5分钟了解APT攻击及其防御原理

Posted 2023-03-31 李坪源

1.什么是APT攻击

        APT(Advanced Persistent Threat)即高级持续性威胁，是一种周期较长、隐蔽性极强的攻击模式。

        APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍"的行为。

        APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。

2.APT攻击的过程

第一阶段:扫描探测

        在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段:工具投送

        在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如ava或微软的办公软件)的Oday漏洞，投送其恶意代码。一旦到位，悉意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。

第三阶段:漏洞利用

        利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用尸系统e记打个工提很术，A使最新的主很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

第四阶段:木马植入

        随着漏洞利用的成功，更多的恶意软件的可执行文件—―击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。

第五阶段:远程控制

        一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

第六阶段:横向渗透

        一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

第七阶段:目标行动

        也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

3.防御APT原理

        目前，防御APT攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知防火墙实施阻断。

以下这个表情包生动形象

 

针对APT攻击的防御过程如下:

• 黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型。。EW将攻击流量还原成文件送入沙箱进行威胁分析。

• 沙箱通过对文件进行威胁检测;然后将检测结果返回FW。

• FW获取检测结果后，实施相应的动作。如果沙箱分析出该文件是一种恶意攻击文件，FW侧则可以实施断操作，防止该文件进入企业内网，保护企业内网免遭攻击。

APT防御与反病毒的差异。

• 反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，就是只能针对已知病毒进行防御，而无法识别未知攻击。

• APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看做是一个模拟真实网络建造的虚拟检测系统，未知文件放入沙箱以后将会被运行，沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配，最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成—套判断规则，因此能提供准确的检测结果。

        总体来看，反病毒系统是以被检测对象的特征来识别攻击对象，APT防御系统是以被检测对象的行为来识别攻击对象。

沙箱的处理流程

 

1. 内容安全检测

        网络流量进入FW并通过安全检查策略以后，进入智能感知引擎进行内容安全检测。智能感知引擎可以分析出网络流量所使用的应用协议，并根据实际配置对流量进行一系列的检测，如反 病毒、URL过滤、APT防御等。如果对应流量命中了APT 防御配置文件中的应用类型等匹配条件，则准备 对文件进行还原，并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测; 如果未命中 APT 防御配置文件，则流量直接被转发。

2. 查询Web信誉

• 大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力，所以网立站被侵入口的可能性较小，网站上也几乎不存在恶意文件，用户访问此类网站时的风险很小。相反，随意搭建的小网站或者恶意网站上充斥着大量的恶意文件，用户访问此类网站时的风险也极大。
• Web信誉功能对网站进行了分类，FW会根据不同分类进行差异化处理。对于信誉度低的网站，FW会提取出网络流量中的文件，然后送往沙箱进行进一步的检测;对于信誉度高的网站，FW不会提取网络流量中的文件，即跳过了沙箱检测的步骤。这样处理可以提高FW的检测效率，在不降低安全 性的同时，提升用户的访问体验。
• Web信誉网站分类
  • 预定义可信网站。
  • 自定义可信网站
  • 自定义可疑网站
  • 未知网站
• 当某个网站命中预定义可信网站或自定义可信网站列表时，系统不会提取网络流量中的文件;而命中 自定义可疑网站或未知网站时，系统会提取出网络流量中的文件，并送往沙箱进行进一步的检测。

3.查询文件信誉

• 查询文件信誉

        在文件还原之后，提交到沙箱之前，设备会对待检测文件进行文件信誉的查询，判断该文件是否为恶意文件。如果判定为恶意文件，则直接将该文件删除，无需再送往沙箱进行检测;否则送往沙箱进行检测。

• 文件提交至沙箱并进行检测
  • 智能感知引擎将原始文件发送给APT防御模块。智能感知引擎还原出原始文件以后.会将这些文件放入一个缓存区。APT防御模块会定期扫描缓存区，当发现有新的文件以后，通知智能引擎将对应的文件发送给自己。
  • APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的
  • MD5值。
  • 沙箱获取文件后运行此文件，并将文件的行为特征与沙箱的行为特征库进行比对，判定文件是否为恶意攻击文件。然后向APT防御模块发送检测结果。
• 根据沙箱检测结果阻断后续流量
  • APT防御模块随后将检测结果和MD5值发给智能感知引擎。智能感知引擎根据文件的MD5值和检测结果决定是否针对该文件执行阻断操作。
  • 默认系统会在沙箱返回的检测结果为恶意时执行阻断，否则将会对流量放行。
  • 如果用户想要根据检测结果对后续流量进行阻断，则需要在配置内容安全检测时必须配置反病毒和URL过滤功能。因为只有配置了这两个功能之后，IAE会根据沙箱的检测结果更新缓存中的AV特征库、文件信誉库和恶意URL列表。含有同样恶意特征的流量到达防火墙后，由于命中了AV特征库或恶意URL列表，可以根据反病毒配置文件或URL过滤配置文件中的动作来对该流量进行告警或者阻断。
     

4.配置APT防御

1. 升级文件信誉库

升级文件信誉特征库前，请根据沙箱类型确认License 状态

• 云沙箱：依赖云沙箱检测License，请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测License。
• 本地沙箱：不依赖License

升级文件信誉特征库

• 在线升级
• 本地升级

升级文件信誉热点库

• 文件信誉热点库是由sec.huawei.com发布的，启用文件信誉热点库的更新功能后，可以快速获取云端的文件信誉信息，以便对存在威胁的文件进行及时的阻断。

2.配置Web信誉

• 添加自定义可信/可疑网站

策略 --> 信誉 --> web信誉

 3.本地沙箱联动

企业内网用户通过 FW 和路由器连接到 Internet ，企业内网中部署了本地沙箱，且本地沙箱与 FW 路由可达。配置FW 与本地沙箱联动，将 FW 识别出来存在风险的流量送往本地沙箱进行检测， FW 定期去本地沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL 列表，当具有相同特征的后续流量命中恶意文件或恶意URL 列表时，直接进行阻断等处理，保护内网用户免受 APT 攻击。 3.1 选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置 ” 。

 3.2 配置本地沙箱

3.3 配置APT防御文件

 

3.4 配置APT防御配置文件的名称和描述。

 3. 5配置沙箱检测的相关参数

3.6 在安全策略中引用APT防御配置文件

3.7结果验证

1）选择 “ 对象 > 安全配置文件 > APT 防御 > 沙箱联动配置 > 本地沙箱 ” ，查看本地沙箱的连接状态为 “ 连接成功” 。

 

 2）点击“连接状态”后面的“登录本地沙箱”，登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果。

 4.云沙箱联动

 

Internet与企业内网之间通过FW和路由器进行连接，组网中部署了云沙箱。配置FW与云沙箱联动，将FW识别出来存在风险的流量送往云沙箱进行检测，FW定期去云沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL列表时，直接进行阻断等处理，保护内网用户免受APT攻击。
 

4.1------4.6 与3.1-----3.6一致 

4.7 配置沙箱检测的相关参数。

4.8 在安全策略中引用APT防御配置文件

 4.9 结果验证

1. 在“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 云沙箱”查看连接状态为连接成功

2. 用云账户huawei登录isecurity.huawei.com，查看该FW往云沙箱提交过的文件的检测结果。