網絡安全，尤其是Internet互聯網安全正在面臨前所未有的挑戰，這主要就來自于有組織、有特定目標、持續時間極長的新型攻擊和威脅，國際上有的稱之為APT（Advanced Persistent Threat）攻擊，或者稱之為“針對特定目標的攻擊”。

一般認為，APT攻擊就是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性的進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段，包括各種最先進的手段和社會工程學方法，一步一步的獲取進入組織內部的權限。APT往往利用組織內部的人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。

此外，APT攻擊具有持續性，甚至長達數年。這種持續體現在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網絡內部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。

更加危險的是，這些新型的攻擊和威脅主要就針對國家重要的基礎設施和單位進行，包括能源、電力、金融、國防等關系到國計民生，或者是國家核心利益的網絡基礎設施。

對于這些單位而言，盡管已經部署了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設備，也包括了將各種單一安全設備串聯起來的管理平臺，而防御體系也可能已經涵蓋了事前、事中和事后等各個階段。但是，這樣的防御體系仍然難以有效防止來自互聯網的入侵和攻擊，以及信息竊取，尤其是新型攻擊（例如APT攻擊，以及各類利用0day漏洞的攻擊）。

下面列舉幾個典型的APT攻擊實例，以便展開進一步分析。

1、 Google極光攻擊

2010年的Google Aurora（極光）攻擊是一個十分著名的APT攻擊。Google的一名雇員點擊即時消息中的一條惡意鏈接，引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月，并且造成各種系統的數據被竊取。這次攻擊以Google和其它大約20家公司為目標，它是由一個有組織的網絡犯罪團體精心策劃的，目的是長時間地滲入這些企業的網絡并竊取數據。該攻擊過程大致如下：

1)對Google的APT行動開始于刺探工作，特定的Google員工成為攻擊者的目標。攻擊者盡可能地收集信息，搜集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發布的信息。

2)接著攻擊者利用一個動態DNS供應商來建立一個托管偽造照片網站的Web服務器。該Google員工收到來自信任的人發來的網絡鏈接并且點擊它，就進入了惡意網站。該惡意網站頁面載入含有shellcode的JavaScript程序碼造成IE瀏覽器溢出，進而執行FTP下載程序，并從遠端進一步抓了更多新的程序來執行（由于其中部分程序的編譯環境路徑名稱帶有Aurora字樣，該攻擊故此得名）。

3)接下來，攻擊者通過SSL安全隧道與受害人機器建立了連接，持續監聽并最終獲得了該雇員訪問Google服務器的帳號密碼等信息。

4)最后，攻擊者就使用該雇員的憑證成功滲透進入Google的郵件服務器，進而不斷的獲取特定Gmail賬戶的郵件內容信息。#p#

2、 夜龍攻擊

夜龍攻擊是McAfee在2011年2月份發現并命名的針對全球主要能源公司的攻擊行為。該攻擊的攻擊過程是：

1）  外網主機如Web服務器遭攻擊成功，黑客采用的是SQL注入攻擊；

2）  被黑的Web服務器被作為跳板，對內網的其他服務器或PC進行掃描；

3）  內網機器如AD服務器或開發人員電腦遭攻擊成功，多半是被密碼暴力破解；

4）  被黑機器被植入惡意代碼，并被安裝遠端控制工具（RAT），并禁用掉被黑機器IE的代理設置，建立起直連的通道，傳回大量機敏文件（WORD、PPT、PDF等等），包括所有會議記錄與組織人事架構圖；

5）  更多內網機器遭入侵成功，多半為高階主管點擊了看似正常的郵件附件，卻不知其中含有惡意代碼。

#p#

3、 RSA SecurID竊取攻擊

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。在RSA SecurID攻擊事件中，攻擊方沒有使用大規模SQL注入，也沒有使用網站掛馬或釣魚網站，而是以最原始的網絡通訊方式，直接寄送電子郵件給公司職員，并附帶防毒軟件無法識別的惡意文件附件。其攻擊過程大體如下：

1）  攻擊者給RSA的母公司EMC的4名員工發送了兩組惡意郵件。郵件標題為“2011 Recruitment Plan”，寄件人是webmaster@Beyond.com，正文很簡單，寫著“I forward this file to you for review. Please open and view it.”；里面有個EXCEL附件名為“2011 Recruitment plan.xls”；

2）  很不幸，其中一位員工對此郵件感到興趣，并將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞（CVE-2011-0609）。這個Excel打開后啥也沒有，除了在一個表單的第一個格子里面有個“X”（叉）。而這個叉實際上就是內嵌的一個Flash。

3）  該主機被植入臭名昭著的Poison Ivy遠端控制工具，并開始自BotNet的C&C服務器（位于 good.mincesur.com）下載指令進行任務；

4）  首批受害的使用者并非“位高權重”人物，緊接著相關聯的人士包括IT與非IT等服務器管理員相繼被黑；

5）  RSA發現開發用服務器（Staging server）遭入侵，攻擊方隨即進行撤離，加密并壓縮所有資料（都是rar格式），并以FTP傳送至遠端主機，又迅速再次搬離該主機，清除任何蹤跡；

