APT攻防之十大要点

数字传媒研究·Research
on Digital Media
APT 攻防之十大要点
作者简介：丛
海
内蒙古自治区新闻出版广播影视科研所高级工程师
丛
海
内蒙古自治区新闻出版广播影视科研所内蒙古呼和浩特市010050
【摘要】以APT （Advanced Persistent Threat 高级持续威胁）为代表的下一代网络安全威胁，综合利
用了AET、零日漏洞、社交工程等多种高级技术手段，主要的攻击目标为高价值企业以及国家国计民生的基础设施（能源、金融、电信、交通等），存在攻击手段复杂、潜伏时间较长、检测难度较高等特点，一旦爆发，轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪，可以说APT 攻击深刻的威胁着我国各行业基础设施网络安全环境。

笔者提炼了APT 攻防的十个重点问题，通过使用大数据海量信息收集、机器学习、生成、分析异常信息；通过网络安全设备中的流探针、沙箱、终端探针和日志采集器等功能收集完整性统计信息，从而更有效、快速、准确的判定，避免APT 攻击相关问题并提出一些应对措施，期望对APT 攻防给出一个整体态势的了解。

【关键词】APT
零日漏洞被入侵水坑攻击CIS
【中图分类号】TN948
【文献标识码】B
【文章编号】2096-0751（2021）01-0009-08
APT 高级持续性威胁的攻击具有极强的针对性，目标攻击触发之前通常会收集大量关于用户和目标系统使用情况的精确信息，信息情报收集的过程更是社会学、工程学、艺术学的完美展示；这种攻击行为具备长期性，会长期潜伏在企事业单位等内外网络中，具有极强的隐蔽能力；并具备很高的
技术含量，采用各种组合的高级攻击手段和技术，使得检测APT 攻击是件非常困难的事情。

对于APT 攻击我们需要高度重视，任何疏忽大意都可能为信
41
息系统带来灾难性的破坏。

由于APT攻击所带来的巨大损失，很多安全公司纷纷推出自己的APT解决方案，连全球第一家信息技术研究和分析公司（Gartner Group公司）也从3个维度5个方面对APT防御方案进行分类，包括从终端、网络和载荷进行描述。

业界的APT解决方案也多会落入这些分类中，每种解决方案的效果也是众说纷纭，各表一家。

对于复杂的APT攻击，如何防御是安全界面临的一个需要解决的问题。

在确定如何防护APT攻击前，有必要深刻理解APT攻防的一系列的问题，基于对APT攻击的理解，笔者提炼其中的十个重点问题，并就这些问题提出一些应对措施，期望对APT攻防给出一个整体态势的认知。

1企业“被入侵”
不可避免
互联网企业网络信息系统“被入侵”是100%不可避免的，只是时间早晚的问题，“被入侵”是指黑客通过各种途径潜伏进入到企业。

APT攻击入侵之所以不可避免，除APT所用的超
能武器外，还有重要的外在原
因。

其一是“对手不对称”的
对抗，APT入侵初期只是为了控
制一个跳板，因此入侵的攻防
实际是一个超级黑客组织和一
个安全意识不佳的普通员工之
间的对抗，一个稍显专业的钓
鱼网站就让员工沦陷而成为跳
板，所以企业被入侵也就是自
然而然的事情。

另外一个原因
是个人设备（BYOD）的普及、
物联网（IOT）的发展以及供应
链（合作伙伴）的接入，企业
的终端控制权将逐渐丧失，大
量属于企业和非属于企业的移
动设备随时随地的接入网络，
控制权的消失，标志安全控制
权的消失，跳板的可选择性也
越来越大。

总而言之，企业被
入侵是不可避免的事情，入侵
后的内网检测则必定会成为攻
防战役的主战场。

APT攻击活动隐藏在网络正
常的行为中，要想从中找出蛛
丝马迹远非寻常方法可以达
到。

网络速度越来越快，也意
味抓包处理和转发速度越来越
快，网络中的事件发送速率随
之激增，需要分析的数据也急
剧上升。

我们可以充分利用大
数据，通过CIS网络安全智能系
统安全分析平台和大数据基础
平台，对海量信息进行高效挖
掘和处理。

CIS从时间和空间两
个维度上扩大了流量收集范
围，通过采集全网的流量、日
志、文件等数据，尤其是关键
路径的流量，以及终端的各种
流量等，以这些实时和离线的
流量形成检测APT攻击的数据基
础。

