详解什么是APT （高级持续威胁）

IT精英 · 发表于 2013-5-17 16:27:55

                        详解什么是APT （高级持续威胁）
从蠕虫到病毒，到特洛伊木马，钓鱼，SQL注入再到零日漏洞的利用，这些威胁接踵而来，简直是CSO们的噩梦。现在，我们面临着一个更为严重的威胁：高级持续威胁，简称APT。显然，这些安全威胁的名称会随着时间推移而丧失热度。每个CSO都知道APT，每个安全销售也会给产品贴上这一标签。

因为有些公司已经因为APT威胁蒙受了损失。谷歌就是其中一个。而RSA也承认有些高级且持续型黑客不仅对其造成威胁，还偷盗了一些与其SecurID产品线相关的信息。互联网完全联盟告诫各大涉足国防工业的公司要注意APT威胁。尽管有这么多负面言论，国防工业仍然很兴盛。且至少有一位CSO认为APT不过是一种营销噱头。“虽然这是安全供应商用来唬人的一个名词，但却是以前CSO经济学里不需要担心的事情，”Pioneer Investments CSO Ken Pfeil称。

注意，Pfeil没有说APT威胁不存在。他肯定这种威胁的存在而且也认为CSO们应该顾虑到这一威胁。只是他认为公司可以购买简单的安全产品来保障安全。在与CSO们的交谈中，他发现很多CSO对技术不内行，在购买安全产品的时候都是听信销售人员的介绍。

人的天性是期待问题出现的时候出现一个聪明的技术师提供可以解决问题的产品。遗憾的是，没有哪个单一的产品可以阻止APT威胁。

什么是APT?
美国国家标准和技术研究院对此给出了详细定义：

“精通复杂技术的攻击者利用多种攻击向量(如：网络，物理和欺诈。)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据(如将数据从内网输送到外网)，执行或阻止一项任务，程序;又或者是潜入对方架构中伺机进行偷取数据。APT威胁：1.会长时间重复这种操作;2.会适应防御者从而产生抵抗能力;3.会维持在所需的互动水平以执行偷取信息的操作。

简而言之，APT就是长时间窃取数据。有能力执行APT威胁的人似乎都有些共性：

聪明。他们非常聪明，能写出复杂病毒，蠕虫和其他恶意程序，然后进行伪装，这样很多防火墙，AV和IDS以及其他工具就不会找到他们，即便是他们正从你的网络中偷取信息。在有些案例中，特别是涉及银行的案例中，黑客必须指导人们进行操作，从ATM机处取钱，然后将其转存到其他银行账号。和素质较好的CSO们一样，这些黑客必须了解整个IT环境，而不仅仅是目标网络。

行事有条不紊。他们会购买和运行所有有意义的反病毒工具，然后在攻击前用这些工具测试自己的代码，以确保自己不会很快就被发现。

有耐心。与电影中的桥段不同，黑客一般不是通过敲几下键盘就进入某个公司的网络，尽管一些自动化攻击使其看上去是这么回事儿。黑客或许是通过社工方式潜入。对目标人物的分析技巧是黑客技术被忽视的一面。通过人物链进入网络比以往使用技术潜入网络要容易，特别是当一家公司对网络设置了多重障碍时。

直到最近Neohapsis CTO Greg Shipley才表示，这类攻击一直都是计算领域的一部分。Shipley称，Neohapsis在20世纪90年代末及21世纪初的时候就看到了很多网络违规行为其实早已符合现在对APT威胁的定义：以前会使用一些复杂的方式使用未知工具渗透到企业网络中，供黑客穿行。只是这类攻击的量发生了变化。有些还来自政府网络间谍活动。

      Shipley称攻击数量的增加是有理由的，因为西方社会比十年前更注重技术和独立性。移动设备，如手机传播很广泛，消费者大幅度接受过去不曾有的数字技术。

      Pfeild称另一个不同则体现咋业务主管们会向他讨教如何应对一些比较热门的安全问题。对CSO们而言，APT威胁的难点在于，从商业角度看，它并非一种新型攻击。

不过很多CSO发现业务主管现在愿意增加资金投入来防御复杂的攻击。在2011 年8月针对244位安全专家进行的一项企业策略团队调查中发现，有77%的公司因为APT现象愿意增加安全投入，包括培训方面的投入。调查中有一半的人称APT是一种新型威胁，对于安全行业而言有其独特性。“我对人们没有轻视其威胁感到惊讶。”指导这次企业策略团队调查的Jon Oltsik说。

