專欄丨長期潛伏的惡意商業間諜——APT_風聞

【歡迎關注中科院之聲公眾號（ID：zkyzswx）或微博@中科院之聲，看科學界的大事兒】

一、網絡間諜APT

小白：東哥，最近想看點間諜片，有什麼推薦的麼？

大東：間諜片我看的少，不過説到間諜片，我想考考你，你知道APT是什麼嗎？

小白：東哥這麼問，那它一定是個病毒吧！

大東：看來你是不知道，我給你講講吧。

（圖片來自網絡）

大東：APT（Advanced Persistent Threat）是指高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式，APT攻擊的原理相對於其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。

小白：還會收集情報？

大東：是啊，在收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，並利用漏洞進行攻擊。

小白：那它攻擊是為了盜取資料？

大東：對，APT是黑客以竊取核心資料為目的，針對客户所發動的網絡攻擊和侵襲行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，並威脅着企業的數據安全。

小白：長期經營跟策劃那一定具有很好的隱蔽性！

大東：APT的攻擊手法，在於隱匿自己，具備高度的隱蔽性，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、蒐集情報的行為，就是一種“網絡間諜”的行為。

小白：那它是以何種方式攻擊的呢？

大東：APT入侵客户的途徑多種多樣，主要包括以下幾個方面。以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。

小白：那怎麼攻擊成功的呢？

大東：社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

小白：那別的方法是？

大東：利用防火牆、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。總之，高級持續性威脅（APT）正在通過一切方式，繞過基於代碼的傳統安全方案（如防病毒軟件、防火牆、IPS等），並更長時間地潛伏在系統中，讓傳統防禦體系難以偵測。

二、長期潛伏的惡意商業間諜

小白：那它最大的威脅是什麼？

大東：“潛伏性和持續性”是APT攻擊最大的威脅，這些新型的攻擊和威脅可能在用户環境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到能徹底掌握所針對的目標人、事、物，所以這種APT攻擊模式，實質上是一種“惡意商業間諜威脅”。

小白：持續這麼久都發現不出來？

大東：針對特定政府或企業，長期進行有計劃性、組織性的竊取情報行為，針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客户的來信，取得在計算機植入惡意軟件的第一個機會。由於APT攻擊具有持續性甚至長達數年的特徵，這讓企業的管理人員無從察覺。在此期間，這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網絡內部後長期蟄伏。

小白：那攻擊者是如何長期潛伏並獲取游泳的數據?

大東：攻擊者建立一個類似殭屍網絡Botnet的遠程控制架構，攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務器（C&C Server）審查。將過濾後的敏感機密數據，利用加密的方式外傳。我來給你仔細講講它的過程吧。

小白：好的！

大東：攻擊者發送惡意軟件電子郵件給一個組織內部的收件人。例如，Cryptolocker就是一種感染方式，它也稱為勒索軟件，其攻擊目標是Windows個人電腦，會在看似正常的電子郵件附件中偽裝。一旦收件人打開附件，Cryptolocker就會在本地磁盤上加密文件和映射網絡磁盤。如果你不乖乖地交贖金，惡意軟件就會刪除加密密鑰，從而使你無法訪問自己的數據。

小白：這個方法就有點噁心了。

大東：這只是其中一個方法，還有兩個，一個是攻擊者會感染一個組織中用户經常通過DNS訪問的網站。著名的端到端戰網Gameover Zeus就是一個例子，一旦進入網絡，它就能使用P2P通信去控制受感染的設備。另一個是攻擊者會通過一個直連物理連接感染網絡，如感染病毒的U盤。一旦進入組織內部，幾乎在所有的攻擊案例中，惡意軟件執行的第一個重要操作就是使用DNS從一個遠程服務器上下載真實的APT。在成功實現惡意目標方面，真實的APT比初始感染要強大許多。　

小白：殺毒軟件察覺不到麼？

大東：一旦下載和安裝之後，APT會禁用運行在已感染計算機上的反病毒軟件或類似軟件。不幸的是，這個操作並不難。然後，APT通常會收集一些基礎數據，然後使用DNS連接一個命令與控制服務器，接收下一步的指令。

（圖片來自網絡）

小白：那麼多數據攻擊者要如何帶走呢？

大東：攻擊者可能在一次成功的APT中發現數量達到TB級的數據。在一些案例中，APT會通過接收指令的相同命令與控制服務器接收數據。然而，通常這些中介服務器的帶寬和存儲容量不足以在有限的時間範圍內傳輸完數據。此外，傳統數據還需要更多的步驟，而步驟越多就越容易被人發現。因此，APT通常會直接連接另一個服務器，將它作為數據存儲服務器，將所有盜取的數據上傳到這個服務器中。最後這個階段一樣會使用DNS。

（圖片來自網絡）

三、防止數據被盜刻不容緩

小白：真可怕！有沒有什麼辦法能防止數據被盜？

大東：使用威脅情報。這包括APT操作者的最新信息；從分析惡意軟件獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，並由行業網絡安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立“絆網”來提醒你網絡中的活動。但這樣還是不夠的。

小白：那還要如何操作？

大東：建立強大的出口規則。除網絡流量（必須通過代理服務器）外，阻止企業的所有出站流量，阻止所有數據共享、網站和未分類網站。阻止SSH、FTP、Telnet或其他端口和協議離開網絡。這可以打破惡意軟件到C2主機的通信信道，阻止未經授權的數據滲出網絡。收集強大的日誌分析。企業應該收集和分析對關鍵網絡和主機的詳細日誌記錄以檢查異常行為。日誌應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。聘請安全分析師。安全分析師的作用是配合威脅情報、日誌分析以及提醒對APT的積極防禦。

來源：中國科學院計算技術研究所