?

來源：https://core.ac.uk/download/pdf/34608069.pdf，A study on Advanced Persistent Threats

最近一類被稱為高級持續(xù)性威脅（APTS）的威脅已經(jīng)引起了研究人員越來越多的關(guān)注，主要來自工業(yè)安全部門。APT是由老練且資源豐富的對手針對知名公司和政府的特定信息實(shí)施的網(wǎng)絡(luò)攻擊，通常是在涉及不同步驟的長期活動中進(jìn)行的。學(xué)術(shù)界在很大程度上忽視了這些威脅的特殊性，因此缺乏針對APT問題的客觀方法。本文介紹了APT的綜合研究成果，描述了APT的特點(diǎn)和攻擊模型，并對APT攻擊中常見的技術(shù)進(jìn)行了分析。我們還列舉了一些有助于緩解APT的非常規(guī)對策，從而突出了未來研究的方向。

1引言

自從互聯(lián)網(wǎng)被采用以來，網(wǎng)絡(luò)攻擊就已經(jīng)存在，并且在過去的幾十年里已經(jīng)發(fā)展了很多，從早期的病毒和蠕蟲到現(xiàn)在的惡意軟件和僵尸網(wǎng)絡(luò)。近年來，出現(xiàn)了一類新的威脅，即“高級持續(xù)威脅”（APT）。最初用于描述對軍事組織的網(wǎng)絡(luò)入侵，APT已經(jīng)發(fā)展并不再局限于軍事領(lǐng)域。正如幾次大規(guī)模安全漏洞[12,15,1,29]所強(qiáng)調(diào)的那樣，APT現(xiàn)在瞄準(zhǔn)的是廣泛的行業(yè)和政府。

雖然APT越來越受到工業(yè)安全界的關(guān)注，但對APT研究問題缺乏全面、清晰的認(rèn)識。本文給出了對APT現(xiàn)象的詳細(xì)研究結(jié)果，并對其階段、機(jī)制和對策進(jìn)行了分類。本文首先識別了APT的特點(diǎn)，并將其與第二節(jié)中的傳統(tǒng)威脅進(jìn)行了比較。在第3節(jié)中，我們將典型的APT攻擊分為六個階段，分析每個階段常用的技術(shù)。我們還列舉了可用于防御APT攻擊的各種對策。在第3.2節(jié)中，我們提供了四個APT的案例研究，通過應(yīng)用我們提出的分類和技術(shù)分析來說明對手的戰(zhàn)術(shù)和技術(shù)。

2定義：什么是APT？

近年來，APTS經(jīng)常成為全球的頭條新聞，許多人認(rèn)為這個詞是超載的，因?yàn)椴煌娜税阉Q為不同的東西。由于商業(yè)市場中存在著許多關(guān)于APT構(gòu)成的不同意見[2,14,23]，因此需要一個明確的定義。在本文中，我們采用了美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）給出的定義，即APT為[17]：

一個擁有高級專業(yè)知識和重要資源的對手，使其能夠利用多種攻擊手段（如網(wǎng)絡(luò)、物理和欺騙）創(chuàng)造實(shí)現(xiàn)目標(biāo)的機(jī)會。這些目標(biāo)通常包括在目標(biāo)組織的信息技術(shù)基礎(chǔ)設(shè)施內(nèi)建立和擴(kuò)大立足點(diǎn)，以泄露信息、破壞或阻礙任務(wù)、計(jì)劃或組織的關(guān)鍵方面；或使自身在未來實(shí)現(xiàn)這些目標(biāo)。高級持續(xù)威脅：（i）在較長時間內(nèi)反復(fù)追求其目標(biāo)；（ii）適應(yīng)防御者的抵抗努力；以及（iii）決心保持執(zhí)行其目標(biāo)所需的互動水平。

這個定義為區(qū)分傳統(tǒng)威脅和APT提供了良好的基礎(chǔ)。APTS的特點(diǎn)是：（1）特定目標(biāo)和明確目標(biāo)；（2）組織嚴(yán)密、資源豐富的攻擊者；（3）長期反復(fù)嘗試的戰(zhàn)役；（4）隱蔽和躲避攻擊技術(shù)。我們將在下面詳細(xì)介紹這些特性。