持续偷窃信息者
这三种攻击都归类于APT威胁名下：黑客行为主义式攻击(Hacktivism)，如WikiLeaks凭证信息的发布或是Anonymous和LulzSec等组织发起的定向攻击。政府之间的攻击。间谍活动和政治活动的历史相当。普遍有一种看法认为政府是长期攻击行为的组织者。这类攻击就像是007电影中的桥段一样。Stuxnet攻击摧毁了伊朗电网，特别是其两个核反应堆。而外界猜测美国和以色列有可能是Stuxnet这次攻击的幕后支持者;而美国则声称俄罗斯才是幕后操纵者。对于CSO们而言，由政府赞助的攻击行为的威胁在于它具有高度定向性，而且资金雄厚。任何公司里的CSO都有可能成为网络间谍活动的目标。

有组织犯罪网络实施的攻击。有组织犯罪的头目看到了网络里的利益诱惑。他们有资源可以雇佣高端人才，给他们足够的时间实施攻击。

在上面三种攻击中，黑客行为主义似乎是作恶最小的APT。eEye Digital Security CTO Marc Maiffret称说：“他们都是高级的威胁。但是他们并没有试图隐藏自己的行为，所以他们的攻击并不是持续型的。”那些涉足国防，金融服务和知识产权(包括无形资产，如开创性的生产进程)的公司更容易成为攻击目标。

是战是逃?
      APT威胁符合《孙子兵法》的理念，因为它也是出其不意，攻其不备。那么，一家公司如何才能防范这种隐形式攻击呢?唯一的简单方法就是：离线。

      Shipley称几乎所有跟踪网络入侵和网络异常的简单方法都已经广为人知。如果说还剩下什么，那不妨看看以下策略：

在采用新技术前对此技术进行评估。

要求技术供应商对可能把漏洞引入系统的后果负责或是要求他们对可能存在漏洞的产品负责。

对于非技术出身的管理人员要声明可能存在的风险。

Oldtiger · 发表于 2013-5-31 17:44:10

本帖最后由 Oldtiger 于 2013-5-31 17:54 编辑

对不起，您填写的内容(如签名、帖子、短消息等)包含不良内容而无法提交，请修改。
【以下为修改内容，未知何处“不良”】

什么是APT？
简单的说就是针对特定组织所作的复杂且多方位的网络攻击。
☆认识APT :
以往黑客发动的APT攻击虽然以政府为主，但从2010年开始企业成为黑客锁定窃取情资的受骇者越来越多，2011年几个世界性的组织在目标攻击下沦陷，付出了昂贵的成本。RSA和Sony是 2011年最大的两个APT攻击 (Advanced Persistent Threat)的目标。几个世界性的组织在目标攻击下沦陷，付出了昂贵的成本。他们失去了数百万客户的数据，光是完成修复就花费了巨资。

☆APT攻击特色:
【锁定特定目标】针对特定政府或企业，长期间进行有计划性、组织性窃取情资行为,可能持续几天，几周，几个月，甚至更长的时间。
【假冒信件】针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充长官的来信,取得在计算机植入恶意程序的第一个机会。
【低调且缓慢】为了进行长期潜伏,恶意程序入侵后,具有自我隐藏能力避免被侦测,伺机窃取管理者账号、密码。
【客制化恶意组件】攻击者除了使用现成的恶意程序外亦使用客制化的恶意组件。
【安装远程控制工具】攻击者建立一个类似殭尸网络/傀儡网络 Botnet 的远程控制架构攻击者会定期传送有潜在价值文件的副本给命令和控制服务器（C&C Server）审查。
【传送情资】将过滤后的敏感机密数据，利用加密方式外传
APT(进阶持续性渗透攻击, Advanced Persistent Threat, APT)可能持续几天，几周，几个月，甚至更长的时间。APT攻击可以从搜集情报开始，这可能会持续一段时间。它可能包含技术和人员情报搜集。情报收集工作可以塑造出后期的攻击，这可能很快速或持续一段时间。
例如，试图窃取商业机密可能需要几个月有关安全协议，应用程序弱点和文件位置的情报收集，但当计划完成之后，只需要一次几分钟的执行时间就可以了。在其它情况下，攻击可能会持续较长的时间。例如，成功部署Rootkit在服务器后，攻击者可能会定期传送有潜在价值文件的副本给命令和控制服务器（C&C Server）进行审查。

