步步分解APT攻击 浅析四大检测防御方案

apt攻击是近几年来出现的一种高级攻击，具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御apt方面效果很不理想，因此，各安全厂商都在研究新的方法并提出了多种多样的解决方案。

针对APT逐步渗透攻击的特点，我们提出了一个针对工控 APT 攻击的检测与防护方案，针对 APT 攻击的五个阶段分别讨论了相应的应对策略。

(1) 全方位抵御水坑攻击基于“水坑+网站挂马方式”的突破防线技术愈演愈烈，并出现了单漏洞多水坑的新攻击方法。针对这种趋势，一方面寄希望于网站管理员重视并做好网站漏洞检测和挂马检测;另一方面要求用户(尤其是能接触到工业控制设备的雇员)尽量使用相对较安全的Web浏览器，及时安装安全补丁，最好能够部署成熟的主机入侵防御系统。

(2) 防范社会工程攻击、阻断 C&C 通道 在工业控制系统运行的各个环节和参与者中，人往往是其中最薄弱的环节，故非常有必要通过周期性的安全培训课程努力提高员工的安全意识。另外，也应该加强从技术上阻断攻击者通过社会工程突破防线后建立C&C通道的行为，建议部署值得信赖的网络入侵防御系统。

(3) 工业控制系统组件漏洞与后门检测与防护工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的，上线前必需经过严格的漏洞、后门检测以及配置核查，尽可能避免工业控制系统中存在2014 工业控制系统的安全研究与实践的各种已知或未知的安全缺陷。其中针对未知安全缺陷(后门或系统未声明功能)的检测相对困难，目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法相结合的方式。

(4) 异常行为的检测与审计上述列举出的 APT 突破防线和完成任务阶段采用的各种新技术和方法，以及其他已经出现或者即将出现的新技术和方法，直观上均表现为一种异常行为。建议部署工控审计系统， 全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志;结合基于行为的业务审计模型对采集到的信息进行综合分析，识别发现业务中可能存在的异常流量与异常操作行为，发现 APT 攻击的一些蛛丝马迹，甚至可能还原整个 APT攻击场景。鉴于工业控制系统业务场景比较稳定、操作行为比较规范的实际情况，在实施异常行为审计的同时，也可以考虑引入基于白环境的异常检测模型，对工业控制系统中的异常操作行为进行实时检测与发现。

apt攻击过程分解

整个apt攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤：

1、定向情报收集

定向情报收集，即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多，包括网络隐蔽扫描和社会工程学方法等。从目前所发现的apt攻击手法来看，大多数apt攻击都是从组织员工入手，因此，攻击者非常注意搜集组织员工的信息，包括员工的微博、博客等，以便了解他们的社会关系及其爱好，然后通过社会工程方法来攻击该员工电脑，从而进入组织网络。

2、单点攻击突破

单点攻击突破，即攻击者收集了足够的信息后，采用恶意代码攻击组织员工的个人电脑，攻击方法包括：

1)社会工程学方法，如通过email给员工发送包含恶意代码的文件附件，当员工打开附件时，员工电脑就感染了恶意代码;

2)远程漏洞攻击方法，比如在员工经常访问的网站上放置网页木马，当员工访问该网站时，就遭受到网页代码的攻击，rsa公司去年发现的水坑攻击(watering hole)就是采用这种攻击方法。

这些恶意代码往往攻击的是系统未知漏洞，现有杀毒和个人防火墙安全工具无法察觉，最终结果是，员工个人电脑感染恶意代码，从而被攻击者完全控制。

3、控制通道构建

控制通道构建，即攻击者控制了员工个人电脑后，需要构建某种渠道和攻击者取得联系，以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道，这个命令控制通道目前多采用http协议构建，以便突破组织的防火墙，比较高级的命令控制通道则采用https协议构建。

4、内部横向渗透

内部横向渗透，一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

5、数据收集上传

数据收集上传，即攻击者在内部横向渗透和长期潜伏过程中，有意识地搜集各服务器上的重要数据资产，进行压缩、加密和打包，然后通过某个隐蔽的数据通道将数据传回给攻击者。

apt检测和防御方案分类

纵观整个apt攻击过程发现，有几个步骤是apt攻击实施的关键，包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令，以及最后的敏感数据外传等过程。当前的apt攻击检测和防御方案其实都是围绕这些步骤展开。

我们把本届rsa大会上收集到的apt检测和防御方案进行了整理，根据它们所覆盖的apt攻击阶段不同，将它们分为以下四类：

1、恶意代码检测类方案：

该类方案主要覆盖apt攻击过程中的单点攻击突破阶段，它是检测apt攻击过程中的恶意代码传播过程。大多数apt攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施的，因此，恶意代码检测对于检测和防御apt攻击至关重要。

2、主机应用保护类方案：

该类方案主要覆盖apt攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，如果能够加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，则可以有效防御apt攻击。

3、网络入侵检测类方案：

该类方案主要覆盖apt攻击过程中的控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测apt攻击的命令和控制通道。安全分析人员发现，虽然apt攻击所使用的恶意代码变种多且升级频繁，但恶意代码所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测apt的命令控制通道。该类方案成功的关键是如何及时获取到各apt攻击手法的命令控制通道的检测特征。

4、大数据分析检测类方案：

该类方案并不重点检测apt攻击中的某个步骤，它覆盖了整个apt攻击过程。该类方案是一种网络取证思路，它全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，它可在发现apt攻击的一点蛛丝马迹后，通过全面分析这些海量数据来还原整个apt攻击场景。大数据分析检测方案因为涉及海量数据处理，因此需要构建大数据存储和分析平台，比较典型的大数据分析平台有hadoop