APT攻击下的信息安全

齐雅雯

摘 要：近年来，境外各类政府背景APT组织大力加强对我国进行网络攻击，技术手段高深，潜伏周期长，令人防不胜防。APT攻击是指组织利用当下先进的攻击手法对特定目标进行长期持续性的网络攻击，对此我们必须做好长期对抗APT的心理与技术准备。

关键词：APT攻击;信息安全;高级威胁

一、什么是APT攻击

（一）APT攻击的起源

APT这个词汇最早起源于2005年，英国和美国的CERT组织发布了有关于针对性的社交工程电子邮件，尽管这时并没有使用“APT”这个名字，但“先进的持续性威胁”一词被广泛使用。2006年的美国空军Greg Rattray上校经常被引用为创造该术语的人。

APT通常是指一个组织，甚至可能一个政府支持下的组织，因为APT团体是一个既有能力也有意向持续而有效地进行攻击的实体。所以APT通常用来指网络威胁，特别是使用互联网进行间谍活动，利用各种情报搜集技术来获取敏感信息，但同样适用于诸如传统间谍活动或攻击等其他威胁。其他公认的攻击媒介包括受感染的媒体，供应链和社会工程。这些攻击的目的是将自定义的恶意代码放在一台或多台计算机上执行特定的任务，并在最长的时间内不被发现。

（二）APT攻击的技术特点

正是由于攻击目的与攻击方式的特殊性，APT攻击在技术上也有很多鲜明的特点。

1.针对性

APT攻击的基础或者前提是针对性攻击，所以被攻击的目标往往会集中在很小的范围内，攻击的手法也往往和被攻击目标自身的特点有关。很多时候，APT攻击所采用的社会工程学手法和技术手法，可能仅仅对目标人物和目标机构有效，而普通人反而并不容易中招。

针对性攻击是APT最重要的技术特点之一，但并不是所有的针对性攻击都是APT攻击，它还必须要满足高级和持续两个条件。

2.高度隐蔽

一个攻击组织能够长期持续性地对特定目标发动攻击，一个必要的前提就是自身的隐蔽性。这种隐蔽性不仅仅是在攻击成功之前，而且也是在攻击成功之后，甚至永远不被发现。只有极少数的破坏性APT攻击，才必然会在一定时刻内产生显著的外部现象，并被攻击目标察觉。

3.不以直接获取经济利益为目的

那些以金融盗窃或者商业诈骗为目的的、攻击影响巨大的APT攻击并不是APT攻击的主流。绝大多数APT攻击实际上都是以窃取机密信息为目的，还有一些破坏性攻击或政治性攻击，主要服务于国家或政府的“重大利益”，而不是为了直接获取经济利益。

4.漏洞利用

在APT攻击中，漏洞利用是非常常见的技术手段，特别是1day和Nday漏洞，几乎被所有的APT组织使用。而某些技术水准较高的APT组织，还会掌握和使用一个至多个0day漏洞。0day漏洞的使用，使APT组织的攻击处于一种几乎不可防御，也难以被发现的状态。

（三）APT攻击的步骤

APT攻击有多个阶段，从攻击者的初始访问到最终的数据过滤和后续攻击我们一共分为5步：

1.初始访问

APT组织通常通过恶意上传、搜索和利用應用程序漏洞、安全工具中的漏洞来实现对目标网络的访问，例如，对拥有特权帐户的员工进行网络钓鱼，目标是用恶意软件感染目标。

2.首次渗透和恶意软件部署

在获得访问权限后，攻击者通过安装后门外壳、伪装为合法软件的特洛伊木马或其他允许其对渗透系统进行网络访问和远程控制的恶意软件来危害渗透系统。

3.扩展访问并横向移动

攻击者使用第一次渗透来收集有关目标网络的更多信息。他们可能使用暴力攻击，或利用他们在网络中发现的其他漏洞，以获得更深入的访问和控制其他更敏感的系统。攻击者安装额外的后门并创建隧道，允许他们在网络上执行横向移动并随意移动数据。

4.发动进攻

一旦他们扩展了他们的存在，攻击者就可以识别他们要寻找的数据或资产，并将其传输到网络中的安全位置，通常是加密和压缩以准备进行。

5、渗出或伤害

最后，攻击者准备在系统外传输数据。他们通常会进行“白噪声攻击”，例如分布式拒绝服务（DDoS）攻击，以分散安全团队在网络外围传输数据时的注意力。之后，他们将采取措施移除数据传输的证据。

