APT攻击防护浅谈

摘 要：APT攻击作为一种高级持续性网络攻击手段，正威胁着各个行业企业的安全。本文通过对多个APT攻击案例进行分析，针对APT攻击过程，在技术和管理方法上提出了一些建议和实现的思路。

关键词：APT；社会工程；异常行为检测；防数据泄露

中图分类号：TP393.08

近年来，众多知名公司遭受APT攻击事件被曝光，使得APT攻击成为业内谈论的高频词汇。所谓APT，（Advanced Persistent Threat）――高级持续性威胁，可以从三个方面来理解：

（1）高级性。具有非常明确的目标，应用多种嗅探手段以及全面的情报搜集。通常利用0day漏洞，采用广谱性的入侵技术，由分工明确一组或多组人员协作完成，多为专业的网络犯罪团伙或有组织和国家支持的特种攻击团队。

（2）持续性。攻击的侦查和攻击过程持续时间很长，以不达目的不罢休的决心，潜伏在网络内部，等待时机窃取数据信息。

（3）隐蔽性。入侵进目标系统后，常常采用在系统底层建立隐蔽后门通道，使用增加数字签名、使用DLL搜寻路径劫持等技术来隐藏自身或伪装成合法程序运行在主机上。

1 APT攻击过程

APT攻击过程[1]大致上相同，大体上可以分为五个步骤：

（1）攻击目标之前，攻击者会进行嗅探网络和搜索有关于目标的情报。通常利用google搜索和各种扫描工具来搜索收集有用的人员信息，网络和主机信息等等。

（2）通过收集的信息，利用0day漏洞，攻击特定的主机，并且将恶意程序发送到主机上并诱使人员运行恶意程序。或向特定的人员发送含有恶意URL[2]的邮件或消息，目标人员打开邮件或浏览了恶意的URL，就会执行特制的恶意代码，自动下载恶意程序到本地，并且执行。

（3）在被控制的主机和C&C服务器之间上建立一个穿过内网防火墙的秘密通道。

（4）利用通道寻找重要信息，并确立目标系统。通过通道搜索高层人员的主机，获得高等权限，能够访问存储数据的服务器。

（5）利用通道向本机或指定机器传输数据。攻击者采用高级规避技术将数据传输到外网。外传数据方法有很多，如伪装成可信数据，DNS流量等。

2 APT攻击防护措施

从APT攻击过程看出，攻击经过了多个步骤，同时也为检测和防护提供了机会。因此，APT攻击防护可从防范嗅探网络，防范社会工程学攻击，网络异常行为检测，防数据泄漏等方面来进行。

2.1 防嗅探网络

防范攻击者嗅探网络，也就意味着在攻击者的第一步设下了障碍，降低了网络和主机信息的泄露几率，从而保护了内部网络的安全。防嗅探网络可以从以下几方面入手：

（1）尽量在网络中使用交换机和路由器。由于嗅探只能在当前网络上进行数据嗅探，所以将网络划分的越精细，嗅探到的信息就越少。

（2）会话加密。对会话进行加密。这样就不用担心数据被嗅探，即使嗅探器嗅探到了数据，攻击者也不认识嗅探到的数据，这些数据对其也是没有用的。

（3）使用静态IP-MAC地址表[3]。使用静态IP-MAC地址对应，能够有效的防范IP地址欺骗和MAC地址欺骗在网络内部进行嗅探。

（4）部署防火墙。在网络边界处部署防火墙能够有效的拦截嗅探的数据包。同时，在网络内部关键节点部署防火墙，防止来自内部的嗅探信息。

2.2 防范社会工程学攻击

社会工程攻击，主要利用复杂的人际关系进行攻击。理论上讲，系统以及程序所带来的安全是可以避免的，而对人性和心理方面来说，对社会工程学攻击的防范是很难的。因此提高人的安全意识，才是防范社会工程学攻击最基本的方法。如对禁止员工在微信微博上有关工作的信息，在社交网站上公布自己的私人信息。同时，要对员工进行网络安全意识和网络安全技术的培训，培养员工的保密意识。首先，小心从个人发出的询问员工或其他内部资料的来路不明的电话，访问或者电子邮件信息。其次，要强化员工的密码保护意识，不要用生日、电话、身份证号作为密码。最后，对员工进行网络安全技术培训，主要从系统漏洞补丁、应用程序漏洞补丁、杀毒软件、防火墙、运行可执行应用程序等方面入手，让员工主动进行网络安全的防御，来防范社会工程学攻击，进而防范APT攻击[4]。

2.3 网络异常行为检测

从APT攻击过程可以看出，网络异常行为包括对内部网络的扫描探测，内部的非授权访问，对外部的非法下载，非法外联。这些网络异常行为，包括网络层面的异常行为和用户层面的异常行为。如此以来，就要对内部网络的情况了如指掌。因此，便需要对网络内部异常行为监控和收集，进而对收集的信息进行分类和分析。如部署IDS，审计系统等类似的信息收集和检测系统[5]。

2.4 防数据泄露

防范APT攻击的最重要的环节就是防数据泄露。部署好防范策略，能够有效的防止机密信息丢失。

（1）识别数据并进行分类。企业可以根据详细的完善的数据分类机制，针对不同的数据类型来设计和实施相应的控制措施。

（2）谨慎使用仅限查看访问。使用数据仓库和建立全公司报告能力的需求意味着用户可以更轻松的将之前不相关的数据进行整合，而这也导致了更多的人可以访问非常敏感的数据。这也为攻击者提供了途径来盗取机密数据。所以，要对访问查看数据进行严格的控制，对拥有查看访问权限用户进行严格限制。从而防范数据被通常用户及攻击者查看到。

（3）禁止在网络上使用未经授权的设备。禁止未经授权人士进入公司场所访问网络资源，禁止内部用户将个人设备连接到公司网络上等。个人设备是最有可能缺少终端安全控制措施的设备，也是对机密数据威胁最大的设备。严格的禁止个人设备连接到公司网络上能有效的防止数据遭窃取。

（4）禁止将敏感数据复制到可移动媒体上。将终端所有可能移动存储设备设置为禁止写入，防止人员复制敏感数据。笔记本电脑、智能手机等移动设备应采用全盘加密，公司应适当具备在设备泄露或被盗时将其远程擦除的能力。

3 结语

有效防护APT攻击需要一套详细的完整的防护体系，可以根据以上的防护措施进行部署防护策略，从而做到防御APT攻击或者减少遭遇APT攻击的概率。

参考文献：

[1]张帅.对APT攻击的检测与防御[J].信息安全与技术，2011（9）：125-127.

[2]黄达理，薛质.进阶持续性渗透攻击的特征分析研究[J].信息安全与通信保密，2012，33（05）：87-89.

[3]曹江华.网络嗅探防范[J].计算机网络安全，2004（10）：2-5.

[4]袁艺，郑志，康乐.浅谈社会工程学攻击及其防范措施[J].信息安全，2010（1）：49-51.

[5]宗波.APT攻击防护浅析[J].计算机网络安全，2012（12）：39-40.

作者简介：王哲（1991-），男，北京人，学生，本科，研究方向：网络安全。

作者单位：北京信息科技大学，北京 100000

基金项目：北京信息科技大学2013年大学生科技创新计划项目经费资助。