一、什么是下一代威脅

下一代威脅主要是指攻擊者采取了現(xiàn)有檢測(cè)體系難以檢測(cè)的方式(未知漏洞利用、已知漏洞變形、特種木馬等)，組合各種其他手段(社會(huì)工程、釣魚(yú)、供應(yīng)鏈植入等)，有針對(duì)性的針對(duì)目標(biāo)發(fā)起的攻擊。這種攻擊能有效穿透大多數(shù)的公司的內(nèi)網(wǎng)防御體系，攻擊者成功控制了內(nèi)網(wǎng)主機(jī)之后，再進(jìn)行內(nèi)部滲透或收集信息的攻擊模式。

0DAY漏洞威脅：0DAY漏洞由于系統(tǒng)還未修補(bǔ)，而大多數(shù)用戶(hù)、廠商也不知道漏洞的存在，因此是攻擊者入侵系統(tǒng)的利器。也有很多利用已修復(fù)的漏洞，但由于補(bǔ)丁修復(fù)不普遍(如第三方軟件)，通過(guò)變形繞過(guò)現(xiàn)有基于簽名的檢測(cè)體系而發(fā)起攻擊的案例。

多態(tài)病毒木馬威脅：已有病毒木馬通過(guò)修改變形就可以形成一個(gè)新的未知的病毒和木馬，而惡意代碼開(kāi)發(fā)者也還在不斷開(kāi)發(fā)新的功能更強(qiáng)大的病毒和木馬，他們可以繞過(guò)現(xiàn)有基于簽名的檢測(cè)體系發(fā)起攻擊。

混合性威脅：攻擊者混合多種路徑、手段和目標(biāo)來(lái)發(fā)起攻擊，如果防御體系中存在著一個(gè)薄弱點(diǎn)就會(huì)被攻破，而現(xiàn)有安全防御體系之間缺乏關(guān)聯(lián)而是獨(dú)立防御，及時(shí)一個(gè)路徑上檢測(cè)到威脅也無(wú)法將信息共享給其他的檢測(cè)路徑。

定向攻擊威脅：攻擊者發(fā)起針對(duì)具體目標(biāo)的攻擊，大多數(shù)情況下是從郵件、IM、SNS發(fā)起，因?yàn)檫@些系統(tǒng)賬戶(hù)背后標(biāo)記的都是一個(gè)真實(shí)固定的一個(gè)人，而定向到人與他周邊的關(guān)系，是可以在和攻擊者目標(biāo)相關(guān)的人與系統(tǒng)建立一個(gè)路徑關(guān)系。定向攻擊如果是小范圍發(fā)起，并和多種滲透手段組合起來(lái)，就是一種APT攻擊，不過(guò)定向攻擊也有大范圍發(fā)起的，這種情況下攻擊者處于成本和曝光風(fēng)險(xiǎn)考慮，攻擊者往往使用已知的安全漏洞來(lái)大規(guī)模發(fā)起，用于撒網(wǎng)和撈魚(yú)(攻擊一大片潛在受害者，再?gòu)某晒糁胁檎矣袃r(jià)值目標(biāo)或作為APT攻擊的滲透路徑點(diǎn))。

APT威脅： APT威脅是以上各種手段(甚至包括傳統(tǒng)間諜等非IT技術(shù)手段)的組合，威脅最大的威脅。他是有組織黑客團(tuán)隊(duì)精心策劃，為了攻擊者認(rèn)定的目標(biāo)，長(zhǎng)期持續(xù)的攻擊行為。攻擊者一旦攻入系統(tǒng)，會(huì)給受害者帶來(lái)重大的損失(但受害者可能感受不到)，而且會(huì)長(zhǎng)期持續(xù)的控制、竊取系統(tǒng)信息，關(guān)鍵時(shí)也可能大范圍破壞系統(tǒng)。APT攻擊，其實(shí)是一種網(wǎng)絡(luò)情報(bào)、間諜和軍事行為。很多時(shí)候，APT都具備著國(guó)家和有政治目的組織的背景，但為了商業(yè)、知識(shí)產(chǎn)權(quán)和經(jīng)濟(jì)目的的APT攻擊，也不少見(jiàn)。#p#

二、APT(高級(jí)持續(xù)性威脅)

APT攻擊，特別是具有國(guó)家和組織背景的APT攻擊，無(wú)疑將是伴隨信息IT化和網(wǎng)絡(luò)化深入到人類(lèi)生活每個(gè)領(lǐng)域之后，將要遇到的最具威脅的挑戰(zhàn)。

APT攻擊是指融合情報(bào)、黑客技術(shù)、社會(huì)工程等各種手段，針對(duì)有價(jià)值的信息資產(chǎn)或通過(guò)IT系統(tǒng)控制的重要控制系統(tǒng)，發(fā)起的復(fù)雜而專(zhuān)業(yè)攻擊。由于IT系統(tǒng)復(fù)雜性，目前還沒(méi)有很好的檢測(cè)措施完全發(fā)現(xiàn)IT產(chǎn)品中的后門(mén)、漏洞以及應(yīng)用運(yùn)行時(shí)的可信性，利用IT發(fā)起的攻擊已經(jīng)有很長(zhǎng)的歷史了，如美國(guó)在天然氣系統(tǒng)中植入木馬引發(fā)1985年前蘇聯(lián)西伯利亞天然氣大爆炸、在海灣戰(zhàn)爭(zhēng)中通過(guò)打印機(jī)芯片植入定位系統(tǒng)指導(dǎo)轟炸伊拉克重要目標(biāo)，都成為重要的國(guó)家級(jí)作戰(zhàn)手段。