在CIS大数据平台中，内置
有丰富的异常检测模型，可以
从海量的数据中找到APT攻击的
蛛丝马迹。

2传统安全
防御力不足
APT攻击所采用攻击工具多
是采用了逃避技术或者零日漏
洞，零日漏洞是指负责应用程
序的程序员或供应商所未知的
软件缺陷。

这些工具在被发现
之前并无相应的签名对应，而
传统基于签名的安全防御是依
靠对漏洞和攻击工具的理解，
并在此基础上进行签名设计，
只有匹配签名的攻击，才能被
识别。

此种模式下，签名的质
42
数字传媒研究·Research on Digital Media
量与范畴直接影响了防御体系的有效性，过度依赖于签名的传统防御系统，在面对变化多端的高级威胁时，由于缺乏对未知威胁的检测能力，往往导致防御能力力不从心，其滞后性完全无法应对APT攻击中采用的各种高级逃逸技术以及零日攻击。

实现对未知威胁有效的检测，是防御APT攻击的基础。

我们可以利用APT解决方案中的沙箱功能，沙箱可以在虚拟环境中对各种未知的恶意软件进行有效的识别，通过静态动态等技术手段，充分识别恶意软件的各种行为，在此技术上可以有效的甄别未知的恶意软件。

再通过大数据安全分析平台的大量实时和历史数据与多种异常模型，发现网络中各种微小的行为异常和内容异常，通过这些异常进行攻击链关联分析，可以深度挖掘APT攻击行为。

在形成该APT攻击的各种威胁信息后，会将信息下发给部署在企业网络安全的设备中，由这些设备根据威胁信息完成对APT攻击点的彻底防御和清除。

通过利用基于情境感知的安全设备，包括NGIPS、NG-
FW、VNGFW以及各种终端安全
设备，从而快速有效的实现对
APT各个攻击点的清除。

3网络Web诱惑
暗藏威胁
让全球震惊的APT攻击事件
中，起因都是那些毫不起眼的
一个个链接，一个个看似平常
的链接背后，可能就隐藏着潜
在的威胁。

在基于WEB流量承
载恶意代码的攻击形式中，目
前最大的风险在于精确钓鱼网
站攻击和水坑攻击，水坑攻击
指黑客组织通过分析被攻击者
使用的网络的活动规律，寻找
被攻击者经常访问的网站弱
点，先攻下该网站并植入攻击
代码，等待被攻击者来访时实
施精准攻击。

定制化的精准钓
鱼就是在前期精确的用户信息
收集基础上，实施的一种钓鱼
攻击，比普遍撒网式的钓鱼更
聚焦、更定制化。

通过发送链
接给用户，只有在被攻击者名单
中的人才能看到这个钓鱼网页。

有些企业客户的互联网出
口基于WEB的流量可以高达
95%以上。

通过对其实现WEB
流量的监测，尤其是对其中的
零日漏洞的恶意代码的检测，
是防护APT攻击的一个关键点。

使用重量级沙箱是目前可以检
测WEB流量中零日攻击的，在
检测WEB流量时，先采用静态
检测模式，通过指令流检测和
信息熵检测模式，实现对恶意
代码的检测。

对于未能检测到
恶意代码的网页，通过提取调
用的系统API方法、属性、函数
名称、插件列表、DOM节点列
表等信息多重判断页面的恶意
与否，对于可疑的页面，则将
页面送到WEB重量级沙箱中进
行检测。

重量级沙箱系统是针
对可疑页面检测定制的检测环
境，通过监视页面在WEB重量
级沙箱内运行的整个过程，获
取到可疑页面运行过程中对操
作系统的所有行为，最后将这
些行为送到恶意行为识别模块
进行识别。

4利用恶意软件
攻城拔寨
随着安全技术的发展，产
品安全的防护能力有了很大的
43
数字传媒研究·Research on Digital Media
数字传媒研究·Research
on Digital Media
提升，而恶意软件也主动适应变化，除利用零日漏洞外，还发生很多让人诧异的进化。

第一个进化是伪装性，恶意软件采用各种逃逸技术躲避安全检测，目前发展到有500多种逃逸技术，平均每个高级恶意软件采用10种以上的逃逸技术，足以逃避基于特征为基础的安全检测；第二个变化是恶意软件不以文件形式存在，所有组件只存储在注册表里，通过系统合法的进程读取并运行注册表中存储的恶意代码，恶意进程只存在于系统内存中，传统的扫描和杀毒根本就无法检测和清除，越来越多的恶意软件采取这种无文件的手法，而且不仅仅使用Windows 注册表来隐藏恶意软件，他们还使用其它更复杂的技术来隐藏组件，无需在文件系统中留下痕迹。

