浅谈APT攻击

如今高级持续性威胁（Advanced Persistent Threat，APT）已成为人尽皆知的“时髦术语”。越来越多的企业开始对其高度关注，政府部门也面临着遭受APT攻击的危险，在安全顾问的每一篇分析报告中都会提及它的“大名”。

众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。如果用户还在疲于应对三年前的威胁，毫无疑问，这将于事无补。APT促使企业和机构必须将重点放到今天存在的真正威胁上。

题主并不是APT专家，只是每个人在不同时机看的东西不一样，只想在此之际，科普一下，分享一些想法，欢迎指正，批评。

 

高持续性威胁（APT）是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划，并具备高度的隐蔽性，才可能取得成功。这种攻击方式往往不会追求短期的经济收益和单纯的系统破坏，而是专注于步步为营的系统入侵，每一步都要达到一个目标，而不会做其他多余的事来打草惊蛇。

 

整个apt攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤：

1、定向情报收集

定向情报收集，即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多，包括网络隐蔽扫描和社会工程学方法等。

2、单点攻击突破

单点攻击突破，即攻击者收集了足够的信息后，采用恶意代码攻击组织员工的个人电脑，攻击方法包括：

1)社会工程学方法，如通过email给员工发送包含恶意代码的文件附件，当员工打开附件时，员工电脑就感染了恶意代码;

2)远程漏洞攻击方法，比如在员工经常访问的网站上放置网页木马，当员工访问该网站时，就遭受到网页代码的攻击，rsa公司去年发现的水坑攻击(watering hole)就是采用这种攻击方法。

3、控制通道构建

控制通道构建，即攻击者控制了员工个人电脑后，需要构建某种渠道和攻击者取得联系，以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道，这个命令控制通道目前多采用http协议构建，以便突破组织的防火墙，比较高级的命令控制通道则采用https协议构建。

4、内部横向渗透

内部横向渗透，一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

5、数据收集上传

数据收集上传，即攻击者在内部横向渗透和长期潜伏过程中，有意识地搜集各服务器上的重要数据资产，进行压缩、加密和打包，然后通过某个隐蔽的数据通道将数据传回给攻击者。

转载自：http://netsecurity.51cto.com/art/201406/443332.htm

 

下面针对APT攻击流程以及事前、事中和事后的防御体系分开来说。

事前：信息收集

APT攻击前的信息收集。信息收集是APT攻击的第一步，攻击者通过这个步骤确定其目标以及攻击方法。

个人资料：人是最薄弱的环节

很多时候，导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据，以及企业高管的全名以及公司发展史等。公开的个人或企业的信息被称为开源情报(OSINT)，因为任何人都可以免费公开地获取这些信息。

很多网络罪犯会链接信息，即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前，就是利用“dox”来收集关于个人或事物的信息，这些“dox”就是信息链。然而，不只是黑客和犯罪分子，安全专家也会采用这种做法，包括执法机构。

这些向公众提供的信息包括：业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。

通过这些信息，攻击者将了解其攻击目标以及原因;更重要的是，他们将知道如何攻击这些目标，而不需要进行额外的背景研究。

谈到没有受到保护的数据，让我们先看看元数据。

元数据：进入企业的隐藏的钥匙

在这里，元数据是指嵌入在文档和图像中的信息。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置，而且还包含准确的时间戳，以及硬件信息。对于文档(从PDF到PPT)中的元数据，攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。

了解元数据是很重要的，因为在侦察阶段，攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年，有人代表Anonymous上传了1.2GB torrent文件，让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现，这些机构的文档并没有被偷窃，只是使用FOCA收集的文档信息。

FOCA可以帮助企业发现元数据，还有很多可用资源可帮助企业管理和删除元数据。

技术信息：入侵基础设施

如前所述，攻击者能够知道目标企业使用的软件类型，还有IP地址、web服务器规格(例如平台版本)、虚拟主机信息以及硬件类型。

平台版本号码可以帮助员工找出存在的漏洞，当对于硬件，这些信息可以用来定位默认登录信息。而对于脚本和网站开发，攻击者可以被动扫描裸机漏洞、跨站脚本、SQL注入和其他漏洞。

技术侦查的另一种途径是供应链。

有时候最好的办法就是简单的列出信息，下面是攻击者在侦察活动中可能寻找的信息：

OSINT数据

▍可下载文件、员工照片和企业活动照片

·这为攻击者提供了直接的信息以及收集元数据的机会

▍人员名单以及领导层信息

·了解谁是谁，并建立企业内部的关系

▍项目和产品数据

·当搜索攻击面和背景信息时很有用

▍B2B关系

·这种数据被用来建立供应链关系和销售渠道以便之后漏洞利用

▍员工的详细信息

·这包括社交媒体的个人和公共数据

▍软件数据

·目标企业内使用的软件类型

构建完整的个人资料

完整个人资料包括：全名、地址(过去和现在)、电话号码(个人和工作)、出生日期、社会安全号码、 ISP的数据(IP地址、提供商)、用户名、密码、公共记录数据(税收、信贷历史、法律记录)、爱好、最喜欢的餐馆、电影、书籍等等。