隨著IT深入發(fā)展，各種行業(yè)、各個(gè)企業(yè)都不可避免越來(lái)越深入的依賴(lài)于IT系統(tǒng)。利用攻入IT系統(tǒng)竊取情報(bào)與知識(shí)產(chǎn)權(quán)、篡改數(shù)據(jù)獲取收益、監(jiān)控和獲取個(gè)人隱私、控制重要系統(tǒng)獲得戰(zhàn)略控制或大面積破壞，已經(jīng)成為國(guó)家、組織和個(gè)人可以看得到的重大利益。于是APT在21世紀(jì)開(kāi)始蓬勃發(fā)展起來(lái)，除了國(guó)家級(jí)的軍事政治目標(biāo)外，能源、公共服務(wù)、科研、大型企業(yè)、金融、大型站點(diǎn)等有重要信息資產(chǎn)的部門(mén)，都成為APT指向的目標(biāo)，而大量IT系統(tǒng)和應(yīng)用的安全漏洞與缺陷、安全意識(shí)的薄弱和攻擊技術(shù)普通人難以理解、加之缺乏惡意客戶(hù)判定的標(biāo)準(zhǔn)、程序的黑盒性，為APT攻擊提供著無(wú)窮盡的彈藥和成功保證，而無(wú)須非得象以前需要通過(guò)供應(yīng)鏈來(lái)植入木馬和后門(mén)。而IT系統(tǒng)的損失難以感知的特性(信息資產(chǎn)的可拷貝性讓很多損失者不知損失，即使感知到損失，由于缺乏關(guān)聯(lián)性，受害者也不一定清楚是IT安全問(wèn)題導(dǎo)致的)又讓受害者一直活在安全的假象中難以察覺(jué)，于是APT攻擊愈演愈烈，美國(guó)2013年國(guó)會(huì)聽(tīng)證會(huì)上的評(píng)估，美國(guó)因?yàn)榫W(wǎng)絡(luò)攻擊導(dǎo)致的知識(shí)產(chǎn)權(quán)的損失(這大部分是通過(guò)APT攻擊來(lái)獲取的)每年高達(dá)3000億美金(注1)。

但是伴隨著APT攻擊造成的重大損失的同時(shí)，是傳統(tǒng)安全檢測(cè)與防御手段針對(duì)APT攻擊的無(wú)能為力。從國(guó)家級(jí)的核設(shè)施網(wǎng)絡(luò)到美國(guó)NASA，從世界互聯(lián)網(wǎng)巨頭GOOGLE到安全公司翹楚RSA，無(wú)一不是APT攻擊的受害者。如果說(shuō)他們的安全做的不好，那世界上又有幾家能說(shuō)比他們的安全做的更好呢?APT劍指之下，沒(méi)有那個(gè)部門(mén)能幸免，美國(guó)前國(guó)土安全部部長(zhǎng)Michael Chertoff說(shuō)："There are two types of people: those who've been hacked and those who don't know they've been hacked" (注2)，就是這一現(xiàn)實(shí)的寫(xiě)照。試想一下，當(dāng)攻擊者可以肆意進(jìn)出和控制軍事指揮系統(tǒng)、核系統(tǒng)、能源系統(tǒng)、交通指揮系統(tǒng)、金融系統(tǒng)，除了信息的安全，我們實(shí)體的財(cái)產(chǎn)與生命安全，也變得無(wú)比脆弱。#p#

三、APT攻擊環(huán)節(jié)與技術(shù)手段

APT攻擊可以分為大的三個(gè)環(huán)節(jié)，每個(gè)環(huán)節(jié)又會(huì)干一些具體的工作內(nèi)容，如下圖：

三個(gè)環(huán)節(jié)其實(shí)是混雜互相交織在一起的，并沒(méi)有嚴(yán)格的分界線的，這里分開(kāi)，主要是為了從技術(shù)環(huán)節(jié)做更好的分析。另外每個(gè)環(huán)節(jié)，攻擊者都可能發(fā)起多次甚至持續(xù)多年而并非單獨(dú)一次，這取決于攻擊者意愿、被攻擊的目標(biāo)價(jià)值、攻擊者已經(jīng)得手的情況而定。

在攻擊前奏環(huán)節(jié)，攻擊者主要是做入侵前的準(zhǔn)備工作。主要是：

收集信息：了解被攻擊目標(biāo)的IT環(huán)境、保護(hù)體系、人際關(guān)系、可能的重要資產(chǎn)等信息，用于指導(dǎo)制定入侵方案，開(kāi)發(fā)特定的攻擊工具。在收集信息時(shí)，攻擊者可以利用多種方式來(lái)收集信息，主要有：

◆網(wǎng)絡(luò)公開(kāi)信息收集，如通過(guò)搜索引擎、企業(yè)站點(diǎn)、社交網(wǎng)站等公開(kāi)的信息來(lái)收集分析攻擊者需要的信息

◆通過(guò)地下售賣(mài)的大型站點(diǎn)的用戶(hù)數(shù)據(jù)獲取信息，由于各種站點(diǎn)自身的安全性比較薄弱，一些入侵站點(diǎn)為主的黑客會(huì)入侵獲得他們的用戶(hù)資料庫(kù)然后地下售賣(mài)，如CSDN用戶(hù)注冊(cè)資料泄露事件(注3)，其實(shí)就是黑客早已竊取并售賣(mài)多次的數(shù)據(jù)庫(kù)，失去價(jià)值后公開(kāi)的，攻擊者可以通過(guò)獲取這些數(shù)據(jù)庫(kù)獲得需要的數(shù)據(jù)。

