高偉

摘要：APT（Advanced Persistent Threat）高級持續(xù)性威脅，并不是一種跟傳統(tǒng)單一的攻擊方式一樣的的攻擊行為，如果從整體的攻擊手段和意圖上來解釋，APT威脅是一種結(jié)合了各種IT資產(chǎn)漏洞、社會工程學(xué)并且集合了各種威脅利用的攻擊手段的多種行為集合。

關(guān)鍵詞：APT；可持續(xù)性威脅；0day；黑白名單

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）07-0033-03

Abstract：APT（Advanced Persistent Threat）， Is not a means of attack is the same as the traditional single attack behavior， if the overall intent and attack means of explanation， APT threat is a combination of a variety of IT assets vulnerability， and set the various threats to use social engineering attack means collection of a variety of behaviors.

Key words：APT；Persistent Threat；0day；blacklist and whitelist

1 前言

隨著互聯(lián)網(wǎng)的高速發(fā)展和普及，使各個企業(yè)的業(yè)務(wù)系統(tǒng)的信息的獲取渠道比以往任何時候都更加便捷，而同時也導(dǎo)致企業(yè)信息系統(tǒng)受到各種網(wǎng)絡(luò)攻擊、病毒感染、釣魚欺騙等攻擊行為的幅度大幅增加。雖然很多企業(yè)都部署了常見的各種信息安全設(shè)備，但據(jù)可靠數(shù)據(jù)統(tǒng)計，仍有66%的企業(yè)發(fā)生過惡意病毒感染、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等事件。在企業(yè)信息化安全的歷程中面臨的安全問題主要有這么幾個方面：（1）傳統(tǒng)的信息安全技術(shù)和設(shè)備是基于“黑名單”技術(shù)，這種技術(shù)方案對新型病毒木馬和海量攻擊響應(yīng)過于滯后；（2）利用word、pdf等文檔的溢出漏洞的社會工程學(xué)攻擊很難過濾防范；（3）未知的惡意代碼和0day漏洞；

而目前這些面臨的安全問題都集中體現(xiàn)在APT威脅這個新型概念上。關(guān)于APT威脅和APT威脅里面的各種行為的防御已經(jīng)到了刻不容緩的地步。

2 APT防御概述和設(shè)計

2.1 APT簡介

APT（Advanced Persistent Threat）高級持續(xù)性威脅，從整體的攻擊手段和意圖上來解釋，APT威脅是一種結(jié)合了各種IT資產(chǎn)漏洞、社會工程學(xué)并且集合了各種威脅利用的攻擊手段的多種行為集合。分析APT威脅的整個過程可以發(fā)現(xiàn)：

1） APT威脅的發(fā)起攻擊者在選擇攻擊的突破口時，都是想盡辦法得以被攻擊者內(nèi)部網(wǎng)絡(luò)中的某個終端上運行惡意代碼，比如采用惡意網(wǎng)頁誘惑點擊、郵件釣魚燈方式。這種類型的惡意代碼往往帶有非常強的偽裝性、欺騙性，尤其一些惡意代碼會采用0 Day漏洞時，則很難在第一時間通過技術(shù)手段和產(chǎn)品來發(fā)現(xiàn)這種0 Day攻擊。然后APT威脅的發(fā)起攻擊者在獲取一定的內(nèi)部終端控制權(quán)限后，通過控制的終端進行遠程控制，繼續(xù)內(nèi)網(wǎng)的橫向滲透，并最終將所需要的信息竊取。

2） APT威脅的隱蔽能力強，為了躲避傳統(tǒng)的安全設(shè)備的檢測，它更加注重動態(tài)行為、靜態(tài)文件的隱蔽性。例如通過加密通道、隱蔽手段來避免它的網(wǎng)絡(luò)行為被檢測到，或通過偽造合法證書簽名的方式避免惡意代碼文件本身被惡意軟件檢測系統(tǒng)所識別，這樣就給傳統(tǒng)基于簽名的安全檢測帶來很大困難。