信息量越大，攻击者成功的几率就越大。

构建完整的技术资料

技术资料信息包括：网络地图、从元数据获取的技术详细信息、IP地址、可用硬件和软件信息、操作系统详细信息、平台开发数据和验证措施。

攻击者可以利用个人资料数据并瞄准服务台。知道ID是如何创建的可以帮助攻击者了解电子邮件地址是如何创建，更方便地进行钓鱼攻击、猜测地址或初步沟通。攻击者还可以搜寻操作系统、第三方软件和平台数据的漏洞或默认访问。

数据收集资源：

在侦察阶段，这些网站被用来收集个人资料信息，每个新信息都会给攻击者带来更多可利用信息。社交媒体信息会提供名字和图片。

Google (www.google.com)

个人/企业搜索

这些网站提供了对个人用户、企业以及二者之间联系的公共信息。

Zoom Info (www.zoominfo.com)

PIPL (www.pipl.com)

Intelius (www.intelius.com)

Muckety (www.muckety.com)

其他搜索资源

Web Archive (www.archive.org)

GeoIP (www.geoiptool.com )

Robtex (www.robtex.com)

KnowEm (www.knowem.com)

ImageOps (http://imgops.com)

SHODAN (www.shodanhq.com)

整理收集的数据

在侦察阶段整理所有收集到的各种信息，推荐的工具是Maltego。Maltego是一个OSINT工具，黑客、执法机构和安全专家使用它来管理信息链。它提供对数据的可视化概览，能够帮助整理用户、组织、机构、网络信息之间的关联。

常见工具和软件

对于在侦察阶段攻击者使用的工具，通常很容易获得且易于操作，包括这些：

SQLMap (http://sqlmap.org)

BackTrack Linux (http://www.backtrack-linux.org)

Metasploit (http://metasploit.org)

总结

防止侦察几乎是不可能的。你可以缓解一些攻击，但互联网本身的性质意味着信息会以这种或那种形式存在，并且，最终将被攻击者发现。对于缓解措施，下面是需要考虑的事情。

事前防御解决方案

监控日志记录和分析应用程序中异常下载流量高峰。

决不允许内部端口(内网)、文档或存储中心从网络外部访问。通过受限制IP或企业VPN以及ACL政策管理对这些资源的访问。此外，良好的IAM(身份和访问管理)也可以作为不错的防御。启用多因素身份验证，有效管理过时的账户和密码。

同样地，监控网络中的ICMP流量。此外，观察对网络子网的扫描。这很罕见，并且相当明显，但这确实会发生。对看似随意的端口进行检查。

对于OSINT，另一个防御技术是限制公开显示的信息量;包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。

虽然这些数据并不是特别重要，但这些数据可以提供广泛的攻击面。如前所述，过滤元数据也是关键的缓解措施。然而，对这些数据的限制需要通过风险评估来确定，这需要所有业务领域的参与。

还要注意标语提取，这是攻击者了解企业技术缓解常用的易于使用的技术。在攻击者进行侦查后，下一个步骤将是武器化和交付。本系列的第二部分将研究这个方面以及解决办法。

转载自：http://netsecurity.51cto.com/art/201402/430076.htm

事前：攻击时的武器与手段

我们将继续介绍APT攻击时使用的武器和手段，这是真正开始发动攻击的阶段，也是攻击者需要通过的第一道"关卡"。

一般的攻击主要依赖于数量，攻击者会成百上千次的发送相同的链接或是恶意软件，在大多数情况下，这个过程是自动化的，攻击者使用机器人或基于web脚本来推动攻击，如果攻击了大量的潜在受害者，那么攻击者可能获得已经获得了一半的成功。而APT攻击则会使用多个链接、不同类型的恶意软件，并控制攻击量，因此，APT攻击很难被传统的安全防御手段所发现。

在建立有效载荷、选定攻击目标后，攻击者需要开始传送恶意载荷到目标，他们选择的传送方法包括：

1. 路过式下载攻击： 这种传送方法让攻击者可以瞄准更广泛的受害者。这是一般犯罪的常用方法，例如信息窃取恶意软件或僵尸网络构建恶意软件。犯罪工具包是典型的传送工具，因为它们可以利用多个漏洞。

