【工控中國 學(xué)術(shù)論文】近日，一份關(guān)于APT攻擊的報告顯示，在所有數(shù)據(jù)泄漏事件當(dāng)中，黑客平均潛伏的天數(shù)長達(dá)205天。受害企業(yè)通常都有一個同樣的疑惑：“黑客是如何在我的網(wǎng)絡(luò)中長期躲藏而不被發(fā)現(xiàn)？”，本文將為您解答這個問題。
　　
　　亞信安全通過對APT攻擊長期的追蹤發(fā)現(xiàn)，黑客往往會精心選擇隱匿行蹤的技巧，而且擅長通過有組織的行動將攻擊分散開來，以躲避查殺。針對APT攻擊的特征，亞信安全建議企業(yè)用戶持續(xù)監(jiān)察網(wǎng)絡(luò)內(nèi)的異常流量，并格外小心“圖片”和“文檔”中的黑色代碼。
　　APT攻擊黑客團(tuán)體特別擅長隱匿行蹤
　　
　　在所有黑客攻擊行為當(dāng)中，有能力在企業(yè)網(wǎng)絡(luò)內(nèi)部四處隱藏及游走的，就應(yīng)該是APT攻擊。黑客團(tuán)體有著組織性犯罪的顯著特征，而且特別擅長隱匿行蹤，他們通常會運用“零時差”漏洞進(jìn)入網(wǎng)絡(luò)。其盜取的核心機密數(shù)據(jù)能夠在地下黑市為其換得高額回報，巨大的誘惑讓他們長期潛伏下來，并且持續(xù)滲透。
　　
　　黑客團(tuán)體的成員之間，有著統(tǒng)一的指揮通道并且分工明確，要緝拿這些行動背后的首腦相當(dāng)困難，尤其是當(dāng)他們躲藏在國外的時候。事實上，許多APT攻擊團(tuán)體通常都有政府在背后支持。還有，即使我們可以從攻擊行動所使用的網(wǎng)址來追溯到某個地區(qū)，但該網(wǎng)址注冊的DNS和IP服務(wù)廠商通常也不愿配合國外的執(zhí)法機關(guān)。正因如此，那些由政府在背后撐腰的黑客，就能一再發(fā)動惡意攻擊而不會遭到任何懲罰。嚴(yán)重的是，這些黑客團(tuán)體還會被一些投機取巧、惡意競爭的企業(yè)，甚至是恐怖組織雇傭。在低風(fēng)險、高報酬的條件下，他們會不斷從過去的失敗當(dāng)中吸取教訓(xùn)，并且每一次都比上一次的行動更加小心謹(jǐn)慎。
　　
　　“如果我們還不能建立起有效的APT攻擊防御架構(gòu)，任何一個組織都可能遇到數(shù)據(jù)泄漏的危險。管理員必須要熟悉黑客竊取數(shù)據(jù)的方法，掌握APT攻擊各個階段的特點，并且能夠針對APT攻擊鏈條建立有效的抑制點，在互聯(lián)網(wǎng)入口、內(nèi)部交換層，都要配備更智能的過濾和分析機制，因為黑客正在把APT攻擊代碼寫進(jìn)看似正常的圖片和文檔中。”亞信安全APT治理專家徐江明提醒：“企業(yè)用戶一定要關(guān)注APT攻擊的變化。我們的工程師已經(jīng)發(fā)現(xiàn)了更糟糕的狀況，地下市場上隨處可見的惡意程序，以及卷土重來的宏病毒已經(jīng)被APT攻擊者廣泛采用。”
　　
　　APT攻擊“武器”正在升級
　　
　　亞信安全的研究人員發(fā)現(xiàn)，當(dāng)前地下市場上精密的惡意軟件之一就是Stegoloader，它可以將C&C通信隱藏在圖片當(dāng)中。大多數(shù)的系統(tǒng)管理員都會被這樣的技巧所騙，因為他們習(xí)慣上只會在安全網(wǎng)關(guān)上攔截可以執(zhí)行文件并進(jìn)行分析，不會攔截圖片文件。但這些圖片一旦進(jìn)入目標(biāo)網(wǎng)絡(luò)之后，惡意軟件就會幫助黑客發(fā)揮“橫向移動”的能力。另外，Stegoloader采用了模塊化的設(shè)計可讓它在不同類型的終端之間移動，并且迅速發(fā)掘可竊取的數(shù)據(jù)類型及數(shù)量，進(jìn)而判斷是否值得花時間來發(fā)動進(jìn)一步攻擊。大多數(shù)的安全專家都認(rèn)為Stegoloader是一種黑客用來從事長期攻擊行動的工具。
　　
　　能夠騙過管理員和用戶的另外一個伎倆就是Office文檔，而這也是宏病毒藏身的地方。上世紀(jì)末惡名昭彰的梅麗莎病毒(Melissa)出現(xiàn)之后，宏病毒貌似離開了人們的視線。但是，現(xiàn)在宏病毒強勢回歸，并成為了APT攻擊的慣用工具。例如：2014年出現(xiàn)的數(shù)據(jù)竊取軟件ZeuS，它通過啟用宏的MicrosoftWord文件來進(jìn)行散播。在同年11月還發(fā)現(xiàn)了DRIDEX（一個針對網(wǎng)絡(luò)銀行用戶的數(shù)據(jù)竊取軟件）采用相同的感染策略。緊隨其后的是ROVNIX、VAWTRAK、BARTALEX這些后門惡意軟件，黑客還加上自己的防御手段，他們或是對啟用宏的文件加上密碼保護(hù)來防止防毒軟件的查殺，或是開辟新方法來通過宏惡意軟件感染用戶。
　　
　　找出APT攻擊的藏身之處
　　
　　APT攻擊共有六個階段，這包括：情報收集、單點突破、命令與控制（C&C通信）、橫向移動、資產(chǎn)/資料發(fā)掘、資料竊取。在黑客團(tuán)體常常分工明確，每一階段由一組專門的黑客負(fù)責(zé)。另外，需要注意的不僅是在“單點突破”這個階段的惡意代碼，黑客在第四階段的“橫向移動”對于后資料竊取階段的布局也至關(guān)重要。不斷地在不同終端之間移動，可以讓黑客完整掃描整個網(wǎng)絡(luò)，并且找到珍貴的數(shù)據(jù)。
　　
　　發(fā)現(xiàn)APT攻擊者在企業(yè)內(nèi)部的藏身之處有一定的難度，但不是說企業(yè)就束手無策。相反，企業(yè)必須不斷提升自己的安全防護(hù)，并隨時掌握整個企業(yè)網(wǎng)絡(luò)的情況。亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（DeepSecurity）產(chǎn)品可提供360度掌握來偵測APT，防范黑客竊取企業(yè)敏感信息。在今日的大環(huán)境下，黑客入侵已經(jīng)是無可避免的事，因此盡可能降低黑客潛伏的時間，并且妥善保護(hù)核心的數(shù)字資產(chǎn)，這才是重要的。