基于对未来网络安全形式的发展，在应对未知恶意软件的检测上要不断拓展采取新的思路，未知恶意软件之所以是未知，原因是没有可以匹配的特征码信息，特征虽然“未知”，但是却有“已知”特性，那就是行为的“已知”，任何软件要达到自己破坏或窃取的目的，必然会有一系列的行为发生，而这些行为都具备相似性，通过行为检测恶意软件，尤其是未知的高级恶意软件，利用沙箱通过多重的方式对软件进行检测，最后基于行为判断，实现对未知恶意软件的判定，由于沙箱可以支持多种软件类型的虚拟环境，通过这种方式可以有效的保护企业免遭恶意软
件的攻击，成为企业防护APT 攻击的保护伞。

5网络办公文档
防不胜防
恶意软件给企业安全带来的危害难以估量，类型也是各式各样，恶意软件离其实我们并不遥远，在恶意软件的类型上，更多的是我们每天看到的
图12016年APT
攻击恶意文件附件类型
44
办公文档，这些再正常不过的文件，都可以成为这些高级恶意软件的载体。

有多少人能想到，我们每天处理的.DOC文档竟然含有恶意代码，让人防不胜防。

（如图1所示）
通过利用沙箱在虚拟环境中对这些文件进行的静态检测和虚拟执行，实现对办公文档中恶意代码的检测，实现对办公文档类型的全部覆盖，同时可以根据用户的实际环境，构建完全匹配用户办公环境的虚拟环境，真正有效的保证了对企业造成威胁的各种文档的过滤，保护企业的网络环境安全。

6远程控制也可
运筹帷幄
在APT攻击中，黑客可以通过C2通道（communication& control通道）随心所欲的控制各种恶意软件。

通过C2通道传输控制命令以及反馈信息，可以远程操控软件完成入侵和破坏过程。

为了保证C2通道能保持畅通，APT攻击采用几种新的技术，包括采用动态算法随机生成域名，借用第三方域名
等。

动态域名生成算法是每天
生成一些随机字符串域名，然
后选其中的一些注册当作C2服
务器域名。

定制恶意软件也按
照同样的算法尝试生成这些随
机域名，碰撞得到当天可用的
C2域名。

采用域名生成算法
（DGA）随机生成域名，传统的
方式完全无法检测该种类型的
C2通道。

第三方域名进行通
信，则是通过选择可以写入并
修改内容的各种公开网站，如
各种论坛网站等。

黑客提前在
网站上发布内容，并在其中插
入控制命令信息，之后定制的
恶意后门，就会解析到该第三
方网站去获取其中的控制命
令，同时后门也可以模拟编辑
此前黑客发布的内容，写入执
行结果的数据。

一旦C2服务器的位置暴
露，控制通道很容易被切断，
而且幕后恶意操作的黑手也会
很容易被发现，因此所有的攻
击组织才会努力地去隐藏C2服
务器位置。

传统的方法无法检
测与拦截C2通道，通过利用沙
箱和大数据安全分析系统可以
实现对各种伪装的C2通道进行
检测。

如大数据安全分析系
统，通过对DGA生成域名进行
海量的分析，在多种特征的基
础上生成DGA识别模型，所有
的DNS解析流量中的域名通过
DGA模型的识别，能快速准确
DGA锁定随机域名。

以系统中
强大的自学习的流量行为模型
自动识别所有关键设备的流量
行为，对异常域名进行解析，
并对类似心跳线的连接等流量
行为进行异常告警，通过其他
深度关联分析同样能准确识别
其他隐藏技术下的C2通道，只
有有效检测和拦截C2通道，才
能真正控制APT入侵，保证企业
的网络信息安全。

7企业内网渗透
悄无声息
攻击者在占据跳板立足之
后，为让自己可以在环境中长
期驻留而不被检测到，会继续
以秘密方式存在，也会在内网
中快速移动。

这些往往伴随着
与侦察、扫描、渗透其它计算
机等有关的活动（即木马行
为）。

攻击者首先从受到入侵的
跳板电脑或用户那里获得访问
权限，然后对其执行特权提
45
数字传媒研究·Research on Digital Media
升，进而访问关键的重要目标。