任何具有可利用漏洞的网站都可能受这种攻击的影响。请记住，SQL注入攻击可用于访问存储数据，也可以访问感染数据库中的身份验证详细信息，进一步推动攻击。此外，跨站脚本和文件包含漏洞将让攻击蔓延。当恶意代码注入到网站，攻击者只需要等待受害者。在文件包含漏洞的情况下，如果攻击者获取对web服务器本身的控制，他们就可以攻击其他区域以及服务器上的数据。

注意： 这就是分离和保护网段的原因。这能够帮助降低数据泄漏期间连带效应的风险。如果对一个区域的访问允许访问所有其他区域，攻击者的工作就变得更加容易了。

2. 水坑攻击： 细粒度水坑攻击不同于一般攻击。虽然整个攻击活动可能让其他不相关的人成为受害者，攻击者对选定的一组人或特定人更感兴趣。

这种攻击的目标可能是开发人员、QA、IT或销售人员，因为这些人更可能使用论坛或其他社交环境来与同行交流或寻求协助。 SQL注入、文件包含和跨站脚本漏洞都将是主要切入点。如果攻击者可以控制直接绑定到目标网络的服务器，那么，攻击员工就成为了次要目标。

3. 网络钓鱼(一般)：一般网络钓鱼攻击会瞄准广泛受害者。攻击者可以通过这种方式散布大量恶意软件，既快速又便宜，而且不需要太费功夫。如果潜在受害者打开邮件附件，或者点击恶意链接，在有效载荷安装后，就说明攻击成功了。网络钓鱼被用来传播财务恶意软件，而一般恶意软件被用来窃取数据和构建僵尸网络，而这又被用来发送更多的垃圾邮件。

网络钓鱼活动中使用的电子邮件地址可能来自各种来源，包括在侦察阶段收集的数据，同时也可能来自数据库泄漏事故公开披露的数据。一般网络钓鱼的目的是玩数字游戏，如果攻击者发送恶意邮件到100万地址，而安装了1000个恶意软件，那么，这将被视为一个巨大的成功。

4. 网络钓鱼(重点): 重点网络钓鱼攻击，或者说鱼叉式网络钓鱼，工作原理与一般网络钓鱼攻击差不多，只是潜在受害者范围小得多。鱼叉式钓鱼攻击很适合于攻击一个人或者一个小组，因为在侦察阶段收集的数据能说服受害者做一些操作，例如打开恶意附件或点击链接。

鱼叉式网络钓鱼活动很难被发现，特别是对于被动的反垃圾邮件技术。鱼叉式网络钓鱼获得成功是因为，受害者相信邮件中包含的信息，而且大多数人都认为反垃圾邮件保护会抵御这种威胁。

总结

将APT攻击阻止在萌芽时期很关键，因为如果你能在这个阶段阻止攻击，那么，战斗已经赢了。然而，犯罪分子没有这么容易对付。除非你部署了分层防御措施，完全阻止这种攻击，说起来比做起来容易。下面我们看看抵御攻击的方法：

事前防御解决方案

入侵检测系统(IDS)和入侵防御系统(IPS)是很好的保护层。然而，大多数只是部署了其中一个，而没有都部署，最好的办法就是同时部署这两者。

IDS产品提供了可视性，但只有当数据泄漏事故发生后才有效。如果企业能够即时对IDS警报采取行动，损失和损害可以得到缓解。在另一方面，IPS产品能够有效发现和识别已知攻击，但缺乏可视性。这两个解决方案的缺点是它们所依赖的签名。如果没有更新签名，你可能无法检测攻击者部署的最新攻击技术。

反病毒保护通常能够检测很多漏洞利用工具包安装的恶意软件。但单靠AV签名并没什么用，所有AV产品都需要依赖于签名保护。虽然AV供应商提供各种保护，包括白名单和基于主机的IDS，但这些功能需要启用和使用。

垃圾邮件过滤也是检测和阻止大部分攻击必不可少的方法，但企业不能只依赖反垃圾邮件保护。它们很容易出现误报，无法阻挡一切攻击，特别是当攻击者伪装成白名单中的域名时。

补丁管理是另一个关键保护层，因为它能够应对攻击者最强的工具之一—漏洞利用工具包。然而，修复操作系统并不够，还需要定期修复第三方软件。

最后，还需要安全意识培训。企业应该对用户进行培训来抵御最明显的威胁，包括网络钓鱼攻击。安全意识培训是持续的举措，能够直接解决企业面临的风险。

转载自：http://safe.it168.com/a2014/0220/1594/000001594865.shtml

事中：攻击时的漏洞利用

在这个阶段情况已经急转直下，因为攻击者已经成功交付其恶意有效载荷。

毫无疑问，如果让攻击者已经顺利进展到了这个阶段，问题已经很严重了，但是你仍然有机会。现在，攻击者已经传送了附有恶意附件的电子邮件，如果成功的话，攻击者将能够利用你企业使用的软件中的漏洞。而如果漏洞利用成功的话，你的系统将受到感染。然而，攻击者在攻破你的防御后，可能会制造一些动静。如果是这样，关于他们攻击方法和攻击类型的证据可能位于网络或系统日志中。另外，你的各种安全事件监控器中可能包含攻击的证据。

