APT高级可持续性威胁防御系统设计

1 前言
　　随着互联网的高速发展和普及，使各个企业的业务系统的信息的获取渠道比以往任何时候都更加便捷，而同时也导致企业信息系统受到各种网络攻击、病毒感染、钓鱼欺骗等攻击行为的幅度大幅增加。虽然很多企业都部署了常见的各种信息安全设备，但据可靠数据统计，仍有66%的企业发生过恶意病毒感染、网络攻击、数据泄露等事件。在企业信息化安全的历程中面临的安全问题主要有这么几个方面：（1）传统的信息安全技术和设备是基于“黑名单”技术，这种技术方案对新型病毒木马和海量攻击响应过于滞后；（2）利用word、pdf等文档的溢出漏洞的社会工程学攻击很难过滤防范；（3）未知的恶意代码和0day漏洞；
　　而目前这些面临的安全问题都集中体现在APT威胁这个新型概念上。关于APT威胁和APT威胁里面的各种行为的防御已经到了刻不容缓的地步。
　　2 APT防御概述和设计
　　2.1 APT简介
　　APT（Advanced Persistent Threat）高级持续性威胁，从整体的攻击手段和意图上来解释，APT威胁是一种结合了各种IT资产漏洞、社会工程学并且集合了各种威胁利用的攻击手段的多种行为集合。分析APT威胁的整个过程可以发现：
　　1） APT威胁的发起攻击者在选择攻击的突破口时，都是想尽办法得以被攻击者内部网络中的某个终端上运行恶意代码，比如采用恶意网页诱惑点击、邮件钓鱼灯方式。这种类型的恶意代码往往带有非常强的伪装性、欺骗性，尤其一些恶意代码会采用0 Day漏洞时，则很难在第一时间通过技术手段和产品来发现这种0 Day攻击。然后APT威胁的发起攻击者在获取一定的内部终端控制权限后，通过控制的终端进行远程控制，继续内网的横向渗透，并最终将所需要的信息窃取。
　　2） APT威胁的隐蔽能力强，为了躲避传统的安全设备的检测，它更加注重动态行为、静态文件的隐蔽性。例如通过加密通道、隐蔽手段来避免它的网络行为被检测到，或通过伪造合法证书签名的方式避免恶意代码文件本身被恶意软件检测系统所识别，这样就给传统基于签名的安全检测带来很大困难。
　　3） 一次完整的APT攻击的持续时间长，不像传统的网络攻击存在时间短的情况，它从最初的信息搜集，到潜伏，到信息窃取并外传往往要经历几个月或者更长的时间，而传统的检测方式只是基于较短的时间点的实时检测，很难对攻击时间跨度如此长的行为进行有效跟踪和分析。
　　综合上面的APT威胁所体现出的特点，使得以特征检测、实时检测为主要功能的传统防御方式很难起到防范作用。在当前APT威胁盛行的时代，就需要设计一套行之有效且针对APT特征的防御系统从而保障信息化的安全。
　　2.2 APT防御系统设计
　　完善的APT防御系统产品必须通过智能集成的海量黑白名单库、规模化的动态鉴定虚拟机沙盒等核心功能，实现对网络流量、传输文件中所包含的恶意行为代码进行判定，并形成自动化的安全分析报告。APT防御系统通过与防火墙或UTM进行联动，从而实现边界安全、控制通道安全以及0day安全的一体化安全防护，从而为用户提供更加全面的安全保障。
　　首先，在边界安全防护层面的APT攻击中，主要体现在针对已知漏洞的恶意代码攻击。ATP防御系统利用各种特征库（入侵防御特征库、病毒特征库、URL特征库）的有效融合，提供涵盖OSI 2-7层的攻击防护，有效的实现对恶意代码攻击漏洞的分析，阻止已知的恶意代码漏洞攻击的恶意流量，从而有效的防范APT攻击过程中已知漏洞的恶意代码攻击。
　　其次，针对零日（0 Day）漏洞的恶意代码或者是未知的恶意代码，通过将安全网关产品（防火墙或UTM）和APT防御系统进行联动，从而实现对未知威胁行为的防护。一套完善的APT防御系统必须提供各种虚拟环境模拟能力，即沙盒，通过为不可信的代码和程序提供虚拟化的内存、文件系统、网络等资源，从而实现隔离运行未知或可疑代码，限制不可信代码或非法访问在运行时的访问权限。