◆釣魚(yú)收集：攻擊者通過(guò)郵件和IM，發(fā)送一個(gè)正常的URL并吸引對(duì)方(如針對(duì)技術(shù)人員提供技術(shù)資料站點(diǎn)，高端人才招聘站點(diǎn))，用戶(hù)打開(kāi)后也是一個(gè)正常有價(jià)值的站點(diǎn)，但是利用URL參數(shù)，攻擊者可以標(biāo)記郵件關(guān)聯(lián)的人，再利用瀏覽器本身支持的功能可以收集用戶(hù)使用的操作系統(tǒng)、瀏覽器和版本的信息。高級(jí)一些的，還可以利用ACTIVEX創(chuàng)建對(duì)象和路徑加載探測(cè)技術(shù)，準(zhǔn)確判定用戶(hù)安裝的各種應(yīng)用環(huán)境，特別是客戶(hù)端安全防護(hù)軟件和一些常見(jiàn)的本地應(yīng)用，這些都是可以用來(lái)指導(dǎo)攻擊者精確攻擊和繞開(kāi)常規(guī)檢測(cè)的信息。

◆人肉搜集：通過(guò)偽冒、套話，通過(guò)IM、郵件、電話甚至人身接近，配合社工獲得更多的信息。

◆嗅探：如果攻擊者可以解除到被攻擊目標(biāo)的網(wǎng)絡(luò)(如托管WEB站點(diǎn)，攻擊者可以入侵甚至自己也托管一臺(tái)同網(wǎng)段主機(jī)進(jìn)行嗅探獲得信息，如無(wú)線網(wǎng)絡(luò)，攻擊者可以在附近嗅探獲得信息)。

◆掃描：利用掃描技術(shù)，攻擊者可以獲得網(wǎng)絡(luò)和開(kāi)放服務(wù)的一些信息。

◆信息收集是貫穿全攻擊生命周期的，攻擊者在攻擊計(jì)劃中每獲得一個(gè)新的控制點(diǎn)，就能掌握更多的信息，指導(dǎo)后續(xù)的攻擊。#p#

技術(shù)準(zhǔn)備：根據(jù)獲取的信息，攻擊者做相應(yīng)的技術(shù)湊合，主要有：

◆入侵路徑設(shè)計(jì)并選定初始目標(biāo)：攻擊者設(shè)計(jì)一個(gè)攻擊路徑，通過(guò)多層的滲透，逐步達(dá)到攻擊者希望獲取的資產(chǎn)上。當(dāng)然這個(gè)路徑會(huì)隨實(shí)施情形變化或更多信息產(chǎn)生改變。

◆漏洞和利用代碼：攻擊者發(fā)送直接木馬過(guò)去成功率比較低，被發(fā)現(xiàn)率比較高，所以攻擊者一般會(huì)借助應(yīng)用的漏洞來(lái)發(fā)起攻擊。當(dāng)然，利用漏洞入侵受害者可信的服務(wù)器再通過(guò)篡改可信服務(wù)器上的可信程序植入或推送木馬也是常見(jiàn)的手段，也有直接發(fā)送木馬或綁定木馬的文檔再利用社工欺騙用戶(hù)打開(kāi)的案例。但整體來(lái)說(shuō)，利用漏洞的欺騙性更強(qiáng)一些，安全意識(shí)高的用戶(hù)也容易中招而難以察覺(jué)，安全防御軟件也難以檢測(cè)，特別是利用攻擊者自己挖掘的0DAY漏洞。所以攻擊者會(huì)根據(jù)受害者的應(yīng)用環(huán)境，選擇攻擊者手上掌握的漏洞和利用代碼，構(gòu)造成看起來(lái)無(wú)害的東西如WORD文檔、WEB頁(yè)面。

◆木馬：最終攻擊者需要植入木馬到被控制者機(jī)器中，但已知廣泛傳播的木馬被檢測(cè)率比較高，所以攻擊者需要根據(jù)掌握的信息，定制開(kāi)發(fā)木馬并確保不被受害者主機(jī)上安裝的安全軟件查殺出來(lái)。攻擊者可以在漏洞和利用代碼那一層就做對(duì)抗如關(guān)閉這些軟件，也可以在木馬本身這一層做對(duì)抗繞過(guò)查殺。

◆漏洞和利用代碼和木馬，我們統(tǒng)稱(chēng)為攻擊負(fù)載。

◆控制服務(wù)器和跳板：除了對(duì)系統(tǒng)做純破壞類(lèi)的入侵，大多數(shù)的攻擊，攻擊者都會(huì)將竊取信息回傳回來(lái)，所以需要開(kāi)發(fā)特定的控制服務(wù)器，與木馬進(jìn)行通訊，來(lái)下發(fā)指令、實(shí)施內(nèi)部滲透、獲得竊取的信息，為了繞過(guò)檢測(cè)，還會(huì)模擬內(nèi)網(wǎng)常見(jiàn)協(xié)議如DNS、HTTP、HTTPS并進(jìn)行加密。另外為了躲避追查，無(wú)論是攻擊和控制，攻擊者都需要利用1，2個(gè)不同國(guó)家已被攻擊者控制的受害機(jī)器(俗稱(chēng)肉雞)做跳板(當(dāng)然越多越不易追查到攻擊者源IP地址，但越多性能越差)。#p#

