與來(lái)自IT、信息、網(wǎng)絡(luò)安全行業(yè)很多縮略詞一樣，APT(高級(jí)持續(xù)性威脅)這個(gè)術(shù)語(yǔ)正變得廣為人知。就像新生概念一樣，它和它的兄弟詞語(yǔ)AET(高級(jí)逃逸技術(shù))占據(jù)了當(dāng)今各大媒體的頭條。

然而，從這兩個(gè)術(shù)語(yǔ)涉及的最基本層面上來(lái)看，它們并沒(méi)有任何創(chuàng)新。新的簡(jiǎn)寫(xiě)的確概括了當(dāng)今這個(gè)高度信息化的時(shí)代遇到的一些真正的威脅，但它們只是在沒(méi)人注意的時(shí)候偷偷重新發(fā)明了自己。因此，APT里代表持續(xù)性(Persistent)的那個(gè)“P”看上去才顯得如此恰當(dāng)(apt本身就是個(gè)英文單詞，有恰當(dāng)?shù)?、合適的意思)。

隨著攻擊技術(shù)的不斷發(fā)展，歷史上的威脅和今天的威脅之間有一個(gè)微妙的區(qū)別。一些人利用嚴(yán)肅的計(jì)劃和項(xiàng)目管理技術(shù)創(chuàng)造了用于實(shí)戰(zhàn)的高級(jí)逃逸技術(shù)，這使得當(dāng)今的惡意行為如虎添翼。

早在1993年，計(jì)算機(jī)病毒還是當(dāng)時(shí)最新潮的現(xiàn)象。在英國(guó)皇家空軍的計(jì)算機(jī)安全部門(mén)進(jìn)行計(jì)算機(jī)病毒研究的人員提出了一個(gè)瘋狂想法：使用單層或多層封裝將惡意代碼數(shù)據(jù)隱藏起來(lái)，以規(guī)避反病毒系統(tǒng)。也就是說(shuō)，這就是上個(gè)世紀(jì)90年代的APT。

如今，很多網(wǎng)絡(luò)安全社區(qū)傾向于給遇到的每個(gè)安全問(wèn)題都打上普適性的標(biāo)簽，然后把問(wèn)題踢給一些相關(guān)的技術(shù)保護(hù)概要，這份概要又會(huì)提供某個(gè)可行的全/半自動(dòng)解決方案，最后導(dǎo)出使用某種信息安全靈丹妙藥的確切等級(jí)。

然而，以APT為例，上述過(guò)程并沒(méi)有考慮到攻擊的多面性。例如，APT是病毒?零日漏洞?系統(tǒng)漏洞?還是全新的惡意腳本?對(duì)所有這些問(wèn)題的答案都是令人費(fèi)解的。

為了對(duì)APT的能力和目的有更深刻的理解，我們應(yīng)當(dāng)整體審視一下OSI七層模型。然后我們可以看到，APT的制造者是如何依據(jù)自己的想象力，將攻擊向量運(yùn)用到針對(duì)OSI模型特定一層或幾層的漏洞上，并取得成功的。以下是OSI模型七層協(xié)議：

* 應(yīng)用層

* 表示層

* 會(huì)話層

* 傳輸層

* 網(wǎng)絡(luò)層

* 鏈路層

* 物理層

在面對(duì)APT攻擊時(shí)，一件非常重要的事情是意識(shí)到這些攻擊有可能隨設(shè)計(jì)者的意圖隨意演變。攻擊者運(yùn)用攻擊向量的某幾點(diǎn)展開(kāi)攻擊，目標(biāo)是找到一些要素的漏洞，或者是一些和OSI協(xié)議棧相關(guān)的要素。盡管，從某種程度上來(lái)講，不管APT有沒(méi)有被定制好，都要用到大量暴露的通常信息，但這正是我們防不勝防的東西。

舉例而言，攻擊者可能決定將攻擊放在OSI協(xié)議棧的上層部分，并在這部分直接發(fā)掘漏洞，這樣做有可能導(dǎo)致更底層的漏洞暴露。如果黑客利用社會(huì)工程攻擊鎖定目標(biāo)人員、跟蹤數(shù)據(jù)包，可能導(dǎo)致OSI模型中更接近技術(shù)接口的層面受到威脅，進(jìn)而使得網(wǎng)絡(luò)層上的實(shí)體遭到針對(duì)性攻擊。

文章寫(xiě)到這里，應(yīng)該介紹一下APT的真實(shí)定義了：

“它是一種使得攻擊成為可能的邏輯/物理?xiàng)l件，能造成在多重向量層面上的不利狀態(tài)，使得人員、軟件、系統(tǒng)陷入危險(xiǎn)，實(shí)現(xiàn)攻擊者的直/間接訪問(wèn)，進(jìn)而發(fā)掘目標(biāo)實(shí)體的部分漏洞，甚至造成漏洞的全面暴露。”

