信息安全威胁进化论

什么是APT类攻击

APT(Advanced Persistent Threat)高级持续性威胁，通常来说APT攻击为一类特定的攻击，为了获取某单位的重要信息，从而进行针对性的、一系列的攻击行为，每当恶意代码渗透到网络内部后，从而进行重要信息的收集。

通俗的来说APT的攻击主要针对于特殊的机构或者公司，在明确攻击目标后，通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、潜伏、攻击和收集，同时不会对网络产生任何破坏的影响，导致用户极难发觉。

同时，任何企事业单位，只要内部终端可以访问互联网、收发Email，上传、下载文件等行为，都极有可能受到APT威胁，这些动作都可以作为APT攻击的载体被利用，从而攻击其它的内部终端。这种攻击行为使得国家政府机关、军队、银行、商业公司等机构面临着严峻的威胁。

常见的APT攻击手段

APT攻击可以简要的分为四个阶段：(1)渗透(2)控制(3)探测(4)数据泄露。

1、 渗透：典型的APT攻击主要通过以假乱真的电子邮件、未知的恶意程序、系统和程序的漏洞及后门入侵到计算机中，同时大部分桌面端杀毒软件无法对未知恶意代码、后门程序进行及时的分析或查杀导致计算机被感染。

2、 控制：当计算机被成功渗透后，主动释放新型木马僵尸程序，此程序会躲避杀毒软件的查杀，同时向外网的僵尸服务器进行通讯回复报道，然后潜伏在计算机系统中。

3、 探测：当计算机感染新型木马僵尸病毒后，会被窃取本机的权限，同时提升权限到管理员，然后通过感染计算机不断的去扫描其它计算机端口以及漏洞，并依靠弱口令字典去破解其它计算机的密码，造成更多的计算机被感染和控制。此类恶意代码会依照相关规则(例如：文件类型、名称等)去探测重要文件的位置。

4、 数据泄露：恶意代码会将收集到的重要文件进行压缩打包甚至加密，通过邮件或其它形式转发到相应的外网僵尸服务器中。

如何防御APT恶意代码

目前业内主要还是依靠传统的病毒防范方式，依靠桌面端的杀毒软件对恶意文件进行特征库匹配。但是对于APT恶意代码的攻击已显得不合时宜，无法拦截未知恶意代码、后门程序、信息泄露等。所以应该有一套更加完善、主动、立体、多维度的安全防御体系。

网神安全团队根据多年的安全经验，建议针对APT恶意代码攻击通过以下几个方面入手，包括建立异构病毒库、多维度拦截、启发式扫描、行为分析、URL判定、漏洞攻击代码检测、沙盒技术等方式，对APT的恶意代码的渗透、控制、探测、数据泄露四个过程进行全程的监控、阻断和预警。

APT恶意代码的拦截

在网关处部署网神SecAV防毒墙，通过网神1000万以上病毒特征库结合终端杀毒软件，对所有进出的网络数据包进行还原，并进行高精准度的病毒文件匹配，杜绝恶意代码、后门程序入侵计算机终端，降低计算机病毒感染率。

其次，通过网神SecAV防毒墙启发式扫描技术，对进出的数据文件的结构, 病毒遗传基因, 文件的来源或传播形式，虚拟脱壳以及伪装形式等来进行判断。同时可针对不同的特点的病毒, 制定不同的启发式规则来提高判断结果的准确性，全部过程均为自动化处理，使得未知恶意代码能够提供及时、主动的拦截，防止APT类攻击渗透到网内计算机中。

通过防毒墙的URL判断功能，对于未知的URL进行威胁性预估，对于威胁级别高的URL进行及时的阻断，从而在阻止恶意URL的访问。

为了防止已被感染的APT类恶意代码的计算机回传数据，或对僵尸服务器进行回复报道，造成泄密事件发生，可以通过防毒墙关键字、关键文件类型过滤，数据双向检测功能进行分析和阻断，对于机密的文件名称、类型或恶意的数据回传进行拦截，防止数据泄露事件发生。

APT恶意代码的监控和预警

针对APT恶意代码攻击，还需要对网络中的数据包进行多维度的分析和预警，网神SecAV病毒预警系统做为防御APT恶意代码的新利器，旁路部署在交换机旁，对所有进出的数据进行分析和预警。

网神SecAV 病毒预警系统将所有网络数据进行收集，使用特有的虚拟沙盒仿真技术进行分析。沙盒技术将文件在虚拟的环境中运行，根据文件的文件属性变化、程序启动方式、注册表更改、内存变动、网络活动情况进行多维度的分析，对于APT类恶意代码中常见的可疑僵尸行为、可疑DDOS行为、Rootkit、间谍行为、资料窃取、反查杀自我保护等行为进行及时的监控和预警。

同时网神SecAV病毒预警系统对网络中的应用程序带宽进行审计，对于异常流量进行自动分析，防止APT类恶意代码的探测和数据泄露情况发生。使得运维人员可以快速定位感染源、对重点资产进行监控，同时配合网神防毒墙进行联动，隔离病毒计算机，减轻病毒防毒压力。

网络信息安全不仅需要安全产品和解决方案，同时内部员工安全意识同样不可或缺，定期进行安全信誉评估，合理的使用计算机终端，会更有效的降低APT攻击的行为发生。