外圍滲透準(zhǔn)備：攻擊者會(huì)入侵一些外圍目標(biāo)，這些受害者本身不是攻擊者攻擊的目標(biāo)，但因?yàn)榭梢员还粽哂脕?lái)做跳板、社工跳板、大規(guī)模拒絕服務(wù)機(jī)器、相關(guān)信息獲取等而被入侵：

◆入侵實(shí)際攻擊目標(biāo)可信的外部用戶(hù)主機(jī)：這樣攻擊者可以以可信的身份(如QQ、MSN)向攻擊目標(biāo)發(fā)送攻擊負(fù)載或可以物理接近被攻擊者設(shè)施實(shí)體(如震網(wǎng)攻擊中一種入侵方式就是入侵核電站工作人員家庭主機(jī)，當(dāng)工作人員將工作U盤(pán)接入家庭主機(jī)時(shí)，震網(wǎng)將利用漏洞可以攻擊核電站系統(tǒng)的攻擊負(fù)載傳遞到U盤(pán)上)。

◆入侵實(shí)際攻擊目標(biāo)可信的外部用戶(hù)的各種系統(tǒng)賬戶(hù)：這樣攻擊者可以以可信的身份(如郵件地址，SNS的賬戶(hù))向攻擊目標(biāo)發(fā)送攻擊負(fù)載。

◆入侵實(shí)際攻擊目標(biāo)可信的外部服務(wù)器：這樣攻擊者可以利用可信下載、可信自動(dòng)推送向攻擊目標(biāo)發(fā)送攻擊負(fù)載。

◆入侵實(shí)際攻擊目標(biāo)可信的外部基礎(chǔ)設(shè)施：攻擊者可以獲得可信的外部基礎(chǔ)的身份和認(rèn)證，特別是數(shù)字簽名和加密種子。一個(gè)可以將自己的攻擊負(fù)載打上可信任的標(biāo)簽繞過(guò)檢測(cè)，一個(gè)可以直接破解身份認(rèn)證系統(tǒng)和加密數(shù)據(jù)。據(jù)估計(jì)，最近幾年，APT攻擊已經(jīng)獲取了大量的外部基礎(chǔ)設(shè)施的證書(shū)和加密種子(暴露出來(lái)的如RSA種子失竊(注4)，賽門(mén)鐵克證書(shū)失竊(注5)，荷蘭證書(shū)公司證書(shū)失竊(注6))，這讓APT檢測(cè)更加困難。#p#

在入侵實(shí)施環(huán)節(jié)，攻擊者針對(duì)實(shí)際的攻擊目標(biāo)，展開(kāi)攻擊，主要內(nèi)容有：

利用常規(guī)手段入侵：攻擊者利用常規(guī)的手段，將惡意代碼植入到系統(tǒng)中，常見(jiàn)的做法有：

◆通過(guò)病毒傳播感染目標(biāo)

◆通過(guò)薄弱安全意識(shí)和薄弱的安全管理控制目標(biāo)

◆通過(guò)社會(huì)工程：利用人性的弱點(diǎn)發(fā)送惡意代碼，欺騙用戶(hù)打開(kāi)執(zhí)行惡意代碼。

◆通過(guò)供應(yīng)鏈植入：攻擊者控制了供應(yīng)鏈某一環(huán)節(jié)，通過(guò)這一環(huán)節(jié)植入惡意代碼進(jìn)系統(tǒng)，當(dāng)系統(tǒng)交付給最終用戶(hù)后，攻擊者就可以通過(guò)惡意代碼控制最終用戶(hù)的系統(tǒng)。這是掌握一定資源的國(guó)家和組織經(jīng)常會(huì)采取的手法，最近也出現(xiàn)了一些新的方式，如購(gòu)買(mǎi)手機(jī)植入木馬后贈(zèng)送或意外留給目標(biāo)，發(fā)行盜版光盤(pán)或免費(fèi)應(yīng)用植入到目標(biāo)中，甚至某些國(guó)家的部門(mén)或組織出現(xiàn)了派遣員工去有名的廠商那里臥底(注7)，然后植入后門(mén)、木馬或漏洞，然后控制最終用戶(hù)系統(tǒng)的事件。

利用缺陷入侵：缺陷是指IT系統(tǒng)中廣泛事實(shí)存在且已知，但由于修復(fù)成本很高或短期內(nèi)難以替代的問(wèn)題，如

◆默認(rèn)密碼：大多數(shù)系統(tǒng)都提供默認(rèn)用戶(hù)和默認(rèn)密碼，很多用戶(hù)并不會(huì)去更新密碼，導(dǎo)致攻擊者可以直接使用。

◆弱密碼：大多數(shù)用戶(hù)使用位數(shù)不多、沒(méi)有字符集變化、自身相關(guān)信息的密碼，很容易被攻擊者猜解。

◆默認(rèn)配置和錯(cuò)誤配置：大多數(shù)系統(tǒng)默認(rèn)配置會(huì)暴露很多信息并增大攻擊面，用戶(hù)也不清楚一些功能會(huì)帶來(lái)的潛在風(fēng)險(xiǎn)，攻擊者會(huì)利用這些缺陷發(fā)起攻擊。

