APT攻击详解与检测技术

APT攻击详解与检测技术

喻群

（贵州电网有限责任公司铜仁供电局贵州铜仁554300）

摘要：APT攻击是近几年来出现的一种高级攻击，具有难检测、持续时间长和攻击目标明确等特征。下文就主要分析近年来比较典型的几个APT攻击过程及其检测技术。

关键词：APT；攻击详解；检测技术

一、APT攻击的简要概述

APT（AdvancedPersistentThreat）高级持续性威胁，是指隐匿而持久的计算机入侵过程，通常由某些人员或组织精心策划，针对特定的目标。APT并不特定指某种病毒，而是黑客利用先进的攻击手段对特定目标进行长期、持续性网络攻击的形式。Advanced高级，有组织有计划，采用先进的攻击技术和复杂的攻击工具，利用多种0day漏洞。Persistent持续性，目的性极强，长期潜伏或控制特定目标，不达目的不罢休。Threat威胁，人为参与策划的攻击行为，以窃取资料为最终目的。APT攻击的目标，通常是高价值的企业、政府机构以及敏感数据信息。主要目的是窃取商业机密，破坏竞争甚至是国家间的网络战争。所以我们必须要知道：APT攻击不是单个黑客或者几个黑客为了捞点儿钱就能搞出来的花样，那必然是有着深厚背景和强大支撑力量的组织发起的，只有这样才能支持和维持APT攻击所需要的大量时间、人力、物力与财力。

二、当前APT攻击中存在的问题分析

1、行业认识不统一。目前安全从业人员对于APT攻击的认识不统一，大部分厂家仍然聚焦于攻防对抗本身，但忽略了APT攻击的性质判定，这造成APT检测设备的大量告警看起来与IPS、传统杀毒设备的告警并无特别区别，仅仅是多了很多用户无法有效理解的行为数据。在这种情况下，APT检测市场长期难以与传统的杀毒市场和IPS市场有效区分。这制约了整个市场的发展，也导致厂商的投入和动力不足。而可有效解决相关问题的威胁情报技术在国内尚处于起步阶段，各个厂商对其认识均不相同，目前还难以形成足够的行业推动力。

2、对于安全防护的诉求过高。长期以来，大量企业及单位的安全人员已经十分熟悉防火墙+IPS的一套防护体系，对于高级威胁也希望能够一劳永逸的使用单一系统进行事前防御，但在目前的攻防态势下，这种想法会稍显不切实际，制约了整个APT检测市场的发展。原因在于世上并没有完美的防护体系，从攻击角度来讲，只要攻击者有足够的投入，基本上都能够绕过所有的防御。在这种情况下，安全体系的建设应该从单纯强调防护转移到以提升攻击成本和风险为核心。而提升攻击成本和风险的手段包含：存储必要的日志信息、使用更高级的检测手段、引入精准的威胁情报以及快速的应急响应服务。通过这些手段，企业可以保留攻击事后的回溯能力、线索追查能力，以及最终诉诸法律的起诉证据。

3、APT攻击事件后的责任认定不清晰。国内的大量单位对APT攻击的损害仍然认识不足，对于攻击的责任确定不清晰。很多单位将APT攻击的检测与处置寄希望于国家力量，并在管理层面将其与基础的安全问题区分开来，甚至在知晓APT攻击已经发生的情况下仍然缺乏必要的处置动作，往往采取先封堵消息控制影响再内部消化的处理方式。这导致国家单位逐渐形成针对APT攻击下级单位不重视，上级单位不了解这样一种尴尬情形。

4、人才与服务的缺失。APT攻击并不是一成不变的，安全方案提供商对其进行检测需要不断的输入攻防知识并进行长时间的运营（包含行为规则、样本家族、威胁情报等各种方面内容）。但国内总体上仍然处于安全人才匮乏的状态，尤其是有逆向能力、会样本分析或懂漏洞挖掘的人才。人才的匮乏又导致真正高水平的人才难以有充足的动力和时间投入到基础的安全运营工作中，这导致大部分安全公司难以对APT攻击进行有效检测。

