揭秘网络世界的高级“间谍”APT

腾讯安全联合实验室

知乎问答专栏——

【知道】

提问来源 知乎：

应对 APT 攻击的措施或方法有哪些？

还记得今年新加坡发生的健康数据泄露事件吗？在这场被当地媒体视为“新加坡遭遇的最大规模网络安全攻击”中，包括本国政要在内的150万人的个人信息被黑客非法获取。他们是如何做到的？答案就是APT（Advanced Persistent Threat）攻击。

不法黑客事先进行了长期、有计划性的准备，通过入侵保健集团计算机系统植入恶意软件，而后有针对性地窃取重要用户数据信息。作为一种瞄准重要行业的高级持续性威胁，随着数据价值的突显，APT攻击趋势近年来逐渐走高。本期知道专栏带你了解这种可潜伏数年的网络世界高级“间谍”。

什么是APT攻击？

A：技术高级。攻击者掌握先进的攻击技术，使用多种攻击途径，包括购买或黑客自己开发的0Day漏洞。整个攻击过程复杂，同时，在攻击持续过程中黑客能够动态调整攻击方式，从整体上进行把控。

P：持续时间长。与传统黑客进行网络攻击的目的不同，实施APT攻击的黑客组织通常具有明确的攻击目标和目的，通过长期不断的信息搜集、信息监控、渗透入侵实施攻击步骤，攻击成功后一般还会继续留在网络中，等待时机执行后续攻击。

T：威胁性大。APT攻击通常拥有雄厚的资金支持，由经验丰富的黑客团队发起，一般以破坏国家或是大型企业的关键基础设施为目标，窃取内部核心机密信息，威胁一国重要行业和机构的安全。

APT攻击与传统的木马病毒有什么不同？

一般来说，传统的木马病毒攻击采用的是“广撒网”的方式，他们更加在意这张“网”的范围有多大，而很少在意哪些具体的鱼会被捕上来。与传统的网络威胁不同，APT攻击基础设施成本高、资源投入大、恶意代码需专业团队开发维护，更喜欢选取重要行业以及具有高价值的用户。APT攻击组织为了实现攻击目的，会像一支军队那样，制定严谨周密的作战计划，进行长期性、有组织性、有策略地收集情报，进行长期渗透。相比之下，病毒木马显得像小打小闹式的游击队。

防御APT攻击方式大盘点

随着人们对APT攻击的研究不断深入，已经出现一些有效的防御技术来对抗APT攻击，其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括：沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等。

1、沙箱技术

沙箱，又称为沙盘，被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境，同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离，以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术，将测试过程中生成和修改的文件定向到特定文件夹中，避免了对真实注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时，可以及时地观察并分析其特征码，进一步防御其深入攻击。

2、信誉技术

安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术，通过建立信誉库，包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等，可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑，实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用，将进一步提高安全新品的安全防护能力。

3、异常流量分析技术

这是一种流量检测及分析技术，其采用旁路接入方式提取流量信息，可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测，并基于时间、拓扑、节点等多种统计分析手段，建立流量行为轮廓和学习模型来识别流量异常情况，进而判断并识别0Day漏洞攻击等。

4、大数据分析技术

APT攻击防御离不开大数据分析技术，无论是网络系统本身产生的大量日志数据，还是SOC安管平台产生的大量日志信息，均可以利用大数据分析技术进行大数据再分析，运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹，以弥补传统安全防御技术的不足。

Tip：如何将我们设为星标

腾讯安全联合实验室