APT攻击检测与防御详解
APT定义
APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用零日漏洞进行攻击。以窃取核心资料为目的,针对和客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度隐蔽性。
APT攻击是一类针对企业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全威胁。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势,近来备受网络安全研究者关注。APT一般受国家或大型组织操控,受国家利益或经济利益驱使,由具有丰富经验的黑客团伙实施,具有技术性强、持续时间长、危害性较大等特点,是近年来出现的新型综合性网络攻击手段。
特点概括:
隐匿自己(潜伏性),针对性,持续性,有计划性,多态性,目的是窃取数据
入侵途径:
- 以移动设备为目标和攻击对象进而入侵企业信息系统
- 恶意邮件(社交工程)
- 防火墙、服务器漏洞
APT特点详解
高级性:
发起APT攻击的黑客在实施过程中,有可能结合当前IT行业所有可用的攻击入侵手段和技术。他们认为单一的攻击手段(如病毒传播、SQL注入等)难以奏效(会被传统IDS或防火墙阻挡),因而使用自己设计、具有极强针对性和破坏性的恶意程序,在恰当的时机与其他攻击手段(如尚未公开的零日漏洞)协同使用,对目标系统实施毁灭性的打击。另外,这些黑客能够动态调整攻击方式,从整体上掌控攻击进程,且具备快速编写所需渗透代码的能力。因而与传统攻击手段和入侵方式相比,APT攻击更具技术含量,过程也更为复杂。
持续性:
与传统黑客对信息系统的攻击是为了取得短期的收益和回报(一时证明能力、报复、或牟取暴利)不同,实施APT攻击的黑客的目标是从目标网络中窃取机密信息。一般从一开始就具有明确的目标导向,通过长期不断的监控、入侵及必要的隐蔽手段逐步实施攻击步骤,其周期可能较长,但效果可能更佳。在他们没有完全获得所需要的信息之前,会长时间对目标网络发动攻击,持续时间可能长达数月或者数年,其背后往往体现着组织或国家的意志。由于APT攻击具有持续性的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
威胁性:
APT攻击是人为的,有针对性的,其最终目标是破坏、窃取重要信息资产,甚至有可能危及社会稳定和国家安全。由于APT攻击通常都由经验丰富的黑客或团伙发起,受雇于第三方,具有充足的经费支持,因此攻击的成功率较高,对于受害者而言危险系数更大,威胁程度更高。 高级、持续性和威胁是APT攻击的3个主要方面,如果在某次恶意攻击中,其动机是出于经济、竞争优势或国家利益,其表现形式是长期而持续的攻击,其对象是一个特定的企业、组织或平台,则一般认为该攻击具有APT性质。
隐秘性:
APT攻击一般会以各种方式巧妙绕过已有的入侵检测系统,悄然进入目标网路。而且,为了在目标内部长时间获取信息,通常会尽可能减少明显的攻击行为以及留下的痕迹,隐秘窃取所需信息。
潜伏性:
这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
多态性:
攻击者的攻击方式不是一成不变的,既包括病毒、木马植入等传统入侵手段,也包括SQL注入、零日漏洞、软件后门、操作系统缺陷等,甚至结合社会工程学、心理学等各种线下手段实施攻击。综合采用多类技术首先是为了使受害者难于防范,提高攻击的成功率,其次也可以通过并行实施起到掩盖其真实攻击意图的作用。
攻击方式:
初始感染:初始感染可以有以下三种方式:
- 攻击者发送恶意软件电子邮件给一个组织内部的收件人。例如,Cryptolocker就是一种感染方式,它也称为勒索软件,其攻击目标是Windows个人电脑,会在看似正常的电子邮件附件中伪装。一旦收件人打开附件,Cryptolocker就会在本地磁盘上加密文件和映射网络磁盘。如果你不乖乖地交赎金,恶意软件就会删除加密密钥,从而使你无法访问自己的数据。
- 攻击者会感染一个组织中用户经常通过DNS访问的网站。著名的端到端战网Gameover Zeus就是一个例子,一旦进入网络,它就能使用P2P通信去控制受感染的设备。
- 攻击者会通过一个直连物理连接感染网络,如感染病毒的U盘。
攻击步骤:
APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段,这4个阶段通常是循序渐进的
1. 探测期:信息收集
探测期是APT攻击者收集目标信息的阶段。攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析,得出系统可能存在的安全弱点。另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等,用于在下一阶段实施精确攻击。
2. 入侵期:初始攻击,命令和控制
攻击者突破安全防线的方法可谓五花八门,如采用诱骗手段将正常网址请求重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台运行恶意程序,或者直接向目标网站进行SQL注入攻击等。尽管攻击手段各不相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权。(在受害者的网络植入远程管理软件,创建秘密访问其设备的网络后门和隧道;利用漏洞和密码破解来获取受害者计算机的管理员权限,甚至是Windows域管理员账号。)