企业面对不断演变的资安威胁环境。其中一项最大的挑战就是APT进阶持续性渗透攻击（Advanced Persistent Threats, APT），它是针对特定组织所作出复杂且多方位的攻击。要减轻APT的风险需要比传统的多层次防御更先进的作法，包括实时威胁管理。本纲要系列介绍APT的性质，它们对企业所构成的风险，以及如何去封锁、侦测并遏制APT和其它新威胁的技术。我们先从实务面来评估APT的性质，大纲如下：
✪今天APT的性质
✪不断变化的资安威胁环境
✪APT的要素
✪不断变化的企业运作，让问题更加复杂
✪评估控制和减轻APT风险的可能性

很显然地，资安威胁环境变得越来越具有挑战性。对于信息系统进行攻击的动机和方法正在发生变化。有决心有毅力的攻击者正运用着多种手段去打破安全控制。企业需要透过多种安全控管来做应对，包括实时监控和快速遏制措施。

☆今天的APT
APT是针对一个特定组织所作的复杂且多方位的网络攻击。不管是就攻击者所使用的技术还是他们对于目标内部的了解来看，这种攻击是非常先进的。APT可能会采取多种手段，像是恶意软件，弱点扫描，针对性入侵和利用恶意内部人员去破坏安全措施。
APT是长期且多阶段的攻击。
APT攻击的早期阶段可能集中在收集关于网络设定和服务器操作系统的的详细信息，接着，精力会放在安装Rootkit或其它恶意软件去取得控制权或是跟命令与控制服务器（C&C Server）建立联机。再下来的攻击可能集中在复制机密或是敏感数据来窃取知识产权。
重要的是要明白，APT不是一种新的攻击手法，也不是可以藉由阻止或破坏一次攻击就让问题消失。APT可以被视为更像是一个网络攻击活动而不是单一类型的威胁;可以想成是进行中的过程。防毒程序可能会阻止APT攻击所使用的恶意软件，但并不意味着停止攻击。就其性质而言，一个APT是一段持续的攻击。如果一个战术行不通，就会再尝试另外一个。实际上，我们不应该只去思考单一对策，或只是在多层次安全策略上增加更多防御层，相反的，我们应该思考将其它例子中可能用来拦截、侦测和遏制的各种方式都组合起来。现在，很合理的我们会想问，要如何做到这一点？

Oldtiger · 发表于 2013-5-31 18:00:21

本帖最后由 Oldtiger 于 2013-5-31 18:12 编辑

对不起，您填写的内容(如签名、帖子、短消息等)包含不良内容而无法提交，请修改。
【以下为修改内容，未知何处“不良”】

☆不断演变的资安威胁环境

企业和政府面临着一个不断演变的资安威胁环境。从一开始为了用来吹嘘而去攻击媒体网站或用阻断式攻击(DoS)来切断流行网站的服务，到现在是为了经济利益而攻击。攻击者能够透过诈骗或窃取知识产权来直接获取利益，或是间接地经由破坏竞争对手的服务或进行大规模数据窃取攻击来入侵客户的个人金融信息。而除了动机上的变化，攻击手段上也有所改变。

应用程序架构的改变和将核心作业去中央化都为攻击者带来机会。在过去，银行行员和自动提款机是银行账户进行交易唯一的途径，现在你可以用手机做到这一点。也就在不久之前，谈论到零售商就会想到有实体店面的店家或商场，现在它会让人们联想到可以*出*售*各种东西的网站，从书籍到电器都有。

网页应用程序提供多种业务相关服务来完成整个工作流程，而且还能串到后勤管理系统，像是库存管理和应收账款等。这些都很容易成为弱点扫描，注入攻击和其它用来找出应用程序结构或潜在漏洞等信息探测器的目标。

演变中的资安威胁环境里的另一项因子是会组合多项技术。恶意软件可以被用来执行特定任务，如侧录键盘，或者它可能包含一个通讯模块，可接收命令和控制服务器（C&C Server）所下达的指令，来让攻击者去进行探测，搜寻，并且根据找到的信息来改变战术。

我们在APT中所看到的某些技术，在之前的混合式攻击（在一次单一攻击中使用多种的恶意软件）中就已经看过了。我们还看到攻击会因应使用者对策而改变。当防毒软件成功的利用病毒码比对技术来侦测到病毒时，恶意软件作者会采用加密和多形技术来让自己的程序得以避免侦测。同样的，如果一条进入系统的路径被封锁了，APT会寻找另一条路径。APT可变动的性质是资安威胁的共同特点，但有其它特点可以区别APT和其它类型的攻击。

