【正文】 t，APT)產生的背景、攻擊方法與原理進行分析，發(fā)現(xiàn)其攻擊規(guī)律，提出檢測方法，搭建一個簡單、實用的APT攻擊防護平臺，設計出一套完整的防范APT攻擊的解決方案，并通過自己搭建的實驗平臺對該方案的可行性進行驗證。第二章 相關的基礎知識 ATP的概念APT攻擊是一種非常有目標的攻擊。APT攻擊和其他的網絡攻擊相比，他們有著本質的區(qū)別，病毒擁有3個基本屬性，APT攻擊在擁有那些基本屬性的同時，也擁有了屬于自己特有的屬性。從技術的角度來說，APT是一種不同性質的攻擊，從某些程來說，APT攻擊是必然的，也是最近出現(xiàn)的一種新的篇章，這個新的篇章和過去的網絡攻擊不一樣，其主要表現(xiàn)為APT的采點是很漫長的，需要一段很長的時間，APT運用的攻擊手段很隱蔽，因此很多網絡安全維護人員不會輕易的發(fā)現(xiàn)這種攻擊，因為他們所運用的攻擊手段都是看起來正常的，進攻漫長的信息采集過程，最終確定攻擊的目標，當攻擊的目標被確定后，這個目標一定是有比較高的價值，因為APT前期的攻擊準備的成本比起一般的網絡攻擊要高很多，APT不是一種單一的攻擊手段，而是多種攻擊手段的組合，它是由一個團體所組成，因此無法通過單一的防護手段進行阻止和防御，APT攻擊目前已成為熱點，其特征不同于傳統(tǒng)的網絡攻擊，對已有的安全防范思路和能力，帶來極大挑戰(zhàn)。應對新的威脅，需要有新的思路。 APT攻擊的原理APT攻擊的原理和其他網絡攻擊的區(qū)別主要在于他攻擊形式更為高級和先進，其高級性體現(xiàn)在APT在發(fā)動攻擊之前，需要對攻擊目標信息進行精確的收集，在此收集的過程中，有可能結合當前IT行業(yè)所有可用的攻擊入侵手段和技術，他們不會采取單一的攻擊手段，病毒傳播、SQL 注入等 。因為單一的攻擊手段容易被發(fā)現(xiàn)，很難達到APT攻擊所想要的結果，所以通常會使用自己設計、具有極強針對性和破壞性的惡意程序[5]，主動挖掘被攻擊對象受信系統(tǒng)和應用程序的漏洞，對目標系統(tǒng)實施毀滅性的打擊,APT攻擊的方式可以根據(jù)實際情況進行動態(tài)的調整，從整體上掌控攻擊進程，APT攻擊還具備快速編寫所需滲透代碼的能力。與傳統(tǒng)攻擊手段和入侵方式相比，APT 攻擊體現(xiàn)的技術性更強，過程也更為復雜，他的攻擊行為沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，所以更接近于融入被攻擊者的系統(tǒng)或程序。 APT的危害，APT攻擊的出現(xiàn)，對全球的信息安全的防護是一個極大的挑戰(zhàn)，因為APT攻擊的目標通常會是一個國家的安全設施，例如：航空航天，或者是重要的金融系統(tǒng)。APT攻擊在沒有挖掘到目標的有用信息之前，它可以悄悄潛伏在被攻擊的目標的主機中。傳統(tǒng)安全事故經常是可見的、危害即刻發(fā)生，造成的威脅很小；可是APT攻擊則是不可見，危害在幕后發(fā)生，因為APT攻擊具有很強的隱蔽性，所以悄然間便可竊取被攻擊目標的核心數(shù)據(jù)，當一個企業(yè)或一個國家知道被攻擊成功時，則造成的危害已經不可挽回，他的破壞力是非常強的，在國與國之間沒有真正較量沒有發(fā)生之前時發(fā)作，一旦發(fā)作也許會導致系統(tǒng)不運行，包括金融系統(tǒng)，攻擊的目標大多數(shù)是針對國家的要害部門，所以它的危害是非常嚴重，威脅到國家的信息安全。 近年發(fā)生的APT事件第三章 APT攻擊的發(fā)現(xiàn) ATP攻擊的途徑APT入侵客戶的途徑多種多樣，主要包括：(1)以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業(yè)信息系統(tǒng)的方式。(2)社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客一開始，就是針對某些特定員工發(fā)送的釣魚郵件，以此作為使用APT手法進行攻擊的所有源頭。(3)利用防火墻、服務器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網絡的有效憑證信息(4)很多企業(yè)和組織的網站在防范SQL注入攻擊方面缺乏防范。所以通過對目標公網網站的SQL注入方式實現(xiàn)APT攻擊。(5)攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網絡中的重要數(shù)據(jù)的時候，一定會向外部傳輸數(shù)據(jù)。通過對數(shù)據(jù)進行壓縮、加密的方式導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)失效，實現(xiàn)數(shù)據(jù)的傳輸總之，高級持續(xù)性威脅(APT)正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案如防病毒軟件、防火墻、IPS等)，并更長時間的潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測[6]。 ATP攻擊的過程剖析 APT攻擊流程圖第一階段：情報收集。