◆脆弱計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境和協(xié)議：我們的網(wǎng)絡(luò)環(huán)境、認(rèn)證協(xié)議、常見(jiàn)的加密算法強(qiáng)度本身存在很多問(wèn)題，如ARP、DHCP都可以被同網(wǎng)主機(jī)輕易劫持，大多數(shù)的認(rèn)證協(xié)議都可以被中間人劫持，很多協(xié)議算法強(qiáng)度不夠，利用這些問(wèn)題，攻擊者可以發(fā)起攻擊。#p#

利用漏洞入侵：這是專(zhuān)業(yè)黑客對(duì)付重點(diǎn)目標(biāo)常用的方式，重點(diǎn)目標(biāo)的安全防護(hù)意識(shí)和意識(shí)，以及管理制度都比較完善，單靠前面的方式不容易湊效，攻擊者會(huì)利用系統(tǒng)中存在的安全漏洞，特別是攻擊者自己通過(guò)研究發(fā)現(xiàn)而其他人不知道的安全漏洞(0DAY漏洞)發(fā)起攻擊，由于這類(lèi)攻擊使用看起來(lái)合法的業(yè)務(wù)數(shù)據(jù)為載體(如DOC文檔)，受害者難以察覺(jué)攻擊者的攻擊，從業(yè)務(wù)管理規(guī)范上也很難避免不打開(kāi)使用，因此成為APT入侵的主要載體。主要有：

◆桌面文件處理類(lèi)漏洞：利用常見(jiàn)數(shù)據(jù)文件處理(如DOC、PPT、PDF、FLASH、XLS、音頻、視頻)等應(yīng)用的安全漏洞，攻擊者發(fā)送數(shù)據(jù)文件(通過(guò)郵件、IM、下載等)吸引用戶(hù)打開(kāi)，以此來(lái)發(fā)起攻擊。這是最常見(jiàn)入侵目標(biāo)內(nèi)網(wǎng)主機(jī)的手段，如RSA的令牌種子被竊取事件就是攻擊者利用了XLS文件里包含一個(gè)FLASH的0DAY漏洞發(fā)起的(注8)。

◆瀏覽器類(lèi)漏洞：利用瀏覽器處理HTML的安全漏洞或常見(jiàn)ACTIVEX控件安全漏洞、瀏覽器直接支持打開(kāi)的數(shù)據(jù)文件應(yīng)用的安全漏洞，攻擊者發(fā)送URL(通過(guò)郵件、IM)或入侵特定站點(diǎn)(如大型公開(kāi)站點(diǎn)、目標(biāo)是用的內(nèi)部站點(diǎn))上掛馬，以此來(lái)發(fā)起攻擊。這也是一種常見(jiàn)入侵目標(biāo)內(nèi)網(wǎng)主機(jī)的手段，如GOOGLE被極光攻擊入侵內(nèi)容竊取了GMAIL多個(gè)郵箱敏感信息的事件就是攻擊者利用了IE7 CSS 0DAY漏洞發(fā)起的(注9)。

◆桌面網(wǎng)絡(luò)應(yīng)用漏洞：利用IM、P2P等常見(jiàn)網(wǎng)絡(luò)客戶(hù)端的安全漏洞，攻擊者發(fā)送相關(guān)的功能、報(bào)文，以此來(lái)發(fā)起攻擊。

◆網(wǎng)絡(luò)服務(wù)類(lèi)漏洞：利用網(wǎng)絡(luò)服務(wù)端的安全漏洞，攻擊者發(fā)送相關(guān)的功能、報(bào)文，以此來(lái)發(fā)起攻擊。

◆系統(tǒng)邏輯類(lèi)漏洞：利用系統(tǒng)邏輯處理相關(guān)的安全漏洞，攻擊者構(gòu)造相應(yīng)的觸發(fā)環(huán)境，以此來(lái)發(fā)起攻擊。如入侵伊朗核電站的震網(wǎng)攻擊事件就是攻擊者利用了WINDOWS DLL加載次序的邏輯漏洞發(fā)起的(注10)。

◆對(duì)抗類(lèi)漏洞：利用安全防護(hù)和檢測(cè)軟件的安全漏洞，攻擊者可以繞過(guò)、逃逸、關(guān)閉掉相應(yīng)的安全防護(hù)和檢測(cè)軟件。

◆本地提權(quán)漏洞：利用主機(jī)高權(quán)限組件或邏輯檢測(cè)的安全漏洞，攻擊者可以獲取更高的權(quán)限。此類(lèi)攻擊一般是攻擊者已經(jīng)通過(guò)前述手段獲得了一個(gè)初步的權(quán)限之后發(fā)起的。

除了以上幾類(lèi)針對(duì)內(nèi)容主機(jī)的入侵漏洞，也有如下一些漏洞類(lèi)型來(lái)發(fā)起周邊一些的攻擊。

◆WEB類(lèi)攻擊漏洞：分2類(lèi)，一類(lèi)是針對(duì)WEB站點(diǎn)自身的安全漏洞，如SQL注射、包含等漏洞，攻擊者以此入侵WEB站點(diǎn)，通過(guò)對(duì)WEB站點(diǎn)上的資源進(jìn)行篡改(在下載程序里綁木馬、在頁(yè)面上掛觸發(fā)瀏覽器漏洞的HTML內(nèi)容等)，再發(fā)起針對(duì)內(nèi)網(wǎng)主機(jī)的攻擊。一類(lèi)是針對(duì)WEB站點(diǎn)自身有敏感信息發(fā)起，利用XSS、CSRF漏洞，攻擊者可以獲取受害者在WEB站點(diǎn)上的身份或修改其配置以訪問(wèn)這些敏感信息，之后再發(fā)起攻擊。