例如攻击者为获取管理员权限，通常会跟踪AD之类目录服务或administrator权限的账号，使用一定的技巧和工具，将攻击者权限提升。

这个过程一旦成功，攻击者可以随意访问更敏感的内网服务器，从而加快敏感数据的发掘和泄露。

由于最终数据窃取利用了合法的管理账号，这使得数据窃取检测变得更加困难。

APT攻击在任何阶段有活动，则都会产生一定的流量，这些流量所隐藏的行为就是APT 攻击活动的真实反映。

通过网络安全设备中的流探针、沙箱、终端探针和日志采集器等功能收集完整性数据收集分析。

流探针通过镜像全流量，尤其是关键路径流量进行分析，提取有价值的元数据信息，当数据包载荷为文件时，则将文件传递给沙箱进行检测，由沙箱提起文件的元数据信息，终端探针则采集关键终端的各种行为，而日志采集器则采集关键设备和应用系统的日志。

通过探针把企业网络中不同时间、不同位置的关键信息都完全采集到CIS大数据平台
中，保证了整个检测的完整
性。

通过对全网的流量信息，
尤其是关键路径的流量信息进
行异常的检测分析，由此构筑
了检测APT的基础。

8利用异常发现
抽丝剥茧
APT攻击具备超强的隐蔽
性，以便逃逸各种安全检测，
例如在网络中，黑客很少会创
建账号，所有的活动会参考正
常的行为以避免被检测或者暴
露，黑客在利用正常用户的思
考模式行动。

而从内容而言，
黑客也会尽量伪装，如采用
DGA域名，从传统眼光看这些
域名完全没有任何问题。

按照
传统的安全设备检测能力，也
许能检测到一些轻微的异常，
由于这些安全设备之间并无关
联，因此这些异常也都是离散
的状态，很难检测到APT在内网
中的一些活动。

如果通过CIS大数据平台能
同时存储大量的历史流量元数
据信息，有效的利用大数据平
台在空间和时间维度的扩容能
力，在海量信息的基础上，充
分利用机器学习的能力，生成
各种关于异常信息的检测模
型，包括WEB异常模型、MAIL
异常模型、域名异常模型等，
实现对APT攻击的异常行为和
内容进行检测，在细微之处发
现异常，这些异常行为覆盖了
APT攻击的各个阶段，任何一个
阶段的异常检测都可以作为一
个攻击的线索，由点连线，由
线连面，找到真正的攻击行
为，最后完整的画出APT攻击的
轮廓。

CIS通过对APT攻击的有
效分析和判断，进而快速的将
攻击威胁信息同时上传到云端
安全智能中心，以及下传到部
署在企业各地的安全设备中，
从而为有效拦截APT攻击确定了
基石。

9立体协作对抗
无隙配合
在强大利益驱动下，潜伏
在网络中的黑客充分利用多种
合作模式，不论是在单个APT攻
击中的攻击工具组合，还是黑
客组织之间的合作都达到至高
的境界，如有人在挖掘用户信
46
数字传媒研究·Research on Digital Media
息，有人在挖掘系统漏洞，有人在制造工具等，这样的配合能让最新的技术或者漏洞迅速转变为黑客手上APT攻击的战斗力，这些快速成型和变化的战斗力让还在单兵作战的安全设备或者厂商无能为力，只有形成强大的产品组合，共享情报才能有效实现防护APT攻击。

网络安全防护也应适时变化构建APT立体协作防御体系，建立CIS大数据安全分析是当之无愧的核心节点，通过对APT攻击的有效分析和判断，为有效拦截APT攻击确定了基石。

基于云端的威胁情报系统，一方面通过CIS的检测可以分享在APT 检测上的威胁情报，同时也会吸收全球优秀厂商关于APT的情报信息，为CIS大数据平台提供更快捷有效的信息情报，从而更有效、快速、准确的判断APT 攻击。

沙箱是另外一个非常重要的节点，各种隐藏在常见的如word、excel、PDF等办公软件中的恶意软件，要想进入企业，第一关便是要经过沙箱的检测，构筑了APT防御的第一道防线。

最后通过基于情境感知的安全设备，包括NGIPS、NG-
FW、VNGFW以及各种终端安全
设备，在同步APT攻击的各种威
胁情报后，会将情报下发给部
署在企业网络的安全设备中，由
这些设备根据威胁情报完成对
APT攻击点的彻底防御和清除。

10知己知彼方能
事半功倍
APT组织采用的攻击方式、
恶意软件都依赖于对用户的了
解，所有的攻击步骤都是定制
的。

例如通过搜集组织员工的
信息，深入了解他们的社会关
系、个人爱好、终端的安全防
护等情况，继而定制一些攻击
手段来控制该员工电脑，以此
为跳板从而顺利进入企业单位
组织网络。