攻擊者對鎖定的目標和資源采用針對性APT攻擊，使用技術和社會工程學手段針對性地進行信息收集，目標網絡環(huán)境探測，線上服務器分布情況，應用程序的弱點分析，了解業(yè)務狀況，員工信息，收集大量關于系統(tǒng)業(yè)務流程和使用情況等關鍵信息，通過網絡流量、軟件版本、開放端口、員工資料、管理策略等因素的整理和分析[7]，得出系統(tǒng)可能存在的安全弱點。另外，攻擊者在探測期中也需要收集各類零日漏洞、編制木馬程序、制訂攻擊計劃等，用于在下一階段實施精確攻擊，當攻擊者收集到足夠的信息時，就會對目標網絡發(fā)起攻擊。第二階段：進入點。采用誘騙手段將正常網址請求重定向至惡意站點，發(fā)送垃圾電子郵件并捆綁染毒附件，以遠程協(xié)助為名在后臺運行惡意程序，或者直接向目標網站進行 SQL 注入攻擊等。盡管攻擊手段各不相同，但絕大部分目的是盡量在避免用戶覺察的條件下取得服務器、網絡設備的控制權第三階段：命令與控制（Camp。C通信）。攻擊者成功入侵目標網絡后，通常并不急于獲取敏感信息和數(shù)據(jù)，而是在隱藏自身的前提下找出放有敏感信息的重要計算機。然后，APT攻擊活動利用網絡通信協(xié)議來與Camp。C服務器通信，并確認入侵成功的計算機和Camp。C服務器間保持通信[]。開始尋找實施進一步行動的最佳時機。當接收到特定指令，或者檢測到環(huán)境參數(shù)滿足一定條件時，惡意程序開始執(zhí)行預期的動作。第四階段：橫向擴展。在目標網絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣，讓他可以輕松地訪問和控制關鍵目標。第五階段：資料發(fā)掘。為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù)，APT會長期低調地潛伏。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數(shù)據(jù)作分析，以做最大化利用。第六階段：資料竊取。APT是一種高級的、狡猾的伎倆，利用APT入侵網絡、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進行長期訪問，最終挖掘到攻擊者想要的資料信息。為了避免受害者推斷出攻擊的來源，APT 代碼需要對其在目標網絡中存留的痕跡進行銷毀，這個過程可以稱之為 APT 的退出。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過的主機進行狀態(tài)還原，并恢復網絡配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責任認定難以進行。 ATP的檢測APT攻擊是近幾年來出現(xiàn)的一種高級網絡攻擊，具有難檢測、持續(xù)時間長和攻擊目標明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果已經變得很不理想了。所以要檢測出APT攻擊已成為許多企業(yè)所面臨的難題，因為APT種攻擊是以“隱形模式”進行的。對于傳統(tǒng)的攻擊行為，安全專家僅需關注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機及傳播渠道，可是對于APT攻擊以點概面的安全檢測手段已顯得不合時宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測到APT攻擊是很困難的，面對APT攻擊威脅，我們應當有一套更完善更主動更智能的安全防御方案，必須承認APT攻擊的發(fā)起者有著超群的智慧和豐富的經驗，因此檢測APT攻擊就必須密切關注攻擊者所釋放的惡意代碼的每一個細節(jié)。并且該方案能夠識別和分析服務器和客戶端的微妙變化和異常。無論攻擊者的實施的計劃多么縝密，還是會留下點攻擊過程中的痕跡，通常就是我們所說的刑事調查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。APT攻擊者為了發(fā)動攻擊肯定會在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時看來是正常的一些網絡行為，所以這就導致了我們很難檢測到APT攻擊?？墒前踩藛T可以快速定位攻擊源頭，并做出對應的安全防御策略，但是這些卻無法準確提取APT攻擊屬性與特征。我們現(xiàn)在對抗 APT 的思路是以時間對抗時間。因為APT是在很長時間內才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時間內發(fā)現(xiàn)APT，還是很有難度的，需要對長時間、全流量數(shù)據(jù)進行深度分析，針對APT攻擊行為的檢測，需要構建一個多維度的安全模型，還可以通過手動檢查文件來識別一些微小的不易發(fā)現(xiàn)的標記，并將這些標記作為潛在惡意活動的指示。通常APT攻擊會采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)?？墒侵灰覀兞粜挠^察，是可以識別文件名的細微區(qū)別的，例如使用大寫I代替小寫L。根據(jù)整個apt攻擊過程，圍繞APT的攻擊步驟提出具體的檢測方案。