APT攻防的溯源与反溯源技术

作者｜高尉峰，防的反溯单位：中移雄安产业研究院智慧城市平台部

​Labs 导读

近年来，溯源术高级可持续性威胁（APT）大幅增加，源技多个国家都受到了来自APT组织的防的反溯攻击，网络战也愈演愈烈 ，溯源术对企业安全和国家安全造成了重大威胁 。源技APT溯源与反溯源技术对于APT攻击的防的反溯防御有着举足轻重的作用 ，攻击事件发生后 ，溯源术溯源是源技应急响应过程中的核心环节，源码库对攻击行为能否准确溯源，防的反溯直接决定应急响应的溯源术安全加固措施是否有效。知己知彼才能百战不殆 ，源技所以本文针对APT攻击的防的反溯特征、溯源和反溯源技术做一个全面的溯源术讲解 。

1什么是源技APT攻击？

高级可持续性威胁（APT） ，是指隐匿而持久的主机入侵过程 ，香港云服务器通常出于商业或政治动机，由某些人员精心策划 ，然后针对特定组织或国家进行攻击，该攻击的主要特征是能够持续监控靶机 ，并从靶机获取数据  。

1.1 APT攻击与传统攻击的区别组织性：APT攻击通常是由一个组织发起的攻击 ，可能具有军事或政治目的 ，会与国家关联在一起，背后往往有雄厚的资金支持；而传统的建站模板攻击通常是由黑客个人发起，没有严密的组织 。目标针对性 ：APT组织不会盲目攻击，通常会针对性的选择一个攻击目标，该目标往往具有军事 、政治、经济上的较高价值。而传统的攻击通常采用“大水漫灌”式的无差别攻击手段。攻击战术：APT攻击的样本变种多且升级频繁  ，亿华云同时利用零日漏洞进行样本的投递，使得基于特征匹配的传统防御技术很难有效检测出攻击；而传统的攻击大多使用流量泛洪或者已知漏洞进行攻击
。隐蔽性：APT攻击使用加密隧道进行通信，具有较强的隐蔽能力，基于流量检测的防御很难发挥作用；而传统的攻击未使用加密隧道进行敏感信息窃取 。持续时间 ：APT攻击往往会持续数年的时间。而传统的攻击持续时间较短，漏洞利用成功后不会给靶机留下后门程序 。云计算

下图表示APT攻击常用的战术 ：

1.2 APT攻击步骤情报收集：攻击者使用鱼叉式钓鱼攻击 、google搜索引擎、扫描工具、社会工程学手段寻找靶机的信息 ，该信息包含域名，子域名，ip地址 ，已知漏洞等等。资源开发：攻击者会购买、租赁可使用的基础设施。包括物理或云服务器 、域名和第三方Web服务、僵尸网络等等 
。高防服务器 初始访问 ：攻击者利用0 day漏洞 
、N day漏洞攻击软件供应链 ，达到利用靶机漏洞的目标 。C2通信
：给靶机投递样本，从而使得C2服务器和靶机建立通信加密隧道
。横向移动：攻击者通过C2服务器对内网中的主机进行横向渗透，最终拿下内网主机的控制权，同时给靶机留下后门程序，便于持续攻击
。资产发现：使用扫描工具扫描内网主机的指纹信息 ，比如ip，开放端口 ，未修复的已知漏洞
。数据泄露：攻击者会将靶机敏感信息压缩、加密，然后通过加密隧道窃取 。

下图展示了横向运动的过程，V代表C2服务器，红线左侧代表公网
 ，红线右侧代表内网 ，内网中的四台主机只有192.73.1.19可以与公网通信，其他三台主机均与公网隔离，但是C2服务器通过打通内网路由的方式成功控制了内网的四台主机 。

2什么是APT攻击溯源？

通过攻击溯源 ，我们可以确定源IP或媒介IP，及其对应的攻击路径 ，从而制定更有针对性的防护或对策，实现主动防御。安全业界常见的溯源方式是基于防火墙和流量检测技术，但是这种溯源方式存在误报率高
，单点安全告警无法联动，无法还原完整攻击链的问题，但是APT攻击溯源能够解决上述问题。APT攻击溯源主要分析以下三个问题：

Why ：黑客为什么能攻击进来 ，黑客采用了哪些攻击手段 ，哪些黑客工具。Who：确定攻击者的身份、个人信息以及网络指纹 。Where：发现安全事件的轨迹，找出攻击者的历史轨迹。

