APT攻击的那些事

　　飞速发展的IT技术使得信息安全业站在产业发展的风口浪尖，无论是云计算、物联网，还是3G、移动互联，IT技术在推动产品创新与变革的同时，各种安全问题也随之而来。近日，与某友商技术大牛关于APT攻防的话题进行了一番争论，故撰文一篇，科普关于APT攻击的那些事。

　　自2010年Google承认遭受严重黑客攻击之后，APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”，当然对于像Google、RSA、Comodo等深受其害的公司而言APT无疑是一场噩梦，噩梦的结果便是对现有安全防御体系的深入思考。

　　何为APT攻击

　　APT(Advanced Persistent Threat)高级持续性威胁顾名思义，这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。

　　在已经发生的典型的APT攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式，整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如，在某台服务器端成功部署Rootkit后，攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。

　　也许很多IT管理者认为APT攻击这种长期而复杂的攻击方式不可能幸运的发生在您所负责网络中，但在西方先进国家APT攻击已经成为国家网络安全防御战略的重要环节。例如，美国国防部的High Level网络作战原则中，明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。

　　对于APT攻击我们需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变的作战策略，法国人的整条防线便沦落成摆设，至于APT攻击，任何疏忽大意都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与APT攻击行为到底有哪些异同，下面的表格或许能让您找到答案。

　　不难看出APT攻击更像一支配备了精良武器的特种部队，这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙等安全网关失去应有的防御能力。无论是0day或者精心构造的恶意程序，传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵。即便是业界热议的NGFW，利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。

　　典型的APT攻击，通常会通过如下途径入侵到您的网络当中：

　　u 通过SQL注入等攻击手段突破面向外网的Web Server;

　　u 通过被入侵的Web Server做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备;

　　u 通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境;

　　u 被攻击者的私人邮箱自动发送邮件副本给攻击者;

　　u 通过植入恶意软件，如木马、后门、Downloader等恶意软件，回传大量的敏感文件(WORD、PPT、PDF、CAD文件等);

　　u 通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。

　　典型的APT攻击流程

　　为什么Web Server会成为攻击者发起APT攻击起点?通常这里是公司邮件网络的集散地，这也验证了EMAIL电子邮件已沦为APT攻击最重要的途径之一，而且EMAIL中包含的各类重要信息更可能带来意想不到的收获。前面我们说到，攻击者攻击Web Server的主要目的是为了充当进一步入侵的跳板，因此针对EMAIL的攻击行为通常会执行如下工作：

　　u 发送钓鱼邮件：窃取用户ID与密码;

　　u 执行恶意脚本：扫描终端用户使用环境，发掘可利用的攻击资源;

　　u 植入恶意软件：针对用户环境中应用程序漏洞，注入恶意代码，构建僵尸网络。

　　在针对邮件系统的APT攻击的过程中，攻击者通常会利用各种办公系统所支持的各类文档0day，例如WORD、PDF、PPT等，越是频繁使用的文档，越有可能降低用户安全意识。