如果攻击者的漏洞利用没有被发现，你的胜算就会变的更小。据2013年Verizon数据泄漏调查显示，66%的数据泄漏保持几个月甚至更长时间都未被发现。即使泄漏事故被发现，也主要是因为无关的第三方曝光。

在漏洞利用后，攻击者需要建立一个立足点，也就是安装，也就大多数端点保护的关注点。攻击者通常是通过在感染主机上安装额外的工具来获得立足点。

攻击者可能从初始切入点进入网络中的其他系统或服务器。这种支点攻击(Pivoting)能够帮助攻击者完成其总体目标，并确保他们不被发现。

通常情况下，支点攻击的成功是因为对网络政策的漏洞利用，让攻击者能够直接访问一些系统，这样，他们就不需要利用另一个漏洞或恶意软件。

事件响应计划主要用来攻击者活动的安装阶段。因为防御措施已经失败，所以响应是唯一的选择了。然而，只有在检测到攻击，才可能进行事件响应。假设漏洞利用阶段没有被检测到，而攻击者成功安装恶意软件后，该怎么办?如果你幸运的话，你可以检测到一些攻击的证据，并利用它们来推动事件响应过程。

企业经常忽视感染指标(Indicators ofCompromise，IOC)，因为它们通常隐藏在海量日志记录数据中。没有人有时间读取数百或数千条数据，这也是为什么经常需要几个星期或几个月检测到数据泄漏事故的原因。

假设攻击者瞄准一名员工，并攻击了企业系统，为了检测到这种攻击，关键是寻找异常情况，寻找似乎格格不入的东西。

另一个例子是寻找随机的意想不到的DNS请求。攻击者往往会回调以利用其他工具，或者他们的有效载荷会发出外部请求。（1）将DNS请求与已知恶意服务器、名声不好的IP地址列表进行匹配，这样做通常能够检测到攻击，因为漏洞利用阶段是攻击者可能制造动静的时期。

那么，对于水坑攻击呢?什么算是很好的IOC呢?这也将需要读取大量日志数据，但（2）如果Web服务器日志充斥着500错误、权限错误或路径错误，问题就严重了。因为这可能意味着SQL注入和跨站脚本攻击等。（3）或者，500错误也可能是良性的。但当它们与数据库错误同时出现，或者来自单个应用程序或资源，则可能意味着攻击。

（4）同样地，观察404错误，看看这些错误是如何被触发。在很多情况下，web漏洞扫描仪或探测应用程序的机器人触发了这些事件。最后，（5）如果你发现shell脚本(例如r57或c99)，通常是因为你已经注意到了日志中的随机GET或POST请求，这是很明显的IOC。事实上，web服务器上的shell是最糟糕的发现，表明已经出现数据泄漏。因为shell意味着攻击者已经控制着一切。

 

事中防御解决方案

在缓解措施方面，很多签名提到的保护层仍然适用。事实上，其中一些保护层很适合于漏洞利用阶段。例如，（1）数据执行保护(DEP)可以很好地防止恶意软件在被感染主机上运行。

虽然攻击者可能能够传送恶意软件，当受害者尝试执行它时，DEP将会阻止它。然而，还有大量恶意软件变种和软件漏洞利用会瞄准DEP，所以你不能仅仅依靠这种保护。

（2）白名单是另一个很好的缓解措施，但这种办法有可能拦截合法(白名单)应用程序，也就是说，白名单也不能作为防止漏洞利用的唯一来源。

（3）反病毒控制(例如针对IP地址和软件的声誉检查)是很好的防御措施，因为大多数AV软件提供行为检测。但AV并不是完美的解决方案，如果漏洞利用阶段使用了未知的东西，AV可能会完全没用。基于主机的IDS同样是如此，但如果没有部署这些技术，情况会更糟。

最后，（4）对操作系统和第三方程序保持软件更新和补丁修复，能够很好地防止漏洞利用，（5）并且能够控制权限。最小特权原则是IT内经常忽视的工具，但这是个很好的工具。

这些缓解措施的重点是，它们都不能完全阻止漏洞利用和安装阶段，但如果结合使用，防止严重攻击的几率将会增加。

转载自：http://netsecurity.51cto.com/art/201402/430297.htm

事中:攻击时的命令和控制

在这个阶段，攻击者已经侵入了你的网络，并将开始进行最后的攻击活动，这个阶段通常被称为C2。攻击者已经完成了侦察、武器化和传送以及漏洞利用和安装阶段。

C2阶段主要是关于通信，但要记住，C2阶段并不包括数据传输。C2阶段是建立通信通道，允许攻击者与外部沟通。

被动攻击是自动化的。自动化可以帮助攻击者实现攻击量，因为几乎不需要交互。然而，这种自动化意味着他们可能被发现。当企业内50个系统与相同未知主机通信，可能会被注意到。

