CNET产业观察室：
APT攻击 你了解多少？

APT攻击通常是为了窃取信息，隐匿自己，针对特定对象，长期、有组织、有计划的窃取数据，但其有时也会被用作从事破坏性行为。

APT攻击行为具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络，由黑客通过幕后操纵通讯服务器（Command-and- control (C&C) server）从远程对已渗透的计算机下达指令。

APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息和情报，针对被攻击环境的各类0day收集也必不可少。

APT被视为一连串的攻击活动，而非单一事件。APT会利用各种方法不停的尝试，直到达到目的为止。

典型的APT攻击途径：通过SQL注入等攻击手段突破面向外网的Web Server；

通过被入侵的Web Server做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备；

通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境；

被攻击者的私人邮箱自动发送邮件副本给攻击者；

通过植入恶意软件，如木马、后门、Downloader等恶意软件，回传大量的敏感文件（WORD、PPT、PDF、CAD文件等）；

通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。

第1阶段，情报收集：攻击者会锁定的公司和资源采用针对性APT攻击，通常将目标锁定到企业员工的身上作为开端，并通过社交工程攻击开启一连串攻击。

第2阶段，进入点：利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。

第3阶段，命令与控制 （C&C 通信）：APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后，APT攻击活动利用网络通 信协议来与C&C服务器通讯，并确认入侵成功的计算机和C&C服务器间保持通讯。

第4阶段，横向扩展：在目标网络中找出放有敏感信息的重要计算机，使用包括传递哈希值算法的技巧和工具，将攻击者权限提升到跟管理者一样，让他可以轻松的去访问和控 制关键目标（如：公司的邮件服务器）。

第5阶段，资产/资料发掘：为确保以后的数据窃取行动中会得到最有价值的数据，APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点，来挖掘出最多的资料，而且在 这个过程当中，通常不会是重复自动化的过程，而是会有人工的介入对数据做分析，以做最大化的利用。

第6阶段，资料窃取：APT是一种高级的、狡猾的伎俩，高级黑客可以利用APT入侵网络、逃避"追捕"、悄无声息不被发现、随心所欲对泄露数据进行长期访问，最终挖掘到攻 击者想要的资料信息。

2013年3月20日下午，韩国多家大型银行及数家媒体相继出现多台电脑丢失画面的情况，有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为"WhoIs" 团体的警告信息，继而无法启动。

然而，此攻击仅仅是韩国在同一时间遭受的多起攻击之一，甚至还导致很多企业业务运行出现中断，最终这些企业耗费4~5天时间才完全 恢复业务。

在此次韩国APT攻击事件中，攻击者入侵客户内部的韩国本地最大防病毒厂商安博士（AhnLab）更新服务器，利用更新服务器下发恶意程序到终端，其中包 含MBR修改木马。

自我毁灭：一般APT均是低调丏隐蔽，以不被发现为主，长期窃取资料。此次韩国APT攻击事件宣示警告意味居多；

复写主机主引导记录（Master Boot Record，MBR），让后续的分析调查难以迚行；

攻击者充分了解目标使用操作系统，针对不同版本Unix或Linux服务器撰写MBR破坏程序，意图中断重要IT业务服务。

对社交工程邮件中的恶意附件迚行分析之后，是否能在最短时间内将分析结果做成特征码，在计算机主机建立最后一道防线，迚行侦测不清除？

在紧急状况发生时，是否具有自我戒外部与业服务的信息安全调查不响应能力？

如何监控重要服务器的异动情形，针对异常状况立即通知戒示警？

APT攻击或锁定目标攻击会不断渗透并躲过传统的信息安全机制，包括：防毒、新一代防火墙以及入侵防护系统。企业必须采用一套新的方法来侦测并分析高级持续性威胁攻击 （APT），并且快速调整其安全管理策略来对付攻击者。

趋势科技的定制化智能防御战略（Custom Defense Strategy）整合了解决方案、全球威胁情报以及专业的工具与服务，提供一套完整的解决方案来应对APT攻击，该解决方案提 供定制化侦测与防护技术，可自动更新至网络设备、网关、服务器与端点设备等防护点，让企业迅速调整并响应这类攻击。

在趋势科技定制化智能防御解决方案中，整合了端点防护产品、邮件安全产品、全球智能侦测、Deep Discovery威胁发现设备TDA、云安全威胁百科Threat Connect等趋势科技 安全产品和解决方案。趋势科技"主动式云端截毒技术"（Smart Protection Network）依托于对数百万兆（Terabyte）云端威胁情报进行关联性分析，让企业获得有关特定威胁 及网络黑客的信息，拥有所需的情报来实施反击。

在最近韩国所发生的攻击事件当中，采用定制化智能防御战略技术的趋势科技客户能在黑客攻击造成伤害之前便预先发觉及响应。趋势科技定制防护解决方案，在社交工程邮件 送达目标邮箱之前即拦阻。在毁灭性攻击活动之前，趋势科技威胁发现设备TDA发现社交工程邮件，利用沙盒分析机制，产出分析报告与样本，让IT人员能够及时响应，提供后续防 护。

启发式侦测提供威胁可见性，清楚定位威胁攻击的目标员工或计算机，而沙盒分析提供了响应威胁所需要的信息，例如在防火墙戒web网关处阻挡C&C通讯。云安全威胁百科 Threat Connect提供趋势科技的所有威胁情报，像是参与攻击的系统、与不同域名、文件、URL及恶意软件家族的关系等。借由这些情报，IT人员可以辨认各种恶意程序与攻击来源 ，并决定适当的防御措施。

趋势科技中国区产品经理蒋世琪认为，ATP攻击并不是一个单一的病毒事件，不是单一安全产品就可以解决的问题，要抵抗ATP攻击，需要安全产品加上企业内部的管理人员，再 加上安全厂商的专业知识，这此因素要综合在一起。

蒋世琪强调，ATP攻击非常考验企业IT管理人员以及安全厂商的能力。面对ATP攻击，不是说完全单靠过去的技术储备就足够了，对企业IT安全知识方面的要求更高，监控机制的 建立，对事件响应流程的建立，是抵御ATP攻击相当重要的课题。很多企业已经开始雇佣一些具备安全能力分析的专家，有自己的安全分析师。

第一、攻击将会更有针对性：越来越多的APT攻击将会针对特定的地区、特定的用户群体进行攻击。在此类攻击中，除非目标在语言设定、网段等条件上符 合一定的标准，否则恶意软件不会运行。在2013年将会看到越来越多的本地化攻击。

第二、APT攻击将更有破坏性：在2013年，APT攻击将带有更多的破坏性质，无论这是它的主要目的，或是作为清理攻击者总计的手段， 都很有可能成为时间性攻击的一部分，被运用在明确的目标上。

第三、对攻击的判断将越来越困难：在APT攻击防范中，以往通常用简单的技术指标来判断攻击的动机和地理位置。但到了2013年，将需 要综合社会、政治、经济、技术等多重指标进行判断，以充分评估和分析目标攻击。但是，多重指标很容易导致判断出现失误，而且，攻击者还可能利用伪造技术指标来将怀疑对 象转嫁到别人身上，大大提升了判断的难度。