關(guān)于APT攻擊最值得記住的威脅點(diǎn)是，我們完全不知道它們?cè)谶壿嬌鲜侨绾谓M織的，也不知道它們針對(duì)的是OSI協(xié)議棧的哪一層的漏洞。舉例而言，通過(guò)混合型魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)的方法投放數(shù)據(jù)包，可以對(duì)單個(gè)或多人開(kāi)展攻擊;攻擊的目標(biāo)則可以很多樣化，或是利用Windows XP的漏洞，或是對(duì)外圍信息安全基礎(chǔ)設(shè)施進(jìn)行直接攻擊，亦或是偽造IP包頭，騙過(guò)保護(hù)系統(tǒng);攻擊的結(jié)果是在網(wǎng)絡(luò)層上成功建立惡意連接。

惡意連接有可能是未授權(quán)的數(shù)據(jù)出口，它使得攻擊者得以遠(yuǎn)程調(diào)用目標(biāo)系統(tǒng)上的命令行(Shell操控接口)，進(jìn)而運(yùn)行強(qiáng)大的Windows管理規(guī)范命令行程序(wmic.exe)，再向受害網(wǎng)絡(luò)發(fā)送INTERROGATE詢(xún)問(wèn)控制請(qǐng)求，勘察字符段;或者通過(guò)網(wǎng)絡(luò)向同組服務(wù)器發(fā)送硬盤(pán)取證軟件。

有一些APT攻擊可能針對(duì)人類(lèi)心理的弱點(diǎn)，比如好奇心。舉例而言，黑客在攻擊一個(gè)總部位于倫敦的公司時(shí)，把USB盤(pán)分散扔到公司停車(chē)場(chǎng)里，并給U盤(pán)標(biāo)上個(gè)人理財(cái)、2015裁員、女朋友的相片等等標(biāo)簽。然而，這些USB盤(pán)都感染了基于Hacksaw、Switchblade制作的U盤(pán)病毒，一旦把USB盤(pán)插到計(jì)算機(jī)上，病毒就會(huì)通過(guò)計(jì)算機(jī)I/O感染整個(gè)系統(tǒng)。

整體來(lái)看，針對(duì)性的APT攻擊流程大致包括：對(duì)目標(biāo)進(jìn)行踩點(diǎn);搜集開(kāi)源情報(bào)(Open Source Intelligence, OSINT)以及任何其它黑客能夠挖出來(lái)的信息。單個(gè)的信息含金量可能并不高，但是當(dāng)信息組合起來(lái)，有可能構(gòu)成發(fā)動(dòng)一次攻擊的基礎(chǔ)。

舉例而言，一家公司從基于元數(shù)據(jù)的構(gòu)件里泄露出了信息，這些信息是從該公司的網(wǎng)站上無(wú)意之中大量泄露的，而公司并不知情。這些信息包括IP地址、用戶(hù)名、本地系統(tǒng)名稱(chēng)、文件夾、操作系統(tǒng)，以及基礎(chǔ)應(yīng)用程序的版本：比如Oracle。這都會(huì)被有心的攻擊者利用起來(lái)。

真的有公司想告訴世界他們?nèi)匀辉谟肳indows NT 4.0 Service Pack 6a，而且公司內(nèi)的Windows XP覆蓋率居高不下嗎?抑或是公司業(yè)務(wù)都運(yùn)行在過(guò)時(shí)的服務(wù)器上，且有多項(xiàng)隨時(shí)有可能被黑客瞄準(zhǔn)的中高安全級(jí)漏洞? 所有這些信息都可能對(duì)想捏軟柿子的APT攻擊者產(chǎn)生至關(guān)重要的作用。

如果要考慮哪些要素在數(shù)據(jù)/元數(shù)據(jù)泄密方面不是那么重要，就要考慮哪些暴露的通常信息會(huì)幫助攻擊者構(gòu)建攻擊。對(duì)上述例子而言，我們來(lái)看看隱藏在元數(shù)據(jù)屬性里的潛在信息，下圖是一個(gè)例子。有著家大業(yè)大的微軟庇護(hù)，直到2015年，Windows NT 4.0依然有它的一席之地，這些老舊產(chǎn)品周期里的系統(tǒng)存在很大的安全風(fēng)險(xiǎn)。

