根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》報(bào)告顯示：APT組織利用社會(huì)熱點(diǎn)、供應(yīng)鏈攻擊等方式持續(xù)對(duì)我國(guó)重要行業(yè)實(shí)施攻擊，遠(yuǎn)程辦公需求增長(zhǎng)擴(kuò)大了APT攻擊面。其主要有三大特征：第一，利用社會(huì)熱點(diǎn)信息投遞釣魚(yú)郵件的APT攻擊行動(dòng)高發(fā)；第二，供應(yīng)鏈攻擊成為APT組織常用攻擊手法；第三，部分APT組織網(wǎng)絡(luò)攻擊工具長(zhǎng)期潛伏在我國(guó)重要機(jī)構(gòu)設(shè)備中。

講解實(shí)錄

在談APT攻擊檢測(cè)前，先了解下什么是檢測(cè)。檢測(cè)是著名網(wǎng)絡(luò)安全模型PDRR（Protection，Detection，Reaction，Recovery，防護(hù)、檢測(cè)、反制、恢復(fù)）的一個(gè)重要環(huán)節(jié)。防護(hù)是隔離、檢測(cè)是發(fā)現(xiàn)、反制是采取相應(yīng)措施、恢復(fù)是將損失降到最低。而這所有的一切中，檢測(cè)是前提條件，只有發(fā)現(xiàn)問(wèn)題才能應(yīng)對(duì)。若是無(wú)法發(fā)現(xiàn)問(wèn)題，后續(xù)任何措施也無(wú)法施展。

>>>檢測(cè)位置一般由管理或者監(jiān)管來(lái)決定

檢測(cè)位置可在云端、網(wǎng)絡(luò)處，也可在終端。從技術(shù)角度而言，云端、網(wǎng)絡(luò)處是信息終結(jié)位置，信息到這兩個(gè)節(jié)點(diǎn)可在服務(wù)器上處理，比如加工、展示，甚至直接展示，所以這個(gè)位置的檢測(cè)對(duì)象相對(duì)明確且易獲取。但從管理或監(jiān)管角度來(lái)看，云端、終端卻非常不合適，一般云端往往超出了管理范圍，終端會(huì)面臨分布式部署，且數(shù)量較多，部署、實(shí)施、管控很難實(shí)現(xiàn)。所以現(xiàn)實(shí)中大部分監(jiān)管設(shè)備一般都部署在網(wǎng)絡(luò)處。

網(wǎng)絡(luò)是管道，理論上所有信息皆要通過(guò)網(wǎng)絡(luò)管道進(jìn)行傳輸，但管道中的信息并非信息的原始狀態(tài)。它被打成了各種各樣瑣碎的報(bào)文，需要利用特殊技術(shù)，從網(wǎng)絡(luò)傳輸?shù)膱?bào)文中還原檢測(cè)對(duì)象。這些報(bào)文有重傳、丟棄、單向的，甚至有壓縮、加密的，最可怕的是還有專門針對(duì)檢測(cè)設(shè)備逃逸制作的報(bào)文，所以在這方面對(duì)檢測(cè)技術(shù)有著比較高的要求。但現(xiàn)實(shí)情況中，檢測(cè)位置一般由管理或者監(jiān)管來(lái)決定，而不由檢測(cè)技術(shù)難易程度來(lái)決定。

檢測(cè)模式一般采取前后端模式，前端部署檢測(cè)設(shè)備，通俗稱為“探針”，后端部署服務(wù)器進(jìn)行數(shù)據(jù)分析，即大數(shù)據(jù)分析系統(tǒng)。前端設(shè)備主要接受網(wǎng)絡(luò)流量、輸出事件日志，后端設(shè)備收集所有信息，并進(jìn)行統(tǒng)計(jì)、加工、分析、整理，或者通過(guò)計(jì)算模型得出統(tǒng)計(jì)結(jié)果。而APT檢測(cè)基本采用前后端配合模式，前端實(shí)時(shí)處理，后端追溯查找。

