以远程调用目标系统上的命令行(Shell操控接口)，进而运行强大的Windows管理规范命令行程序(wmic.exe)，再向受害网络发送INTERROGATE询问控制请求，勘察字符段;或者通过网络向同组服务器发送硬盘取证软件。 有一些APT攻击可能针对人类心理的弱点，比如好奇心。举例而言，黑客在攻击一个总部位于伦敦的公司时，把USB盘分散扔到公司停车场里，并给U盘标上个人理财、2015裁员、女朋友的相片等等标签。然而，这些USB盘都感染了基于Hacksaw、Switchblade制作的U盘病毒，一旦把USB盘插到计算机上，病毒就会通过计算机I/O感染整个系统。 整体来看，针对性的APT攻击流程大致包括：对目标进行踩点;搜集开源情报(Open Source Intelligence, OSINT)以及任何其它黑客能够挖出来的信息。单个的信息含金量可能并不高，但是当信息组合起来，有可能构成发动一次攻击的基础。 举例而言，一家公司从基于元数据的构件里泄露出了信息，这些信息是从该公司的网站上无意之中大量泄露的，而公司并不知情。这些信息包括IP地址、用户名、本地系统名称、文件夹、操作系统，以及基础应用程序的版本：比如Oracle。这都会被有心的攻击者利用起来。 真的有公司想告诉世界他们仍然在用Windows NT 4.0 Service Pack 6a，而且公司内的Windows XP覆盖率居高不下吗