3） 一次完整的APT攻擊的持續(xù)時間長，不像傳統(tǒng)的網(wǎng)絡(luò)攻擊存在時間短的情況，它從最初的信息搜集，到潛伏，到信息竊取并外傳往往要經(jīng)歷幾個月或者更長的時間，而傳統(tǒng)的檢測方式只是基于較短的時間點的實時檢測，很難對攻擊時間跨度如此長的行為進行有效跟蹤和分析。

綜合上面的APT威脅所體現(xiàn)出的特點，使得以特征檢測、實時檢測為主要功能的傳統(tǒng)防御方式很難起到防范作用。在當前APT威脅盛行的時代，就需要設(shè)計一套行之有效且針對APT特征的防御系統(tǒng)從而保障信息化的安全。

2.2 APT防御系統(tǒng)設(shè)計

完善的APT防御系統(tǒng)產(chǎn)品必須通過智能集成的海量黑白名單庫、規(guī)?；膭討B(tài)鑒定虛擬機沙盒等核心功能，實現(xiàn)對網(wǎng)絡(luò)流量、傳輸文件中所包含的惡意行為代碼進行判定，并形成自動化的安全分析報告。APT防御系統(tǒng)通過與防火墻或UTM進行聯(lián)動，從而實現(xiàn)邊界安全、控制通道安全以及0day安全的一體化安全防護，從而為用戶提供更加全面的安全保障。

首先，在邊界安全防護層面的APT攻擊中，主要體現(xiàn)在針對已知漏洞的惡意代碼攻擊。ATP防御系統(tǒng)利用各種特征庫（入侵防御特征庫、病毒特征庫、URL特征庫）的有效融合，提供涵蓋OSI 2-7層的攻擊防護，有效的實現(xiàn)對惡意代碼攻擊漏洞的分析，阻止已知的惡意代碼漏洞攻擊的惡意流量，從而有效的防范APT攻擊過程中已知漏洞的惡意代碼攻擊。

其次，針對零日（0 Day）漏洞的惡意代碼或者是未知的惡意代碼，通過將安全網(wǎng)關(guān)產(chǎn)品（防火墻或UTM）和APT防御系統(tǒng)進行聯(lián)動，從而實現(xiàn)對未知威脅行為的防護。一套完善的APT防御系統(tǒng)必須提供各種虛擬環(huán)境模擬能力，即沙盒，通過為不可信的代碼和程序提供虛擬化的內(nèi)存、文件系統(tǒng)、網(wǎng)絡(luò)等資源，從而實現(xiàn)隔離運行未知或可疑代碼，限制不可信代碼或非法訪問在運行時的訪問權(quán)限。

同時APT防御系統(tǒng)通過與安全網(wǎng)關(guān)產(chǎn)品（防火墻或UTM）進行聯(lián)動，將APT沙盒模擬系統(tǒng)中分析到的各種動態(tài)、靜態(tài)的惡意特征分析結(jié)果，提交給防火墻或UTM，防火墻或UTM根據(jù)提交的結(jié)果將自身的特征庫進行動態(tài)更新，從而實現(xiàn)對APT威脅的主動防御。

2.3 APT防御系統(tǒng)的特征

APT防御系統(tǒng)的特征必須具備以下特征功能才可以稱得上為一個設(shè)計良好的系統(tǒng)，這些特征包括：海量的黑白名單特征庫，文件動態(tài)行為檢測的虛擬環(huán)境，未知惡意代碼檢測的虛擬環(huán)境，0day漏洞檢測能力，深度的靜、動態(tài)檢測能力的虛擬環(huán)境。這些特征具體細節(jié)如下：

