第一个 SyScan 360 女讲师揭密：如何揪出潜伏多年的可怕网络间谍——APT 攻击

世界上最可怕的网络“间谍”恐怕要属“APT 攻击”，潜伏数年、甚至数十年，默默偷取关键数据，它可能不为钱、不为利，但就是为了搞垮你。

听上去实在是又贱、又狠的一种黑客攻击。

赵雨婷，是第一个登上SyScan 360 安全会议演讲台的女讲师。她是360追日团队中的一员，面对 APT 攻击，这个团队希望像夸父追日一样，一直坚持不懈地进行追击。

关于 APT 攻击，赵雨婷揭示了一些关于它的秘密。

最近一起重要的 APT 攻击当属11月曝光的蔓灵花 APT 行动。

美国网络安全公司 Forcepoint 发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的 AndroRAT，意图窃取敏感信息和资料。Forcepoint 研究人员认为该组织与 BITTER 相关，而且可能还不止发起了这一起攻击事件。BITTER 攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关 APP 信息包括提供关于印度和巴基斯坦之间的争议地区新闻的 Kashmir News 等。

赵雨婷及团队成员发现，这起看上去和我们没有一毛钱关系的蔓灵花 APT 行动其实也悄悄潜伏在中国地区，受影响单位主要涉及政府、电力和工业相关单位，可怕的是，该组织至今依然处于活跃状态。

最近一年来，和蔓灵花 APT 行动一样“蜚声中外”的，还有下面这些：

还好，通过对 APT 攻击的行动特征分析，人们已经知道它们的一些行为模式，这正是揪出这个“间谍”的第一步。赵雨婷说，

APT 攻击一般不会停歇，有一些可能会因为被安全厂商披露，导致过去的攻击手段失效，而选择暂时销声匿迹，但只要被攻击的目标还存在价值，这个攻击就会依然持续。另外有一些情况是，攻击者在发动某一次攻击时，已经达到了预期目标，攻击组织可能会选择暂时性蛰伏，但其目的是为了下一次攻击养精蓄锐。

其次，APT 组织是否会对一个目标发动攻击，并不取决于这个目标本身系统安全强弱的防护程度，而主要取决于目标是否有价值。即使，被攻击目标的本身系统防御非常强，只要这个目标存在价值，APT攻击组织也会不计成本对它进行攻击。

真是不到黄河心不死！

再者，APT 攻击者还会拥有大量的 0day （零日漏洞）资源，可以发动针对性攻击。它具有有高度隐蔽性，可以持续数年，甚至数十年不被发现。APT 攻击组织方发动攻击不以直接获取利益为目的，更倾向于窃取敏感数据和破坏基础设施建设。

赵雨婷分析，近年来还发现 APT 攻击逐渐转向跨平台攻击。比如，蔓灵花 APT 行动就同时对 windows 和 安卓平台进行了攻击。

我们认为，在未来 APT 攻击中，针对传统 PC 的攻击将会减少，针对移动设备、物联网设备，甚至工业控制设备的攻击将会持续性增加。

这是 APT 攻击链的关键环节。攻击者从侦查目标，制作攻击工具，传递攻击工具，利用被攻击目标的漏洞或者弱点来进行突防，拿下全线运行工具，后期远端的维护这个工具，到最后达到了长期控制目标的目的。针对这种现在日益广泛的高级攻击，威胁情报存在于整个攻击的各个环节。

所谓威胁情报，就是 APT 将可能在这些环节露出蛛丝马迹，安全人员如果能够发现，就能抓到其中最关键的“线头”，顺藤摸瓜指日可待。

在攻防斗争史中，安全人员曾认为漏洞是唯一能威胁企业安全的途径，事实上，漏洞只是其中之一。钓鱼邮件、员工利用社交网络泄露的个人信息、黑客撞库产生的密码等都可能是 APT 攻击潜伏进来的钥匙。

虽然 APT 攻击“安静而又危害极大”，在攻防较量中，安全人员也在一步一步搜集攻击者暴露的信息。

赵雨婷说，

我们结合自己的研究经验对威胁情报也有细化的解读——威胁情报是一种基于证据的描述威胁的一组关联的信息，通常包括威胁相关的环境信息，采用的手法机制，指标影响等。更细化一下，就会指具体的攻击组织，恶意域名。这里的恶意域名通常是远控的 IOC，恶意文件的 HASH 和 URL 以及威胁指标之间的关联性，时间纬度上攻击手法的变化。这些汇总在一起会形高级威胁情报。除此之外，我们所关注的情报，还包括传统威胁种类的扩充，包括木马远控，僵尸网络，间谍软件，Web后门等。

按照赵雨婷给出的机器学习在威胁情报中的模型，机器学习三个基本元素分别是任务、经验、性能。任务利用机器学习来处理威胁情报，对经验 E 的选择会直接影响最后流程产出的效果，所以在择经验 E 时需要考虑以下几点：

第一，选取的经验是否能为系统的决策提供直接或者间接的反馈；

第二，机器学习的决策要自主性，主要是指机器学习要能通过对自身的评估、估计、规划来做出最终的决策，尽量不要受到人工控制；

第三，训练的样例是否尽可能接近真实世界的实例分布，只有选取的样例更接近真实数据时，整个流程的性能才会非常高，也就是说，性能 P 通过这种相似性来衡量；

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!