◆網(wǎng)絡(luò)設(shè)備安全漏洞：還有針對(duì)網(wǎng)絡(luò)設(shè)備發(fā)起的安全漏洞，如網(wǎng)絡(luò)設(shè)備的管理端使用了WEB管理方式，利用WEB漏洞可以發(fā)起攻擊，網(wǎng)絡(luò)設(shè)備自身協(xié)議、數(shù)據(jù)處理、功能設(shè)計(jì)、配置弱點(diǎn)等，也可以讓攻擊者直接控制網(wǎng)絡(luò)設(shè)備。攻擊者控制了網(wǎng)絡(luò)設(shè)備后，可以修改如DNS，路由表控制，可以劫持流量到攻擊者控制的中間設(shè)備上以獲得敏感信息，一些高端的路由設(shè)備，攻擊者也可以完全控制以運(yùn)行木馬實(shí)現(xiàn)更特定的功能。

以上三個(gè)環(huán)節(jié)，并非是必須的，攻擊者可以只用其中一個(gè)兩個(gè)就達(dá)成了入侵，也可能多個(gè)復(fù)雜的手段組合起來(lái)(多個(gè)攻擊行為依次組合和一個(gè)攻擊行為復(fù)合組合都有可能，前者如利用缺陷猜解出云備份帳號(hào)后將備份程序篡改植入木馬，后者如利用默認(rèn)密碼配合CSRF漏洞劫持被害目標(biāo)路由器DNS服務(wù)器配置)實(shí)施入侵，這取決于被攻擊目標(biāo)的防護(hù)能力與安全意識(shí)。

SHELLCODE執(zhí)行：大多數(shù)情況攻擊者利用漏洞觸發(fā)成功后，攻擊者可以在漏洞觸發(fā)的應(yīng)用母體內(nèi)執(zhí)行一段特定的代碼(由于這段代碼在受信應(yīng)用空間內(nèi)執(zhí)行，很難被檢測(cè))，實(shí)現(xiàn)提權(quán)、桌面安全軟件對(duì)抗之后，植入木馬。

木馬植入：從攻擊者目標(biāo)來(lái)說(shuō)，APT攻擊者最終是希望最終在受害主機(jī)上植入(但也有一些例外，如只針對(duì)WEB系統(tǒng)帳戶(hù)攻擊，攻擊者以拿到身份可以訪問(wèn)WEB敏感資源為主要目的，如針對(duì)路由器攻擊，攻擊者以能修改配置和啟用路由器特定功能，達(dá)到路由路徑劫持進(jìn)而拿到敏感數(shù)據(jù)為主要目的)

◆遠(yuǎn)程下載植入：攻擊者可能遠(yuǎn)程下載一個(gè)木馬，安裝進(jìn)受害者的系統(tǒng)。

◆綁定文檔植入：攻擊者可能在觸發(fā)漏洞的文檔或直接在文檔中綁定一個(gè)木馬，漏洞觸發(fā)后釋放或欺騙用戶(hù)點(diǎn)擊鏈接，安裝進(jìn)受害者的系統(tǒng)。

◆綁定程序植入：攻擊者可能在一個(gè)合法程序中綁定一個(gè)木馬，利用合法程序執(zhí)行時(shí)，安裝進(jìn)受害者的系統(tǒng)。

◆激活后門(mén)和木馬：利用供應(yīng)鏈等方式，攻擊者可能事先在受害者機(jī)器中已經(jīng)植入了木馬、后門(mén)，然后通過(guò)特定的方式激活他們。

滲透提權(quán)：攻擊者控制了內(nèi)網(wǎng)某個(gè)用戶(hù)的一臺(tái)主機(jī)控制權(quán)之后，對(duì)攻擊者要獲取的目標(biāo)，還需要在內(nèi)部進(jìn)行滲透和提權(quán)。

◆立足點(diǎn)：攻擊者控制了內(nèi)網(wǎng)某個(gè)用戶(hù)的一臺(tái)主機(jī)控制權(quán)之后，相當(dāng)于獲得了一個(gè)內(nèi)網(wǎng)的立足點(diǎn)，而內(nèi)網(wǎng)一旦進(jìn)入突破了安全邊界之后后，內(nèi)部安全防御就再難以檢測(cè)和防御。

◆滲透：攻擊者可以組合以上各種手段，如社會(huì)工程、文件共享服務(wù)器篡改程序、本地嗅探、SMB中繼欺騙、漏洞等等，對(duì)內(nèi)網(wǎng)內(nèi)的其他主機(jī)發(fā)起攻擊，獲得更多主機(jī)的控制。

◆特權(quán)獲?。汗粽咄ㄟ^(guò)更多主機(jī)的控制，逐步滲透到目標(biāo)資產(chǎn)存放主機(jī)或有特權(quán)訪問(wèn)攻擊者目標(biāo)資產(chǎn)的主機(jī)上。那么到此攻擊者已經(jīng)成功完成了入侵。#p#

在后續(xù)攻擊環(huán)節(jié)，攻擊者竊取大量的信息資產(chǎn)或進(jìn)行破壞，同時(shí)還在內(nèi)部深度的滲透以保證發(fā)現(xiàn)后難以全部清除(典型案例如韓國(guó)農(nóng)協(xié)銀行，2011年4月被攻擊者大規(guī)模破壞損失慘重(注11)，而這次320事件(注12)，他的服務(wù)器又成為攻擊者控制服務(wù)器)，主要環(huán)節(jié)有：

