随手打开一个Word文档却引发一场APT海啸 如何才能有效防御？

用微信给同事发送文档，在邮箱下载老板安排的任务，上网盘分享某个项目的素材……这可不就是各位打工人的日常。你可曾想过，这些习以为常的操作，却可能为陌生人打开了一扇隐秘的大门？

我只是打开了一个文档，然后单位的所有文档都泄露了

在10月24日举行的 GeekPwn 2020 国际安全极客大赛的现场，来自成都二进制安全兴趣小分队的两名选手就展示了这样一场攻破挑战。


他们利用 WPS 2019 这款非常主流的办公软件的未知安全漏洞，构造了一个恶意文档，诱使主持人蒋昌建打开它，便获取了该电脑当前账号的控制权。在蒋昌建完全无感的情况下，悄悄开启了电脑的摄像头，每隔几秒钟，就会截取一次屏幕图像并回传至攻击服务器。在此期间，蒋昌建浏览的敏感文件，进行的机密操作及内部对话，统统被窃取。

这个恶意文件会悄无声息地在你的电脑中驻扎，就像一个间谍，在你方阵营中长时间地秘密收集信息，这些漏洞、情报会成为攻击你方的有力武器，一直等到你再无利用价值，攻击者再默默功成身退。等到一场致命攻击爆发甚至系统崩盘，你可能都不知道是自己当初打开文件这样一个不起眼的小操作，撕开了敌军入场的豁口。

这个赛场上的场景，就是一场典型的 APT。

APT是怎样一步步侵蚀瓦解一个组织的

APT（Advanced Persistent Threat）又名为高级可持续威胁攻击，是一种蓄谋已久并且旷日持久的攻击手段。

其高级在于，所有当前可用的攻击入侵手段，都可能随时出现。想象一个手握 0DAY 的黑客组织，结合如木马植入、SQL 注入、社会工程学等丰富攻击手段，设计一个完全为你而定制的恶意程序，极具针对性和破坏性，在恰当的时机，对你实施毁灭性打击。更关键的是，攻击方法还会不断更换和改进，攻击入口、途径、时间都是不确定和不可预见的，因此这就更加难以防范。

其可持续性在于，与常规攻击为了获得短期回报不同， APT 一开始就具有明确的目标导向，通过经年累月地渗透、蛰伏、监控，手段隐秘让被攻击的组织无从知晓。10月，一个潜藏了九年的 APT 组织 XDSpy 被发现，在今年其攻击行动暴露之前，近九年时间里安全界竟对之毫无察觉。

正因为 APT 手段高级、长期而持续，其攻击成功率很高，对于被攻击者而言危险系数更大、威胁程度更高。重要信息资产或遭到破坏或窃取，甚至有可能危及社会稳定和国家安全。如2010年伊朗布什尔核电站的震网事件，黑客针对核电站工作人员的家用电脑发起感染攻击，以此为跳板进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入核电站内部，随即潜伏下来很有耐心地逐步扩散，一点一点地进行破坏。最终震网病毒毁坏了伊朗近1/5的离心机，感染了20多万台计算机，导致1000台机器物理退化，并使得伊朗核计划倒退了两年。


传统的安全防御体系对 APT 往往无能为力

在 GeekPwn 大赛现场，作为评委的滴滴美研所安全专家王宇表示，常规的企业邮件安全防御策略中，会把如.exe这样的可执行文件标识为高危文件而进行屏蔽，但对于 WPS 这样的常规文件，则一般不会采取措施。现实情况也是这样，传统的安全防御体系在 APT 面前显得无能为力。

APT 常常利用社会工程学手段、0DAY 漏洞、定制恶意软件等实施攻击，这使得基于特征匹配的传统检测防御技术很难有效识别到异常流量。APT 不留任何痕迹地在目标系统展开活动，长时间并无明显异常，因此基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击，也无法溯源至攻击者的命令和控制中心，他们可以安稳在目标系统中长久地保持控制权。

如何阻断和遏止 APT

要阻断和遏止 APT，必须要能够有效检测到安全威胁的存在，我们可以根据 APT 的入侵步骤进行分析。

探测期：
在攻击者初入目标系统进行探测的阶段，多会使用端口扫描、代码分析、SQL 注入等方式获取信息，企业应当收集和分析对关键网络和主机的详细日志记录，把时间线拉长，强大的日志分析与审计可以帮助分析辨识出这些活动。现有的IDS、IPS系统具有很强的实时性，面对 APT，则需要利用大数据分析的方法对长时间、全流量的数据进行深度检测，并关联不同来源的日志和数据进行分析，有助于发现 APT 的踪迹。

入侵期：
当攻击者已经发现可被利用的漏洞，对系统展开初始攻击，病毒传播、电子邮件攻击、木马植入等随之而来，异常事件的增多是检测的关键。企业可以采取基于未知文件行为检测的方法，通过沙箱技术模拟执行可疑程序，通过对程序的行为分析和评估它是否存在恶意威胁。部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具，可以有效检测出利用目标性电子邮件的 APT 。

潜伏期：
成功入侵目标系统后，攻击者低调而静默，偶尔实施破坏行为或回传窃取到的数据。未加密的数据传输可以通过内容识别技术发现，一旦加密，就只能通过量分析判断系统可能处于异常状态。在这个阶段，攻击者可能会进行增加用户、提升权限和增加新的启动项目等行为，使用 IDS 或 IPS 检测这类入侵将有助于发现 APT 。

虽然 APT 有着缜密的计划和细致的操作，但在现有技术条件的限制下，进入网络、植入软件、复制数据等行为还是会残留下一些踪迹，因此捕捉 APT 就需要利用综合多种检测技术结合安全人员的经验，再配合威胁情报、日志分析等能力多管齐下，一旦发现疑似 APT 行为的信号，哪怕是并不明显的证据，也应及时保存现场并对疑似感染的设备进行隔离和详细检查。