Oldtiger · 发表于 2013-5-31 18:13:13

☆APT的要素

从最基本面来看，有三项特点让我们认为这攻击是APT：

  ▷▷出于经济利益或竞争优势
  ▷▷一个长期持续的攻击
  ▷▷针对一个特定的公司，组织或平台

企业和政府是APT的目标原因很明显。企业拥有高度价值的金融资产和知识产权。而从有政府组织以来，政府组织就是会面临外来的攻击。因此，APT的概念在许多方面都没有什么新意。唯一新的是执行这种威胁的方法，已经进入网络和应用程序的领域了。

长期攻击可能持续几天，几周，几个月，甚至更长的时间。APT攻击可以从搜集情报开始，这可能会持续一段时间。它可能包含技术和人员情报搜集。情报收集工作可以塑造出后期的攻击，这可能很快速或持续一段时间。例如，试图窃取商业机密可能需要几个月有关安全协议，应用程序弱点和文件位置的情报收集，但当计划完成之后，只需要一次几分钟的执行时间就可以了。在其它情况下，攻击可能会持续较长的时间。例如，成功部署Rootkit在服务器后，攻击者可能会定期传送有潜在价值文件的副本给命令和控制服务器（C&C Server）进行审查。

有一些广为人知的APT攻击演示了发动APT的手段和动机：

▷▷以Zeus僵尸网络/傀儡网络 Botnet当例子，一开始是作为攻击金融机构的平台，但被改成一个框架（Framework）提供给其它类型的APT。

▷▷极光（Aurora）APT攻击Google和其它科技公司，似乎在试图取得存取权和可能去修改应用程序代码。请参考：锁定企业的目标攻击与最大的弱点（内含Google与 RSA 遭目标攻击案例）

▷▷Stuxnet 是高度针对特定产业的恶意软件，其中包含一个针对用在工业设备上可编过程控制器（Programmable Logic Controller, PLC）的Rootkit。所以新闻界有人猜测Stuxnet 是由一个或多个政府来开发的。

而这些APT可以利用我们提供服务的改变来加以攻击。

Oldtiger · 发表于 2013-5-31 18:14:25

☆不断变化的企业运作，使问题更加复杂

使用技术和攻击动机的改变只是APT成为如此严重威胁的部份原因。我们如何去设计系统让使用者存取商务应用程序也是原因的一部分。

想到去边界化。过去防火墙会阻止未被明确允许的联机。由于进阶应用需要有更灵活的网络联机。外部人员需要访问内部资源。开发人员开发应用程序去建立信道让被封锁的协议藉由被允许通过的协议（也就是HTTP）穿过。现在并不是用单一边界包围着所有的网络资产，企业开放存取更多的服务器而只依赖于基于设备的控管和网络流量监控。

另一个可以被APT所利用的因子是手机和其它无法被管理的设备使用增加。IT部门并不总是能够要求在防毒软件或存取控制到位之后，设备才可以使用内部服务。这些设备可以被APT利用来做为攻击企业或政府网络的一部分。

同样，增加外部可用的网页应用程序提供另一种可能的攻击方法。举例来说，对于网页应用程序的注入攻击可以用来收集数据库内容或是程序结构相关的情报。

藉由扩大员工访问重要信息系统的能力，企业可以让员工更容易也更有效率的进行必要的工作。但是，这样也增加了可能的攻击入口。

技术和组织方面的因素在工作上会导致APT攻击的可能性。其中许多因素，像是提供员工更多功能和可以从移动设备来存取应用程序都是这么的有帮助，很难想象要去削减它们。我们可以降低APT的风险，而不必牺牲这些和其它的好处。
☆从实务面来评估控制APT的可能性

从实务面来看，在可预见的未来，APT将会一直与我们同在是很合理的假设。在网络安全的历史中充满了新型态攻击出现以因应新型态控制的例子。APT是长期的过程导向攻击，是攻击者动机和攻击手段改变下的产物。既然APT已经存在了，有什么合适的策略可以用来减轻相关的风险呢？

我们应该继续部署拦截对策。防毒软件，加密，弱点扫描和上修正程序（Patch）都是很好的做法。但是他们还不够去应付APT，所以我们应该假设会被攻击成功。并不是说这些对策有问题;，这观点只是认定一个事实，就是有决心而且坚持的攻击者始终会找到一条路摆脱所有的防堵办法的。

所以在某些点上会被攻击成功的前提下，我们必须实时的监控网络流量和计算机上的活动。万一攻击发生了，能够尽快侦测到攻击和遏制它所造成的影响是迫切需要的。遏制方法可以包括隔离被入侵的设备，关闭服务器和收集资料以作鉴识分析之用。