揭秘APT攻击：网络世界的高级间谍

“提到APT攻击，很多人可能并不熟悉，但提到它的斑斑劣迹，大家绝不陌生。”

“像伊朗核电站工控系统遭遇‘震网’病毒袭击，以及专门攻击我国海事部门的黑客组织‘海莲花’，两起事件本质上都是APT攻击。”

普通的黑客攻击就像现实生活中常见的坑蒙拐骗，商业模式追求的是感染量，以量的优势获取更多利益，例如盗取QQ号、作流氓推广等。而APT则是以网络为媒介的间谍行为，一切以拿下对象为目标，结果常常是窃密或破坏。二者最本质的区别就是定向性。

而APT攻击之所以不常见，甚至让很多人觉得距自己比较遥远，正因为它是网络世界的高级间谍。基础设施成本高、资源投入大、恶意代码需专业团队开发维护，再加上攻击持续久、潜伏时间长，每一次功能的增加、版本的更迭都要大把“烧钱”。这把“牛刀”注定不大可能用来烹制小鱼小虾。

实际上，APT攻击多以政治、高价值经济目标为主，特别是国家重点要害部门，有的甚至会涉及网络战的范畴。从天眼未知威胁检测系统获知的情况看，APT攻击一般仅瞄准少量目标，感染量最少的仅有1个终端，最多的1047个。像之前曝光的“海莲花”组织，就是瞄准中国海事机构，试图窃取与海洋相关的政策信息。

“无论是资金还是基础设施，绝大多数APT团伙都具有政府背景，基本可体现为一种国家级的对抗。”

如果把APT攻击作一个排序，政府机关是绝对的重点，几乎所有境外APT组织都会将中国政府机构列入战略攻击目标。紧随其后的是科研教育机构，接下来是特定行业，以及更尖端的军工领域。作为政治中心的北京，毫无疑问是攻击的焦点。而理工和军工背景的科研院校，往往因为承担较敏感的课题，也成为APT团伙的目标。同理，某些社科类课题组作为政府的智囊，建议建言很可能影响国家对内对外相关政策，这些情报同样是APT团伙所关心的。

APT组织窃取的敏感数据以文档为主，也包括账号密码、截图等。这些攻击的针对性非常强，只要文件中出现某些关键词，就会统统被打包，再伺机向外传输。特别是Office和WPS等文档文件，无论内容几何，只要扩展名是.doc、.ppt、.xls、.wps格式就照单全收。

APT组织如何频频得手

APT组织就像网络世界神秘莫测的刺客，而它的高级性恰好体现在能绕过现有防御措施，长期隐藏在网络中。传统防护系统的设计擅长对已知威胁进行有效拦截，而对未知的漏洞、木马程序、攻击手法等常常无法检测和定位，在应对APT攻击时显得力不从心。加之APT攻击仅在非常小的范围内扩散，行动难以察觉，分析研究更是难上加难。

从感染方式而言，鱼叉邮件、水坑攻击、U盘及网络劫持是最主要的4种进入渠道。其中，鱼叉邮件的常见做法是：将木马程序作为电子邮件的附件，加上一个极具欺骗性的名称，发送给目标电脑，引诱目标人群“中招”，这一方式定向性最强，命中率高，使用也最频繁。例如，他们曾利用社会高度关注的热点，发送名为“新疆暴恐事件最新通报”“公务员工资收入改革方案”等邮件，屡试不爽。

水坑攻击，顾名思义就是在受害者经常访问的网站设置“水坑”。黑客根据攻击目标的上网活动规律在某网站植入恶意代码，等待猎物入网。例如，黑客曾攻陷某单位内网，将其中一份供下载的软件偷换成木马程序，所有感染木马的电脑就会被远程操控，向黑客发送涉密资料。

U盘攻击定向性也很强，比如，黑客在目标单位门口故意丢弃U盘，被人拾到后就有可能插入办公计算机，使恶意代码获得执行机会。

网络劫持则旨在破坏网络通信机制，使黑客可以看到用户在网上的所有交互内容，也可在其中插入恶意代码。例如，一旦黑客控制酒店的网络接入口，当房客访问网络资源时，就会跳转至钓鱼网站，弱加密的认证口令也能直接被黑客窃取。

为加大攻击效果，APT组织还配合使用多种“社会工程学”手段。比如，主要选择周三和周五发送鱼叉邮件，因为这两个时段通常是网络传递信息的高峰期。而水坑攻击则倾向周一和周二，此时单位发布通知较多，职工经常登录内网。

