APT攻击趋势分析和防御建议

来源:用户上传      作者:曹顺超 王翔宇 唐刚

　　关键词：APT;高级持续性威胁；Oday；供应链攻击；监测和防御
　　1APT攻击概述
　　1.1APT攻击特点
　　APT一词最早是在2006年由美国空军分析师针对未知入侵活动提出。近年来，随着全球通信及互联网技术的快速发展，社会生产、生活方式发生巨大变化，窃取机密情报、破坏基础设施的各类APT攻击事件频发，对全球经济和国家安全造成严重影响，APT攻击已经成为网络空间最严重的安全威胁之一。
　　美国国家标准与技术研究院（National Institute ofStandards and Technology，NIST）对APT的定义为攻击者掌握复杂的专业知识和重要资源，通过多种攻击途径（如网络、物理设施和欺骗等），在目标组织的信息技术基础设施上建立和扩展立足点，以窃取机密信息，破坏或阻碍任务、程序或组织的关键系统，或者驻留在组织的内部网络，进行后续攻击。
　　APT攻击具有攻击者组织严密、针对性强、技术高超、隐蔽性强、持续时间长等特点。
　　（1）组织严密：APT攻击一般具有军事、政治或经济上的目的，攻击者团队作战，分工明确，具有严密的组织。
　　（2）针对性强：APT攻击的目标明确，攻击者一般只针对特定的目标机构、目标网络和目标信息资产开展攻击。
　　（3）技术高超：APT组织在人才、资金方面拥有丰富的资源，在漏洞挖掘、恶意代码编写、渗透测试等方面拥有高超的技术能力。
　　（4）隐蔽性强：APT攻击者具有极高的隐蔽能力，在整个攻击过程中会想方设法绕过目标单位安全设备的检查，在系统中并无明显异常。
　　（5）持续时间长：APT攻击持续时间较L，在数据外泄阶段会在目标网络中进行长期潜伏，时间可达数月甚至数年。
　　1.2APT生命周期
　　参考网络攻击杀伤链（Cyber-Kill-Chain）模型和ATT&CK（Adversarial Tactics， Techniques and CommonKnowledge）模型，APT的生命周期可分为情报侦察、前期渗透、入侵实施、数据窃取、隐蔽通道5个阶段，每个阶段环环相扣，具体如图1所示。
　　第1阶段，情报侦察。本阶段攻击者通过主机扫描、端口扫描、漏洞扫描、钓鱼等手段收集攻击目标的开放端口、潜在漏洞等情报信息，并利用这些情报信息制定入侵方案，如开发攻击工具，绕过安全措施，确定攻击时间等。
　　第2阶段，前期渗透。本阶段攻击者利用Oday攻击、SQL注入攻击、设计缺陷攻击、VoIP攻击、鱼叉式钓鱼攻击等方式，实施渗透并获得对端点设备的有限访问权限。被攻击的端点设备可以进一步提升特权，也可用作通信雷达和信息收集设备。
　　第3阶段，入侵实施。本阶段攻击者将对上一阶段控制的端点设备实施进一步渗透攻击，以实现权限提升及横向渗透。通过扩展访问权限寻找有价值的数据，利用系统的内部漏洞增强隐蔽性[1]。
　　第4阶段，数据窃取。本阶段攻击者将检索攻击目标电子邮件和备份服务器数据，破坏数据库，窃听或操纵VoIP对话。通过部署远程访问工具、密钥记录器或脚本工具等进行数据过滤，并采取各种反签名、反溯源手段避免触发警报。
　　第5阶段，隐蔽通道。攻击者通过建立无数的后门来创建隐蔽通道，使用反追踪技术废除或损坏证据。攻击者成功控制目标网络后，窃取机密情报，为后续进行欺诈交易、商务勒索提供筹码[2]。
　　2APT攻击事件和趋势分析
　　近年来，各类APT攻击频繁爆出，对社会的经济和稳定造成严重影响。著名的APT攻击有Google极光攻击、超级工厂病毒攻击（震网攻击）、SolarWinds供应链攻击、夜龙攻击、Nitro攻击、暗鼠攻击、RSASecurID窃取攻击、Lurid攻击等。其中，SolarWinds供应链攻击因其影响范围广、复杂程度高等特点，受到社会各界的高度关注[3]。