（1）特定目標(biāo)和明確目標(biāo)（Specific targets and clear objectives）。APT攻擊是高目標(biāo)攻擊，其總是有明確的目標(biāo)。目標(biāo)通常是擁有大量知識產(chǎn)權(quán)價值的政府或組織。根據(jù)2013年FireEye發(fā)現(xiàn)的APT攻擊數(shù)量[11]，十大行業(yè)垂直目標(biāo)是教育、金融、高科技、政府、咨詢、能源、化學(xué)、電信、醫(yī)療和航空航天。雖然傳統(tǒng)攻擊盡可能廣泛地傳播，以提高成功的機(jī)會和最大化收獲，但APT攻擊只集中在其預(yù)先定義的目標(biāo)上，限制了其攻擊范圍。

對于攻擊目標(biāo)，APT通常尋找具有競爭優(yōu)勢或戰(zhàn)略利益的數(shù)字資產(chǎn)，如國家安全數(shù)據(jù)、知識產(chǎn)權(quán)、商業(yè)秘密等。而傳統(tǒng)的威脅主要是搜索個人信息，如信用卡數(shù)據(jù)，或一般有價值的信息，以促進(jìn)財務(wù)收益。

（2）高度組織和資源豐富的攻擊者（Highly organized and well-resourced attackers）。APT背后的參與者通常是一組熟練的黑客，以協(xié)調(diào)的方式工作。他們可能在政府/軍事網(wǎng)絡(luò)單位工作[15]，或者被政府和私營公司雇傭?yàn)榫W(wǎng)絡(luò)雇傭兵[9]。從財務(wù)和技術(shù)角度來看，他們都有充足的資源。這為他們提供了長期工作的能力，并且可以（通過開發(fā)或采購）訪問零日漏洞和攻擊工具。當(dāng)他們是國家資助的，他們甚至可能在軍事或國家情報的支持下運(yùn)作。

（3）一個長期的戰(zhàn)役，反復(fù)嘗試一個APT攻擊（A long-term campaign with repeated attempts）。通常是一個長期的戰(zhàn)役，可以在目標(biāo)的網(wǎng)絡(luò)中保持幾個月或幾年不被發(fā)現(xiàn)。聰明的行動者會不斷攻擊他們的目標(biāo)，當(dāng)先前的嘗試失敗時，他們會不斷調(diào)整自己的努力來完成任務(wù)。這與傳統(tǒng)的威脅不同，因?yàn)閭鹘y(tǒng)的攻擊者經(jīng)常瞄準(zhǔn)各種各樣的受害者，如果他們不能穿透最初的目標(biāo)，他們將直接進(jìn)入不安全的地方。

（4）隱身和躲避技術(shù)（Stealthy and evasive techniques）。APT攻擊是秘密的，具有不被發(fā)現(xiàn)的能力，將自己隱藏在企業(yè)網(wǎng)絡(luò)流量中，并進(jìn)行足夠的交互以實(shí)現(xiàn)定義的目標(biāo)。例如，APT參與者可以使用零日漏洞來避免基于簽名的檢測，并使用加密來模糊網(wǎng)絡(luò)流量。這與傳統(tǒng)攻擊不同，攻擊者通常使用“擊打和搶奪”戰(zhàn)術(shù)來警告防御者。

在表1中，我們總結(jié)了傳統(tǒng)威脅和APT攻擊在幾種攻擊屬性之間的差異。

3攻擊模式：APT如何工作？

APT攻擊是精心策劃的，通常涉及多個步驟。雖然特定的APT攻擊可能有其獨(dú)特的特點(diǎn)，但APT攻擊的階段是相似的，并且它們主要在每個階段使用的技術(shù)上有所不同。為了描述APT攻擊的階段，我們采用了一個基于[7]中引入的“入侵殺傷鏈”概念的六階段模型。使用這種殺傷鏈模型有助于理解威脅參與者在每個階段的技術(shù)，并為防御APT攻擊提供指導(dǎo)。