3. 潜伏期,后续攻击,横向渗透,资料回传
攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐藏自身的前提下寻找实施进一步行动的最佳时机。(攻击者利用已控的目标计算机作为跳板,在内部网络搜索目标信息。)当接收到特定指令,或者检测到环境参数满足一定条件时,恶意程序开始执行预期的动作,(最初是内部侦察,在周边有信任关系的设备或Windows域内收集信息)取决于攻击者的真正目的,APT将数据通过加密通道向外发送,或是破坏应用服务并阻止恢复,令受害者承受极大损失。(攻击者扩展到对工作站、服务器等设备的控制,在之上进行信息收集)。 资料窃取阶段,攻击者通过跳板访问关键服务器,在利用0day漏洞等方式攻击服务器,窃取有用信息。然后将窃取道德数据,应用、文件、邮件等资源回传,攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。
4. 退出期:清理痕迹
以窃取信息为目的的APT类攻击一旦完成任务,用户端恶意程序便失去了使用价值;以破坏为目的的APT类攻击得手后即暴露了其存在。这两种情况中为了避免受害者推断出攻击的来源,APT代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为APT的退出。APT根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行
现有网络安全防御体系缺陷
传统的安全防御体系对于APT攻击而言形同虚设,具体表现:
- 特征检查无法识别未知流量。APT攻击常常利用社会工程学、零日漏洞、定制恶意软件等,传统的基于特征库的被动防御体系无法识别异常流量,存在严重的滞后性。
- 伪造签名可规避恶意代码检测。APT攻击有时通过伪造合法签名的方式避免恶意代码文件被识别,为传统的基于签名的检测带来很大困难。
- 加密数据能够防范内容检测。在内部网络,攻击者能使用SSLVPN来控制主机。因为数据是加密的,所以现有的内容检测系统无法识别。
- 难以发现利用合法途径的窃密。在攻击者获取目标数据时,他们并不利用恶意软件,而是利用合法的方法——— 例如命令窗口、NetBIOS命令、Windows终端服务等将数据加密并发送出去,无法被发现。
- 及时消痕导致无法溯源。APT攻击者不留任何痕迹地在目标系统展开活动,使得无法溯源至他们的命令和控制中心,他们可在目标系统保持控制权数年之久。
在APT攻击初期不同步骤中,攻击者会采用复杂的技术手段开展相应攻击,综合各类检测技术从多层面及时检测出具有APT特征的异常是APT防御的关键。
攻击检测:
阻断和遏止APT攻击的前提是能够有效检测到安全威胁的存在,通常已经退出目标系统的APT由于活动痕迹已被清除而难以发现,因此检测的重点是APT攻击的前3个时期。
在探测期中
攻击者需要收集关于目标系统的大量信息,可能会使用端口扫描、代码分析、SQL语句检测等方式获取有用的数据,在这个阶段如果能够通过审计系统日志分析辨识出这些活动,有效分析网络流量数据、防御系统警报等信息,将有可能发现APT攻击的信号,则可以认为系统已经被攻击者所关注,需要提高警惕。此外,可以利用大数据分析技术来处理检测数据。 APT攻击者通常会规划很长一段时间展开信息收集和目标突破的行动,而现有IDS或IPS系统一般是实时工作的,而且在检测数据中存在大量冗余信息。因而,为了令初期阶段的检测更加有效,可对长时间、全流量数据用大数据分析的方法进行深度检测,对各种来源的日志数据进行周期性关联分析,这将非常有助于发现APT攻击。
在入侵期中
攻击者已经发现了系统中可以利用的漏洞,并通过漏洞进行木马、病毒植入,电子邮件攻击,此阶段对于检测者而言体现在反常事件的增多。采取基于异常检测的IDS类实现方法,对管理员密码修改、用户权限提升、角色组变更和计算机启动项、注册表修改等活动的关注有助于发现处于入侵期的APT类攻击;部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具,可以有效检测出利用目标性电子邮件的APT攻击。
在潜伏期中
入侵后APT即进入潜伏期,此时的攻击代理为避免被发现,在大多数时间内处于静默状态,仅在必要时接受主控端指令,执行破坏动作或回传窃取到的数据。如果指令或传输的数据被加密,那么对其内容的检测就十分困难,只能通过流量分析判断系统可能处于异常状态;但如果数据未加密,则通过内容分析技术有可能识别出敏感数据已经以非正常方式传送到了受保护区域之外。在命令和控制阶段,可能存在增加用户、提升权限和增加新的启动项目等行为,使用IDS或IPS检测这类入侵将有助于发现APT攻击,另外,研究人员发现APT攻击者命令和控制通道的通信模式并不经常变化,若能及时获取到各APT攻击中命令控制通道的检测特征,可以采用传统入侵检测方法进行检测。
无论攻击者的入侵计划多么缜密,由于技术手段的限制往往还是会残留下一些踪迹(如进入网络、植入软件、复制数据等时刻)。这种APT攻击的证据并不明显,但一旦发现就必须及时保存现场状态并尽快通知安全系统,并对疑似感染的机器进行隔离和详细检查。
