如何找到APT攻击的“脉门”？

近段时间比特币、以太币等数字货币币值出现了大幅降低，但并不意味着网络不法分子就会放弃这块“肥肉”。

据国外媒体报道，普林斯顿大学的计算机科学教授Arvind Narayanan评估，比特币挖矿每天耗掉5吉瓦的电力，接近全球耗电量的1%。然而，这其中并不包括隐形的“挖矿病毒”，作为吞噬PC资源的“大户”，挖矿病毒通过控制PC的处理器、显卡等硬件，执行高负载的挖矿计算脚本来进行挖矿。

挖矿病毒的风险还在于，其目的并非局限在窃取PC的计算能力方面，而是会利用自己善于隐匿的优势，为威胁更大的APT攻击预留了空间。

如何找到APT攻击的“脉门”？

雷锋网宅客频道在不久前亚信安全举办的高级威胁治理10年暨XDR战略发布会上和亚信安全通用产品管理副总经理刘政平聊了聊。

APT攻击之变

刘政平打趣自己看电影只看有外星人的，出差路上就在看X战警，为什么？因为外星人代表未知。

而APT实际上也代表了一种未知。

刘政平

时间倒回至2001年，红色代码病毒爆发，大批计算机宕机，程序员们彻夜重装系统。此后，数据库入侵事件层出不穷，利用漏洞进行蠕虫化传播的病毒种类愈发壮大，如振荡波、冲击波等等。

其中，被作为里程碑的就是间谍软件的诞生。其开启了黑产的商业模式，黑客攻击开始从炫技走向利益。无论是网页威胁、定向攻击、移动端攻击还是现在的勒索病毒攻击，你会发现原来APT的威力那么巨大，如果水利系统、发电系统、能源系统，包括飞机的飞控系统等被APT入侵，产生的威胁非常巨大。

除此之外，这些APT攻击隐蔽性越来越强，甚至可以隐藏2-3年不被发现.

黑客们是很狡猾的，刘政平告诉雷锋网 (公众号：雷锋网) ，为了避免被人发现这些拥有资金和人才的黑产团伙会做测试，购买所有主流安全产品、安全技术都部署到自己的实验室，测试发起的APT攻击能不能被检测到。

除了拥有隐身能力，还要有形态变化。大型的银行、保险、券商大型企业受到的APT攻击样本都是不一样的，黑产会做一级处理或是带上“面纱”，总之攻击形态不是一丝不变。

如此一来，企业安全运营中心（SoC平台）十分挠头。一来新威胁层出不穷，无论漏洞类型还是攻击路径，都千奇百怪，防不胜防；其二，安全产品割裂，无整体能力；其三，依靠人力进行安全响应太过被动；其四，安全专家短缺，简直是香饽饽；而最重要的，随着数字化转型带来的业务基础架构变化，包括整个IT架构的变化和出现的移动办公、物联网等，企业攻击界面不断扩大。

此时，重新设防已经挡不住这些威胁了，应该怎么办？

APT攻击之防

遭遇强盗破门而入后最佳反应是什么？第一，分析损失，第二，报警抓人。

对应到企业遭遇APT攻击也是这两步，第一步，内网出现安全事件后用最短时间针对威胁作出分析判断。

在网络环境、虚拟化环境下，需要有事故检测能力，结合黑客行为建立模型和规则，分析其常用手段。就像武侠小说里的江湖门派，每个门派都有自己的武功招式。黑客也是如此，可以根据其独特的攻击手法和特征进行判断。

“当然，更重要的是企业内部能不能建立情报机制。”刘政平说到。

如果安全厂商能帮政府以及一些大型行业用户建立本身的情报机制，会大大提高抗APT的功能。未来云的情报必不可少，这是场景化，行业化的走向。

第二步，需要有应急响应机制。不同场景的响应机制是不一样的，比如商务写字楼与厂房不一样，更需要一个精密编排。

精密编排有三个要素，一个是预案，对于预案来说，需要覆盖不同场景。不一样的黑客攻击手段预案是不一样的，比如零日漏洞攻击和DDoS攻击的预案不一样。

据刘政平透露，准备预案是有“套路”的，大概分“准备、发现、分析、遏制、消除、恢复、优化”7个阶段，准备阶段包括了针对每一种黑客攻击类型的标准预案，自发现威胁数据之后，将数据集中到本地威胁情报和云端威胁情报做分析，利用机器学习和专家团队，通过分析黑客进攻的时间、路径、 工具 等所有细节，其特征提取出来，再进行遏制、清除、恢复和优化。整个套路类似航空飞机驾驶员面对紧急情况处理机制，必然有一个装满预案的黑匣子。

第二个要素是方法论。安全行业面临一个很浮躁的问题，大家都在卖产品，不重视对知识的沉淀。在此期间可能也培养了很多人，但这些人的经验没有迭代起来。怎么去迭代？把预案写下来，不断去优化它。

第三个要素是工具，一个非常好的工具可以加快分析的速度和方便性。

举个栗子，企业出现APT攻击时候，会触发所有安全产品的相应告警。此时，怎么把噪音去掉找到根源？这就像吃粽子，想要打开粽子需要找到整条线的根结点。对于安全系统来说要把所有行为数据记录下来，这样在发生攻击后才能利用网络层、终端等的数据还原整个攻击过程。

拿挖矿打个比方，最近挖矿事件在国内云平台上，包括主机、数据中心大量出现。因为挖矿本身能挣钱，所以很多黑客会把它的挖矿病毒通过远程方式种在云主机里面。比如向组织内部的员工大量发送精心伪造的垃圾邮件，这些垃圾邮件一般会在附件中植入挖矿相关的恶意代码，并使用具有诱惑力的标题和内容诱惑员工下载并打开。一旦成功侵入，病毒往往会注入系统进程，并读取挖矿配置信息进行挖矿。

这时如何找出这条“泥鳅”？

对于挖矿病毒来说，生存时间是衡量其销量的最重要标准。为了达到这一目标，网络犯罪分子采取的战术策略也在不断演变，更多的是使用了免杀机制。在对抗挖矿病毒的过程中，持续的监察与发现能力至关重要。比如需要对主机资源占用异常现象进行监控，提取相应数据。之后通过算法生成威胁情报并判断是否为挖矿行为，如果是就需要通过态势感知系统调动工具协同响应，最后消除风险。

这整个过程就是亚信安全新一代高级威胁治理战略的精髓，即基于SOAR模型的精密编排的自动化检测及响应-XDR体系，对于时常需要查漏补漏的安全小哥们非常友好了。

“也就是，在不确定的网络安全世界里，寻找一个确定性的方法，帮助用户真正提升网络空间恢复补救的能力。”

写在最后

从因为一名员工点击了即时消息中的恶意链接，导致Google这个搜索引擎巨人被渗透，到伊朗布什尔核电站遭到Stuxnet 蠕虫攻击，再到Target 超市、eBay 、iCloud、索尼影视、Anthem、百货公司Neiman Marcus……通过十年不断的演化发展，APT已经成为最具攻击性、隐蔽性、破坏性的网络威胁。

APT 攻击将会像普通病毒攻击一样普遍。

此时对于安全厂商来说最重要的是什么？可能需要技术上的改变与创新。

雷锋网宅客频道（微信号：letshome），专注先锋科技，讲述黑客背后的故事。

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。