APT攻擊下的信息安全

齊雅雯

摘 要：近年來，境外各類政府背景APT組織大力加強對我國進行網(wǎng)絡攻擊，技術手段高深，潛伏周期長，令人防不勝防。APT攻擊是指組織利用當下先進的攻擊手法對特定目標進行長期持續(xù)性的網(wǎng)絡攻擊，對此我們必須做好長期對抗APT的心理與技術準備。

關鍵詞：APT攻擊;信息安全;高級威脅

一、什么是APT攻擊

（一）APT攻擊的起源

APT這個詞匯最早起源于2005年，英國和美國的CERT組織發(fā)布了有關于針對性的社交工程電子郵件，盡管這時并沒有使用“APT”這個名字，但“先進的持續(xù)性威脅”一詞被廣泛使用。2006年的美國空軍Greg Rattray上校經(jīng)常被引用為創(chuàng)造該術語的人。

APT通常是指一個組織，甚至可能一個政府支持下的組織，因為APT團體是一個既有能力也有意向持續(xù)而有效地進行攻擊的實體。所以APT通常用來指網(wǎng)絡威脅，特別是使用互聯(lián)網(wǎng)進行間諜活動，利用各種情報搜集技術來獲取敏感信息，但同樣適用于諸如傳統(tǒng)間諜活動或攻擊等其他威脅。其他公認的攻擊媒介包括受感染的媒體，供應鏈和社會工程。這些攻擊的目的是將自定義的惡意代碼放在一臺或多臺計算機上執(zhí)行特定的任務，并在最長的時間內不被發(fā)現(xiàn)。

（二）APT攻擊的技術特點

正是由于攻擊目的與攻擊方式的特殊性，APT攻擊在技術上也有很多鮮明的特點。

1.針對性

APT攻擊的基礎或者前提是針對性攻擊，所以被攻擊的目標往往會集中在很小的范圍內，攻擊的手法也往往和被攻擊目標自身的特點有關。很多時候，APT攻擊所采用的社會工程學手法和技術手法，可能僅僅對目標人物和目標機構有效，而普通人反而并不容易中招。

針對性攻擊是APT最重要的技術特點之一，但并不是所有的針對性攻擊都是APT攻擊，它還必須要滿足高級和持續(xù)兩個條件。

2.高度隱蔽

一個攻擊組織能夠長期持續(xù)性地對特定目標發(fā)動攻擊，一個必要的前提就是自身的隱蔽性。這種隱蔽性不僅僅是在攻擊成功之前，而且也是在攻擊成功之后，甚至永遠不被發(fā)現(xiàn)。只有極少數(shù)的破壞性APT攻擊，才必然會在一定時刻內產(chǎn)生顯著的外部現(xiàn)象，并被攻擊目標察覺。

3.不以直接獲取經(jīng)濟利益為目的

那些以金融盜竊或者商業(yè)詐騙為目的的、攻擊影響巨大的APT攻擊并不是APT攻擊的主流。絕大多數(shù)APT攻擊實際上都是以竊取機密信息為目的，還有一些破壞性攻擊或政治性攻擊，主要服務于國家或政府的“重大利益”，而不是為了直接獲取經(jīng)濟利益。

4.漏洞利用

在APT攻擊中，漏洞利用是非常常見的技術手段，特別是1day和Nday漏洞，幾乎被所有的APT組織使用。而某些技術水準較高的APT組織，還會掌握和使用一個至多個0day漏洞。0day漏洞的使用，使APT組織的攻擊處于一種幾乎不可防御，也難以被發(fā)現(xiàn)的狀態(tài)。

（三）APT攻擊的步驟

APT攻擊有多個階段，從攻擊者的初始訪問到最終的數(shù)據(jù)過濾和后續(xù)攻擊我們一共分為5步：

1.初始訪問

APT組織通常通過惡意上傳、搜索和利用應用程序漏洞、安全工具中的漏洞來實現(xiàn)對目標網(wǎng)絡的訪問，例如，對擁有特權帳戶的員工進行網(wǎng)絡釣魚，目標是用惡意軟件感染目標。

2.首次滲透和惡意軟件部署

在獲得訪問權限后，攻擊者通過安裝后門外殼、偽裝為合法軟件的特洛伊木馬或其他允許其對滲透系統(tǒng)進行網(wǎng)絡訪問和遠程控制的惡意軟件來危害滲透系統(tǒng)。

3.擴展訪問并橫向移動

攻擊者使用第一次滲透來收集有關目標網(wǎng)絡的更多信息。他們可能使用暴力攻擊，或利用他們在網(wǎng)絡中發(fā)現(xiàn)的其他漏洞，以獲得更深入的訪問和控制其他更敏感的系統(tǒng)。攻擊者安裝額外的后門并創(chuàng)建隧道，允許他們在網(wǎng)絡上執(zhí)行橫向移動并隨意移動數(shù)據(jù)。

4.發(fā)動進攻

一旦他們擴展了他們的存在，攻擊者就可以識別他們要尋找的數(shù)據(jù)或資產(chǎn)，并將其傳輸?shù)骄W(wǎng)絡中的安全位置，通常是加密和壓縮以準備進行。

5、滲出或傷害

最后，攻擊者準備在系統(tǒng)外傳輸數(shù)據(jù)。他們通常會進行“白噪聲攻擊”，例如分布式拒絕服務（DDoS）攻擊，以分散安全團隊在網(wǎng)絡外圍傳輸數(shù)據(jù)時的注意力。之后，他們將采取措施移除數(shù)據(jù)傳輸?shù)淖C據(jù)。

