3.2.2 APT防护

近年来发生了多起针对金融行业的APT攻击事件，其目的都是针对某个对象进行渗透行为以达到获取利益的目的。APT攻击一般分为情报收集、单点突破、通道控制、横向渗透、数据挖掘的过程。我们可以看一个典型的例子。

2011年10月底，赛门铁克公司发布的一份报告公开了主要针对全球化工企业进行信息窃取的Nitro攻击。该攻击的过程十分典型，步骤如下所示。

1．受害企业的部分雇员收到带有欺骗性的邮件。

2．当受害人阅读邮件的时候，往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件，而这实际上是一个可执行程序；或者看到一个有密码保护的压缩文件附件，密码在邮件中注明，并且如果解压该文件则会产生一个可执行程序。

3．只要受害人执行了附件中的可执行程序，就会被植入Poison Ivy后门程序。

4．Poison Ivy会通过TCP 80端口与C&C服务器进行加密通信，将受害人计算机上的信息上传（主要是账号相关的文件信息）。

5．攻击者在获取了加密的账号信息后可通过解密工具找到账号的密码，然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动，不断收集企业的敏感信息。

6．所有的敏感信息会加密存储在网络中的一台临时服务器上，并最终上传到公司外部的某个服务器，从而完成攻击。

我们可以根据APT攻击的过程，在攻击的各个环节进行有意识的防范。

APT攻击的第一步要搜集大量情报信息，包括企业组织架构、人员信息、IT设备以及软件信息等。这些信息基本上是通过网络搜索、历史已泄露数据、收集企业丢弃的文字资料，以及通过一些手段从员工处获得的，收集的信息能够提高下一步攻击的成功率。可通过制定安全管理制度，对员工有可能损害公司的行为进行明确规定和惩罚说明，如规定不得向无关人员透露公司的敏感信息，重要资料要妥善保管，不再使用时要销毁处理，公司相关数据不得放在公网等。

单点突破阶段主要是利用人和系统的弱点，一般采用的方式是钓鱼邮件攻击、水坑攻击。诱导相关人员点击恶意链接，甚至是插入在公司门口捡到的U盘，然后结合系统上软件存在的漏洞执行恶意代码下载控制程序。2011年3月，EMC公司的下属公司RSA遭到入侵，部分SecurID技术及客户资料被窃取。后来发现是RSA有两组员工在两天时间内分别收到了标题为2011 Recruitment Plan的恶意邮件，附件是名为2011 Recruitment plan.xls的电子表格。其中一位员工对此邮件感兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格包含了当时最新的Adobe Flash的0day漏洞（CVE-2011-0609），攻击者利用此漏洞执行系统命令安装了远控软件。针对人性的弱点，只能通过不断的安全培训和事件教育，来弥补这一重要的短板，尤其是培养员工在钓鱼邮件、安全上网和设备安全接入等方面的安全意识。日常系统和软件及时更新升级也是必要的，除非对方使用0day漏洞，否则更新升级能够较为有效地阻止攻击程序的运行。在主机上安装防病毒软件和邮件附件扫描，也能够在一定程度上提高攻击的门槛。

如果攻击人员已经控制了通道并进行横向渗透，说明单点攻击已经成功。要想发现这两个阶段的行为，完善的安全监控和日志记录体系是十分必要的。IDC机房各节点的IDS、网络设备、服务器应用等各种类型的日志是发现异常行为的关键。这对安全人员的技术要求比较高，需要对异常记录格外敏感，以及对企业架构和业务数据流有基本的了解。恶意软件在安装成功后，一定会与C&C服务器进行通信，获取将执行的命令或者上传窃取到的数据。C&C服务器通信地址有多种方式，比如IP、域名、DGA算法生成等，因此被准确定位的难度也越来越大。安全人员在这方面需要具备一定的经验，同时对企业数据有一定的了解，才能借助数据分析手段从海量的数据中进行挖掘，发现异常行为。

攻击者需要花费数月甚者数年的时间来找到目标数据，而目标数据也正是攻击的最终目的。企业内部核心数据一般来自于核心成员的PC机或者核心服务，因此对核心数据的保护是十分关键的。比如，加密存储核心成员的资料，对企业生产的数据进行访问限制等。