APT攻击一旦成功，还会横向移动，继续窃取目标网络内其他机器的敏感信息。数据显示，60%的企业被黑案例中，攻击者仅需几分钟就能得手；75%的攻击会在一天内从一个受害者迅速扩散到其他受害者。

而APT攻击手法的复杂性，往往取决于被攻击目标的防护能力，有的复杂目标攻击成本可达上百万美元。但记者在360天眼实验室看到，针对中国的APT主要由低成本的攻击组成，黑客更多地选择了已知漏洞。这说明，国内对于APT攻击的防护意识与防御措施还没有完全做好准备，有的机构甚至对曝出的漏洞并未及时修补，还有的部门仍然依赖传统的边界防御。

传统的防御思路往往集中在实时发现与阻断的层面，而面对高级威胁，并没有简单的办法，只有每个环节都比较强大，才有可能发现异常，如大数据收集取证、溯源、拓展分析等能力。

“在一次次交手中，当我们帮用户真正抓到APT攻击时，对他们的防护思路就是一种变革。越来越多的机构逐渐意识到我们面对的是什么样的对手，以及如何革新自身的检测与防护能力。这无疑是非常好的事情。”

一场永远不会结束的战斗

发现、追踪、研究APT就像大海捞针，成果可能并不丰硕。与此同时，安全威胁越来越难“看见”: 黑客采用越来越复杂的手段进行伪装，并逐步发展为周期性攻击，事后能很快恢复，同时大量使用动态域名等手法。APT组织还会主动向安全厂商出击，把木马伪装成安全从业人员或黑客常用的软件，企图渗入安全厂商内部。

“APT行动被揭露后，只要团伙成员没有落网，大多并不会从此停止活动。实际上，如果是境外团伙，落网基本不大可能实现。他们通过改换基础设施、改变攻击手法卷土重来的事例屡见不鲜，这是一场永远不会结束的战斗。”

监测结果显示，29个APT组织中，2015年9月后仍然处于活跃状态的至少还有9个。“我今天看了一下监控，‘海莲花’组织还有新的感染，甚至依然在用我们已经公布的攻击手法。”

事实上，29个APT组织实力参差不齐，呈金字塔结构。技术较弱的底层组织还在利用已知漏洞；相对高端的组织则通过未知漏洞发起攻击；还有极少数高端境外组织使用的技术已让国内望尘莫及。

随着云计算、移动互联、工业互联网、物联网这些新型技术的应用和发展，传统的网络边界变得越来越模糊，APT攻击也显现出一些新趋势。例如，Windows不再是唯一战场，对Linux、Android、Mac OS X和工业控制系统的攻击频率将持续提升。

“一些高端人士倾向于使用Mac，认为其病毒相对较少，其实Mac下的安全软件很缺乏，同样也是APT攻击的重点对象。”360天眼实验室相关负责人补充道。

除了传统的PC平台，针对移动平台的攻击也越来越多。像智能手机、平板等移动通信设备，天生具有通话记录、短信、照片、地理位置等独特资源。此外，物联网的发展使得攻防的对抗逐步向智能设备扩散，而且演化速度更快，甚至直接影响人身安全。

“最可怕的是，某一攻击手段一旦被证明有效，很可能被其他组织效仿，也许是恐怖组织，这比自杀式袭击杀伤力更大。”汪列军对这一点作了特别强调。

所以，对APT事件的揭露也是一个值得探讨的话题。一般来说，攻击细节的揭露会引起更大范围用户的警觉，并作相应处理，还会迫使攻击者改变方式，提高其活动成本，至少在短期内遏制其威胁。但是，如果在各方面未充分沟通的情况下贸然公开APT团伙信息，可能会干扰某些执法机构正在进行中的调查取证，错失在更高层次上消除威胁的机会。网络安全本身就是攻防持续对抗的过程，揭露APT也需要做好多方沟通，以求得最好的平衡。

最近，风靡IT界的一部科幻小说《三体》中提到“黑暗森林法则”，指的是在宇宙里有不同的文明，每一种文明都不希望被更高级的文明看见。因为一旦被发现，就会有一方被消灭。这在网络攻防的世界里也同样适用。

“归根结底，今天的网络攻防本质上还是人与人之间的对抗。只要没解决人的问题，对抗是永恒的。我们要做的就是如何看见更多的威胁。”

https://baijiahao.baidu.com/s?id=1611600635694517792&wfr=spider&for=pc

http://tech.sina.com.cn/i/2017-01-24/doc-ifxzusws0102047.shtml

 

https://yq.aliyun.com/articles/57660

https://blog.csdn.net/iqushi/article/details/45745711