近些年，很多重要领域遭受了越来越多APT(Advanced Persistent Threat)恶性攻击事件，造成许多组织机构对此谈虎色变而草木皆兵，从而盲目采取一些并不恰当的措施去保护自身免遭APT攻击，然而这种“病急乱投医”的行为并不能达到识别或防御APT攻击的效果。



 
 
我们到底应该如何正确识别APT攻击,并采取有效措施对此进行定位呢？
首先，从APT攻击的特点进行分析，这类攻击一般满足以下四个要素：
(1)攻击者：拥有高水平专业知识和丰富资源的技术团队或组织；
(2)攻击目的：破坏某组织的关键设施,或阻碍某项任务的正常进行；
(3)攻击手段：利用多种攻击方式，通过在目标基础设施上建立并扩展立足点来获取信息；
(4)攻击过程：在一个很长的时间段内，植入特定程序、潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
其次，与其他传统网络攻击相比，APT攻击还具有如下五个特征：
（1）针对性强
APT攻击的目标明确，多数为拥有敏感数据/知识产权的目标，所获取的数据通常为核心商业机密、国家安全相关数据、重要知识产权等。
相对于传统攻击的盗取个人信息行为，APT攻击只关注预先指定的目标，所有的攻击方法都只针对特定目标或特定系统，针对性较强。
（2）组织严密
APT攻击成功可带来巨大的商业、政治或军事利益，因此攻击者通常以组织形式存在，由熟练黑客形成团体，分工协作，长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源，具备长时间专注APT研究的条件和能力。
（3）持续时间长
APT攻击具有较强的持续性，经过长期的准备与策划，攻击者通常在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续性攻击，如零日漏洞攻击等。
（4）隐蔽性强
APT攻击根据目标的特点，能绕过目标所在网络的很多安全防御设施，极其隐蔽地盗取数据或进行破坏。在信息收集阶段，攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透，使被攻击者很难察觉；在攻击阶段，基于对目标嗅探的结果，设计开发极具针对性的木马等恶意软件，绕过目标网络防御系统进行隐蔽攻击。
（5）间接攻击
APT攻击不同于传统网络攻击的直接攻击方式，通常利用第三方网站或服务器作跳板，布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中，可由攻击者在远端进行遥控攻击，也可由被攻击者无意触发启动攻击。
另外，再让我们回顾一下近段时间最为活跃的APT组织，以及攻击活动：

• “摩诃草”APT团伙(APT-C-09)，又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外APT组织，该团伙已持续活跃了超过8年时间。该组织近年来常使用携带有CVE-2017-0261漏洞利用的文档开展攻击活动，2021年1月，研究人员再次捕获组织利用该漏洞的诱饵文档。

 
“魔罗桫”组织长期针对中国，巴基斯坦，尼泊尔等国和地区进行了长达数年的网络间谍攻击活动，主要针对领域为政府机构，军工企业，核能行业等。此次捕获的样本以军事信息为诱饵信息，采用模板注入的方式从远程服务器获取公式编辑漏洞利用文档加载执行。
 
 
 
蔓灵花(BITTER)是疑似具有南亚背景的APT组织，该组织主要针对周边国家地区的政府，军工业，电力，核等单位进行攻击，以窃取敏感资料为目的，具有强烈的政治背景。近日，BITTER组织疑似攻陷了南亚地区某国技术提供商官方网站，并在其网站中部署了恶意软件。
 
 
 
作者：国联易安
链接：https://zhuanlan.zhihu.com/p/433521185
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

• Donot“肚脑虫”(APT-C-35)是疑似具有南亚背景的APT组织，其主要以周边国家的政府机构为目标进行网络攻击活动，通常以窃取敏感信息为目的。该组织具备针对Windows与Android双平台的攻击能力。2021年1月，研究人员捕获多个该组织样本，涉及Windows以及Android平台。

 
 
 
从上面针对APT攻击特点特征的分析可以看出，APT组织攻击本身手段复杂，拥有大量自开发脚本与工具，潜伏时间长达数月甚至数年。这样高成本的攻击并非一般组织或团体能够承受，因此APT攻击目标往往都是拥有着不凡价值、影响力的对象，比如：能源、军工、金融、核心技术及行业标杆等行业或机关，甚至也受其（APT组织）赞助方的要求来攻击特定目标。简单来说，APT攻击对象非富则贵，而往往平常普通的企业，或者是普通的散户要是想成为APT的目标，其可能性也许不高。
根据今年Cybersecuritynews的统计，仅仅是2021年1月到4月，发现的APT活动就已高达56起之多，而2019年和2020年分别为44起和52起。这样看来，APT的攻击趋势正处于快速增长阶段，采取针对性的措施来识别或定位APT攻击已经势在必行。
然而，面对攻击手段变化多端且隐蔽性极高的APT攻击，市面上普通的恶意代码检测系统难以准确识别APT，给我们的安全防护工作带来了很大困难。但值得庆幸的是，一款拥有AI仿真诱捕技术的APT检测产品进入我们寻找有效产品的视野范围，它就是国联易安自主研发的国联恶意代码检测系统。
国联恶意代码检测系统内建基于人工智能技术的仿真诱捕系统，是拥有完全自主知识产权的APT类恶意代码检测系统，除了能实现对网络中的APT类恶意代码检测，还能实现检测结果的自动入库、生成统计报表，提供恶意代码传播路径。
本产品实现了独创的AI仿真诱捕技术、机器学习、根因分析、威胁情报等技术，能够实时对已知和未知恶意代码有特别识别与分析能力，识别并定位所有传播路径之间的后门程序以及相互关系，进而分析出僵尸网络、恶意代码的DNS、恶意代码服务器和客户端以及彼此的勾连关系，自动生成详细报告。
主要功能特点

• 独创AI仿真诱捕技术 利用仿真诱捕技术，实时分析所有网络会话，弥补一般的抓包还原产品仅仅分析已知协议，丢弃其他协议数据，造成监听失效的不足；
• 高效的恶意代码识别能力 对木马、APT等已知或未知恶意代码有特别高效的识别、分析能力；
• 快速截获样本并生成报告 能直接从网络出口处截获恶意代码样本，生成分析报告、稽查报告等；
• 信息的全面收集与追查 自动入库所有采集信息，根据线索追查远端IP、恶意代码控制网络所有IP信息；
• 操作便捷 操作部署简单，通电通网即工作，无需技术培训。

 
 
通过APT检测出已知和未知恶意代码，综合提高网络安全防御的能力，是我们在安全解决方案中需要重视的地方，APT恶意代码检测是事前预警的强有力手段，能为事中和事后的全面安全防御打下坚实的基础，从而保证我们网络环境的安全，达到保护个人、组织、国家的数据安全目的。