接下來(lái)看社會(huì)工程學(xué)在APT里面所占的地位，請(qǐng)想象以下場(chǎng)景。在一次早期的踩點(diǎn)行動(dòng)中，攻擊者發(fā)現(xiàn)了一系列不安全的文檔，它們來(lái)自于一個(gè)雇員發(fā)布在銀行網(wǎng)站上的信息。經(jīng)過(guò)分析提取，攻擊者得知了雇員的個(gè)人背景;通過(guò)仔細(xì)翻閱相關(guān)的元數(shù)據(jù)，攻擊者得以發(fā)掘一些關(guān)于文檔創(chuàng)建的內(nèi)部信息。攻擊者的下一步就是以個(gè)人信息為偵查目標(biāo)，對(duì)目標(biāo)銀行進(jìn)行開(kāi)源情報(bào)(OSINT)分析，確定目標(biāo)個(gè)人。很容易就能發(fā)現(xiàn)，這個(gè)人的部門(mén)和分機(jī)號(hào)碼被關(guān)聯(lián)到了他自己的登錄用戶(hù)名上。

到了這個(gè)節(jié)點(diǎn)，在Facebook、LinkedIn上查找更多情報(bào)就是非常容易的了，攻擊已經(jīng)箭在弦上。現(xiàn)在的問(wèn)題只是給目標(biāo)打電話，作為陌生人主動(dòng)展開(kāi)對(duì)話，使用已經(jīng)收集到的信息騙取目標(biāo)的信任，然后對(duì)無(wú)防備的目標(biāo)發(fā)起惡意通信。

APT相當(dāng)多元化，依照順序，以下是它所利用到的工具：

* 開(kāi)源情報(bào)

* 情報(bào)分析

* 社會(huì)工程

* 發(fā)掘目標(biāo)PC的漏洞

* 發(fā)送數(shù)據(jù)包

當(dāng)然，還有很多對(duì)目標(biāo)產(chǎn)生威脅的方法，這些方法不一定同源，也不一定易于發(fā)現(xiàn)。不容忽視的是，其它作為干擾的攻擊手段也經(jīng)常和APT混在一起，以將企業(yè)遭到邏輯攻擊時(shí)的注意力和防御資源從真正危險(xiǎn)的攻擊中移開(kāi)。

要想防御邏輯攻擊，真正有效的辦法是去思考有多少暴露的通常信息，而且不要通過(guò)名字、商標(biāo)、檔案來(lái)查詢(xún)這些信息：部署一種專(zhuān)門(mén)尋找直/間接安全事件，或安全反常行為的防御系統(tǒng)。信息安全靈丹妙藥的時(shí)代早已遠(yuǎn)去，我們生活在一個(gè)不安全的時(shí)代。這意味著我們應(yīng)當(dāng)最大限度地運(yùn)用想象力，在大量暴露的信息中保護(hù)我們的資產(chǎn)。

這一現(xiàn)狀也決定了，公司應(yīng)當(dāng)配備高性能的探測(cè)預(yù)警系統(tǒng)，如果可能的話，應(yīng)當(dāng)對(duì)整個(gè)公司的安全事件進(jìn)行標(biāo)記，在對(duì)任何遠(yuǎn)程第三方組織打開(kāi)接口時(shí)更應(yīng)如此。以一家英國(guó)公司作為反例，在遭到APT攻擊后四周，這家公司才建立了依賴(lài)IT基礎(chǔ)架構(gòu)庫(kù)(ITIL)的安全方案，以防止?jié)B透攻擊、未授權(quán)高權(quán)限賬戶(hù)創(chuàng)建，以及病毒感染。這無(wú)疑是應(yīng)對(duì)APT攻擊時(shí)最糟糕的解決辦法，尤其是在內(nèi)部網(wǎng)絡(luò)已經(jīng)受到確定無(wú)疑的威脅時(shí)。對(duì)任何APT攻擊而言，它都制造了一個(gè)理想機(jī)會(huì)，攻擊找到的后門(mén)可能持續(xù)幾個(gè)月甚至幾年都不會(huì)被發(fā)現(xiàn)。

上文的結(jié)論如下。任何APT攻擊向量都基于對(duì)OSI協(xié)議棧上層或底層的攻擊，而且會(huì)在棧上多個(gè)層次尋找漏洞來(lái)實(shí)現(xiàn)攻擊的最終目的。攻擊可能需要用到一系列工具，包括混合攻擊，垃圾郵件，可疑鏈接，以及簡(jiǎn)單有效的社會(huì)工程方法。

而且，在APT攻擊逐漸流行的大潮流下，我們不能忘記開(kāi)源情報(bào)、數(shù)據(jù)泄密，以及其它能夠?yàn)楣粽咚玫臐撛谛畔?。大量暴露的信息所帶?lái)的安全威脅意味著我們必須考慮、調(diào)查每一個(gè)潛在的隱患。

在2015年，我們必須意識(shí)到，非傳統(tǒng)的APT攻擊需要非傳統(tǒng)的防御。老辦法已經(jīng)行不通了。