>>>檢測(cè)APT攻擊的完整鏈條怎么做

準(zhǔn)確來(lái)說(shuō)，APT不是一種具體攻擊，即沒(méi)有一個(gè)系統(tǒng)會(huì)有APT漏洞。但APT是一種攻擊形式，它會(huì)確定一個(gè)目標(biāo)做好探測(cè)、偵查，用APT特有工具對(duì)喜愛(ài)的惡意樣本發(fā)起攻擊，攻擊時(shí)間可能跨度非常長(zhǎng)且鍥而不舍，所以APT攻擊又稱高級(jí)可持續(xù)攻擊。APT攻擊特點(diǎn)是擁有自己專有、喜愛(ài)的特殊工具，另一個(gè)是不達(dá)目的不罷休。這也是大多數(shù)用戶網(wǎng)絡(luò)當(dāng)中最不希望看到的攻擊，所以有人說(shuō)APT攻擊是“不怕賊偷，就怕賊惦記”。

檢測(cè)APT攻擊有多種方法和技術(shù)，一般從惡意樣本出發(fā)先從網(wǎng)絡(luò)中還原樣本，然后經(jīng)過(guò)傳統(tǒng)技術(shù)手段進(jìn)行篩選，再利用新的檢測(cè)技術(shù)引擎，排查疑似惡意樣本。比如說(shuō)天融信天璇實(shí)驗(yàn)室開(kāi)發(fā)的TAI系列智慧引擎，它可以通過(guò)海量樣本訓(xùn)練出機(jī)器模型。它其實(shí)無(wú)法識(shí)別惡意樣本分類、樣本名字，但能識(shí)別出是否是惡意、值得進(jìn)一步分析，值得關(guān)注的樣本。

檢測(cè)完畢后需要利用專業(yè)樣本分析設(shè)備或者專業(yè)工程師，對(duì)其行為進(jìn)行分析和鑒定，以識(shí)別它是否是未知惡意樣本，這個(gè)過(guò)程如同大海撈針，需要很長(zhǎng)時(shí)間才能完成。一旦鑒定出未知惡意樣本，即可把它轉(zhuǎn)換為已知規(guī)則，反向下發(fā)到檢測(cè)設(shè)備，利用檢測(cè)設(shè)備去觀察更多行為表象，比如樣本是誰(shuí)在使用、地理位置在哪里、使用大概頻率、使用規(guī)律以及地域特點(diǎn)等，甚至分析其代碼相似度。如果運(yùn)氣足夠好的話，是非常有可能發(fā)現(xiàn)一個(gè)真正的APT攻擊。

當(dāng)確認(rèn)一個(gè)真正的APT攻擊后，我們可以把它部署到更多檢測(cè)設(shè)備中，通過(guò)在網(wǎng)絡(luò)處進(jìn)行分布式部署，以監(jiān)測(cè)更多的節(jié)點(diǎn)、流量，收集更多的數(shù)據(jù)，利用數(shù)據(jù)分析或社會(huì)工程學(xué)方法，完全有可能追溯到使用APT攻擊的組織或者個(gè)人。至此，一個(gè)完整的檢測(cè)APT攻擊鏈條已經(jīng)形成。

最后我們也希望利用天融信現(xiàn)有的技術(shù)，幫助我們的客戶一起，在未來(lái)能夠發(fā)現(xiàn)更多的APT攻擊，甚至是定位到APT組織。

天融信僵尸網(wǎng)絡(luò)木馬和蠕蟲(chóng)監(jiān)測(cè)與處置系統(tǒng)（簡(jiǎn)稱TopTVD，俗稱“九合一全流量威脅檢測(cè)探針”），內(nèi)置TAI-1機(jī)器學(xué)習(xí)智慧引擎，結(jié)合虛擬沙箱技術(shù)，在不依賴任何規(guī)則庫(kù)的情況下，可實(shí)現(xiàn)高效、精準(zhǔn)的未知惡意程序檢測(cè)能力，打破傳統(tǒng)特征庫(kù)匹配技術(shù)的束縛，同時(shí)還兼具隱蔽隧道檢測(cè)、DGA惡意域名檢測(cè)和威脅情報(bào)檢測(cè)的能力，是發(fā)現(xiàn)未知威脅特別是APT攻擊的有力工具！