6）在拿到了SecurID的信息后，攻擊者就開始對使用SecurID的公司（例如上述防務公司等）進行攻擊了。

另一個與此攻擊類似的攻擊事件是針對Comodo的頒發數字證書的系統攻擊，結果導致很多由Comodo簽發的偽造數字證書，成為了攻擊者的強大武器。#p#

4、 超級工廠病毒攻擊（震網攻擊）

遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的，理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破，超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊，以此為第一道攻擊跳板，進一步感染相關人員的U盤，病毒以U盤為橋梁進入“堡壘”內部，隨即潛伏下來。病毒很有耐心的逐步擴散，利用多種漏洞，包括當時的一個0day漏洞，一點一點的進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍，攻擊十分精準。

#p#

5、 Shady RAT攻擊

2011年8月份，McAfee/Symantec發現并報告了該攻擊。該攻擊在長達數年的持續攻擊過程中，滲透并攻擊了全球多達70個公司和組織的網絡，包括美國政府、聯合國、紅十字會、武器制造商、能源公司、金融公司，等等。其攻擊過程如下：

1）  攻擊者通過社會工程學的方法收集被攻擊目標的信息。

2）  攻擊者給目標公司的某個特定人發送一些極具誘惑性的、帶有附件的郵件例如邀請他參加某個他所在行業的會議，以他同事或者HR部門的名義告知他更新通訊錄，請他審閱某個真實存在的項目的預算，等等。

3）  當受害人打開這些郵件，查看附件（大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls），受害人的EXCEL程序的FEATHEADER遠程代碼執行漏洞（Bloodhound.Exploit.306）被利用，從而被植入木馬。實際上，該漏洞不是0day漏洞，但是受害人沒有及時打補丁，并且，該漏洞只針對某些版本的EXCEL有效，可見被害人所使用的EXCEL版本信息也已經為攻擊者所悉知。

4）  木馬開始跟遠程的服務器進行連接，并下載惡意代碼。而這些惡意代碼被精心偽裝（例如被偽裝為圖片，或者HTML文件），不為安全設備所識別。

5）  借助惡意代碼，受害人機器與遠程計算機建立了遠程Shell連接，從而導致攻擊者可以任意控制受害人的機器。#p#

綜合分析以上典型的APT攻擊，可以發現，現在的新型攻擊主要呈現以下技術特點：

1）  攻擊者的誘騙手段往往采用惡意網站，用釣魚的方式誘使目標上鉤。而企業和組織目前的安全防御體系中對于惡意網站的識別能力還不夠，缺乏權威、全面的惡意網址庫，對于內部員工訪問惡意網站的行為無法及時發現；

2）  攻擊者也經常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發件人。而企業和組織現有的郵件過濾系統大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，郵件內容分析也難以奏效；

3）  還有一些攻擊是直接通過對目標公網網站的SQL注入方式實現的。很多企業和組織的網站在防范SQL注入攻擊方面缺乏防范；

4）  初始的網絡滲透往往使用利用0day漏洞的惡意代碼。而企業和組織目前的安全防御/檢測設備無法識別這些0day漏洞攻擊；

5）  在攻擊者控制受害機器的過程中，往往使用SSL鏈接，導致現有的大部分內容檢測系統無法分析傳輸的內容，同時也缺乏對于可疑連接的分析能力；

6）  攻擊者在持續不斷獲取受害企業和組織網絡中的重要數據的時候，一定會向外部傳輸數據，這些數據往往都是壓縮、加密的，沒有明顯的指紋特征。這導致現有絕大部分基于特征庫匹配的檢測系統都失效了；

7）  還有的企業部署了內網審計系統，日志分析系統，甚至是SOC安管平臺。但是這些更高級的系統主要是從內控與合規的角度來分析事件，而沒有真正形成對外部入侵的綜合分析。由于知識庫的缺乏，客戶無法從多個角度綜合分析安全事件，無法從攻擊行為的角度進行整合，發現攻擊路徑。

8）受害人的防范意識還需要進一步提高。攻擊者往往不是直接攻擊最終目標人，而是透過攻擊外圍人員層層滲透。例如先攻擊HR的人，或者首輪受害人的網絡好友，再以HR受害人的身份去欺騙（攻擊）某個接近最終目標人的過渡目標，再透過過渡目標人去攻擊最終目標人（例如掌握了某些機密材料的管理員、公司高管、財務負責人等）。

因此，在APT這樣的新型攻擊面前，大部分企業和組織的安全防御體系都失靈了。保障網絡安全亟需全新的思路和技術。

原文鏈接：http://yepeng.blog.51cto.com/3101105/636180

【編輯推薦】

1. APT攻擊者是如何利用HTML注釋攻擊的？
2. 當惡意攻擊更具目標性：恐怖的APT攻擊