信息安全的攻擊形式在發(fā)生愈來愈多的變化，也在變得愈發(fā)高端。安全威脅處于向“高級形式”進(jìn)化的階段，其中最為典型的就是APT類攻擊。

　　什么是APT類攻擊

　　APT(Advanced Persistent Threat)高級持續(xù)性威脅，通常來說APT攻擊為一類特定的攻擊，為了獲取某單位的重要信息，從而進(jìn)行針對性的、一系列的攻擊行為，每當(dāng)惡意代碼滲透到網(wǎng)絡(luò)內(nèi)部后，從而進(jìn)行重要信息的收集。

　　通俗的來說APT的攻擊主要針對于特殊的機(jī)構(gòu)或者公司，在明確攻擊目標(biāo)后，通過未知病毒、后門程序、0day攻擊等多種途徑進(jìn)行頻繁的滲透、潛伏、攻擊和收集，同時不會對網(wǎng)絡(luò)產(chǎn)生任何破壞的影響，導(dǎo)致用戶極難發(fā)覺。

　　同時，任何企事業(yè)單位，只要內(nèi)部終端可以訪問互聯(lián)網(wǎng)、收發(fā)Email，上傳、下載文件等行為，都極有可能受到APT威脅，這些動作都可以作為APT攻擊的載體被利用，從而攻擊其它的內(nèi)部終端。這種攻擊行為使得國家政府機(jī)關(guān)、軍隊、銀行、商業(yè)公司等機(jī)構(gòu)面臨著嚴(yán)峻的威脅。

　　常見的APT攻擊手段

　　APT攻擊可以簡要的分為四個階段：(1)滲透(2)控制(3)探測(4)數(shù)據(jù)泄露。

　　1、滲透：典型的APT攻擊主要通過以假亂真的電子郵件、未知的惡意程序、系統(tǒng)和程序的漏洞及后門入侵到計算機(jī)中，同時大部分桌面端殺毒軟件無法對未知惡意代碼、后門程序進(jìn)行及時的分析或查殺導(dǎo)致計算機(jī)被感染。

　　2、控制：當(dāng)計算機(jī)被成功滲透后，主動釋放新型木馬僵尸程序，此程序會躲避殺毒軟件的查殺，同時向外網(wǎng)的僵尸服務(wù)器進(jìn)行通訊回復(fù)報道，然后潛伏在計算機(jī)系統(tǒng)中。

　　3、探測：當(dāng)計算機(jī)感染新型木馬僵尸病毒后，會被竊取本機(jī)的權(quán)限，同時提升權(quán)限到管理員，然后通過感染計算機(jī)不斷的去掃描其它計算機(jī)端口以及漏洞，并依靠弱口令字典去破解其它計算機(jī)的密碼，造成更多的計算機(jī)被感染和控制。此類惡意代碼會依照相關(guān)規(guī)則(例如：文件類型、名稱等)去探測重要文件的位置。

　　4、數(shù)據(jù)泄露：惡意代碼會將收集到的重要文件進(jìn)行壓縮打包甚至加密，通過郵件或其它形式轉(zhuǎn)發(fā)到相應(yīng)的外網(wǎng)僵尸服務(wù)器中。

　　如何防御APT惡意代碼

　　目前業(yè)內(nèi)主要還是依靠傳統(tǒng)的病毒防范方式，依靠桌面端的殺毒軟件對惡意文件進(jìn)行特征庫匹配。但是對于APT惡意代碼的攻擊已顯得不合時宜，無法攔截未知惡意代碼、后門程序、信息泄露等。所以應(yīng)該有一套更加完善、主動、立體、多維度的安全防御體系。

　　網(wǎng)神安全團(tuán)隊根據(jù)多年的安全經(jīng)驗(yàn)，建議針對APT惡意代碼攻擊通過以下幾個方面入手，包括建立異構(gòu)病毒庫、多維度攔截、啟發(fā)式掃描、行為分析、URL判定、漏洞攻擊代碼檢測、沙盒技術(shù)等方式，對APT的惡意代碼的滲透、控制、探測、數(shù)據(jù)泄露四個過程進(jìn)行全程的監(jiān)控、阻斷和預(yù)警。