而Verizon发布
《2013年数据破坏调查报告》，
明确提出了应对APT的最高原则
——知己、更要知彼，强调真正
的主动有效的安全预防体系是
“料敌先机”。

近年来安全防御体系也在
不断的进化过程中，这种变化
其实也是在“知己”方面投入
更多的力量。

例如NGFW\NGIPS
等安全产品着力发展情境感知
的能力，这些感知能力包括资
产、位置、拓扑、应用、身
份、内容等信息感知识别能
力。

这种基于漏洞签名的被动
防御体系的优化，可以提高检
测精准度，有效减少误报。

所谓“知彼”就是要有效
识别攻击对手、工具及相关技
术原理等信息，可以利用这些
数据来发现恶意活动，甚至可
以定位到具体的组织或个人。

使用业界主流安全厂商设备，
通过实时更新病毒库等措施，
一方面坚持加强“知己”的修
炼，继续优化提升防火墙等安
全产品的感知能力和防御精准
度；另一方面也积极探索“知
彼”领域的探索，实现积极主
动防御模式的创新。

利用先进
的沙箱、大数据分析平台、云
清洗解决方案等系列化的安全
产品与解决方案。

在大数据平
台大量攻击样本和各种威胁信
息的基础上，深入分析各种攻
击行为和攻击手法，通过专家
分析和机器自学习，建立了丰
富的异常检测模型，可以有效
识别APT攻击链上各个环节的异
常行为，同时通过对环境的深
入认识，包括识别环境中的价
47
数字传媒研究·Research on Digital Media
值资产、用户等内部信息，通过最后的多维威胁分析，有效的识别各种高级威胁，同时还可以生成相关的威胁信息并共享给NGFW、NGIPS等传统安全设备，真正构筑了全网“知己知彼”的全网反馈式主动防御体系。

结束语
没有网络安全就没有国家安全，网络安全是国家安全的重要一环。

在近年来网络空间已知发生的APT攻防对抗中，因为基础软硬件、人员、信息等
不可控因素而引发的攻防移
位、功亏一篑的案例也多不胜
数，所以在网络空间安全保卫
战中，基础安全尤为重要。

通
过文中归纳的APT攻防重点问题
的阐述，网络管理员在日常网
络安全维护管理工作中更应该
注重细节管理，大力加强对APT
攻防的重视和对软硬件应用数
据的细节分析。

正所谓细节决
定成败，通过使用大数据信息
分析结论，在众多网络安全设
备中提取到的统计信息，可以
更快捷、更准确的从海量数据
中精准定位并避免APT攻击，另
外，网络安全不能只做一味防
御，要换位思考，主动出击。

在今后网络安全维护管理工作
中，从科技创新入手，多元化
思考安全防护，加强我国网络
安全，努力把我国建设成为网
络强国。

审稿人：周速飞内蒙古广播电视网
络集团有限公司正高级工程师
责任编辑：刘晶晶
（上接第33页）
处理方法：检查前端音频源是否将音频信号输送到激励器的音频输入，如确定前端信号没问题则判断为激励器故障。

3.3故障三
故障现象：无载波功率输出。

处理方法：检查开关电源是否有直流48V输出，如没有需检查电源输入电压，输入电压正常情况下可判断电源故障。

如48V正常，检查射频通路，中间放大器和激励器。

3.4故障四
故障现象：载波功率低
处理方法：检查各放大器
单元输出是否正常，如发现有
功率偏低的放大器，则查看该
放大器的4路模块电流，将没有
电流显示的模块更换掉。

10kW全固态短波发射机在
整机设计上科学合理，各项运
行技术指标均达到规范要求，
特别是该发射机在安全性设计
方面考虑得非常全面具体，在
常见故障方面，操作非常简
便，为发射机安全稳定运行提
供了便利条件。

参考文献：
［1］王喜库.北京广播设备有限公司
《TBH—412PSM10KW短波发射机说明
书、设备图纸》［J］.北京北广科技
公司设计师2007（1）.
［2］革命.《PSM短波发射机原理、调
试、维护》［J］.内蒙古广播电视局呼
伦贝尔中心台总工，2017（3）.
审稿人：严志刚内蒙古自治区新闻
出版广电局包头广播发射中心台正
高级工程师
责任编辑：杨雅娟
48
数字传媒研究·Research on Digital Media。