根據(jù)攻擊目標的不同，此時，APT集團可能會造成巨大損失，削弱組織的力量，或接管網(wǎng)站或數(shù)據(jù)中心等關鍵資產(chǎn)。

二、近期APT攻擊事件

習主席深刻指出：沒有網(wǎng)絡安全就沒有國家安全。近年來，境外各類政府背景APT黑客組織不斷加強對我國網(wǎng)絡攻擊，竊取大量重要敏感信息，試圖控制我國核心設備和關鍵設施，勢頭猛烈，威脅巨大，嚴重危害我國網(wǎng)絡空間安全和利益。

在第五個“全民國家安全教育日”之際，國家安全部披露了多起有關APT攻擊竊密的案例：2019年7月，某境外APT組織仿冒我國軍工領域某航空系統(tǒng)重點單位郵件登錄界面，專門搭建釣魚攻擊平臺陣地，冒用“系統(tǒng)管理員”身份向該單位多名人員發(fā)送釣魚攻擊郵件。該單位職工王某點擊了釣魚攻擊郵件，輸入了個人郵箱賬號和登錄密碼，導致其電子郵箱被秘密控制。之后，該APT組織定期遠程登錄王某電子郵箱收取王某郵箱內文件資料，并利用該郵箱向王某的同事、下級單位人員發(fā)送數(shù)百封木馬釣魚郵件，導致十余人下載點擊了木馬程序，相關人員計算機被控制，數(shù)百份敏感文件被竊取。

這次的攻擊，是某境外APT組織利用特種木馬，通過控制多個境外跳板設備對我國航空系統(tǒng)數(shù)十臺計算機設備實施高強度網(wǎng)絡攻擊的活動。攻擊者精心偽裝其竊密行為，利用特種木馬平時處于靜默潛伏狀態(tài)，接收到遠程控制指令時再激活運行，整個過程十分隱蔽。

該攻擊技術先進，手法復雜，境外APT組織廣泛運用人工智能、大數(shù)據(jù)等先進技術，同事采取漏洞攻擊、誘騙攻擊、“中間人”攻擊等多種技術方式和手法，讓人不易防范。

三、應對APT攻擊的舉措

從APT攻擊的過程和主要行為特征可以發(fā)現(xiàn)，整個攻擊循環(huán)包括了多個步驟，為實施攻擊而進行的準備探測活動也一定會留下痕跡，這就為檢測和防護提供了多個契機。因此，軍事網(wǎng)絡因對APT攻擊的防御措施，可以遵循“多點部署，集中管控”的原則，即在各個可能的環(huán)節(jié)上部署檢測和防護手段，通過統(tǒng)一的平臺進行監(jiān)控和維護。

（1）我們應當堅持總體國家安全觀，梳理正確的網(wǎng)絡安全意識，多層次多維度地防范抵御網(wǎng)絡安全的風險與挑戰(zhàn)。

（2）加強常態(tài)化網(wǎng)絡安全教育和技能培訓，提升網(wǎng)絡安全敵情意識和防范技能。工作人員的疏忽大意和違規(guī)操作，是絕大多數(shù)網(wǎng)絡安全事件和失泄密案件發(fā)生的主要原因。提高工作人員的網(wǎng)絡安全防范意識和技能，徹底杜絕不安全操作行為，是做好網(wǎng)絡安全管理的根本。必須嚴格做到“涉密不上網(wǎng)，上網(wǎng)不涉密”，不在非涉密計算機和移動存儲介質中存儲涉密資料，不通過互聯(lián)網(wǎng)郵箱存儲傳遞涉密文件資料，不在固定電話和手機中談論涉密內容，涉密計算機和移動存儲介質嚴禁連接互聯(lián)網(wǎng)。

（3）要加強對計算機、電子郵箱的安全防護。除了在辦公計算機、手機上安裝殺毒、防護軟件等措施，還要不定期的對連網(wǎng)設備進行安全檢測，發(fā)現(xiàn)計算機、手機等是否感染病毒木馬程序，存在可疑的網(wǎng)絡請求或連接，郵箱是否存在異常的登錄情況。在出差特別是出國時，最好攜帶新的、不存儲任何文件的新計算機、新手機，注冊新的電子郵箱，在經(jīng)過技術檢測前不輕易使用別人以禮品形式贈送的電子設備。

（4）要加強同國家安全機關等專業(yè)部門的協(xié)作配合。國家安全機關是網(wǎng)絡反間諜對敵斗爭的專業(yè)部門，有責任、有義務指導協(xié)助各單位做好網(wǎng)絡安全防范工作。國家安全機關將積極協(xié)助各涉密單位開展反間諜技術竊密檢測，發(fā)現(xiàn)計算機網(wǎng)絡被境外間諜情報機關攻擊竊密情況及運行管理中存在的漏洞和薄弱環(huán)節(jié)，及時消除危害隱患。

（5）做好長期對抗的準備，不是阻斷一次攻擊就能一勞永逸的那一種威脅，我們必須做好長期對抗APT的心理和技術準備。要加強同國家安全機關等專業(yè)部門的協(xié)作配合。國家安全機關是網(wǎng)絡反間諜對敵斗爭的專業(yè)部門，有責任、有義務指導協(xié)助各單位做好網(wǎng)絡安全防范工作。國家安全機關將積極協(xié)助各涉密單位開展反間諜技術竊密檢測，發(fā)現(xiàn)計算機網(wǎng)絡被境外間諜情報機關攻擊竊密情況及運行管理中存在的漏洞和薄弱環(huán)節(jié)，及時消除危害隱患。

參考文獻

[1]http：//www.freebuf.com/articles/neopoints/152457.html

[2]https：//en.wikipedia.org/wiki/Advanced_persistent_threat

[3]http：//www.aqniu.com/news-views/29381.html

[4]https：//www.freebuf.com/articles/network/222059.html