如何找到APT攻擊的“脈門”？

近段時間比特幣、以太幣等數字貨幣幣值出現了大幅降低，但并不意味著網絡不法分子就會放棄這塊“肥肉”。

據國外媒體報道，普林斯頓大學的計算機科學教授Arvind Narayanan評估，比特幣挖礦每天耗掉5吉瓦的電力，接近全球耗電量的1%。然而，這其中并不包括隱形的“挖礦病毒”，作為吞噬PC資源的“大戶”，挖礦病毒通過控制PC的處理器、顯卡等硬件，執行高負載的挖礦計算腳本來進行挖礦。

挖礦病毒的風險還在于，其目的并非局限在竊取PC的計算能力方面，而是會利用自己善于隱匿的優勢，為威脅更大的APT攻擊預留了空間。 

如何找到APT攻擊的“脈門”？

雷鋒網宅客頻道在不久前亞信安全舉辦的高級威脅治理10年暨XDR戰略發布會上和亞信安全通用產品管理副總經理劉政平聊了聊。

APT攻擊之變

劉政平打趣自己看電影只看有外星人的，出差路上就在看X戰警，為什么？因為外星人代表未知。

而APT實際上也代表了一種未知。

劉政平

時間倒回至2001年，紅色代碼病毒爆發，大批計算機宕機，程序員們徹夜重裝系統。此后，數據庫入侵事件層出不窮，利用漏洞進行蠕蟲化傳播的病毒種類愈發壯大，如振蕩波、沖擊波等等。

其中，被作為里程碑的就是間諜軟件的誕生。其開啟了黑產的商業模式，黑客攻擊開始從炫技走向利益。無論是網頁威脅、定向攻擊、移動端攻擊還是現在的勒索病毒攻擊，你會發現原來APT的威力那么巨大，如果水利系統、發電系統、能源系統，包括飛機的飛控系統等被APT入侵，產生的威脅非常巨大。

除此之外，這些APT攻擊隱蔽性越來越強，甚至可以隱藏2-3年不被發現.

黑客們是很狡猾的，劉政平告訴雷鋒網，為了避免被人發現這些擁有資金和人才的黑產團伙會做測試，購買所有主流安全產品、安全技術都部署到自己的實驗室，測試發起的APT攻擊能不能被檢測到。

除了擁有隱身能力，還要有形態變化。大型的銀行、保險、券商大型企業受到的APT攻擊樣本都是不一樣的，黑產會做一級處理或是帶上“面紗”，總之攻擊形態不是一絲不變。

如此一來，企業安全運營中心（SoC平臺）十分撓頭。一來新威脅層出不窮，無論漏洞類型還是攻擊路徑，都千奇百怪，防不勝防；其二，安全產品割裂，無整體能力；其三，依靠人力進行安全響應太過被動；其四，安全專家短缺，簡直是香餑餑；而最重要的，隨著數字化轉型帶來的業務基礎架構變化，包括整個IT架構的變化和出現的移動辦公、物聯網等，企業攻擊界面不斷擴大。

此時，重新設防已經擋不住這些威脅了，應該怎么辦？ 

APT攻擊之防

遭遇強盜破門而入后最佳反應是什么？第一，分析損失，第二，報警抓人。

對應到企業遭遇APT攻擊也是這兩步，第一步，內網出現安全事件后用最短時間針對威脅作出分析判斷。

在網絡環境、虛擬化環境下，需要有事故檢測能力，結合黑客行為建立模型和規則，分析其常用手段。就像武俠小說里的江湖門派，每個門派都有自己的武功招式。黑客也是如此，可以根據其獨特的攻擊手法和特征進行判斷。

“當然，更重要的是企業內部能不能建立情報機制。”劉政平說到。

如果安全廠商能幫政府以及一些大型行業用戶建立本身的情報機制，會大大提高抗APT的功能。未來云的情報必不可少，這是場景化，行業化的走向。

第二步，需要有應急響應機制。不同場景的響應機制是不一樣的，比如商務寫字樓與廠房不一樣，更需要一個精密編排。

精密編排有三個要素，一個是預案，對于預案來說，需要覆蓋不同場景。不一樣的黑客攻擊手段預案是不一樣的，比如零日漏洞攻擊和DDoS攻擊的預案不一樣。 

據劉政平透露，準備預案是有“套路”的，大概分“準備、發現、分析、遏制、消除、恢復、優化”7個階段，準備階段包括了針對每一種黑客攻擊類型的標準預案，自發現威脅數據之后，將數據集中到本地威脅情報和云端威脅情報做分析，利用機器學習和專家團隊，通過分析黑客進攻的時間、路徑、工具等所有細節，其特征提取出來，再進行遏制、清除、恢復和優化。整個套路類似航空飛機駕駛員面對緊急情況處理機制，必然有一個裝滿預案的黑匣子。

第二個要素是方法論。安全行業面臨一個很浮躁的問題，大家都在賣產品，不重視對知識的沉淀。在此期間可能也培養了很多人，但這些人的經驗沒有迭代起來。怎么去迭代？把預案寫下來，不斷去優化它。

第三個要素是工具，一個非常好的工具可以加快分析的速度和方便性。

舉個栗子，企業出現APT攻擊時候，會觸發所有安全產品的相應告警。此時，怎么把噪音去掉找到根源？這就像吃粽子，想要打開粽子需要找到整條線的根結點。對于安全系統來說要把所有行為數據記錄下來，這樣在發生攻擊后才能利用網絡層、終端等的數據還原整個攻擊過程。

拿挖礦打個比方，最近挖礦事件在國內云平臺上，包括主機、數據中心大量出現。因為挖礦本身能掙錢，所以很多黑客會把它的挖礦病毒通過遠程方式種在云主機里面。比如向組織內部的員工大量發送精心偽造的垃圾郵件，這些垃圾郵件一般會在附件中植入挖礦相關的惡意代碼，并使用具有誘惑力的標題和內容誘惑員工下載并打開。一旦成功侵入，病毒往往會注入系統進程，并讀取挖礦配置信息進行挖礦。

這時如何找出這條“泥鰍”？

對于挖礦病毒來說，生存時間是衡量其銷量的最重要標準。為了達到這一目標，網絡犯罪分子采取的戰術策略也在不斷演變，更多的是使用了免殺機制。在對抗挖礦病毒的過程中，持續的監察與發現能力至關重要。比如需要對主機資源占用異常現象進行監控，提取相應數據。之后通過算法生成威脅情報并判斷是否為挖礦行為，如果是就需要通過態勢感知系統調動工具協同響應，最后消除風險。

這整個過程就是亞信安全新一代高級威脅治理戰略的精髓，即基于SOAR模型的精密編排的自動化檢測及響應-XDR體系，對于時常需要查漏補漏的安全小哥們非常友好了。

“也就是，在不確定的網絡安全世界里，尋找一個確定性的方法，幫助用戶真正提升網絡空間恢復補救的能力。”

寫在最后

從因為一名員工點擊了即時消息中的惡意鏈接，導致Google這個搜索引擎巨人被滲透，到伊朗布什爾核電站遭到Stuxnet 蠕蟲攻擊，再到Target 超市、eBay 、iCloud、索尼影視、Anthem、百貨公司Neiman Marcus……通過十年不斷的演化發展，APT已經成為最具攻擊性、隱蔽性、破壞性的網絡威脅。

APT 攻擊將會像普通病毒攻擊一樣普遍。

此時對于安全廠商來說最重要的是什么？可能需要技術上的改變與創新。

雷鋒網宅客頻道（微信號：letshome），專注先鋒科技，講述黑客背后的故事。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。