三、APT攻击检测技术

1、网络流量分析。该技术包含了多种传统的网络检测分析思路，比如依靠DNS或Netflow的流量规律进行基线学习和分析。此类技术发展历史悠久，但在APT检测方面，一直难以有直接的效果，一方面因为通过流量能够捕捉到的攻击行为较为有限，更多针对远程控制部分，而且很难捕捉到样本运行过程；另一方面，此类技术多使用统计并配合一部分规则匹配的检测方式为主，往往难以保证准确度。

2、网络取证。该技术强调全量的抓取流量报文或日志，通过结合全流量分析技术提取流量中的异常信息来发现APT攻击。这种方式在检测上依然面临网络流量分析的同样问题，不过由于其所留存的网络流量和日志可以更好的还原样本和攻击过程，在回溯及应急响应方面体现出的价值较高。该技术也正在逐渐被新型的安全管理系统或安全日志分析系统所使用，但面临的技术挑战与终端取证类似，即如何快速的处理分析海量的网络流量信息。

3、负载分析（沙箱）。负载分析主要指针对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁。目前国内市场上的主流的负载分析手段为沙箱，通过将文件还原后在虚拟环境中的执行并监控执行过程中的各种进程、文件、注册表等行为来发现其中的恶意行为。沙箱的出现使得研究人员和安全管理人员能够快速发现样本的恶意行为，但随着技术的发展和开放，沙箱在APT攻击的实际检出情况上未必如众多厂家的宣传一致。主要因为目前大量高级样本中都会集成沙箱逃逸功能，基础的沙箱逃逸手段包括虚拟机环境检测、分析软件检测、检测hooks、检测时间加速、检测交互行为等，而且存在开源的沙箱逃逸项目可供攻击工具开发者使用。这对沙箱检测提出了很强的攻防挑战，对于缺乏样本行为运营能力的公司来说，将意味着其沙箱效果会大打折扣。而且，沙箱检测需要对环境的模拟尽可能真实，但是实际情况下，一台检测设备很难提供足够的计算和内存资源用于模拟大量主机上不同的操作系统和应用软件版本，这也客观上制约了恶意样本在沙箱中顺利执行的比例。大量厂家也开始使用云端沙箱集群来模拟更多样的环境以提升样本执行成功率，虽然这种技术受限于目前国内大量企业无法上传样本这种客观现实而难以商用，但对于厂商自身研究和运营效率的提升仍然有相当大的帮助。

4、终端行为分析。该技术也可称之为主机沙箱，可以将应用和文件通过虚拟容器进行隔离，并对其隔离环境中的内存、进程情况进行监控，技术本身也经历了长时间的发展。其可以依靠隔离的手段对高级攻击进行更好防护，但同时也带来了更多的系统资源消耗，限制了技术本身的应用。目前主流杀毒检测厂家如360，已经在终端杀毒中支持主机沙箱技术，但应用并不广泛。

5、基于终端的取证。通过在主机上安装监控软件，可以截取各种样本文件在主机上的行为记录，结合序列化的行为规则，或威胁情报可以有效发现传统特征匹配无法发现的威胁。同时留存的终端行为数据可以作为取证、回溯的重要支撑。目前fireeye等厂家已经将该技术成功应用于APT检测中。该技术方式实际上是将主机视为一个沙箱的虚拟环境，所有样本的行为都应该可监控，结合类似沙箱的行为规则就应该能够发现主机上正在发生或已经发生的攻击行为。这种方式很好的解决了沙箱虚拟环境难以足够真实的问题，但检出率同样依赖于规则运营，对厂商的规模和能力要求较高。而且大量的终端部署以及海量的日志回传对传统的安全日志分析或安全管理系统都造成了冲击。

结束语

总而言之，APT做为一种新的概念和名词已经存在于市场上多年，但相信APT攻击实际上早已在网络世界里横行，仅仅是在之前的我们毫不知情。当下，随着多种检测技术的发展以及更加灵活的组合使用，APT攻击的检出率也在提升，各种新的攻击也层出不穷，由此也极大地威胁着网络安全，这也证明在安全的道路上，我们可以走的更远，走的更好。

参考文献

[1]王文俊.基于APT攻击的蜜罐技术的研究[J].信息网络安全.2017(31)：394-396.

[2]李骏勇.基于DNS流量和威胁情报的APT检测[J].信息安全与通信保密.2018(15)：259.

[3]杜立鹏.一种应对APT攻击的安全架构:异常发现[J].计算机研究与发展.2018(27)：198-199.