作者｜高尉峰，單位：中移雄安產業研究院智慧城市平臺部

?Labs 導讀

近年來，高級可持續性威脅（APT）大幅增加，多個國家都受到了來自APT組織的攻擊，網絡戰也愈演愈烈，對企業安全和國家安全造成了重大威脅。APT溯源與反溯源技術對于APT攻擊的防御有著舉足輕重的作用，攻擊事件發生后，溯源是應急響應過程中的核心環節，對攻擊行為能否準確溯源，直接決定應急響應的安全加固措施是否有效。知己知彼才能百戰不殆，所以本文針對APT攻擊的特征、溯源和反溯源技術做一個全面的講解。

1什么是APT攻擊？

高級可持續性威脅（APT），是指隱匿而持久的主機入侵過程，通常出于商業或政治動機，由某些人員精心策劃，然后針對特定組織或國家進行攻擊，該攻擊的主要特征是能夠持續監控靶機，并從靶機獲取數據。

1.1 APT攻擊與傳統攻擊的區別

• 組織性：APT攻擊通常是由一個組織發起的攻擊，可能具有軍事或政治目的，會與國家關聯在一起，背后往往有雄厚的資金支持；而傳統的攻擊通常是由黑客個人發起，沒有嚴密的組織。
• 目標針對性：APT組織不會盲目攻擊，通常會針對性的選擇一個攻擊目標，該目標往往具有軍事、政治、經濟上的較高價值。而傳統的攻擊通常采用“大水漫灌”式的無差別攻擊手段。
• 攻擊戰術：APT攻擊的樣本變種多且升級頻繁，同時利用零日漏洞進行樣本的投遞，使得基于特征匹配的傳統防御技術很難有效檢測出攻擊；而傳統的攻擊大多使用流量泛洪或者已知漏洞進行攻擊。
• 隱蔽性：APT攻擊使用加密隧道進行通信，具有較強的隱蔽能力，基于流量檢測的防御很難發揮作用；而傳統的攻擊未使用加密隧道進行敏感信息竊取。
• 持續時間：APT攻擊往往會持續數年的時間。而傳統的攻擊持續時間較短，漏洞利用成功后不會給靶機留下后門程序。

下圖表示APT攻擊常用的戰術：

1.2 APT攻擊步驟

• 情報收集：攻擊者使用魚叉式釣魚攻擊、google搜索引擎、掃描工具、社會工程學手段尋找靶機的信息，該信息包含域名，子域名，ip地址，已知漏洞等等。
• 資源開發：攻擊者會購買、租賃可使用的基礎設施。包括物理或云服務器、域名和第三方Web服務、僵尸網絡等等。 
• 初始訪問：攻擊者利用0 day漏洞、N day漏洞攻擊軟件供應鏈，達到利用靶機漏洞的目標。
• C2通信：給靶機投遞樣本，從而使得C2服務器和靶機建立通信加密隧道。
• 橫向移動：攻擊者通過C2服務器對內網中的主機進行橫向滲透，最終拿下內網主機的控制權，同時給靶機留下后門程序，便于持續攻擊。
• 資產發現：使用掃描工具掃描內網主機的指紋信息，比如ip，開放端口，未修復的已知漏洞。
• 數據泄露：攻擊者會將靶機敏感信息壓縮、加密，然后通過加密隧道竊取。

下圖展示了橫向運動的過程，V代表C2服務器，紅線左側代表公網，紅線右側代表內網，內網中的四臺主機只有192.73.1.19可以與公網通信，其他三臺主機均與公網隔離，但是C2服務器通過打通內網路由的方式成功控制了內網的四臺主機。

2什么是APT攻擊溯源？

通過攻擊溯源，我們可以確定源IP或媒介IP，及其對應的攻擊路徑，從而制定更有針對性的防護或對策，實現主動防御。安全業界常見的溯源方式是基于防火墻和流量檢測技術，但是這種溯源方式存在誤報率高，單點安全告警無法聯動，無法還原完整攻擊鏈的問題，但是APT攻擊溯源能夠解決上述問題。APT攻擊溯源主要分析以下三個問題：

• Why：黑客為什么能攻擊進來，黑客采用了哪些攻擊手段，哪些黑客工具。
• Who：確定攻擊者的身份、個人信息以及網絡指紋。
• Where：發現安全事件的軌跡，找出攻擊者的歷史軌跡。

