【转载】高级持续性威胁（APT）概述

gclome

转载自微信公众号：计算机与网络安全

           ID：Computer-network

由于攻击者对攻击有更强和更灵活的控制，他们有能力发动针对特定目标的隐蔽且持久的战斗。这为威胁赢得了一个新的名称：高级持续性威胁。

高级持续威胁（Advanced Persistent Threat，APT）的定义：

高级：因为它是由广泛的感染载体以及攻击者能够使用的各种恶意软件技术组成，以达到成功感染目标系统的目的。组合这些技术的方式是依据攻击者想要发动的威胁模式来确定的。

持续：因为系统被攻击的威胁一直存在。攻击者积极且有意识地连续尝试攻击目标系统，所带来的结果是一波连续攻击。

威胁：这种攻击对目标造成了真正的威胁，这不仅仅是因为它背后的高度组织、资金充裕以及动机明确的犯罪元素，而且因为如果这个攻击成功的话，它能够造成非常可怕的后果，而不只是一个正常的系统被清除那么简单。

1、攻击方法

这种攻击没有什么新的内容，它已经存在很长一段时间了。以前它被称为“定向攻击”，但是当Google和Adobe这些著名公司受到攻击后，它才逐渐进入人们视野，人们给这种攻击取了一个很有意思的名字：高级持续性威胁（APT）。

不像其他攻击那样很嘈杂且经常受到关注，APT攻击更加狡猾和沉默。它们的目的是在装有检测设备的被攻陷系统上维持一个立足点。它们在一个系统上驻留的时间越长，从系统上获取的利益就越多。受感染系统会变成一个源源不断的输出盗取数据的资源或是变成攻击者出租僵尸网络而获利的一部分。在某些实例中，一个成功的攻击能够在长达数年的时间内不被发现。但是要达到这种程度需要大量的工作和攻击者的耐心。攻击者知道回报是巨大的，因此他们愿意投入时间。

这种攻击可以分为四个阶段：

● 确定攻击类型
● 收集信息
● 攻陷系统
● 执行指令

（1）确定攻击类型

根据赞助者的指示，攻击的类型可以是以下的一种或几种的组合：

● 访问盗取信息
● 使竞争组织的系统死机
● 破坏竞争组织的系统

访问盗取信息是APT最常用的一个攻击类型。高级持续性攻击的隐蔽和低调的特征使它成为一种盗窃信息的完美攻击手段。最常见的目标信息涉及以下这些领域：

● 个人身份信息（任何对个人唯一的信息）

社会保险号
医疗记录

● 私人信息

公司登录证明
邮箱密码
社交网络密码

● 财务信息（任何可以授权访问个人或公司资金的信息）

在线银行账户证书
信用卡信息

● 专有资料（任何重要的个人或公司拥有的不公开出售的资料）

源代码
交易机密
电子邮箱和聊天通信

使一个竞争对手机构的系统死机通常使用两种方式：通过木马的功能进行破坏或者使用DDoS攻击。对于使用木马攻击，对存在恶意软件的系统发布一个摧毁命令就可以损坏整个系统。对于DDoS攻击，只是通过削弱一个组织的服务来损坏系统，而不是摧毁整个系统。对于DDoS攻击存在两种受害者：用来发动DDoS攻击的受感染系统以及承受DDoS攻击的目标机构。

对一个竞争机构的破坏可以以这种方式来实现：在系统受感染以后，在系统中植入一些错误的数据或是涂改面向公众的资源，比如这个机构的主页。
（2）收集信息

攻击者在策划攻击时，需要考虑许多不同的因素，比如系统信息、软件安装、内部或外部的防御系统以及面向公众的电子资源。他们采用的方式和信息安全中的威胁建模有些类似，不同的是他们的目的是发动一次成功的攻击，而不是防御可能的攻击。

