揭秘网络世界的神秘“刺客”APT-国土报中文版

本篇文章3050字，读完约8分钟

1.apt攻击者在选择攻击的突破点时，总是试图在攻击者内部网络的终端上运行恶意代码。这种恶意代码通常具有很强的欺骗性和欺骗性，尤其是当恶意代码采用零日漏洞时，很难在第一时间发现这种攻击。apt的攻击者在获得终端权限后，通过终端进行远程控制，从而实现横向渗透，最终将所需信息传回。

2.apt具有很强的攻击隐蔽能力。为了避免传统的检测设备，APT更注重动态行为和静态文件的隐藏。例如，通过隐蔽通道和加密通道来防止网络行为被检测，或者通过伪造合法签名来防止恶意代码文件本身被识别，这给传统的基于签名的检测带来了很大的困难。

3.由于apt攻击持续时间长，从最初的攻击信息收集到信息窃取和传播往往需要几个月甚至更长的时间。如果传统的检测方法仅仅基于对单个时间点的实时检测，很难有效地跟踪如此大跨度的攻击。

在了解apt之后，让我们回顾一下行业中几个典型的apt攻击案例:

1.超级工厂病毒攻击(深圳网络攻击):该病毒早在2007年就被发现。超级工厂病毒的攻击者没有广泛传播病毒，而是通过专门定制的未知恶意程序感染了相关人员的u盘。病毒以u盘为桥梁进入堡垒，然后潜伏下来。这种病毒耐心地、逐渐地传播，并通过多种方式逐渐被消灭。

2.谷歌极光攻击:2010年的谷歌极光攻击是一次非常著名的apt攻击。谷歌的内部终端已经被未知的恶意程序渗透了几个月。攻击者不断监控并最终成功渗透到谷歌的邮件服务器，然后不断获取特定gmail账户的邮件内容信息，导致各种系统的数据被窃取。

3.夜龙攻击:夜龙攻击于2011年2月被发现并命名。这种攻击的攻击过程是:利用sql注入攻击和密码暴力破解目标机器，植入未知的恶意代码，安装远程控制工具(rat)，最后返回大量机密文件。

4.rsa securid窃取攻击:2011年3月，rsa遭到入侵，其关键技术和客户数据被盗。apt攻击利用adobe的0day漏洞，将臭名昭著的毒常春藤远程控制工具植入受感染的客户端，并开始从僵尸网络命令控制服务器下载指令来执行任务。

通过这些典型的apt攻击案例，不难看出apt攻击具有一些共同的特点，即隐蔽性强，攻击目标明确，通过免费挖掘/购买0天漏洞，结合多种方式的渗透和定向扩散，对目标机器进行长期持续的攻击。同时，从以上的攻击案例中，不难发现apt正在流行。根据ponemon研究所题为《高级持续攻击》的现状报告，在过去12个月中，企业平均遭遇了9次此类有针对性的攻击。近一半的企业声称攻击者已经成功地从其内部网络窃取了机密或敏感信息。根据cn-cert发布的《2013年中国互联网网络安全形势概要》，2013年中国至少有15000台主机感染了具有apt特征的木马程序。Apt攻击已经成为目前最重要的安全威胁。对于网络安全厂商来说，对这类威胁的防范必须整合到一个更大的监控和防范策略中，并整合现有的网络防御，从而实现对apt攻击的综合防御。

揭秘网络世界的神秘“刺客”APT

面对apt攻击的普遍威胁，各厂商也推出了自己的apt防御方法。让我们看看我们周围的安全供应商是如何抵御易受攻击的威胁的。

韩海源星云多维威胁预警平台

韩海源于2012年9月发布了针对apt攻击检测的韩海源星云v1版本，并于2013年12月发布了v2版本。V1版本主要基于无符号算法检测，主要用于企事业单位的部署；在v2版本中，增加了基于动态行为分析的apt攻击检测系统。

金星之星恶意代码检测引擎

金星之星恶意代码检测引擎是一款专门针对恶意代码检测的产品，可以检测已知的恶意代码和未知的恶意代码。通过检测未知恶意代码和利用未知漏洞传播未知恶意代码，可以检测出apt攻击的核心步骤。

富沙盒apt沙盒防御解决方案

Fortisandbox采用沙箱虚拟分析技术，模拟用户环境(如复制标准工作站)运行沙箱中的待检测代码，并通过分析输出结果确认一些攻击行为，从而帮助用户提高识别和防御apt攻击的能力。

360天眼睛未知威胁检测系统

360天眼威胁感知系统检测apt的核心攻击过程(未知病毒、未知恶意代码、特殊木马、未知漏洞利用(0天))，实现apt攻击的发现。同时，360天空中威胁感知系统(tss)也可以与360天空中终端安全管理系统(ess)和360天空中移动终端安全管理系统相连接。

天荣信apt防御系统

天荣鑫apt防御系统产品通过整合大量的黑白名单和大规模的动态虚拟机，可以有效防御apt攻击。天荣信apt防御系统与天荣信ngfw产品相结合，构建了边境安全、控制通道安全和零日安全的综合防护体系，为用户提供更全面的安全保障。

面对易受攻击的攻击，部署在网络边界的ngfw需要一个完整有效的安全防护解决方案。天荣信ngfw产品拥有内置的病毒特征库、攻击规则库、僵尸网络识别库、网络信誉库和应用识别特征库，可构建针对已知威胁的全面防御系统。同时，通过动态云防护平台，将各种威胁检测特征库实时主动地推送到部署在用户环境中的ngfw上，使用户的安全防护策略能够及时准确地动态更新，以确保对网络应用环境中层出不穷的攻击做出响应。

揭秘网络世界的神秘“刺客”APT

同时，天荣鑫apt防御系统通过与天荣鑫ngfw的联动防御，对不可信代码程序进行静态和动态双模分析，并采用联动机制，实现对未知漏洞和恶意代码的apt攻击的主动防御。天荣信的apt防御系统建立了一个规模超过1.5亿的大型混合威胁特征库，支持对各种文件格式和可执行程序的静态分析。在静态分析无法判断的情况下，天容信apt防御系统还可以通过沙盒技术为不可信代码程序提供一个虚拟化的模拟运行环境，最终根据它们在运行中的动作和运行后的结果来判断威胁和风险。天荣信apt防御系统和天荣信ngfw通过旁路实时检测和串行动态阻断的联动方案，实现了对未知威胁apt攻击的主动防御。

揭秘网络世界的神秘“刺客”APT

在当今的移动互联网时代，apt攻击的流行既是机遇也是挑战。机遇在于传统的单点安全防御难以抵御apt，用户需要一个全面的三维安全防御系统，大量新的安全技术可以更快地推广，网络安全防护将达到一个新的水平。挑战在于易受攻击不同于传统安全产品的同质化。更加专业和复杂的apt攻击对安全防御提出了前所未有的高要求。只有不断改进产品和解决方案的功能、性能和质量，我们才能有效应对新的apt攻击。

揭秘网络世界的神秘“刺客”APT