有针对性的攻击则更具体，几乎没有自动化。攻击者将会发出命令，并使用特定的工具。有针对性攻击的所有活动都是有目的的，并会努力逃避侦察，尽量保持低调。

当你的企业沦为被动攻击受害者，攻击者使用的自动化工具无法逃避现有安全控制和缓解措施的检测，因为它们制造了太多动静。因此，企业应该尽快阻止这种攻击。

需要注意的是，被动攻击采用自动化方式是因为，这些攻击活动背后的操作者更侧重攻击量，而不是控制。如果他们的恶意软件或其他有效载荷被发现和阻止，这并没什么大不了，他们可以马上转移到其他受害者。

然而，如果企业沦为有针对性攻击的受害者，这意味着攻击者将会在企业内找到立足点，并会绕开安全控制或禁止安全控制来避免被发现。（1）此外，攻击者还会试图建立后门程序到其他系统，创建更多切入点，以防其中一个切入点被发现。因此，在企业的事件响应计划中，一个很好的经验法则是，如果你看到一个后门程序，这意味着还潜伏着其他后门程序。

“坚实的”C2是指攻击者可以动态调整其程序，增加事件响应者手动检测的难度，甚至不可能。这也是数据泄漏事故很长时间才被发现的原因。

攻击者往往会回调以获取额外的工具，或使用有效载荷发出外部请求。这些感染指标能够清楚地揭示C2活动，因为与正常网络流量相比，这些有些异常。

因此，（2）企业应该对比DNS请求和已知恶意服务器列表，或者过滤有着不良声誉的IP地址，以应对这种类型的流量。在漏洞利用和安装阶段后，C2阶段是攻击者少数制造动静的时期。然而，当这些流量被自动化检测标记时，则表明是被动攻击。

这样想，如果攻击活动背后的操作者在使用C2通道或者从已知恶意来源下载有效载荷，你的企业可能是攻击者的目标之一。在另一方面，有针对性攻击活动背后的操作者会谨慎避免被检测。他们会将C2流量隐藏在正常通信通道内。

事中防御解决方案

在C2建立后，攻击者就成功了一半。一般被动攻击是自动化的，动静很大，并且会立即发动攻击，而有针对性攻击则会潜伏数天、数周甚至数月。因此，（3）在C2阶段，流量监控是关键防御措施。如果能够结合前面提到的防御措施，你就建立了一个强有力的分层保护。

（4）只要正确配置和维护(包括定期更新)，IPS和IDS系统可作为第一层防御。然后，（5）企业需要ACL规则来通过防火墙限制入站和出站连接。然而，还需要限制防火墙规则中例外的数量，并且需要对这些例外进行密切检测，或者在不需要时撤销。在有针对性攻击期间，你的安全规则和政策可能被用来针对你，特别是当它们过时或不受监管时。

最后，（6）企业应该监控网络上流量的移动情况，更重要的是，监控移动到外部的流量。同时，（7）关注红色标记的事件，例如修改HTTP表头，以及到未知IP地址或域名的连接。（8）加密流量是被动攻击和有针对性攻击活动使用的常用技巧，在这种情况下，C2可能更难被发现，但也不是没有可能。（9）你可以查找自签名证书和未经批准或非标准加密使用。

转载自：http://safe.it168.com/a2014/0226/1596/000001596892.shtml

事后：攻击后期的数据渗出

在这个阶段，也是APT攻击的最后阶段，如果APT攻击活动还没有被阻止，那么数据很可能即将被泄漏出去。

数据渗出是APT攻击的最后一步，如果攻击者完成这一步，你企业将面临巨大损失。在目标数据被确定后，这些数据将被复制并通过C2通道移出网络，或者可能被复制到网络中的另一区域，然后再被移出。从这一点来看，企业应该容易发现被动攻击和有针对性攻击。

被动攻击动静很大，分层防御措施很容易发现这种攻击。另一方面，有针对性攻击完全相反。

有针对性攻击活动背后的攻击者会尽可能保持低调，所以不可能出现大规模数据转储。在有针对性攻击中，我们会看到数据伪装成正常流量通过C2通道离开网络。

在前面C2中，我们谈到了攻击通常会利用有着不良声誉的通信信道。对于每个感染的主机，攻击者会使用了相同的容易识别的通道。

这种攻击会将数据渗出到其他国家的数据中心的服务器，当地法律可能没有禁止这种数据使用。在这些情况下，你不要指望ISP提供帮助。所以，如果你不阻止数据离开网络，即使你发现数据的渗出，这种信息从法律上看也没多大用处。

