12.8. APT

12.8.1. 简介

APT (Advanced Persistent Threat),翻译为高级持续威胁。2006年,APT攻击的概念被正式提出,用来描述从20世纪90年代末到21世纪初在美国军事和政府网络中发现的隐蔽且持续的网络攻击。

APT攻击多用于指利用互联网进行网络间谍活动,其目标大多是获取高价值的敏感情报或者控制目标系统,对目标系统有着非常严重的威胁。

发起APT攻击的通常是一个组织,其团体是一个既有能力也有意向持续而有效地进行攻击的实体。个人或者小团体发起的攻击一般不会被称为APT,因为即使其团体有意图攻击特定目标,也很少拥有先进和持久的资源来完成相应的攻击行为。

APT的攻击手段通常包括供应链攻击、社会工程学攻击、零日攻击和僵尸网络等多种方式。其基于这些攻击手段将将自定义的恶意代码放置在一台或多台计算机上执行特定的任务,并保持在较长的时间内不被发现。

和传统的大面积扫描的攻击方式不同,因为APT攻击通常只面向单一特定的目标,且多数攻击会综合一系列手段来完成一次APT攻击,使其有着非常高的隐蔽性和复杂性,让对APT攻击的检测变得相当困难。顾名思义,APT的特征主要体现在下面这三个方面。

12.8.2. 高级性(Advanced)

APT攻击会结合当前所有可用的攻击手段和技术,使得攻击具有极高的隐蔽性和渗透性。

网络钓鱼就是其中的一种攻击方式。攻击者通常会结合社会工程学等手段来伪造可信度非常高的电子邮件,冒充目标信任的公司或者组织来发送难以分辨真假的对目标诱惑度很高恶意电子邮件。通过这些邮件来诱使被受害者访问攻击者控制的网站或者下载恶意代码。

APT攻击通常还会采用其他的方式来伪装自己的攻击行为,从而实现规避安全系统检测的目的。比如有的恶意代码会通过伪造合法签名来逃避杀毒软件检测。以震网病毒为例,其在攻击时就使用了白加黑的模式,利用合法的证书对其代码进行了签名,这种攻击方式会使得大部分恶意代码查杀引擎会直接认为恶意代码是合法的,而不进行任何的检测。

除了利用合法签名绕过检测,APT攻击者在攻击过程中也经常利用第三方的站点作为媒介来攻击目标,而不是使用传统的点到点攻击模式。这种模式通常被称为水坑攻击。

水坑攻击是一种入侵的手法,一般来说,是在攻击者对目标有一定了解后,确定攻击目标经常访问的网站,而后入侵其中的一个或几个网站,并对这些网站植入恶意代码,最后来实现借助该网站感染目标的能力。因为这种攻击借助了目标信任的第三方网站,攻击的成功率相对钓鱼攻击来说要高出很多。

另外一个能体现APT攻击高级性的特征是零日漏洞,目前国际上黑市一个零日漏洞的价格在数十万到数百万不等,每一个零日漏洞的稳定利用都需要大量的资源投入。而在APT攻击中,零日漏洞的利用非常广泛。以APT28为例,据统计,仅2015年一年当中APT28在攻击中就至少使用了六个零日漏洞。

12.8.3. 持续性(Persistent)

和传统的基于短期利益的网络攻击有很大的不同。APT攻击的过程通常包括多个实施阶段。攻击者很很多情况下都是使用逐层渗透的方式来突破高级的防御系统,整个攻击过程一般持续时间会达到几个月甚至数年。一般来说,APT攻击可以分为以下几个阶段。

12.8.3.1. 侦查阶段

为了能够找到目标的脆弱点,攻击者通常会做大量的准备工作。在这个阶段攻击者多会使用基于大数据分析的隐私收集或者基于社会工程学的攻击来收集目标的信息,为了之后的攻击做出充分的准备。

12.8.3.2. 初次入侵阶段

基于初次侦查的信息,攻击者通常能收集到目标所使用的软件、操作系统系统版本等信息。在获取这些信息后,攻击者可以挖掘软件对应版本的零日漏洞或者使用已知漏洞来对系统做出初期的入侵行为,获取对目标一定的控制权限。

12.8.3.3. 权限提升阶段

在复杂网络中,攻击者初次入侵所获得的权限通常是较低的权限,而为了进一步的攻击,攻击者需要获取更高的权限来完成其需要的攻击行为。在这个阶段,攻击者通常会使用权限提升漏洞或者爆破密码等行为来实现权限提升的目的,最后获得系统甚至域的管理员权限。

12.8.3.4. 保持访问阶段

在成功入侵目标计算机并且有一定的权限之后,攻击者一般会使用各种方式来保持对系统的访问权限。其中一个比较常用的方式是窃取合法用户的登录凭证。当获取了用户的访问凭证之后,可以使用远程控制工具(RAT,Remote Access Tools)来建立连接,并在连接建立之后,植入特定的后门来达到持续控制的效果。

12.8.3.5. 横向扩展阶段

当攻击者掌握一定的目标之后,会以较慢且较隐蔽的方式逐渐在内网扩散。主要方式是先在内网进行一定的侦查。基于这些侦查,获得内网计算机的相关信息,并结合这些信息使用软件漏洞或者弱密码爆破等手段来进行横向的进一步渗透,获取更多的权限和信息。

12.8.3.6. 攻击收益阶段

APT攻击的主要目的是窃取目标系统的信息或对其造成一定的破坏。在完成横向扩展控制一定的内网机器后。以收集信息为目标的攻击者会使用加密通道的方式把获取的信息逐渐回传并消除入侵痕迹。而以造成破坏为目标的攻击,则在这个阶段进行相应的攻破坏。

12.8.4. 威胁性(Threat)

和传统攻击不同,APT攻击的攻击手段和方案大都是针对特定的攻击对象和目的来设计。相对其他攻击,攻击者有着非常明确的目标和目的,很少会使用自动化的攻击方式,而是精确的攻击。

另外APT的目标多是政府机构、金融、能源等敏感企业、部门,一旦这些目标被成功攻击,其影响往往十分巨大。据目前已知的信息,在美国、俄罗斯等国的大选中,以及欧洲一些政治事件中,都有APT攻击出现。APT攻击已经成为国家之前斗争的一种重要手段。

12.8.5. 相关事件

  • 2010年伊朗震网病毒

  • 2013美国棱镜门事件

12.8.6. IoC

IoC (Indicators of Compromise) 在取证领域被定义为计算机安全性被破坏的证据。

常见的 IoC 有以下几种:

  • hash

  • IP

  • 域名

  • 网络

  • 主机特征

  • 工具

  • TTPs

12.8.7. 参考链接