價(jià)值信息收集：攻擊者利用掌握到的權(quán)限和資源，從中分析和收集對(duì)攻擊者有價(jià)值的信息。

傳送與控制：獲取到的信息，攻擊者將其傳回攻擊者控制的外部服務(wù)器。為了逃逸檢測(cè)和審計(jì)，一般會(huì)模擬網(wǎng)絡(luò)上一些常見(jiàn)公開(kāi)的協(xié)議，并將數(shù)據(jù)進(jìn)行加密。一些木馬還有長(zhǎng)期控制并和外部服務(wù)器進(jìn)行通訊，按外部服務(wù)器下發(fā)的指令進(jìn)行操作、升級(jí)的能力。另外針對(duì)隔離的網(wǎng)絡(luò)，攻擊者一般使用移動(dòng)介質(zhì)擺渡的方式，進(jìn)行數(shù)據(jù)的傳送。

等待與破壞：一些破壞性木馬，不需要傳送和控制，就可以進(jìn)行長(zhǎng)期潛伏和等待，并按照事先確定的邏輯條件，觸發(fā)破壞流程：如震網(wǎng)，檢測(cè)到可能是伊朗核電站的環(huán)境就修改離心機(jī)轉(zhuǎn)速進(jìn)行破壞。

深度滲透：攻擊者為了長(zhǎng)期控制，保證再被受害者發(fā)現(xiàn)后還能復(fù)活，攻擊者會(huì)滲透周邊的一些機(jī)器，然后植入木馬。但該木馬可能處于非激活狀態(tài)，檢測(cè)和判斷網(wǎng)絡(luò)上是否有存活的木馬，如果有則繼續(xù)潛伏避免被檢測(cè)到，如果沒(méi)有了，則啟動(dòng)工作。2011年4月韓國(guó)農(nóng)協(xié)銀行被黑客入侵大規(guī)模破壞，之后韓國(guó)農(nóng)協(xié)銀行進(jìn)行了處置，但2013年320事件，攻擊者依然使用韓國(guó)農(nóng)協(xié)銀行的內(nèi)部主機(jī)做攻擊其他機(jī)構(gòu)的控制端，很有可能就是攻擊者通過(guò)深度滲透潛伏下來(lái)，在11年事件大面積處置后還能復(fù)活繼續(xù)控制韓國(guó)農(nóng)協(xié)銀行的內(nèi)部網(wǎng)絡(luò)。

痕跡抹除：為了避免被發(fā)現(xiàn)，攻擊者需要做很多痕跡抹除的工作，主要是去掉一些日志，躲避一些常規(guī)的檢測(cè)手段等。#p#

四、APT的特點(diǎn)

巨大利益驅(qū)動(dòng)：隨著IT深入的發(fā)展和互聯(lián)網(wǎng)經(jīng)濟(jì)模式，入侵IT信息資產(chǎn)可以獲得巨大的政治經(jīng)濟(jì)軍事利益，而IT系統(tǒng)本身的脆弱性使得入侵不僅成為可能而且成本也相對(duì)其他傳統(tǒng)間諜等手段有優(yōu)勢(shì)。傳統(tǒng)的威脅更多以炫耀、惡作劇為主，即使有經(jīng)濟(jì)利益驅(qū)動(dòng)，也大多是針對(duì)個(gè)人資產(chǎn)為主的威脅，而下一代威脅，則是在直接針對(duì)國(guó)家、組織、企業(yè)當(dāng)中最核心的信息資產(chǎn)而發(fā)起，一旦得手，攻擊者獲取的收益和受害者遭受到的損失，都是傳統(tǒng)威脅難以比肩的。

專(zhuān)業(yè)性與隱蔽性：攻擊者為了對(duì)抗現(xiàn)有的安全防御體系，需要有專(zhuān)業(yè)分工的人員來(lái)實(shí)施攻擊，在情報(bào)收集與分析、漏洞挖掘、漏洞利用、木馬編寫(xiě)與對(duì)抗、攻擊發(fā)起與痕跡抹除、敏感信息收集分析與竊取等方面，都會(huì)有專(zhuān)業(yè)的人員。而為了長(zhǎng)期獲得收益并避免被發(fā)現(xiàn)，攻擊者選擇精確受控的目標(biāo)發(fā)起，減少受害者和防御者通過(guò)大規(guī)模異?，F(xiàn)象發(fā)現(xiàn)的可能，進(jìn)入系統(tǒng)后都會(huì)實(shí)施專(zhuān)業(yè)的痕跡抹除工作，讓發(fā)現(xiàn)和取證變得更困難。因此很多時(shí)候用戶(hù)對(duì)這些攻擊是難以感知的(包括行為和危害)，即使感知到了危害也并不一定知道是自己IT系統(tǒng)被入侵導(dǎo)致的危害。

廣泛覆蓋性：攻擊者雖然針對(duì)高價(jià)值資產(chǎn)，但是并非只有特定的幾個(gè)行業(yè)才是受害目標(biāo)，除了軍事政治相關(guān)的領(lǐng)域，科研、醫(yī)療、金融、能源等相關(guān)領(lǐng)域也是重災(zāi)區(qū)，大中型企業(yè)遭受APT攻擊也不鮮見(jiàn)，針對(duì)小企業(yè)和個(gè)人，出于APT攻擊路徑的考慮，也經(jīng)常成為APT的跳板目標(biāo)。而隨著APT技術(shù)的普及，也有一些直接以小企業(yè)為最終攻擊目標(biāo)的案例(如已經(jīng)發(fā)生過(guò)多起的通過(guò)控制外貿(mào)企業(yè)的郵箱后通知客戶(hù)的賬戶(hù)變更到攻擊者控制的賬戶(hù)上去)#p#

