高级持续威胁(APT)

　　APT(又称“高级持续攻击”)常常用于获取一个网络的权限，随后在某一段较长的时间段内获取目标组织的网络及系统中的敏感数据，并秘密监视相关系统的活动。多数相关的研究人员都认可美国政府在2005间所发布的安全分析文件中所描述的“一种针对特定对象的资产或敏感信息而发动的复杂及持久性网络攻击性”中对APT这个行为的定义。

　　这个“A”(“高级”)表示APT在使用恶意代码及获取系统权限方面使用到了复杂的技术。“P”(“持久”)则表示该外部控制系统将持续监控目标系统。而“T”(“威胁”)则表示这类攻击行为的本质是人为策划的。

　　像Stuxnet计算机蠕虫，它就是针对伊朗核计划的一个典型APT案例。在这种情况下，伊朗政府将视Stuxnet计算机蠕虫为“高级持续威胁”(APT)。

　　高级挥发性威胁(AVT)

　　相对于APT，AVT具备更强的隐藏性。许多专家预测AVT将会引起复杂性更强，破坏性更大，针对国与国之间的间谍行为。信息安全厂商Triumfant的总裁及CEO，John Prisco曾扬言，“这是一种在获取敏感信息后及离开被入侵系统前进行专业攻击指纹清除的攻击行为。当这种攻击来临时，攻击者会快速获取他们需要的敏感数据，然后快速清除他们曾经进行过恶意行为的指纹，以至于在被入侵系统关机及重启后不会留下任何曾被入侵的痕迹。”

　　KNOS Project的主要架构师及发起人之一Kevin McAleavey称AVT与某些内存寄居型病毒很类似。“例如第一个被发现的内存寄著型病毒Lehigh，它初次出现大概在1987年间”。但他认为，“内存寄著型病毒”在检测方面还是较容易，因为传统的防病毒解决方案主要依赖对已获取的、被感染文件类样本进行探测与分析并获得解决方案，但像AVT那样的攻击行为“没有文件样本”的话就无法进行分析了。

　　APT与AVT的不同点

　　APT着重于其“持久性”且常常将恶意代码放置在硬盘等永久存储容器中，而AVT则着重于其“挥发性”(即“获得目的后即清除其行为指纹”)且常常将恶意代码放置在内存等临时容器中。尽管AVT还未引起严重的网络灾难，但它已经以恶意代码的形式存在了一段比较长的时间了。AVT攻击常常以“下载者”的形式出现并运行在寄生系统的内存中。在这类型的场景下，这类的攻击是实时的。AVT并不持久，它通常会在系统关机后以没有痕迹的方式的消失。而APT却会持续在内存中一段很长的时间。在持续影响被攻击的系统方面，AVT与APT是刚刚相反的。AVT在大多数情况下仅仅会在被攻击系统中活动少于一天的时间。

　　如何解决APT事件

　　APT攻击者的组织常常包含情报分析人员，职业罪犯，社会活动的组织者甚至武装力量。他们通常会使用APT攻击并耐心等待可发现的系统安全缺陷，最后进入到目标的IT环境中。他们并不进行任何系统破坏行为，相反，他们会隐藏起来并伺机获取敏感数据。

　　APT行为的生命周期分为五个阶段：信息收集，初始化攻击，控制，权限提升，数据获取。攻击者通常会在风险存在的切入点，关键的自然人及他们的职责，该组织的关键资产，及组织的客户群，人际网络中进行深入的调查与研究。

 

　　复杂性：在APT的应用过程中会用到很多目标组织的信息安全缺陷。这些缺陷可能包含自然人及技术等方方面面：

　　社会工程学攻击：例如基于电话的诈骗行为;

　　内部恶意代码：例如通过钓鱼攻击进行远程管理工具的安装行为;

　　针对特定物理设备的恶意代码：影响如U盘及小型存储卡的恶意代码;

　　外部利用程序：通过大规模的系统漏洞利用实现权限提升。

　　缓慢的感染性：本质上，APT尝试通常长时间“隐藏自身”的方式以实现绕过目标的检测机制，而“隐藏自身”的方式遵循着“低影响性”及“慢感染性”。一旦攻击者立足与目标的系统环境，攻击者将通过“command-and-control”(远程命令与控制)的方式远程控制目标系统环境的主机，而其被控制端程序通常会伪装成合法的系统应用。

　　发现，控制及持续过程：APT攻击在开始时会窃取被获取权限的主机上的敏感信息。在实施这个步骤的过程中，攻击者会在被入侵的主机上运行某些特定的工具。下一步，他们会利用已获得的信息进行进一步的分析，并尝试通过分析结果来获得其它主机的访问权限并进一步获取更多的敏感信息。

　　通常，当攻击者在获得主机初步控制权时，会尝试进行权限提升并以此尝试获得系统管理员权限。他们常常用到的工具包括gsecdump，SSH，RDP，Cain&Abel等。某些关键系统包含“微软动态目录”(AD域)服务及“公共密钥机构”(PKI)服务，这些服务可能会成为被攻击的对象，因为其包含大量如认证凭证等敏感信息。

　　信息提取行为：在发现攻击者感兴趣的数据以后，攻击者会将敏感数据打包并压缩加密。这类行为能使深层数据检测技术与数据还原技术无法探测到他们获取到的敏感数据的具体内容。下一步，他们会把打包后的敏感数据送出目标系统。通常他们会用FTP服务，若FTP服务无法正常工作时他们才会使用自定义的文件传输协议。APT不同于常见网络攻击行为的地方在于，其着重于获取敏感数据而不是破坏系统或中断服务。

　　APT不但具备持续性及隐藏性，而且它还能通过“command-and-control”(远程命令与控制)的方式定期更新自身，以达到无法被同样具备自动更新特性的防病毒软件所探测出来的效果。

　　由于被攻击对象的敏感信息是定期更新的，而攻击者为了保证其获得的数据与被攻击的对象同步，因此攻击者会尽可能地持续进行信息提取行为。

　　最终，攻击行为会停止，其原因可能是攻击者获取了足够的敏感信息，又或者是受害者意识到了攻击行为并抑制了其继续发生。但一旦攻击者通过APT获取到了敏感的信息，他们接下来可能会进行以下的犯罪行为：

　　对外销售敏感数据;

　　威胁受害者，声称要对外公开敏感数据;

　　要求受害者交纳赎金以“赎回”相关的敏感数据。

　　大多数常见的APT都会使用到僵尸网络技术，或恶意代码如Regin，Flame，Duqu，及常见的Stuxnet。这类网络攻击常常能绕过基于特征的检测机制及沙箱检测技术。

　　另一方面，AVT也是一种用于逃避分析与检测的恶意代码技术手段。大多数专家相信目前大部分的AVT攻击行为都是未被发现的，因此这种技术手段大大地保护了攻击者。Metasploit Framework的Meterpreter组件也常常被用于进行AVT攻击行为，因为这个组件容许攻击者编写属于自己的DLL(动态连接库)文件并注入自定义的程序作为子线程。常见的防病毒软件检测方式将无法发现AVT，而内存监视技术将是实时发现AVT的最佳手段。

　　责任编辑：余芯