安全防御（五）--- APT攻击及其防御技术，APT防御配置，对称加密，非对称加密，SSL工作过程

目录

1. 什么是APT？

2. APT 的攻击过程

3. 详细说明APT的防御技术

沙箱处理流程

4. 什么是对称加密？

5. 什么是非对称加密？

6. 私密性的密码学应用？

7. 非对称加密如何解决身份认证问题？

8. 如何解决公钥身份认证问题？

9. 简述SSL工作过程

无客户端认证的握手过程

有客户端认证的握手过程

会话恢复过程

10. APT配置

（1）配置web信誉

（2）文件信誉配置

（3）沙箱联动配置

（4）APT防御配置文件

（5）配置策略

---

1. 什么是APT？

• APT攻击即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。
• APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。
• APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。

2. APT 的攻击过程

• 第一阶段：扫描探测
• 在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。
• 第二阶段：工具投送
• 在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。
• 第三阶段：漏洞利用
• 利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。
• 第四阶段：木马植入
• 随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。
• 第五阶段：远程控制
• 一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。
• 第六阶段：横向渗透
• 一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
• 第七阶段：目标行动
• 也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据

3. 详细说明APT的防御技术

防御APT 攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知FW 实施阻断。

针对APT攻击的防御过程如下∶

• 黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。
• FW将攻击流量还原成文件送入沙箱进行威胁分析。
• 沙箱通过对文件进行威胁检测，然后将检测结果返回给FW。
• FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW则可以实施阻断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

APT防御与反病毒的差异

• 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。
• APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。

总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT 防御系统是以被检测对象的行为来识别攻击对象。

沙箱处理流程

4. 什么是对称加密？

采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。

加密信息传递有俩个通道

• 密文传递通道
• 密钥传递通道---对称加密算法的缺陷

对称加密算法解决信息的安全传输通道

5. 什么是非对称加密？

非对称密码体制也叫公钥加密技术，该技术是针对私钥密码体制(对称加密算法)的缺陷被提出来的。与对称密码体制不同，公钥加密系统中，加密和解密是相对独立的，加密和解密会使用两把不同的密钥，加密密钥(公开密钥)向公众公开，谁都可以使用，解密密钥(秘密密钥)只有解密人自己知道，非法使用者根据公开的加密密钥无法推算出解密密钥，这样就大大加强了信息保护的力度。公钥密码体制不仅解决了密钥分配的问题，它还为签名和认证提供了手段。

非对称加密算法解决对称加密算法密钥的安全传输通道

6. 私密性的密码学应用？

• 身份认证：通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。
• 身份认证技术：在网络总确认操作者身份的过程而产生的有效解决方法。

7. 非对称加密如何解决身份认证问题？

• 使用公钥加密进行身份验证，其中使用发件人的私钥对消息进行签名，并且可以由有权访问发件人公钥的任何人验证。
• 发件人可以将消息与私钥结合起来，在消息上创建一个简短的数字签名。任何拥有发件人相应公钥的人都可以通过公钥解密后，将该消息与数字签名进行比较；如果签名与消息匹配，则验证消息的来源

8. 如何解决公钥身份认证问题？

公钥的“身份证”-----数字证书

包含：

• 用户身份信息
• 用户公钥信息
• 身份验证机构的信息及签名数据

数字证书分类：

• 签名证书----身份验证，不可抵赖性。
• 加密证书----加密，完整性与机密性。

9. 简述SSL工作过程

• 客户端向服务器提出请求,要求建立安全通信连接。
• 客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度。
• 服务器将其服务器证书发送给客户端。该证书包含服务器的公钥,并用CA的私钥加密。
• 客户端使用CA的公钥对服务器证书进行解密,获得服务器公钥。客户端产生用户创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器。
• 服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其使用服务器公钥加密,再发送给客户端。这样服务器和客户端上方都拥有了会话密钥。
• 服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间的数据传输使用的是对称加密。

无客户端认证的握手过程

有客户端认证的握手过程

会话恢复过程

10. APT配置

（1）配置web信誉

（2）文件信誉配置

（3）沙箱联动配置

（4）APT防御配置文件

 

（5）配置策略

在策略中引用APT防御配置文件