五、APT可能演化的一些技術(shù)方向

APT攻擊無(wú)疑會(huì)成為未來(lái)長(zhǎng)期存在的威脅，并且會(huì)隨著IT環(huán)境的演化和攻擊對(duì)抗的現(xiàn)實(shí)而不斷演化：

云惡意下發(fā)模式：攻擊者下載的木馬本身并不含惡意行為，而是一個(gè)有簽名有正常功能的程序(甚至可能獲得了可信認(rèn)證)，利用這個(gè)程序，定期和攻擊者控制的服務(wù)器(展現(xiàn)給用戶(hù)可以是一個(gè)升級(jí)服務(wù)器)通訊，下載策略與代碼數(shù)據(jù)(也可以使用已有程序的合法功能模塊拼接而成)，在內(nèi)存中組合成實(shí)際的惡意代碼并執(zhí)行，執(zhí)行完后刪除。這種方式由于不存在惡意文件實(shí)體，難以靜態(tài)或虛擬機(jī)動(dòng)態(tài)檢測(cè)。我們已經(jīng)檢測(cè)到一些惡意移動(dòng)應(yīng)用采用了這樣的手法，其實(shí)用于APT攻擊者，也是非常有力的手段。

移動(dòng)結(jié)合：移動(dòng)目前已經(jīng)深入大眾生活和企業(yè)環(huán)境，而移動(dòng)的安全性又更加脆弱，攻擊者可以通過(guò)移動(dòng)設(shè)備跳入到內(nèi)網(wǎng)主機(jī)上，也可以通過(guò)內(nèi)網(wǎng)主機(jī)跳入到移動(dòng)設(shè)備上。由于移動(dòng)設(shè)備的隱私和人際身份的認(rèn)同，控制了移動(dòng)設(shè)備后可以獲得比較敏感的隱私信息，另外可以通過(guò)移動(dòng)設(shè)備發(fā)起社工也更加有效。因此APT攻擊和移動(dòng)結(jié)合起來(lái)，應(yīng)該是一個(gè)趨勢(shì)。

網(wǎng)絡(luò)設(shè)備：網(wǎng)絡(luò)設(shè)備是更基礎(chǔ)的信息點(diǎn)，通過(guò)網(wǎng)絡(luò)設(shè)備可以長(zhǎng)期大范圍的獲取信息、劫持用戶(hù)數(shù)據(jù)和行為，因此未來(lái)APT攻擊會(huì)更多針對(duì)網(wǎng)絡(luò)設(shè)備發(fā)起，一種方式是通過(guò)供應(yīng)鏈植入木馬或后門(mén)(如這次棱鏡曝光的思科路由器)，一種方式是通過(guò)漏洞植入木馬或后門(mén)?？刂屏司W(wǎng)絡(luò)設(shè)備后，可以做的如：流量路徑修改、DNS劫持、下載木馬替換植入、修改安全策略等。

基礎(chǔ)安全設(shè)施：其實(shí)這個(gè)不是方向了而是有很多案例了，但是未來(lái)這個(gè)可能是APT攻擊更關(guān)注的方面。通過(guò)入侵基礎(chǔ)安全設(shè)施獲得的東西，可以大量發(fā)起攻擊且很難檢測(cè)，比如竊取到站點(diǎn)的次根級(jí)證書(shū)，可以無(wú)感監(jiān)聽(tīng)加密流量，竊取到數(shù)字簽名，可以以大廠商軟件和補(bǔ)丁身份植入而且逃逸檢測(cè)，竊取到RSA令牌的種子，可以輕易破解RSA令牌的身份認(rèn)證等。

WEB組合：針對(duì)WEB的攻擊手段，其實(shí)也是APT攻擊組合的手段。一是入侵了受害者可信的WEB站點(diǎn)，可以通過(guò)這個(gè)站點(diǎn)掛馬、篡改下載程序、收集敏感信息等方式更容易針對(duì)內(nèi)網(wǎng)發(fā)起攻擊。二是通過(guò)XSS、CSRF可以獲得外部WEB站點(diǎn)(如郵箱服務(wù))可信的賬號(hào)身份和敏感信息。三是通過(guò)XSS、CSRF攻擊也可以攻擊內(nèi)網(wǎng)有WEB管理接口的內(nèi)網(wǎng)網(wǎng)絡(luò)、安全、管理設(shè)備，如最近曝光的攻擊者利用路由器的默認(rèn)密碼和CSRF漏洞，攻擊了國(guó)內(nèi)上百萬(wàn)的家庭路由器并修改其DNS配置指向攻擊者控制的DNS服務(wù)器(注13)，這樣攻擊者就可以發(fā)起DNS劫持攻擊，進(jìn)一步獲得用戶(hù)的數(shù)據(jù)，篡改數(shù)據(jù)和行為，以及欺騙用戶(hù)下載惡意程序等。

傳統(tǒng)手段組合：我們把APT行為定性為基于網(wǎng)絡(luò)攻擊技術(shù)的網(wǎng)絡(luò)情報(bào)和間諜行為，傳統(tǒng)的情報(bào)和間諜，如收買(mǎi)、近身接觸、實(shí)體竊取等，和APT手段組合起來(lái)，可能會(huì)產(chǎn)生更大的威力。