有针对性攻击会攻击合法服务器来存储数据。在很多情况下，受感染的服务器管理员可能不知道他们正在托管不属于自己的数据，而当他们意识到有什么不对劲时，攻击者已经早已离去。

事后防御解决方案

在渗出阶段，最好的防御措施就是感知。你需要知道哪些数据进出你的网络，监控出站流量和入站流量都很重要。

DLP解决方案也可以用于应对渗出阶段。如果配置得到，DLP产品可以帮助监控网络流量，并控制流量。它们能够发现未经授权的加密，被动和有针对性攻击会利用加密来隐藏通信。还能够发现异常流量模式。

另外，监控用户账户活动也可以作为防御措施，有些合法账户可能出现异常活动。

在C2阶段使用的防御措施同样可用于渗出阶段，包括根据IP地址、IPS和IDS系统(可以调整为监控所有阶段的活动)以及应用防火墙规则(控制哪些程序允许发送流量到外部)阻止访问。这些规则还可以应用到工作站或网段。

假设你捕捉到渗出过程，日志记录将成为事件响应的关键资源，因为日志能够确定发生了什么、如何发生等。通常情况下，在被动或有针对性攻击中，确定攻击者是很重要的，但实际上这是不可能的，这个问题我们主要是靠猜测而不是事实。

无论采用何种防御措施，最好的办法是在事故发生前阻止事故。这正是澳大利亚信号理事会(ASD)的主要工作，其网络不断有攻击者试图访问敏感信息。ASD采用了四种防御措施，并指定它们作为其网络的强制性要求。这四个强制性措施包括：

1. 应用程序白名单

2. 第三方软件补丁管理

3. 操作系统补丁管理

4. 权限管理(限制使用域或本地管理员权限的用户数量)

在本系列文章的开始，我们探讨了有针对性攻击和被动攻击的目的的区别，以及这些攻击者的总体目标。工具、战略和程序并不重要。你的企业更有可能成为机会攻击的受害者，而不是受民族国际资助的有针对性攻击的受害者。

应对这两种攻击的最好办法就是分层防御。感知和可视性是快速反应以及减少损失的关键。虽然持续性攻击活动最终会成功，但我们可以提高攻击者的难度，以及减少损失。关键是要权衡风险，制定符合企业需求的安全计划，不要恐惧APT。

转载自：http://netsecurity.51cto.com/art/201402/430604.htm

 

遭受APTs攻击的五个信号

与传统网络攻击相比，黑客所发动的APTs（高级持续性威胁）是一个新兴的攻击类型。APTs会给企业和网络带来持续不断的威胁，能够发动APTs攻击的黑客，往往是一个有着良好纪律性的组织，作为一个专业团队集中进行网络活动。通常情况下，他们将宝贵的知识产权、机密的项目说明、合同与专利信息作为窃取目标。

发动APT的黑客在一般情况下所使用的方法便是用网络钓鱼邮件或其他的技巧来欺骗用户下载恶意软件。但其最终目的往往是极其核心的信息。

因为APT黑客与普通黑客所用的技术不同，所以他们会留下不同的痕迹。在过去的十年里，我发现了若是出现下列5种信号的话，你的企业很有可能已经遭到了APTs攻击。在一个企业中，每个业务都有一个固定的、合法的活动频率，若其活动频率突然发生异变，说不定这部分业务正在被APT所利用。

APT信号 NO.1：在晚上，日志登录信息的暴增

APTs首先会攻陷一台电脑，然后会迅速接管整个网络大环境。通过读取数据库的身份认证，窃取证书并反复利用这些权限，从而达到接管整个网络的目的。他们了解哪些用户（或者服务）账户拥有更高的权限，有了这些特权，他们就可以游走于网络各方，危及企业的资产。因为攻击者的生活时差与我们相反，所以通常情况下，日志中大量的登录与注销记录的爆发都会发生在夜里。如果你突然发现日志的登录注销记录突然大量出现，而该时间段里，这些员工应该是在家休息的，那么你就需要警惕了！

APT信号 NO.2：广泛的后门木马

APT黑客经常在开发环境中在被感染的电脑里面装上后门木马。他们这样做是为了能够确保随时可以回来，即便是捕获的日志认证发生了改变，他们也能够通过此后门得到线索与信息。另一个相关的特征：一旦行踪暴露，APT黑客不会像普通攻击者那样马上逃走擦净痕迹，为什么会如此呢？他们在企业中操控了计算机等相关设备，而且只要他们本人不坦白，即使是走了法律流程，这些潜在的威胁也很难被发现。

