网络安全系统之新型APT攻击

高级持续性威胁攻击, 简称APT攻击，也被称为定向威胁攻击，它是指利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。APT攻击需要长期经营与策划，才可能取得成功，因此具有极强的隐蔽性和针对性。

它往往不会追求短期的经济收益和单纯的系统破坏，而是专注于步步为营的系统入侵。该类网络攻击是以商业和政治为目的的一个网络犯罪类别。

APT攻击的特征，APT攻击每一步都要达到一个目标，不会做其他多余的事来打草惊蛇。因此，它具有以下五个特征：高目的性，攻击目标是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治等领域的高级别敏感数据持有者、 甚至各种工业控制系统。高隐蔽性，APT攻击存在于组织内部，已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，不易被发现。

高危害性，APT攻击的持续时间长，攻击和威胁可能在用户环境中存在一年以上。组织严密，攻击者通常由熟练黑客形成团体，分工协作。他们在经济和技术上都拥有充足的资源，具备长时间专注APT研究的条件和能力。间接攻击，APT攻击通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击。

APT攻击的入侵途径，APT攻击通常通过以下六种途径入侵到目标网络中：1、通过SQL注入等攻击手段突破面向外网的Web Server；2、通过被入侵的Web Server做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备；3、通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境。

4、被攻击者的私人邮箱自动发送邮件副本给攻击者；5、通过植入恶意软件，如木马、后门、Downloader等恶意软件，回传大量的敏感文件（WORD、PPT、PDF、CAD文件等）；6、通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。

APT攻击的攻击步骤，APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段。

第一阶段为探测期，主要进行信息收集，攻击者使用技术和社会工程学手段收集大量关于系统业务流程和使用情况等关键信息，通过整理和分析，得出系统可能存在的安全弱点。同时收集漏洞、编制木马程序、制订攻击计划，为下一阶段的攻击做准备。

第二阶段为入侵期，发动初始攻击，命令和控制，攻击者利用Oday漏洞，通过邮件、U盘、恶意网页等方式，向目标投递攻击载荷。木马程序反向连接到命令和控制服务器，等待接收来自攻击者的控制指令。

第三阶段为潜伏期，发动后续攻击，进行横向渗透，回传资料，攻击者成功入侵目标网络后，隐藏自身寻找实施进一步行动的最佳时机。利用被控制的内部计算机作为跳板机，向单位内部进行全面渗透。

第四阶段为退出期，进行痕迹清理，APT攻击的目的达成后，APT代码需要对其在目标网络中存留的痕迹进行销毁（将滞留过的主机进行状态还原，并恢复网络配置参数，清除系统日志数据），使事后电子取证分析和责任认定难以进行。

APT攻击的防范方式，1、使用威胁情报。企业必须确保情报的相关性和及时性。2、建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。

3、企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。4、聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。5、企业要加强员工的安全意识，例如禁止浏览危险网站，禁止查阅不明邮件或程序等。

6、针对特定的APT攻击方式，采用传统的被动防御方法，即使用高防御的病毒防护软件。7、采用主动防御方法，基于程序行为自主分析判断的实时防护技术，能够有效解决传统防御方法的弊端，例如使用了诱骗技术的沙箱技术和蜜罐技术。