知名“白帽”方兴解读APT

近几年，安全威胁发生了很大变化，提到新兴威胁APT攻击不是什么新鲜事。随着IT发展，攻击者可以通过APT攻击得到更多的有价值的资产。

本文中，南京瀚海源CEO方兴对新兴威胁攻防的本质进行了剖析，并针对APT攻击进行了深度解读。

新兴威胁攻防核心本质

◆新兴威胁的核心

新兴威胁的核心是网络间谍行为，和传统间谍行为的最大区别是把传统手段和数字攻击手段相结合。攻击者可使用针对数字系统的攻击手段，获得数字资产或通过数字系统可控的资产。

其实，传统间谍手段很早就已经存在了，发展到现在已经形成了攻守平衡的形势。现在，为什么要把数字手段融合进去呢?因为我们缺少在数字手段上的对抗检测技术，导致攻击者使用数字手段的攻击比使用传统间谍手段时成本更低。从攻击者角度来讲，因为他可以用低成本低的攻击手法拿到更多数字，所以很自然的把新技术融合在传统间谍手段当中一起来获得更高的收入。

◆解读新兴威胁APT

目前，针对新兴威胁APT攻击我们可以这样解读APT：

A ：

1.高价值资产的严密防护能力下，只有复杂攻击路径才能达到绕过检测和最终目标触发。

2.这一系列要求必须多种攻击向量组合和高技术能力与手段。

P ：

1.攻击难度、复杂路径，技术手段需要时间。

2.攻击价值与攻击难度需要不断尝试但不会轻易放弃。

T ：

1.攻击一旦成功将造成巨大损失但难以发现。

2.攻击进入后，很难彻底清除。

◆APT攻击特性

APT攻击主要呈现以下特性：

可利用性：达到最终目标的路径设计 ;让路径上的每个受害者都愿意或可能触发;受害者触发后稳定植入攻击者恶意代码以实现攻击者意图;恶意代码行为可满足攻击者目的。

隐蔽性：受害者触发无感觉;受害者触发时主机或网络环境设备检测不到;其后恶意代码行为让受害者主机或网络环境设备检测不到异常或检测到异常后无法发现真实原因。

抗追查：发现攻击后难以追查攻击源头;追查到攻击源头难以确定攻击者;确定到攻击者也可以否认。

潜伏性：可控攻击行为;深度渗透在部分清除后可以恢复。

针对性：高价值资产;定向攻击路径。

◆APT攻击核心技术环节与手段

从上图我们分析可知，从攻击角度上，攻击者首先进行信息收集，根据信息做好入侵准备，然后通过社会工程吸引，注入木马等手段实现信息入侵，实现实时入侵，控制内网系统甚至是资产后，进行破坏或者进行有价值资产的窃取。整个攻击过程的核心技术主要有：漏洞利用、木马种植，基于供应链植入以及后门植入，种植后攻击者通过隐蔽的通道窃取数据。

常见的技术概念主要有：SHELLCODE、EXP、漏洞、木马、后门、隐蔽通道。

未来，针对APT攻击，作为安全防护人员首先要考虑的就是以上几个技术点。当然短期内很难用技术对抗传统间谍手段，但是我们只要能够把技术手段抬高到一定门槛，攻击者在APT新兴威胁上就不再占有这种成本的优势。

所以在以后的安全防护道路上，我们需要新的技术手段。#p#

新兴威胁攻防对抗思考与展望

◆传统安全漏洞利用检测攻防

针对传统安全漏洞体系检测主要侧重IDS/IPS与增强杀毒两个方向，传统的检测点包含NDAY漏洞触发特征签名库识别与固定利用代码识别，它们都存在一定的漏洞误报率或者其他的问题。

方兴表示，现在的新型检测技术除了追求原来NDAY漏洞触发签名，还有深度内容识别。在他看来未来的APT还有很多新型的技术可以进行对抗(见下图)，比如：对抗NDAY漏洞签名，在深度层面可以不断变化编码，进行加密。

展望漏洞利用(SHELLCODE)检测对抗

◆传统木马检测攻防

传统的木马检测方式包含：木马签名库识别恶意URL来源; 针对进程 、文件 、应用入口点的本地异常点检查;恶意功能和行为识别(本地)。

但是以上检测面临很多问题，在恶意工程上可以通过信任程序，专门加载底层控制绕过误报、人工识别。未来我们需要更多新型的对抗木马的技术，在此，方兴带我们展望了这场木马对抗战的未来。

展望木马检测对抗

◆传统隐通道检测攻防

在传统隐蔽通道攻防上，主要是通过已知的恶意IP或者URL识别来实现的，或者是审计设备识别敏感关键字，识别已知的私有协议，或者是通过流量和网络行为异常来识别。

目前，我们面临着攻击者未知手段的新型威胁，未来该如何对抗隐蔽通道攻击呢?

展望隐通道检测对抗

综上所述，方兴表示，在他看来“攻防对抗没有终结点，始终是人和人的对抗，新兴对抗手段有些已经出现，还有很多没有出现，但是作为防护者，心里要很清楚即使有了新型技术，APT也不一定有终结点。未来，不仅在技术上要和攻击者做对抗，也要在更高的层次去找到好的解决方法。”#p#

新兴威胁应对思考

针对新兴威胁的应对，方兴做了以下小结：

◆多维度全检测体系：针对攻击者的每个手段建立检测点，形成网状检测体系，即使攻击者能逃脱一两个检测点，但不一定能够逃脱全部检测点。

◆入侵全生命周期覆盖：APT攻击是由多个环节多个攻击手段组合而成。针对每个环节每个手段形成纵深检测体系，可以最大限度发现APT攻击，提高攻击者门槛 。

◆多维度全生命周期体系：APT攻击每个检测手段都因为原理性能易用性误报率等因素都存在对抗技术。针对每个APT攻击手段手段用多种检测方法形成多维度检测体系，可以最大限度检测APT攻击手段，并且纵深覆盖，形成多维度网状检测体系。

◆纵深、多维度、端、云协同感知与大数据挖掘的威胁感知：通过智能事件关联进行攻击确认，发现可疑事件，经过数据深度内容可疑分析和云端数据分析形成检测体系。

云端数据分析：攻击共享、攻击着归i组特征、攻击者资源特征。

智能事件关联分析：攻击确认、事件关联可疑发现、因果溯源。

◆协同运维：APT攻击是人和人的斗智斗勇，必须有专业的团队分析响应才能应对APT。

最后，方兴表示：“APT是人和人在数字空间的智力对抗，所以一定是没有终极的办法的，因为人是活的，手段是无穷的，检测与防御还需要考虑成本、性能、用户体验、用户感知等一系列问题。所以APT检测产品，需要的是在以上限制条件下最大程度提高攻击者成本和门槛，降低损失，形成一个新的攻守平衡线。”