这段时间以来，大多数被部署了木马的企业，均是被社会工程学的攻击手段钻了空子。这种攻击手段相当普遍，它们使APT攻击的成功率提高了不少。

APT信号 NO.3：意想不到的信息流动

我能想到的，检测APT活动的最好方法是：看到大量意想不到的数据流从内部计算机向外部流动。有可能是从服务器流向服务器，也有可能是从服务器流向客户端或是从网络移动到网络。

这些数据流可能是有限的，但是却具备非常强的针对性。比如会有些人专门收取一些国外发来的邮件。我希望每个邮件客户端都能够显示最新的用户登录地点以及最后访问的登录地点。Gmail和其他一些云电子邮件系统已经能够实现这一点。

当然，为了更准确地判断APT攻击，你必须能够从数据流中判断是否存有异常，那么现在就开始了解你的数据流基准信息吧。

APT信号 NO.4：发现意外的大数据包

APTs攻击通常将窃取的信息在内部进行整合，然后再传输到外部。如果发现大块数据（这里指的是千兆字节的数据）出现在不该出现的地方，特别是那种在企业内部不常出现的压缩格式，或是不需要压缩的文件。发现这些数据后，你千万需要小心了。

APT信号 NO.5：检测哈希传递（pass-the-hash）黑客工具

虽然APTs攻击中不是总是使用哈希值传递工具，这个工具却会经常弹出。奇怪的是，黑客使用这个工具后，往往会忘记将其删除。如果你发现了一个孤零零的哈希工具挂在那里，那他们肯定是有一点慌张了，或许至少可以证明他们确实是有所动作，你应该进一步深入调查。

如果非要让我总结出APT攻击的第6个信号的话，那么我将会强烈反对企业使用变态的Adobe Acrobat PDF文件，因为它是引起鱼叉式网络钓鱼活动的重点。它是诱发APT攻击的根源，我并没有将其写进上面5个信号中，因为Adobe Acrobat在任何地方都会被利用上。但是，如果你发现了一个鱼叉式网络钓鱼攻击，尤其是在一些高管不慎点击了附加PDF文件后，你一定要开始着手寻找其他的攻击特征。这很可能是APT攻击的前奏。

话虽如此，但我希望你永远不需要面对APT攻击，它是你和你的企业最难以做到的事情之一。预防和早期检测将会减轻你的痛苦与压力。

转载自：http://netsecurity.51cto.com/art/201211/363040.htm

那些应对APT攻击的最新技术

网络安全，尤其是Internet互联网安全正在面临前所未有的挑战，这主要就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT(Advanced Persistent Threat，高级持续性威胁)攻击，或者称之为“针对特定目标的攻击”。这些攻击统称为新型威胁。

新型威胁的综合分析

APT攻击主要呈现以下技术特点：

1、 攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现;

2、 攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，传统的邮件内容分析也难以奏效;

3、 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;

4、 初始的网络渗透往往使用利用0day漏洞的恶意代码，而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;

5、 在攻击者控制受害机器的过程中，往往使用SSL连接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可疑连接的分析能力;

6、 攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征，这导致现有绝大部分基于特征库匹配的检测系统都失效了;

7、 还有的企业部署了内网审计系统、日志分析系统，甚至是安管平台，但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。

因此，在APT这样的新型威胁面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。

新型威胁的最新技术发展动向

新型威胁自身也在不断发展进化，以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。

精准钓鱼。精准钓鱼是一种精确制导的钓鱼式攻击，比普通的定向钓鱼(spearphishing)更聚焦，只有在被攻击者名单中的人才会看到这个钓鱼网页，其他人看到的则是404 error。也就是说，如果你不在名单之列，看不到钓鱼网页。如此一来，一方面攻击的精准度更高，另一方面也更加保密，安全专家更难进行追踪。

高级隐遁技术。高级隐遁技术是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。高级隐遁技术是一系列规避安全检测的技术的统称，可以分为网络隐遁和主机隐遁，而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。

沙箱逃避。新型的恶意代码设计越来越精巧，想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行，从而使得很多自动化执行的沙箱没法检测到可疑行为。有的恶意代码会设法欺骗虚拟机，以逃避用虚拟机方式来执行的沙箱。

新型威胁的应对之策

一、总体思路

2012年8月，RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷，导致很难识别APT攻击。现有的防护体系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和组织结构，以及工作流程等等都存在不足。报告指出，应对APT需要采取一种与以往不同的信息安全策略及方法。该方法更加注重对核心资产的保护，以数据为中心，从检测威胁的角度去分析日志，注重攻击模式的发现和描述，从情报分析的高度来分析威胁。

