揭秘网络世界的神秘“刺客”APT

APT就像网络世界神秘莫测的刺客，以其自身的特点威慑着目标系统的安全。俗话说，知己知彼百战百胜，首先让我们先来认识一下APT攻击：首先让我们一起认识一下APT攻击：APT(Advanced Persistent Threat)高级持续性威胁，它并不是一种单一的攻击行为，如果从攻击手段上解释，APT是一种结合社会工程学、利用计算机网络环境中的各个弱点、集合了各种网络攻击手段的一种行为。分析APT攻击过程可以发现：

    1、 APT的攻击者在选择攻击的突破口时，都是想方设法在被攻击者内部网络中的某个终端上运行恶意代码，这种恶意代码往往带有非常强的伪装性和欺骗性，尤其恶意代码采用Zero Day漏洞时，则很难在第一时间发现这种攻击。APT的攻击者在获取终端权限后，再通过该终端进行远程控制，从而实现横向渗透，并最终将所需要的信息回传。

    2、 APT攻击隐蔽能力强，为了躲避传统检测设备，它更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。

    3、 由于APT攻击的持续时间长，从最初的攻击信息搜集，到信息窃取并外传往往要经历几个月甚至更长的时间，传统的检测方式如果只是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。

    在认识了APT之后，让我们一起回顾业界几个比较典型的APT攻击案例：

    1、 超级工厂病毒攻击(震网攻击)：这个病毒早在2007年被发现，超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种0day一点点的进行破坏。

    2、 Google极光攻击：2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终成功参透进入了Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。

    3、 夜龙攻击：夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是：利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码，并被安装远端控制工具(RAT)，最终传回大量机密文档。

    4、 RSA SecurID窃取攻击：2011年3月，RSA公司遭受入侵，公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的Poison Ivy远端控制工具在受感染客户端，并开始自僵尸网络的命令控制服务器下载指令进行任务。

    通过以上这些典型的APT攻击案例，我们不难看出，APT攻击都存在一些共同的特点，就是隐蔽性强，有明确的攻击目标，并通过不计成本挖掘/购买0day漏洞以及多种方式组合渗透、定向扩散，对目标机器进行长期持续性的攻击。同时从上述攻击案例我们也不难发现，当前已处于APT盛行的时代，根据Ponemon研究所名为“高级持续性攻击的现状”报告显示，在过去12个月中，企业平均遭遇了9起这种有针对性的攻击。近一半的企业称，攻击者成功地从他们的内部网络窃取了机密或者敏感信息。另据CN-CERT发布的《2013年我国互联网网络安全态势综述》显示，2013年我国境内至少有1.5万余台主机感染了具有APT特征的木马程序。APT攻击已经成为当前最主要的安全威胁，对于网络安全厂商而言，必须将这类威胁的防范必须融入一个更大的监测及预防策略中，并整合现有的网络防御，由此实现对APT攻击的全面防御。

    面对盛行的APT攻击威胁，各个厂商也推出了自己的APT防御之道，让我们来看看身边的安全厂商是如何防御APT攻击威胁的？

     翰海源星云多维度威胁预警平台

    翰海源于2012年9月就推出了针对APT攻击检测的翰海源星云V1版本，2013年12月又推出了V2版本。V1版主要以无签名算法检测为主，主要用于企事业单位的部署使用；V2版本中增加了以动态行为分析为主的APT攻击的检测体系。

     启明星辰恶意代码检测引擎

    启明星辰恶意代码检测引擎主要是针对恶意代码检测的一款专用产品，该产品可以对已知的恶意代码检测，也可以对未知恶意代码进行检测，通过对未知恶意代码，利用未知漏洞传播未知恶意代码的检测，可以检测出APT攻击的核心步骤。

     FortiSandbox APT沙盒防御解决方案

    FortiSandbox采用沙箱虚拟分析技术，在沙箱中模拟用户环境(如复制标准的工作站)运行待检测的代码，通过分析输出结果来确认某种攻击行为，从而帮助用户提升对APT攻击的识别和防御能力。

     360天眼未知威胁检测系统

    360天眼威胁感知系统通过对APT的核心攻击过程(未知病毒、未知恶意代码、特种木马、未知漏洞(0day)利用)的检测，实现对APT攻击的发现。同时，360天眼威胁感知系统(TSS)亦可通过与360天擎终端安全管理系统(ESS)、360天机移动终端安全管理系统联动。

     天融信APT防御系统

    天融信APT防御系统产品通过集成海量黑白名单、规模化动态虚拟机，实现对APT攻击的有效防御。天融信APT防御系统通过与天融信NGFW产品联动防御，从而构建边界安全、控制通道安全以及ZeroDay安全的一体化防护体系，为用户提供更加全面的安全保障。

    面对APT攻击，对于部署在网络边界位置的NGFW需要具有一套完整、有效的安全防护解决方案。天融信NGFW产品内置病毒特征库、攻击规则库、僵尸网络识别库、Web信誉库、应用识别特征库，构建针对已知威胁的全面防御体系，同时通过“动态云防护”平台，将各类威胁检测特征库以实时、主动的方式推送到部署在用户环境中的NGFW，从而使用户的安全防护策略得到及时、准确的动态更新，以保证应对网络应用环境中层出不穷并的攻击。

    同时，天融信APT防御系统通过与天融信NGFW联动防御，对不可信的代码程序进行静态、动态双模分析，并采用联动机制对基于未知漏洞、恶意代码的APT攻击实现主动防御。天融信APT防御系统内置超过1.5亿规模海量混合威胁特征库，支持对多种文件格式、可执行程序的静态分析。在经过静态分析后仍然无法做出判断的情况下，天融信APT防御系统还可以通过沙箱技术，为不可信的代码程序提供虚拟化模拟运行环境，根据其在运行中发生的动作与运行后产生的结果来进行威胁与风险的最终判断。天融信APT防御系统与天融信NGFW通过“旁路实时检测、串行动态阻断”的联动方案，实现对基于未知威胁APT攻击的主动防御。

    在如今的移动互联时代，APT攻击的流行既是机遇又是挑战。机遇在于事实证明传统的单点安全防御很难防御APT，用户需要全方位立体安全防御体系，大量新的安全技术能够更快地推广，网络安全防护将再上新的台阶。挑战在于APT攻击不同于传统安全产品的同质化，更加专业、复杂的APT攻击对安全防御提出了前所未有的高要求，只有不断的提升产品和解决方案的功能、性能和质量，才能有效应对新的APT攻击。