论文题目:APT攻击的成因,步骤及特点分析摘要:在信息安全防护体系日趋健全的形势下,APT攻击仍难于防范,本文 主要分析APT攻击的成因,步骤及特点;关键词:APT攻击;成因;步骤;特点;APT(A dvanced Persistent Threat)即高级持续性威胁攻击,是一类针对企 业和政府重要信息资产的,对信息系统可用性、可靠性构成极大挑战的信息安全 威胁APT攻击变化多端、在安全设备功能、性能越来越强劲,安全防护体系也 日趋健全的形势下,APT攻击依然能够冲破层层关卡因此,有必要对APT攻击 的成因,步骤及特点做一些系统的分析,便于针对APT攻击的防范策略及应对机 制的研究一, APT攻击成因主要包括:(1) APT 攻击的渗透往往采用零日漏洞的恶意代码,安全防御体系无法识别 这些攻击流量,因而也无从拦截.(2) 攻击者采用SSL VPN连接的方式控制内网主机,由于数据以密文方式存 在,现有的内容检测系统无法对这些流量进行分析和判断3) 攻击者使用合法邮件地址捆绑病毒附件发送给内部员工,基于垃圾邮件 地址的过滤系统无法拦截此类邮件;安全防御体系对于钓鱼网站的识别能力存在 不足,缺乏权威的恶意网址库支撑,内部员工访问这些地址的行为无法被及时发 现。
4) APT 程序在获取重要数据后向外部发送时,利用了合法数据的传输通道 和加密、压缩方式,难以辨别出其与正常流量的差别,因此基于特征库匹配的检 测系统均无响应二,APT攻击的步骤:APT攻击一般持续较长时间,且与病毒较为相似,具有显著的多阶段性特征 曰APT攻击可以大致分为探测期、入侵期、潜伏期、退出期4个阶段,这4个 阶段通常是循序渐进的,但也不排除少数攻击为了实现其特定目标略过某些阶段 或重复进行某些阶段1) 探测期探测期是APT攻击者收集目标信息的阶段攻击者使用技术和社会工程学手 段收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、 开放端口、员工资料、管理策略等因素的整理和分析,得出系统可能存在的安全 弱点另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订 攻击计划等,用于在下一阶段实施精确攻击2) 入侵期攻击者突破安全防线的方法可谓五花八门,如采用诱骗手段将正常网址请求 重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台 运行恶意程序,或者直接向目标网站进行SQ L注入攻击等尽管攻击手段各不 相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的 控制权。
3) 潜伏期攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐 藏自身的前提下寻找实施进一步行动的最佳时机当接收到特定指令,或者检测 到环境参数满足一定条件时,恶意程序开始执行预期的动作取决于攻击者的真 正目的,APT将数据通过加密通道向外发送,或是破坏应用服务并阻止恢复,令 受害者承受极大损失4) 退出期以窃取信息为目的的APT类攻击一旦完成任务,用户端恶意程序便失去了使 用价值;以破坏为目的的APT类攻击得手后即暴露了其存在这两种情况中为了 避免受害者推断出攻击的来源,APT代码需要对其在目标网络中存留的痕迹进行 销毁,这个过程可以称之为APT的退出A PT根据入侵之前采集的系统信息, 将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使 事后电子取证分析和责任认定难以进行三,APT攻击的特点:APT攻击是传统网络入侵、渗透手段的集成和综合运用,具有上述各类构成 技术自身的特点以及额外衍生的综合性特征,主要包括:(1) 针对性APT 攻击有明确的客体对象及目标,包括攻击范围、目标资产、攻击时限、 破坏程度、终止条件等,需要针对目标网络及信息系统的类型、防御机制,以及 部署的安全设备进行攻击规划,在攻击进行时通过采集到的信息、状态数据等动 态调整攻击策略,以实现最优的攻击效果。
APT攻击的针对性体现在每一次发动 攻击前都必须进行详细的探测以进行专门设计,前次有效的攻击手段往往无法直 接应用于下一次攻击中2) 持续性 基于“信息系统的安全防护体系可能十分坚固”这一判断,攻击者为了达到目的会进行长时间、持续、多手段的入侵和渗透,直到成功在潜伏期花费几个 月甚至一年,入侵成功后继续探测三到五年的案例也不罕见这种持续性的攻击 使黑客的行为可以不断演变发展,但防护体系的静态特征却难以适应这种动态的 变化:也许防护机制可以抵挡一时的攻击,但随着时间的推移,信息系统、应用 软件不断有新的漏洞被发现,这一段防御体系的空档期就是攻击者突破防线的最 好时机3) 多态性 攻击者的攻击方式不是一成不变的,既包括病毒、木马植入等传统入侵手段, 也包括SQL注入、零日漏洞、软件后门、操作系统缺陷等,甚至结合社会工程学、 心理学等各种线下手段实施攻击综合采用多类技术首先是为了使受害者难于防 范,提高攻击的成功率,其次也可以通过并行实施起到掩盖其真实攻击意图的作 用4) 隐蔽性APT攻击的隐蔽性表现在攻击者对目标系统的探测、入侵及信息窃取都尽量 尝试以不被察觉的方式进行在访问到重要资产后,攻击者通过受控的分布式客 户端和伪装的应用程序,使用与合法数据同样的信道和加密方式进行信息传输, 在对自身进行隐蔽的同时规避安全审计和异常检测机制,最大程度保证存活性。
总之,APT攻击是一类针对企业和政府重要信息资产的,对IT和管理人员 存在极大挑战的信息安全威胁这种威胁多由受经济或国家利益驱动的黑客们发 起,利用高技术手段和未公布漏洞精心突破目标网络的防御能力来实现自身目标 这里分析了 APT攻击的成因、步骤及特点,为如何检测、响应APT攻击提供了很 好的参考参考文献:[1]张帅•对APT攻击的检测与防御•信息安全与技术,2011:125-127.[2 ]刘婷婷.APT攻击悄然来袭,企业信息面临“精准打击”用.信息安全与通 信保密,2012: 39-40.[3] 江原.APT攻击的那些事.[J]信息安全与通信保密,2011 (11): 22-23.[4] 陈剑锋;王强;伍淼;网络APT攻击及防范策略.[J]信息安全与通信保 密,2012(07):65-85.。