3.1 APT攻擊的階段

典型的APT攻擊將有以下六個階段：（1）偵察和武器化；（2）傳遞；（3）初始入侵；（4）指揮和控制；（5）橫向移動；（6）數(shù)據(jù)外泄。

（1）偵察和武器化偵察又稱信息收集，是發(fā)動攻擊前的重要準(zhǔn)備步驟。在此階段，攻擊者識別和研究目標(biāo)組織，盡可能收集有關(guān)該組織的技術(shù)環(huán)境和關(guān)鍵人員的信息。這些信息通常是通過開源情報（OSINT）工具和社會工程技術(shù)收集的。

——社會工程。社會工程指的是心理操縱人們實(shí)現(xiàn)目標(biāo)，這些目標(biāo)可能符合目標(biāo)的最大利益，也可能不符合目標(biāo)的最大利益。在網(wǎng)絡(luò)攻擊中，它通常用于獲取敏感信息，或使目標(biāo)采取某種行動（例如執(zhí)行惡意軟件）。

——OSINT。OSINT是一種從公開來源收集情報的形式，現(xiàn)在它通常指通過互聯(lián)網(wǎng)上的付費(fèi)或免費(fèi)來源收集有關(guān)某一主題的信息?？梢酝ㄟ^OSINT收集各種信息，從員工的個人檔案到組織中的硬件和軟件配置。

除了簡單地從網(wǎng)絡(luò)上獲取信息外，攻擊者還可以使用數(shù)據(jù)挖掘技術(shù)和大數(shù)據(jù)分析來自動處理收集的數(shù)據(jù)，以產(chǎn)生可操作的情報?；谑占降那閳螅珹PT行動者構(gòu)建攻擊計(jì)劃并準(zhǔn)備必要的工具。為了取得成功，攻擊者通常為不同的攻擊向量準(zhǔn)備各種工具，以便在失敗時調(diào)整策略。

（2）在此階段，攻擊者將其漏洞攻擊傳遞到目標(biāo)。有兩種傳遞機(jī)制：直接傳遞和間接傳遞。對于直接傳遞，攻擊者通過各種社會工程技術(shù)（如魚叉釣魚）向目標(biāo)發(fā)送漏洞。

間接傳遞是秘密的。在這種方法中，攻擊者將危害目標(biāo)信任的第三方，然后使用受損的第三方間接服務(wù)于漏洞利用。受信任的第三方可以是目標(biāo)組織中使用的軟件/硬件的供應(yīng)商，也可以是目標(biāo)人員經(jīng)常訪問的合法網(wǎng)站（水坑攻擊）。

——魚叉釣魚。魚叉釣魚是一種針對性的網(wǎng)絡(luò)釣魚形式，其中欺詐性電子郵件僅針對一小部分選定的收件人。它通常使用偵察過程中收集的信息，使攻擊更加具體，對目標(biāo)更加“個人”，以增加成功的概率。接收者被引誘去下載一個看似無害的包含漏洞攻擊的附件，或者點(diǎn)擊一個指向惡意站點(diǎn)的鏈接，該鏈接的網(wǎng)站為驅(qū)動下載漏洞提供服務(wù)[27]。在APT攻擊中，惡意附件的使用頻率高于惡意鏈接，因?yàn)槿藗兺ǔＴ诠净蛘h(huán)境中通過電子郵件共享文件（如報告、業(yè)務(wù)文檔和簡歷）。

——水坑攻擊。水坑攻擊的概念類似于沙漠中等待水坑的捕食者，因?yàn)椴妒痴咧朗芎φ邔⒉坏貌粊淼剿?。同樣，攻擊者可以識別目標(biāo)用戶經(jīng)常訪問的第三方網(wǎng)站，然后嘗試用惡意軟件感染其中一個或多個網(wǎng)站，而不是主動發(fā)送惡意電子郵件。最終，當(dāng)被感染的網(wǎng)頁被受害者瀏覽時，傳遞就完成了[18]。在幾個APT活動中已經(jīng)看到使用水坑攻擊[5,6,10]。