一旦锁定了一个目标，就可以开始收集信息了。信息收集是非常重要的，因为那些被选作支持APT的技术都依赖于这些收集到的信息。目标信息的主要来源有：

● 公共信息
● 内部人员信息
● 系统侦察信息

收集公共信息是首先需要做的事情，有时候如果获取足够多的公共信息就没必要收集其他信息了。招聘广告、论坛以及社交网站是些不错的选择。一个非常有用的招聘广告投放通常是那些需要招聘一些科技职位（比如说一个系统管理员）的广告。能够胜任系统管理员职位的人需要拥有管理特定服务器的能力，关于操作系统的知识或是部署在公司里的安全解决方案的操作技能。单单靠这些信息，攻击者就能够获得在这个企业中关于服务器，服务器上的操作系统以及部署在公司内的安全解决方案的信息。另一个攻击者经常利用的平台是那些技术支持论坛，许多职工会在论坛中请教那些他们在各自公司中遇到的技术问题。论坛对于信息收集来说算是一座“金矿”，特别是在某些职员使用他们公司邮箱来提问的情况下。有些人会非常详细地描述他们遇到问题的系统，这样才能让其他人更好地帮助他。

网络捕鲸是针对组织中高级行政或管理职位的网络钓鱼。

社交网站也是一个收集信息的好场所，尤其是使用社会工程策略的信息。例如，一个经理发了这样一条消息：他在某地无聊的参加某个研讨会，度过了一段愉快的时间。这样的信息能够为攻击者提供一个好的“网络捕鲸”主题发到他的邮箱。

内部人员信息总是很有价值的，但并不是所有的攻击者都能够得到这份便利，除非有些公司的职员资源出售这些信息，或者在赞助者是一个心怀不满的员工的情况下。

系统侦察能够产生最好的效果，但同时它需要冒很大的风险。这个工作考验网络犯罪组织的黑客技巧。

在所有需要的信息收集完毕后，就可以进行威胁建模分析了。攻击者寻找目标系统的漏洞，通过这些漏洞来感染目标系统。目标系统的漏洞主要包括以下几种：

● 硬件（服务器、工作站、路由器、安全应用设备）
● 软件（操作系统和安全解决方案）
● 人（经理和职员）

一旦这个工作结束，攻击者就需要选择用于支持攻击的技术，接着系统攻击的工作就开始了。

（3）攻击系统

支持APT的技术组件就位后，以攻陷整个系统为目标的攻击就开始。成功的系统攻陷是通过谨慎地选择感染途径、恶意软件安装程序和恶意软件组件来完成的。一旦一个系统被攻陷，僵尸代理就会将标志攻陷成功的状态报告给攻击者。

（4）执行指令

成功攻陷系统以后，恶意软件僵尸代理会等待攻击者发来的新的命令，以决定下一步的动作或一系列动作。这些命令通常是攻击者根据赞助者的要求制定的。这种指令可以在恶意软件报告攻陷成功后立刻通过C＆C信道进行通信，也可以是已经包含在随恶意软件一起安装的那些配置文件中的指令。

2、攻击的收益

攻击必须要产生一定成果（盈利）。赞助者期望他们能从攻击中得到投资回报（ROI）。回报形式可以是一次成功的死机或破坏竞争对手的系统，也可以是盗取的信息。

在这些回报中，最能盈利的是盗取信息，它通常是对投资最好的回报。盗取信息的盈利性导致了新一代信息盗取恶意软件的产生，同时也是一个主要的驱动力，引导恶意软件从一个小麻烦转变为一个真正的威胁。

有些赞助者自己持有这些盗取的信息，有的会将它免费地发给公众，而另外一些赞助者将它们出售出去。根据盗取信息的特征，通常将它们卖给竞争公司、其他政府或是公众。几乎所有的信息都可以卖给公众，但大部分卖给公众的信息是财务信息，如信用卡号码和在线银行证书。

这类广告也包括卖家的联系方式。有些卖家甚至提供试用服务：他们会先发一部分信用卡号码给买家试用，试图达成交易。一些黑客论坛还提供卖家的信用排名，与Amazon和eBay的排名方式相似。当一个交易定下来且准备付款时，盗取信息的承办方会使用某些支付方式，所有这些方式都不留下指向卖家的痕迹。支付方式的选择由交易金额的数量以及交易风险大小来决定。它可以简单到使用预付卡和借记卡，也可以使用一套更健壮的支付流程，其中包括财务管理者和支付代理，也就是我们熟知的洗钱者。

赞助者愿意为一个攻击付款，再加上盗取信息的高回报性，使得恶意软件交易成为繁荣的产业。只要保持资金的流入，网络犯罪组织和独立的技术提供者就会不断地为那些想购买恶意软件的人们提供服务。这种盈利的地下贸易自身成为一种繁荣的经济模式。