　　APT惡意代碼的攔截

　　在網(wǎng)關(guān)處部署網(wǎng)神SecAV防毒墻，通過網(wǎng)神1000萬以上病毒特征庫結(jié)合終端殺毒軟件，對所有進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行還原，并進(jìn)行高精準(zhǔn)度的病毒文件匹配，杜絕惡意代碼、后門程序入侵計算機(jī)終端，降低計算機(jī)病毒感染率。

　　其次，通過網(wǎng)神SecAV防毒墻啟發(fā)式掃描技術(shù)，對進(jìn)出的數(shù)據(jù)文件的結(jié)構(gòu), 病毒遺傳基因, 文件的來源或傳播形式，虛擬脫殼以及偽裝形式等來進(jìn)行判斷。同時可針對不同的特點(diǎn)的病毒, 制定不同的啟發(fā)式規(guī)則來提高判斷結(jié)果的準(zhǔn)確性，全部過程均為自動化處理，使得未知惡意代碼能夠提供及時、主動的攔截，防止APT類攻擊滲透到網(wǎng)內(nèi)計算機(jī)中。

　　通過防毒墻的URL判斷功能，對于未知的URL進(jìn)行威脅性預(yù)估，對于威脅級別高的URL進(jìn)行及時的阻斷，從而在阻止惡意URL的訪問。

　　為了防止已被感染的APT類惡意代碼的計算機(jī)回傳數(shù)據(jù)，或?qū)┦?wù)器進(jìn)行回復(fù)報道，造成泄密事件發(fā)生，可以通過防毒墻關(guān)鍵字、關(guān)鍵文件類型過濾，數(shù)據(jù)雙向檢測功能進(jìn)行分析和阻斷，對于機(jī)密的文件名稱、類型或惡意的數(shù)據(jù)回傳進(jìn)行攔截，防止數(shù)據(jù)泄露事件發(fā)生。

　　APT惡意代碼的監(jiān)控和預(yù)警

　　針對APT惡意代碼攻擊，還需要對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行多維度的分析和預(yù)警，網(wǎng)神SecAV病毒預(yù)警系統(tǒng)做為防御APT惡意代碼的新利器，旁路部署在交換機(jī)旁，對所有進(jìn)出的數(shù)據(jù)進(jìn)行分析和預(yù)警。

　　網(wǎng)神SecAV 病毒預(yù)警系統(tǒng)將所有網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行收集，使用特有的虛擬沙盒仿真技術(shù)進(jìn)行分析。沙盒技術(shù)將文件在虛擬的環(huán)境中運(yùn)行，根據(jù)文件的文件屬性變化、程序啟動方式、注冊表更改、內(nèi)存變動、網(wǎng)絡(luò)活動情況進(jìn)行多維度的分析，對于APT類惡意代碼中常見的可疑僵尸行為、可疑DDOS行為、Rootkit、間諜行為、資料竊取、反查殺自我保護(hù)等行為進(jìn)行及時的監(jiān)控和預(yù)警。

　　同時網(wǎng)神SecAV病毒預(yù)警系統(tǒng)對網(wǎng)絡(luò)中的應(yīng)用程序帶寬進(jìn)行審計，對于異常流量進(jìn)行自動分析，防止APT類惡意代碼的探測和數(shù)據(jù)泄露情況發(fā)生。使得運(yùn)維人員可以快速定位感染源、對重點(diǎn)資產(chǎn)進(jìn)行監(jiān)控，同時配合網(wǎng)神防毒墻進(jìn)行聯(lián)動，隔離病毒計算機(jī)，減輕病毒防毒壓力。

　　網(wǎng)絡(luò)信息安全不僅需要安全產(chǎn)品和解決方案，同時內(nèi)部員工安全意識同樣不可或缺，定期進(jìn)行安全信譽(yù)評估，合理的使用計算機(jī)終端，會更有效的降低APT攻擊的行為發(fā)生。