报告提出了7条建议：

1、 进行高级情报收集与分析。让情报成为战略的基石。

2、 建立智能监测机制。知道要寻找什么，并建立信息安全与网络监控机制，以寻找所要寻找之物。

3、 重新分配访问控制权。控制特权用户的访问。

4、 认真开展有实效的用户培训。培训用户以识别社会工程攻击，并迫使用户承担保证企业信息安全的个人责任。

5、 管理高管预期。确保最高管理层认识到，抗击高级持续性攻击的本质是与数字军备竞赛战斗。

6、 重新设计IT架构。从扁平式网络转变为分隔式网络，使攻击者难以在网络中四处游荡，从而难以发现最宝贵的信息。

7、 参与情报交换。分享信息安全威胁情报，利用其他企业积累的知识。

Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己，更要知彼，强调真正的主动安全是料敌先机，核心就是对安全威胁情报的分析与分享。

二、技术手段分析

从具体的技术层面来说，为了应对APT攻击，新的技术也是层出不穷。

从监测和检测的角度，为了识别APT，可以从APT攻击的各个环节进行突破，任一环节能够识别即可断开整个链条。

根据APT攻击过程，我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。

而不论从哪个环节入手，都主要涉及以下几类新型技术手段：

基于沙箱的恶意代码检测技术。要检测恶意代码，最具挑战性的就是利用0day漏洞的恶意代码。因为是0day，就意味着没有特征，传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境，让可疑文件在这个模拟环境中运行起来，通过可疑文件触发的外在行为来判定是否是恶意代码。

沙箱技术的模拟环境可以是真实的模拟环境，也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建，或者通过一个特制程序来虚拟。

基于异常的流量检测技术。传统的IDS都是基于特征(签名)的技术去进行DPI分析，有的也用到了一些简单DFI分析技术。面对新型威胁，DFI技术的应用需要进一步深化。基于Flow，出现了一种基于异常的流量检测技术，通过建立流量行为轮廓和学习模型来识别流量异常，进而识别0day攻击、C&C通讯，以及信息渗出。本质上，这是一种基于统计学和机器学习的技术。

全包捕获与分析技术。应对APT攻击，需要做好最坏的打算。万一没有识别出攻击并遭受了损失了怎么办?对于某些情况，我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法，FPI能够抓取网络中的特定场合下的全量数据报文并存储起来，进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法，协助分析师剖丝抽茧，定位问题。

信誉技术。信誉技术早已存在，在面对新型威胁的时候，它可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库，还是威胁情报库，都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建，这需要一个强有力的技术团队来维护。

综合分析技术。所谓综合分析，就是在前述所有技术之上的，并且涵盖传统检测技术之上的，一个横向贯穿的分析。我们已经知道APT攻击是一个过程，是一个组合，如果能够将APT攻击最多环节的信息综合到一起，有助于确认一个APT攻击行为。综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为，包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术，等等。

人的技能。最后，要实现对新型攻击的防范，除了上述新的监测/检测技术之外，还需要依靠强有力的专业分析服务做支撑，通过专家团队和他们的最佳实践，不断充实安全知识库，进行即时的可疑代码分析、渗透测试、漏洞验证，等等。安全专家的技能永远是任何技术都无法完全替代的。

 

apt检测和防御方案分类

纵观整个apt攻击过程发现，有几个步骤是apt攻击实施的关键，包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令，以及最后的敏感数据外传等过程。当前的apt攻击检测和防御方案其实都是围绕这些步骤展开。

我们把本届rsa大会上收集到的apt检测和防御方案进行了整理，根据它们所覆盖的apt攻击阶段不同，将它们分为以下四类：

1、恶意代码检测类方案：

该类方案主要覆盖apt攻击过程中的单点攻击突破阶段，它是检测apt攻击过程中的恶意代码传播过程。大多数apt攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施的，因此，恶意代码检测对于检测和防御apt攻击至关重要。

2、主机应用保护类方案：

该类方案主要覆盖apt攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，如果能够加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，则可以有效防御apt攻击。

3、网络入侵检测类方案：

该类方案主要覆盖apt攻击过程中的控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测apt攻击的命令和控制通道。安全分析人员发现，虽然apt攻击所使用的恶意代码变种多且升级频繁，但恶意代码所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测apt的命令控制通道。该类方案成功的关键是如何及时获取到各apt攻击手法的命令控制通道的检测特征。

4、大数据分析检测类方案：

该类方案并不重点检测apt攻击中的某个步骤，它覆盖了整个apt攻击过程。该类方案是一种网络取证思路，它全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，它可在发现apt攻击的一点蛛丝马迹后，通过全面分析这些海量数据来还原整个apt攻击场景。大数据分析检测方案因为涉及海量数据处理，因此需要构建大数据存储和分析平台，比较典型的大数据分析平台有hadoop

    转载自：http://www.youxia.org/2013/11/9946.html

本文始发于微信公众号（LemonSec）：浅谈APT攻击