，一共分成五大模塊，沙箱檢測，異常檢測，威脅檢測，記憶檢測還有響應。 檢測的整體流程圖該方案在一定程度上可以有效檢測 APT 攻擊， 對攻擊方式進行非特征匹配。攻擊者與防護者的信息不對稱， 因為APT攻擊具有極強的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。 該智能沙箱法案， 通過對可能存在的異常行為進行技術性識別， 檢測出存在高級威脅的問題。 并且沙箱檢測與整個網絡運行環(huán)境相關， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對沙箱檢測的結果起著影響。 因而導致沙箱檢測在這種情形下檢測不出來惡意代碼， 但是在另外一種情形下可能檢測出來 異常檢測模式： 異常檢測流程圖APT攻擊常使用端口跳變、應用層加密等手段隱藏惡意流量特征，只有通過一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測是利用預先設定好特征庫或規(guī)則庫和用戶通過從賬號登錄的IP地址、時間、行為操作序列等特征的統(tǒng)計可得到該賬號的正常行為產生的數(shù)據(jù)量建立一個有效的模型。該模型通過匹配已知異常特征相的模式來檢測異常。該方案提出了在多種查詢條件下對流量數(shù)據(jù)進行可視化分析，例如目的 IP 地址流量統(tǒng)計排序、目的端口流量統(tǒng)計排序等；并對對重要文件的操作及對應的發(fā)生時間進行審計。該方案的設計思維就好比現(xiàn)實生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對好人進行行為模式的建構， 當一個人的行為模式偏離好人的正常范圍， 那么這個人就有可能是壞人，然后再對這個有可能是壞人的人進行具體的檢測。該方案主要注重的是對元數(shù)據(jù)的提取， 以此對整個網絡流量的基本情況進行檢測， 從而發(fā)現(xiàn)異常行為。通過對該主機流量進行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。 對于被識別為“異?！备怕手荡蟮牧髁啃畔ⅲ瑢⒈煌扑偷桨踩珜徲嬋藛T作進一步分析[17]。對于員工賬號訪問審計，并進一步用于員工賬號訪問異常檢測。 對于異常告警，安全審計人員需及時確認原因；并對未能確認原因的異常告警信息，尤其是異常流量警告信息，并及時聯(lián)系安全技術支持人員進行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測的缺點是不能檢測未知的異常,同時隨著異常種類越來越來多,導致特征庫越來越龐大,從而監(jiān)測性能也隨之下降。 威脅檢測技術： 威脅檢測流程圖該方案提供了一個統(tǒng)一的接口，可以在不同位置把相關的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網絡訪問行為，異常的網絡流量等。在該模塊產生日志分析的基礎上，根據(jù)一些經驗規(guī)則或者自定義的規(guī)則，主動的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術。傳統(tǒng)的檢測方案對某些附件或則可執(zhí)行文件對系統(tǒng)可能造成的影響沒有一個準確的分析，往往會把一些文件隔離起來或者直接放過[20]。如果該文件是一個正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個惡意文件，放過的話，就會對會對用戶的系統(tǒng)造成影響。因此，無論隔離還是放過，都會對用戶造成困擾。用戶通常不具備足夠的知識來判斷文件是否是惡意的。所以該方案是將文件放在沙盒中執(zhí)行，檢測該文件對系統(tǒng)的所有更改是否是有害的，如果對該系統(tǒng)沒有造成影響，就允許通過，如果有影響，或則會危害到系統(tǒng)的秘密信息，就該文件攔截。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測技術和虛擬分析技術的結果，模擬APT攻擊，可以產生一個可疑的威脅名單或則一份APT攻擊記錄報表，并將其可以名單和記錄的APT攻擊報表及時的地反饋給安全人員報表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報表供 IT 安全管理人員查看。攔截病毒數(shù)量、本地病毒庫的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來源，或已知的攻擊等都屬于。通過進行人工整合的工作，對不同的情況采取不同的措施。 基于記憶的檢測： 記憶檢測流程圖在檢測中APT 攻擊過程中，APT攻擊遺留下來的暴露點包括攻擊過程中的攻擊路徑和時序，APT 攻擊一般不會對系統(tǒng)的安全防御系統(tǒng)進行暴力破解，攻擊過程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測；被檢測到的異常也許是在APT攻擊過后才檢測到，因為APT具有很強的隱蔽性?；谟洃浀臋z測可以有效緩解上述問題?；谟洃浀臋z測系統(tǒng)， 是由全流量審計與日志審計相結合形成的， 它對抗 APT 的關鍵方法就是以時間對抗時