3如何實現APT攻擊的溯源？

APT溯源的過程類似警方破案的過程，溯源需要證據，不能靠猜測。常見的溯源技術如下：

3.1 對APT組織畫像

3.2 通過IOC（特征值）進行攻擊溯源

1. 0 day，N day漏洞，web漏洞，主機漏洞，容器漏洞等等；
2. 異常流量；
3. 樣本（病毒，蠕蟲，木馬等等）；
4. 攻擊ip地址，受害ip地址；
5. 高危端口；
6. 惡意進程及其調用鏈；
7. 主機日志；
8. DNS解析歷史；

3.3 通過沙箱進行攻擊溯源

為解決特征匹配對新型攻擊的滯后性而產生的解決方案。其原理是將實時流量先引入沙箱，通過對沙箱的文件系統、進程、注冊表、網絡行為實施監控，判斷流量中是否包含惡意代碼。同傳統的特征匹配技術相比，沙箱方案對未知惡意代碼具有較好的檢測能力，但其難點在于模擬的客戶端類型是否全面，如果缺乏合適的運行環境，會導致流量中的惡意代碼在檢測環境中無法觸發，造成漏報。

3.4 通過異常行為進行攻擊溯源

其原理是通過對網絡中的正常行為模式建模。核心技術包括元數據提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊。

3.5 通過全流量審計進行攻擊溯源

其原理是對鏈路中的流量進行深層次的協議解析和應用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時，在全流量存儲的條件下，回溯分析相關流量，例如可將包含的http訪問、下載的文件、及時通信信息進行還原，協助確認攻擊的完整過程。這種方案具備強大的事后溯源能力和實時檢測能力，是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結合的解決方案。

3.6 樣本溯源

樣本的靜態特征有語言、pdb、字符串等，pdb文件主要存儲了VS調試程序時所需要的基本信息，主要包括源文件名、變量名、函數名、FPO(幀指針)、對應的行號等等?？梢酝ㄟ^樣本的聚類和同源分析，ip、domain、url、md5等的關聯實現溯源。

3.7 溯源案例分析

WannaCry勒索攻擊是2017年5月由WannaCry蠕蟲發起的全球網絡攻擊，該攻擊通過加密數據并要求以比特幣加密貨幣支付贖金。

通過樣本溯源和流量分析就能準確定位WannaCry勒索攻擊，分析方法如下：

• 對比WannaCry1.0和WannaCry2.0的樣本信息，可以確定樣本歸屬于同一攻擊組織。

• 如果內網主機的445端口建立了大量連接，說明WannaCry蠕蟲正在橫向移動，從而證明內網已經被WannaCry蠕蟲感染。

4如何實現APT攻擊的反溯源？

“道高一尺，魔高一丈”，既然有溯源技術，那就肯定有反溯源技術。對于APT組織來說，通信信道的隱蔽性直接決定了是否能夠持續攻擊，如果缺少隱蔽性，就需要不斷開發樣本，因此會提高攻擊成本，下面介紹一種通過端口映射隱藏攻擊ip的方法。

• 通過隧道將C2服務器回連端口映射到其他公網地址，從而隱藏C2服務器真實ip，隧道最好采用https，可以加強通信的隱蔽性。

• 通過CS軟件控制內網靶機，下圖表示靶機已經被控制。

• 在靶機上通過網絡連接查看攻擊ip，發現C2服務器的ip已經被隱藏，靶機顯示的目標ip是偽造的公網ip。

5如何防御APT攻擊？

目前安全業界比較流行的防御APT思路如下：

1. 采用機器學習和大數據分析技術來發現APT行為，典型的公司是FireEye；該方法的優勢是能夠快速分析出同源樣本以及樣本的歸屬組織，劣勢是需要海量的樣本數據進行模型訓練，很多企業沒有海量的樣本數據來訓練模型。
2. 采用數據加密和數據防泄密(DLP)來防止敏感數據外泄，典型的公司是賽門鐵克；該方法的優勢是可以最大程度的保證數據安全，而且容易操作，劣勢是敏感數據分類分級的標準不統一，導致防泄密策略不明確。
3. 采用身份認證和用戶權限管理技術，嚴格管控內網對核心數據和業務的訪問，典型的公司是RSA。該方法的優勢是可以降低樣本橫向移動的可能性，劣勢是網絡的微隔離可能影響業務訪問速度。
4. 采用應用程序白名單和域白名單，通過白名單控制網絡訪問的域以及用戶安裝的應用程序，該方法對防御樣本在靶機上的執行非常有效。該方法的優勢是可以有效防止樣本執行，劣勢是可能導致正常的程序無法運行。