根据攻击目标的不同，此时，APT集团可能会造成巨大损失，削弱组织的力量，或接管网站或数据中心等关键资产。

二、近期APT攻击事件

习主席深刻指出：没有网络安全就没有国家安全。近年来，境外各类政府背景APT黑客组织不断加强对我国网络攻击，窃取大量重要敏感信息，试图控制我国核心设备和关键设施，势头猛烈，威胁巨大，严重危害我国网络空间安全和利益。

在第五个“全民国家安全教育日”之际，国家安全部披露了多起有关APT攻击窃密的案例：2019年7月，某境外APT组织仿冒我国军工领域某航空系统重点单位邮件登录界面，专门搭建钓鱼攻击平台阵地，冒用“系统管理员”身份向该单位多名人员发送钓鱼攻击邮件。该单位职工王某点击了钓鱼攻击邮件，输入了个人邮箱账号和登录密码，导致其电子邮箱被秘密控制。之后，该APT组织定期远程登录王某电子邮箱收取王某邮箱内文件资料，并利用该邮箱向王某的同事、下级单位人员发送数百封木马钓鱼邮件，导致十余人下载点击了木马程序，相关人员计算机被控制，数百份敏感文件被窃取。

这次的攻击，是某境外APT组织利用特种木马，通过控制多个境外跳板设备对我国航空系统数十台计算机设备实施高强度网络攻击的活动。攻击者精心伪装其窃密行为，利用特种木马平时处于静默潜伏状态，接收到远程控制指令时再激活运行，整个过程十分隐蔽。

该攻击技术先进，手法复杂，境外APT组织广泛运用人工智能、大数据等先进技术，同事采取漏洞攻击、诱骗攻击、“中间人”攻击等多种技术方式和手法，让人不易防范。

三、应对APT攻击的举措

从APT攻击的过程和主要行为特征可以发现，整个攻击循环包括了多个步骤，为实施攻击而进行的准备探测活动也一定会留下痕迹，这就为检测和防护提供了多个契机。因此，军事网络因对APT攻击的防御措施，可以遵循“多点部署，集中管控”的原则，即在各个可能的环节上部署检测和防护手段，通过统一的平台进行监控和维护。

（1）我们应当坚持总体国家安全观，梳理正确的网络安全意识，多层次多维度地防范抵御网络安全的风险与挑战。

（2）加强常态化网络安全教育和技能培训，提升网络安全敌情意识和防范技能。工作人员的疏忽大意和违规操作，是绝大多数网络安全事件和失泄密案件发生的主要原因。提高工作人员的网络安全防范意识和技能，彻底杜绝不安全操作行为，是做好网络安全管理的根本。必须嚴格做到“涉密不上网，上网不涉密”，不在非涉密计算机和移动存储介质中存储涉密资料，不通过互联网邮箱存储传递涉密文件资料，不在固定电话和手机中谈论涉密内容，涉密计算机和移动存储介质严禁连接互联网。

（3）要加强对计算机、电子邮箱的安全防护。除了在办公计算机、手机上安装杀毒、防护软件等措施，还要不定期的对连网设备进行安全检测，发现计算机、手机等是否感染病毒木马程序，存在可疑的网络请求或连接，邮箱是否存在异常的登录情况。在出差特别是出国时，最好携带新的、不存储任何文件的新计算机、新手机，注册新的电子邮箱，在经过技术检测前不轻易使用别人以礼品形式赠送的电子设备。

（4）要加强同国家安全机关等专业部门的协作配合。国家安全机关是网络反间谍对敌斗争的专业部门，有责任、有义务指导协助各单位做好网络安全防范工作。国家安全机关将积极协助各涉密单位开展反间谍技术窃密检测，发现计算机网络被境外间谍情报机关攻击窃密情况及运行管理中存在的漏洞和薄弱环节，及时消除危害隐患。

（5）做好长期对抗的准备，不是阻断一次攻击就能一劳永逸的那一种威胁，我们必须做好长期对抗APT的心理和技术准备。要加强同国家安全机关等专业部门的协作配合。国家安全机关是网络反间谍对敌斗争的专业部门，有责任、有义务指导协助各单位做好网络安全防范工作。国家安全机关将积极协助各涉密单位开展反间谍技术窃密检测，发现计算机网络被境外间谍情报机关攻击窃密情况及运行管理中存在的漏洞和薄弱环节，及时消除危害隐患。

参考文献

[1]http：//www.freebuf.com/articles/neopoints/152457.html

[2]https：//en.wikipedia.org/wiki/Advanced_persistent_threat

[3]http：//www.aqniu.com/news-views/29381.html

[4]https：//www.freebuf.com/articles/network/222059.html