　　2020年12月，SolarWinds供应链攻击事件爆光，其大致攻击流程如下，首先APT组织通过前期渗透成功获取SolarWinds公司的网络访问权限，然后在其网管软件Orion的更新包中植入Sunburst后门，用户下载安装包含后门的Orion软件更新包后，将被植入木马，用于实施信息窃取或横向渗透。SolarWinds作为全球IT管理软件供应商，客户遍布全球多个国家和地区，本次事件约18 000个客户遭受攻击，被称为“史上最严重”的供应链攻击[4]。
　　随着世界经济和技术的发展，全球APT攻击的特点也不断发生变化。奇安信威胁情报中心发布的《全球高级持续性威胁（APT） 2021年度报告》指出，受新冠疫情影响，2021年度全球APT攻击活动呈以下特点：（1）针对源代码的供应链攻击呈上升趋势；（2）航空产业成为境外情报机构的重点攻击目标；（3）新型APT组织提供破坏服务，以敛财为目的（通过定向勒索获取经济利益）；（4）在野Oday漏洞深受APT组织青睐；（5） APT组织攻击武器、手段持续更新升级。2021年，受攻击较多的5个APT目标包括相关机构、医疗行业、科技行业、国防军工和制造行业。2021年，活跃度较高的5个APT组织包括Lazarus，APT29，Kimsuky、肚脑虫和海莲花[5]。
　　中国作为全球APT攻击的首要地区性目标，网络安全面临巨大考验。APT组织将中国作为攻击目标，不惜花费巨额资金和人力物力成本，不断升级攻击手段，提升攻击频率，频繁使用Oday漏洞对国内科研、教育、能源、军工、核能等关键行业实施了高频次定向攻击。经奇安信威胁情报中心分析，2021年，我国攻击频率最高、危害最大的APT组织主要来自东亚、南亚和东南亚地区，其中包括海莲花、蔓灵花、虎木槿、Winnti、毒云藤等，攻击活动主要针对我国卫生医疗部门、高新科技企业等领域，重点攻击目标区域包括广东、福建、浙江、江苏等沿海省份及北京。
　　3APT攻击的监测和防御建议
　　面对全球APT攻击持续活跃的严峻形势，本文建议从以下几个方面加强网络安全管理和建设工作，防范境外APT组织对我国发起定向攻击，从而提升我国APT监测和防御能力。
　　一是持续关注APT组织动态。组织国内重点行业、安全厂商、高等院校、研究机构等资源力量，持续跟进APT组织动态分析、技术研究工作，尽量全面掌握APT组织情况、攻击行为特点、常用技术手段等，及时发现针对我国的APT攻击行为并作出响应。
　　二是加强APT攻击技术研究。加强对APT攻击恶意程序的分析、判定，以及APT攻击监测，APT协同处置等相关技术研究工作。促进产、学、研、用相结合，建立APT攻击基础理论，突破关键技术攻关，研制监测系统架构，提升我国对APT攻击的监测、防御能力。
　　三是落实网络安全责任。全国各行业，尤其是APT攻击的重点目标行业，应落实行业网络安全责任。行业监管部门要按要求开展监督管理工作，行业内相关企业按要求落实网络安全和数据安全各项工作，如部署适配的安全设备、定期开展资产安全审查、定期组织针对性应急演练等，行业上下共同树立针对APT攻击的安全防御屏障。
　　四是防范Oday漏洞攻击。各企业应建立健全的安全管理体系，针对Oday攻击做到事前预防、事中响应、事后总结。在系统需求分析和设计阶段，进行合理的安全设计，规避风险；在系统开发阶段，提升开发人员的安全编码意识，选用安全的开源组件，避免Oday漏洞的发生，降低风险；在系统运维阶段，建立完善的应急处置方案，密切监测漏洞信息，发生Oday攻击后按流程快速响应，最大限度地减少影响。
　　五是加强安全人才培养。企业和高校联动，建立APT研究实验室，开展高水平教学、研发活动，聚集和培养优秀科技人才，壮大我国网络安全人才队伍。


转载注明来源:https://www.xzbu.com/8/view-15445803.htm