（3）初始入侵。當(dāng)攻擊者首次未經(jīng)授權(quán)訪問目標(biāo)計(jì)算機(jī)/網(wǎng)絡(luò)時，會發(fā)生初始入侵。雖然攻擊者可以通過社會工程獲取訪問憑證，并將其簡單地用于“合法”訪問，但入侵的典型方式是執(zhí)行惡意代碼，利用目標(biāo)計(jì)算機(jī)中的漏洞進(jìn)行攻擊。攻擊者首先在傳遞階段傳遞惡意代碼，然后在入侵階段成功執(zhí)行漏洞攻擊時獲得對目標(biāo)計(jì)算機(jī)的訪問權(quán)。

在APT攻擊中，攻擊者通常關(guān)注Adobe PDF、Adobe Flash和Microsoft Office以及Internet Explorer中的漏洞。雖然一些APT攻擊[12,20]利用零日漏洞進(jìn)行初始入侵，但許多APT攻擊還使用針對未修補(bǔ)應(yīng)用程序的較舊漏洞。

初始入侵是APT攻擊的關(guān)鍵階段，因?yàn)锳PT參與者在此階段在目標(biāo)網(wǎng)絡(luò)中建立了立足點(diǎn)。成功的入侵通常會導(dǎo)致安裝后門惡意軟件。從這一點(diǎn)上來說，威脅行動者連接到目標(biāo)的網(wǎng)絡(luò)。結(jié)果，網(wǎng)絡(luò)流量被生成，文件證據(jù)被留在受害者的計(jì)算機(jī)上，這使得防御者有機(jī)會在早期階段檢測到APT。

（4）命令和控制。成功建立后門后，APT參與者使用命令和控制（C2）機(jī)制來控制受損計(jì)算機(jī)，從而進(jìn)一步利用網(wǎng)絡(luò)。為了逃避檢測，攻擊者越來越多地利用各種合法的服務(wù)和公共可用的工具。

——社交網(wǎng)站。攻擊者在各種社交網(wǎng)站上注冊帳戶，并將控制信息放入博客文章或狀態(tài)消息中[16]。

——TOR匿名網(wǎng)絡(luò)。配置為僅通過TOR接收入站連接的服務(wù)器稱為隱藏服務(wù)。將C2服務(wù)器作為隱藏服務(wù)托管在Tor中會使它們難以識別、黑名單或消除。

——遠(yuǎn)程訪問工具（RATS）。雖然RAT經(jīng)常被用于合法的遠(yuǎn)程管理，但它們通常與網(wǎng)絡(luò)攻擊有關(guān)[3,28]。RAT包含兩個組件：駐留在受害者端點(diǎn)上的“服務(wù)器”和安裝在攻擊者計(jì)算機(jī)上的“客戶機(jī)”。為了使其工作，首先需要將“服務(wù)器”組件發(fā)送到目標(biāo)的機(jī)器，這通常是通過魚叉釣魚電子郵件完成的。

（5）橫向移動。一旦受損系統(tǒng)和指揮控制服務(wù)器之間的通信建立，威脅行動者就進(jìn)入網(wǎng)絡(luò)，以擴(kuò)大對目標(biāo)組織的控制，從而使他們能夠發(fā)現(xiàn)和收集有價值的數(shù)據(jù)。橫向移動通常包括以下活動：（1）執(zhí)行內(nèi)部偵察以繪制網(wǎng)絡(luò)圖并獲取情報；（2）為獲取憑證和獲得升級的特權(quán)而犧牲附加系統(tǒng)；（3）識別和收集有價值的數(shù)字資產(chǎn)，如開發(fā)計(jì)劃、商業(yè)秘密等。