2.3.1 海量黑白名單特征庫

1）內(nèi)置各種世面主流的黑白名單特征庫。

2）支持對EXE可執(zhí)行文件、DLL動態(tài)鏈接庫文件、SYS驅(qū)動程序文件等檢測。

3）支持對PDF文檔、XLS文檔、DOC文檔、RTF文檔、Flash、HTML等客戶端文件的檢測。

4）支持對壓縮包的解壓和檢測，包括主流的壓縮格式：ZIP、RAR、TAR。

2.3.2 文件動態(tài)行為檢測的虛擬系統(tǒng)

1）支持Windows系統(tǒng)中EXE、DLL的分析，對各種可執(zhí)行文件進行深度的解析以及行為監(jiān)控；支持對Linux系統(tǒng)中的可疑文件進行深度分析。

2）支持對靜態(tài)溢出文檔方面的解析和監(jiān)控，對包括xls、ppt、swf、PDF、MS word等常見格式的解析和監(jiān)控。

3）支持URL網(wǎng)頁訪問瀏覽的分析監(jiān)控，可以對于具有惡意行為的網(wǎng)頁腳本進行動態(tài)監(jiān)控，可以發(fā)現(xiàn)利用基于主流瀏覽器的客戶端溢出攻擊的行為。

2.3.3 未知惡意代碼檢測虛擬環(huán)境

虛擬環(huán)境動態(tài)檢測方式，不依賴于惡意代碼特征進行檢測，對未知木馬病毒具有檢測能力，可以發(fā)現(xiàn)包括遠程線程序、注冊表自啟動位置 、注冊表敏感位置（劫持）、自刪除（主體進程鏡像被刪除）、惡意URL訪問（惡意的域名，放馬地址等）、惡意IP訪問、終止殺軟進程、映像劫持、釋放驅(qū)動反主動防御等各種惡意行為。由此判斷一個文件是否是惡意的，并將該文件相關(guān)聯(lián)的網(wǎng)址包括、來源和試圖連接的一些惡意網(wǎng)址呈現(xiàn)給用戶。

2.3.4 0dayy漏洞檢測虛擬環(huán)境

1）支持檢測已知和未知的漏洞。

2）對于特定漏洞可以給出相關(guān)的漏洞編號（例如CVE編號）。

3）對于漏洞同時支持靜態(tài)和動態(tài)兩種方式進行檢測。

2.3.5 深度的靜、動態(tài)檢測能力

1）靜態(tài)檢測包括格式識別解析、堆噴射檢測、Shellcode發(fā)現(xiàn)、字符串信息提取 、漏洞檢測。

2）動態(tài)監(jiān)控能力包括進程操作、文件操作、注冊表操作、網(wǎng)絡(luò)數(shù)據(jù)URL動態(tài)、網(wǎng)絡(luò)通信訪問檢測主要采用ring3與Ring0驅(qū)動相結(jié)合的方式，互相，形成立體監(jiān)控體系。

3）分析結(jié)果中包含以下行為：

a.進程創(chuàng)建、終止

b.對其他進程的數(shù)據(jù)訪問（包括但不限于內(nèi)存）

c.網(wǎng)絡(luò)連接行為（包括IP、域名、端口訪問）

d.文件訪問行為（包括不限于：創(chuàng)建、讀取、修改、隱藏）

e.分析目標的父子進程關(guān)系

f.自我刪除

g.疑似溢出漏洞行為

h.能夠提供程序運行時截圖

3 APT防御系統(tǒng)的價值

綜上所述，一套良好的APT防御系統(tǒng)的設(shè)計后，它可疑面向應(yīng)用層設(shè)計，能精確識別用戶、應(yīng)用和內(nèi)容、具備完整的安全防護能力，為APT防護提供從主機層、網(wǎng)絡(luò)層到應(yīng)用層的L2-L7層一體化安全防護。

參考文獻：

[1] （美）肖恩伯德莫，等.請君入甕-APT攻防指南之兵不厭詐[M].北京：人民郵電出版社，2014.