防范方式:
- 使用威胁情报。这包括APT操作者的最新信息;从分析恶意软件获取的威胁情报;已知的C2网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
- 建立强大的出口规则。除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
- 收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
- 聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。
防御之道:
传统的安全技术对于APT攻击显得无能为力,当前的主要解决思路:
- 基于未知文件行为检测的方法。一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。
- 基于终端应用监控的方法,一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。
- 基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。
涉及到的关键技术:
- URL异常检测,深度分析URL内User-Agent字段以及HTTP状态码来判断网站是否异常,以及网站中是否有恶意文件的下载链接,
Email异常检测,通过对邮件的包头,发件人和邮件内附件或者链接检查,分析是否有恶意软件或链接存在。 - 沙箱检测技术,模拟Linux、Windows,Android环境,将可以文件放在沙箱离模拟运行,通过自动观测、自动分析、自动警告发现未知威胁。沙箱同时又叫做沙盘,是一种APT 攻击 核心防御技术,该技术在应用时能够创造一种 模拟化的环境来隔离本地系统中的注册表、内存以及对象,而实施系统访问、文件观察等可以通过虚拟环境来实施操作,同时沙箱能够利用定向技术在特定文件夹当中定向进行文件的 修改和生成,防止出现修改核心数据和真实注册表的现象,一旦系统受到APT 攻击,实现的虚拟环境能够对特征码实施观察和分析,从而将攻击进行有效的防御。在实际应用过程中, 沙箱技术能够充分发挥防御作用,但是由于其消耗本地资料过多,导致工作处理过程周期过长,对此要进一步加强其应用效率的提升,从而有效区分和处理软件与文件,有效提升自身的应用效率,充分防御来自于外界的APT攻击。
- 信誉技术,安全信誉主要是评估互联网资源和有关服务主体在安全性能方面的指数和表现,而信誉技术在应用过程中能够以一种辅助的方式来检测APT 攻击,并针对性建设信誉数据库,其中包括威胁情报库、僵尸网络地址库、文件 MD5 码库以及WEB URL 信誉库,能够作为辅助支撑技术帮助系统提升检测APT 攻击, 比如常见的木马病毒和新型病毒等,一旦遇到不良信誉资源能够利用网络安全设备进行过滤和阻断。在此过程中,信誉库能够充分发挥自 身优势,有效保护系统相关数据和信息,提升 安全产品的安全防护指数,依照实际情况来分析,信誉技术已经广泛应用到网络类安全产品当中,并且通过安全信誉评估策略服务和信誉过滤器等功能为信息系统的安全提供有效保 障。
- 异常流量分析技术,异常流量分析技术在应用过程中主要以一种流量检测方式和分析方式对有关流量信息实施提取,并且针对其中的带宽占用、CPU/ RAM、物理路径、IP 路由、标志位、端口、 协议、帧长、帧数等实施有效的监视和检测,并且融入节点、拓扑和时间等分析手段来统计 流量异常、流量行为等可能出现的异常信息, 从而依照分析的结果和数据来对可能出现的 0 DAY 漏洞攻击进行准确识别。同时,异常流量分析技术进一步融入了机器学习技术和统计学技术,能够以科学化、合理化的方式来对模型实施建立。与传统的网络防御技术相比,异常流量分析技术能够充分发挥自身优势,以一 种数据采集机制来保护原有系统,并且对出现的异常行为进行有效的追踪,分析历史流量数据,从而有效确定异常流量点,最终起到防御APT攻击的目的。
- 大数据分析技术在防御APT 攻击时,要充分发挥大数据分析技术的优势,针对网络系统中出现的日志 数据和SOC安全管理平台中出现的日志数据, 利用大数据分析技术能够实施有效的分析和研 究,并通过态势分析、数据挖掘、数据统计技术,对大量历史数据进行分析,获取其中存在的 APT 攻击痕迹,从而以一种弥补方式来对 传统安全防御技术实施加强。同时,大数据分析技术要想发挥自身作用,需要提升自身数据分析和数据采集能力,并积极融合全自动相应系统,从而快速监控不同区域中的数据信息, 改变出现的信息孤岛所导致的调查分析问题。
参考文献:
[1] 陈剑锋, 王强, 伍淼. 网络APT攻击及防范策略[J]. 信息安全与通信保密, 2012(7):24-27.
[2] 李潇, 张强, 胡明, et al. 针对APT攻击的防御策略研究[J]. 网络空间安全, 2015, 6(5):39-41.
[3] 张瑜, 潘小明, LIU Qingzhong,等. APT攻击与防御[J]. 清华大学学报:自然科学版, 2017(11):10-16.
[4] 程三军, 王宇. APT攻击原理及防护技术分析[J]. 信息网络安全, 2016(9):118-123.
[5] 张婷婷. 针对APT攻击的防御技术[J]. 电子技术与软件工程, 2018(24):193.