此階段通常持續(xù)很長時間，因?yàn)椋?）攻擊者希望在長期內(nèi)獲取最多的信息；（2）為了避免檢測，活動被設(shè)計(jì)為低速度運(yùn)行。當(dāng)合適的行動者深入網(wǎng)絡(luò)時，他們的行動變得難以察覺。APT參與者通常使用IT管理員通常使用的合法操作系統(tǒng)功能和工具，他們還可能破解或竊取憑證以獲得合法訪問，這兩種方式都使他們的活動無法檢測，甚至無法追蹤。

（6）數(shù)據(jù)泄露。APT攻擊的主要目標(biāo)是竊取敏感數(shù)據(jù)以獲得戰(zhàn)略利益，因此數(shù)據(jù)泄露是攻擊者的關(guān)鍵步驟。通常情況下，數(shù)據(jù)會被收集到一個內(nèi)部臨時服務(wù)器中，在該服務(wù)器中，數(shù)據(jù)會被壓縮并經(jīng)常加密，以便在攻擊者的控制下傳輸?shù)酵獠课恢?。為了隱藏傳輸過程，APT參與者通常使用安全協(xié)議，如SSL/TLS，或者利用Tor網(wǎng)絡(luò)的匿名特性[16]。

3.2 APT攻擊案例研究

為了更好地理解APT攻擊模型，我們研究了不同來源報告的四個APT攻擊[12,20,29,10]，將攻擊者的行為映射到我們的六階段模型中。結(jié)果如表2所示。

3.3對策

由于APTS的復(fù)雜性和隱蔽性，沒有單一的解決方案能夠提供有效的保護(hù)。目前的最佳做法是采取廣泛的安全對策，形成多層防御。然而，由于APT的特殊性質(zhì)，一些現(xiàn)有的防御系統(tǒng)需要重新設(shè)計(jì)以在APT環(huán)境下工作，因此需要進(jìn)行額外的研究。例如，雖然遺傳算法已被證明對惡意軟件檢測有用，但其在大型數(shù)據(jù)集中的適用性仍有待進(jìn)一步研究。下面我們將詳細(xì)介紹一些防御技術(shù)。

安全意識培訓(xùn)?？紤]到社會工程技術(shù)（如矛式網(wǎng)絡(luò)釣魚電子郵件）在APT活動中的廣泛應(yīng)用，安全意識培訓(xùn)在防御中起著重要作用。除了一般的最佳安全實(shí)踐外，培訓(xùn)還應(yīng)提供有關(guān)APT攻擊的教育。根據(jù)APT意識研究[8]，超過一半的行業(yè)沒有意識到APT與傳統(tǒng)威脅之間的差異，67%的受訪者報告說，與APT相關(guān)的意識培訓(xùn)不足。

傳統(tǒng)防御機(jī)制。傳統(tǒng)的防御機(jī)制是必要的，因?yàn)樗鼈冏柚沽艘阎墓粝蛄?，從而增加了APT參與者的難度。必須采用的常見對策有：補(bǔ)丁管理、防病毒軟件、防火墻、基于主機(jī)的入侵檢測系統(tǒng)（HIDS）、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）、入侵預(yù)防系統(tǒng)（IPS）、安全信息和事件管理（SIEM）、內(nèi)容過濾軟件等。安全意識培訓(xùn)和傳統(tǒng)防御機(jī)制并不能完全解決APT問題。防御者應(yīng)將其與以下旨在緩解APT的先進(jìn)對策結(jié)合起來。

高級惡意軟件檢測。惡意軟件對于初始入侵至關(guān)重要。由于APT參與者經(jīng)常利用零日漏洞或自定義開發(fā)的規(guī)避工具繞過傳統(tǒng)防御，因此檢測高級惡意軟件的能力對于抵御APT非常重要。沙盒執(zhí)行是一種經(jīng)過驗(yàn)證的分析惡意軟件行為的技術(shù)，它允許防御者識別未知的高級惡意軟件[19]。由于高級惡意軟件可能利用各種沙盒入侵技術(shù)[22]檢測虛擬機(jī)環(huán)境，因此在使用沙盒執(zhí)行時，必須考慮這些沙盒規(guī)避技術(shù)。此外，這一領(lǐng)域的研究挑戰(zhàn)是在線執(zhí)行惡意軟件分析，并以非侵入式方式進(jìn)行。