　　同时APT防御系统通过与安全网关产品（防火墙或UTM）进行联动，将APT沙盒模拟系统中分析到的各种动态、静态的恶意特征分析结果，提交给防火墙或UTM，防火墙或UTM根据提交的结果将自身的特征库进行动态更新，从而实现对APT威胁的主动防御。
　2.3 APT防御系统的特征
　　APT防御系统的特征必须具备以下特征功能才可以称得上为一个设计良好的系统，这些特征包括：海量的黑白名单特征库，文件动态行为检测的虚拟环境，未知恶意代码检测的虚拟环境，0day漏洞检测能力，深度的静、动态检测能力的虚拟环境。这些特征具体细节如下：
　　2.3.1 海量黑白名单特征库
　　1）内置各种世面主流的黑白名单特征库。
　　2）支持对EXE可执行文件、DLL动态链接库文件、SYS驱动程序文件等检测。
　　3）支持对PDF文档、XLS文档、DOC文档、RTF文档、Flash、HTML等客户端文件的检测。
　　4）支持对压缩包的解压和检测，包括主流的压缩格式：ZIP、RAR、TAR。
　　2.3.2 文件动态行为检测的虚拟系统
　　1）支持Windows系统中EXE、DLL的分析，对各种可执行文件进行深度的解析以及行为监控；支持对Linux系统中的可疑文件进行深度分析。
　　2）支持对静态溢出文档方面的解析和监控，对包括xls、ppt、swf、PDF、MS word等常见格式的解析和监控。
　　3）支持URL网页访问浏览的分析监控，可以对于具有恶意行为的网页脚本进行动态监控，可以发现利用基于主流浏览器的客户端溢出攻击的行为。
　　2.3.3 未知恶意代码检测虚拟环境
　　虚拟环境动态检测方式，不依赖于恶意代码特征进行检测，对未知木马病毒具有检测能力，可以发现包括远程线程序、注册表自启动位置 、注册表敏感位置（劫持）、自删除（主体进程镜像被删除）、恶意URL访问（恶意的域名，放马地址等）、恶意IP访问、终止杀软进程、映像劫持、释放驱动反主动防御等各种恶意行为。由此判断一个文件是否是恶意的，并将该文件相关联的网址包括、来源和试图连接的一些恶意网址呈现给用户。
　　2.3.4 0dayy漏洞检测虚拟环境
　　1）支持检测已知和未知的漏洞。
　　2）对于特定漏洞可以给出相关的漏洞编号（例如CVE编号）。
　　3）对于漏洞同时支持静态和动态两种方式进行检测。
　　2.3.5 深度的静、动态检测能力
　　1）静态检测包括格式识别解析、堆 喷射检测、Shellcode发现、字符串信息提取 、漏洞检测。
　　2）动态监控能力包括进程操作、文件操作、注册表操作、网络数据URL动态、网络通信访问检测主要采用ring3与Ring0驱动相结合的方式，互相，形成立体监控体系。
　　3）分析结果中包含以下行为：
　　a.进程创建、终止
　　b.对其他进程的数据访问（包括但不限于内存）
　　c.网络连接行为（包括IP、域名、端口访问）
　　d.文件访问行为（包括不限于：创建、读取、修改、隐藏）
　　e.分析目标的父子进程关系
　　f.自我删除
　　g.疑似溢出漏洞行为
　　h.能够提供程序运行时截图
　　3 APT防御系统的价值
　　综上所述，一套良好的APT防御系统的设计后，它可疑面向应用层设计，能精确识别用户、应用和内容、具备完整的安全防护能力，为APT防护提供从主机层、网络层到应用层的L2-L7层一体化安全防护。
　　参考文献：
　　[1] （美）肖恩伯德莫，等.请君入瓮-APT攻防指南之兵不厌诈[M].北京：人民邮电出版社，2014.