3如何实现APT攻击的溯源？

APT溯源的过程类似警方破案的过程 ，溯源需要证据 ，不能靠猜测。常见的溯源技术如下
：

3.1 对APT组织画像

3.2 通过IOC（特征值）进行攻击溯源0 day
，N day漏洞，web漏洞，主机漏洞 ，容器漏洞等等；异常流量；样本（病毒
，蠕虫，木马等等）；攻击ip地址 ，受害ip地址；高危端口；恶意进程及其调用链；主机日志；DNS解析历史；3.3 通过沙箱进行攻击溯源

为解决特征匹配对新型攻击的滞后性而产生的解决方案。其原理是将实时流量先引入沙箱 ，通过对沙箱的文件系统 、进程、注册表 、网络行为实施监控，判断流量中是否包含恶意代码 。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，但其难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发
，造成漏报。

3.4 通过异常行为进行攻击溯源

其原理是通过对网络中的正常行为模式建模。核心技术包括元数据提取 、正常行为建模和异常检测算法 。该方案同样能够检测未知攻击 。

3.5 通过全流量审计进行攻击溯源

其原理是对链路中的流量进行深层次的协议解析和应用还原
，识别其中是否包含攻击行为 。检测到可疑攻击行为时，在全流量存储的条件下 ，回溯分析相关流量，例如可将包含的http访问、下载的文件 、及时通信信息进行还原，协助确认攻击的完整过程
。这种方案具备强大的事后溯源能力和实时检测能力，是将安全人员的分析能力 、计算机强大的存储能力和运算能力相结合的解决方案 。

3.6 样本溯源

样本的静态特征有语言、pdb 、字符串等 ，pdb文件主要存储了VS调试程序时所需要的基本信息，主要包括源文件名、变量名、函数名  、FPO(帧指针)、对应的行号等等 。可以通过样本的聚类和同源分析 ，ip、domain 、url
、md5等的关联实现溯源 。

3.7 溯源案例分析

WannaCry勒索攻击是2017年5月由WannaCry蠕虫发起的全球网络攻击，该攻击通过加密数据并要求以比特币加密货币支付赎金 。

通过样本溯源和流量分析就能准确定位WannaCry勒索攻击 ，分析方法如下：

对比WannaCry1.0和WannaCry2.0的样本信息  ，可以确定样本归属于同一攻击组织
。

如果内网主机的445端口建立了大量连接，说明WannaCry蠕虫正在横向移动，从而证明内网已经被WannaCry蠕虫感染 。4如何实现APT攻击的反溯源
？

“道高一尺，魔高一丈” ，既然有溯源技术
，那就肯定有反溯源技术 。对于APT组织来说，通信信道的隐蔽性直接决定了是否能够持续攻击 
，如果缺少隐蔽性 ，就需要不断开发样本，因此会提高攻击成本，下面介绍一种通过端口映射隐藏攻击ip的方法。

通过隧道将C2服务器回连端口映射到其他公网地址
，从而隐藏C2服务器真实ip，隧道最好采用https，可以加强通信的隐蔽性
。

通过CS软件控制内网靶机，下图表示靶机已经被控制 。

在靶机上通过网络连接查看攻击ip，发现C2服务器的ip已经被隐藏，靶机显示的目标ip是伪造的公网ip 。

5如何防御APT攻击 ？

目前安全业界比较流行的防御APT思路如下：

采用机器学习和大数据分析技术来发现APT行为，典型的公司是FireEye；该方法的优势是能够快速分析出同源样本以及样本的归属组织，劣势是需要海量的样本数据进行模型训练 ，很多企业没有海量的样本数据来训练模型。采用数据加密和数据防泄密(DLP)来防止敏感数据外泄 ，典型的公司是赛门铁克；该方法的优势是可以最大程度的保证数据安全，而且容易操作
，劣势是敏感数据分类分级的标准不统一，导致防泄密策略不明确。采用身份认证和用户权限管理技术，严格管控内网对核心数据和业务的访问
，典型的公司是RSA
。该方法的优势是可以降低样本横向移动的可能性  ，劣势是网络的微隔离可能影响业务访问速度  。采用应用程序白名单和域白名单
，通过白名单控制网络访问的域以及用户安装的应用程序，该方法对防御样本在靶机上的执行非常有效 。该方法的优势是可以有效防止样本执行，劣势是可能导致正常的程序无法运行 。