APT攻擊

本文轉自 boy461205160 51CTO部落格，原文連結:http://blog.51cto.com/461205160/1939743

APT簡介：

高階長期威脅（英語：advanced persistent threat，縮寫：APT），又稱高階持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出於商業或政治動機，針對特定組織或國家，並要求在長時間內保持高隱蔽性。高階長期威脅包含三個要素：高階、長期、威脅。高階強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，並從其獲取資料。威脅則指人為參與策劃的攻擊。^[1]

APT發起方，如政府，通常具備持久而有效地針對特定主體的能力及意圖。此術語一般指網路威脅，尤其是指使用眾多情報收集技術來獲取敏感資訊的網路間諜活動，^[2]但也適用於傳統的間諜活動之類的威脅。^[3]其他攻擊面包括受感染的媒介、入侵供應鏈、社會工程學。個人，如個人黑客，通常不被稱作APT，因為即使個人有意攻擊特定目標，他們也通常不具備高階和長期這兩個條件。^[4]

目錄

  [隱藏] 

• 1歷史

• 2特點

• 3生命週期

• 4術語

• 5緩解策略

• 6參考文獻

• 7擴充套件閱讀

• 8參見

歷史[編輯]

2005年時，英國及美國的一些計算機應急響應組織釋出報告，提醒人們注意某些針對性的釣魚電子郵件會釋放木馬，外洩敏感資訊，但“APT”一詞還未被使用。^[5]普遍認為“高階長期威脅”這個術語是在2006年由美國空軍創造，^[6]而格雷格·拉特雷上校一般被認為是該術語的發明人。^[7]

震網蠕蟲是APT的一個例子，此蠕蟲專門針對伊朗核設施的電腦硬體。此事件中，伊朗政府可能就把震網蠕蟲的創造者視為一個高階長期威脅。

在電腦保安社群及媒體中，此術語常指標對政府、公司、政治活躍分子的長期而複雜的黑客攻擊，廣泛來講也指發起這些攻擊的幕後團體。^{[來源請求]} 日趨頻繁的高階長期威脅（APT）可能會逐漸只用於指代計算機黑客入侵。據《PC World》雜誌統計，從2010年到2011年，針對性的高階電腦黑客攻擊增長了81%。^[8]

對於APT的一個常見誤解^[誰？]是，APT僅僅針對西方政府。雖然針對西方政府的APT事件在西方廣為流傳，但許多國家的黑客也會通過網路空間收集個人或一群個人的情報。^[9][10][11]美國網戰司令部負責協調美國軍方對網路攻擊作出的響應。

有說法稱一些APT團體直屬於或受僱於民族國家。^[12][13][14] 掌握大量可辨識的個人身份資訊的行業極有可能遭受高階長期威脅，如：^[2]

• 高等教育^[15]

• 金融機構

特點[編輯]

Bodmer、Kilger、Carpenter和Jones的研究將APT的標準定義如下：^[16]

• 目標 – 威脅的最終目標，即你的對手

• 時間 – 調查、入侵所花的時間

• 資源 – 所涉及的知識面及工具（技能和方法也有所影響）

• 風險承受能力 – 威脅能在多大程度上不被發覺

• 技能與方法 – 所使用的工具及技術

• 行動 – 威脅中採取的具體行動

• 攻擊源頭 – 攻擊來源的數量

• 牽涉數量 – 牽涉到多少內部或外部系統，多少人的系統具有不同重要性

• 資訊來源 – 是否能通過收集線上資訊識別出某個威脅

生命週期[編輯]

APT的幕後黑手會對組織團體的金融財產、智慧財產權及名譽造成持續變化的威脅，^[17]其過程如下：

1. 因一個目標開始盯上特定組織團體

2. 試圖入侵到其環境中（如傳送釣魚郵件）

3. 利用入侵的系統來訪問目標網路

4. 部署實現攻擊目標所用的相關工具

5. 隱藏蹤跡以便將來訪問

2013年，美國網路安全公司麥迪安（Mandiant）釋出了關於2004至2013年間疑似來源於中國的APT攻擊的研究結果，^[18]其中的生命週期與上述相似：

• 初始入侵 – 使用社會工程學、釣魚式攻擊、零日攻擊，通過郵件進行。在受害者常去的網站上植入惡意軟體（掛馬）也是一種常用的方法。

• 站穩腳跟 – 在受害者的網路中植入遠端訪問工具，開啟網路後門，實現隱蔽訪問。

• 提升特權 – 通過利用漏洞及破解密碼，獲取受害者電腦的管理員特權，並可能試圖獲取Windows域管理員特權。

• 內部勘查 – 收集周遭設施、安全信任關係、域結構的資訊。

• 橫向發展 – 將控制權擴充套件到其他工作站、伺服器及設施，收集資料。

• 保持現狀 – 確保繼續掌控之前獲取到的訪問許可權和憑據。

• 任務完成 – 從受害者的網路中傳出竊取到的資料。

麥迪安所分析的這起入侵事件中，攻擊者對受害者的網路保有控制權的平均時間為一年，最長時間為五年。^[18] 此次滲透攻擊據稱是位於上海的中國人民解放軍61398部隊所為。中國官方否認參與了這些攻擊。^[19]

術語[編輯]

APT並無準確定義，但總體可歸納如下：^[3][4][20]

• 高階 – 威脅的幕後操縱者對情報收集技術有著全面的掌控能力。其中可包括電腦入侵技術和傳統情報收集技術（如電話監聽技術、衛星成像技術）。攻擊中使用的各個元件本身可能並不能算特別“高階”（例如，利用公開的惡意軟體生成工具生成的惡意軟體，或是一些容易獲得的漏洞利用材料），但是操縱者往往可以按需開發出更高階的工具。他們一般會使用多種針對方式、工具和技術以入侵目標，並保持訪問許可權。操縱者也可能會特別注意行動中的安全，這一點和“不那麼高階”的威脅有所不同。

• 長期 – 操縱者注重一個特定的任務，而不是盲目搜尋資訊。這一區別暗示攻擊者受到外部力量指示。為了達到預定目的，攻擊者會持續監控目標，並做出反應。這並不表示攻擊者會經常發動攻擊、頻繁更新惡意軟體。事實上，“放長線”的方法會更為成功。如果操縱者失去了對目標的訪問權，他們一般會重新嘗試入侵，也往往會成功。操縱者的目的之一就是對目標保有長期的訪問權，而不是一次性的訪問權。

• 威脅 – APT之所以成為威脅，是因為發起方既有此能力，又有此意圖。APT攻擊是由一群有組織的人發起的。操縱者有特定的目標，且技術精湛、資金雄厚。

緩解策略[編輯]

惡意軟體的變種數以千萬計，因此要保護組織團體免於APT攻擊極為困難。雖然APT活動十分隱蔽，但與APT相關的命令與控制網路流量卻很容易在網路層檢測。深入的日誌分析和比對有助於檢測APT活動。儘管要從正常流量中分離出異常流量有一定難度，但這一工作可以藉助完善的日誌分析工具來完成，以便安全專家調查異常流量。^[1]

^{51cto APT專題}

^{http://netsecurity.51cto.com/art/201109/290796.htm}