事件異常檢測。由于APT行動者使用各種隱蔽和規(guī)避技術(shù)，因此傳統(tǒng)的基于簽名的防御機(jī)制無法使用“已知的壞”模式。一種有效的APT檢測方法不是尋找“已知的壞”項(xiàng)目，而是研究正常行為并尋找異?；顒?。異常檢測包括檢測可疑網(wǎng)絡(luò)流量和可疑系統(tǒng)活動，或“不規(guī)則”活動集群（可能通過機(jī)器學(xué)習(xí)獲得）。由于大量的數(shù)據(jù)需要在合理的時間內(nèi)進(jìn)行分析，異常檢測通常涉及大數(shù)據(jù)分析的研究問題。有幾位研究人員提議使用大數(shù)據(jù)分析進(jìn)行APT檢測。在[4]中，Giura&Wang實(shí)現(xiàn)了基于MapReduce的大規(guī)模分布式計(jì)算框架，以處理所有可能的事件，這些事件可用于檢測APT攻擊。Liu et. al。[13]證明了使用Hadoop和Lucene分析大量HTTP請求有助于根據(jù)已知的APT受害者快速發(fā)現(xiàn)潛在的受害者。

數(shù)據(jù)丟失預(yù)防。由于APT攻擊的最終目標(biāo)是將有價值的數(shù)據(jù)從目標(biāo)的網(wǎng)絡(luò)傳輸?shù)酵獠?，因此可以將完全上下文感知的?shù)據(jù)丟失預(yù)防（DLP）解決方案部署為最后一道防線，以保護(hù)敏感數(shù)據(jù)不被泄漏。DLP解決方案是一個設(shè)計(jì)用于檢測和防止?jié)撛跀?shù)據(jù)泄露的系統(tǒng)，通過在使用、運(yùn)行和靜止時監(jiān)控和阻止敏感數(shù)據(jù)。它要求防御程序首先識別其敏感和關(guān)鍵數(shù)據(jù)，并在DLP應(yīng)用程序中定義策略和規(guī)則以進(jìn)行保護(hù)。一個示例研究解決方案是[21]。

情報驅(qū)動防御。情報驅(qū)動防御不是一種特定的防御解決方案，它是一種利用對敵方的了解，并根據(jù)收集到的情報調(diào)整防御的防御策略[7]。由于確定了APT參與者，并且通常對目標(biāo)發(fā)起重復(fù)攻擊，防御者可以創(chuàng)建一個情報反饋循環(huán)，使他們能夠識別先前入侵嘗試的模式，了解對手的技術(shù)，然后實(shí)施對策以降低后續(xù)入侵的風(fēng)險。

在表3中，我們總結(jié)了APT攻擊的每個階段中常見的攻擊技術(shù)和工具。此外，我們還確定了可在每個階段應(yīng)用的對策。

有幾篇文章[24,25]簡要解釋了APT攻擊并討論了檢測技術(shù)。然而，它們并沒有我們提出的分析那么全面。至于應(yīng)對措施，一些學(xué)術(shù)研究人員提出使用大數(shù)據(jù)分析進(jìn)行APT檢測[4,13]

5結(jié)論

APT是復(fù)雜的、特定的和不斷演變的威脅，但在其過程中可以識別出某些模式。本文主要研究這些共性的識別。傳統(tǒng)的對抗措施是必要的，但不足以抵御APTS。為了減輕APT帶來的風(fēng)險，防御者必須對攻擊中涉及的步驟和技術(shù)有一個基本的了解，并開發(fā)新的能力來解決APT攻擊的具體問題。通過對公共APT案例和安全行業(yè)的產(chǎn)品的研究，我們提出了對APT的寬泛的看法，這應(yīng)該在安全領(lǐng)域內(nèi)建立共識，為進(jìn)一步的防御性研究提供指導(dǎo)。