APT

定义

特点

目的

APT攻击的生命周期

阶段一 --- 扫描探测

阶段二 --- 工具投送

阶段三 ---漏洞利用

阶段四 --- 木马植入

阶段五 --- 远程控制

阶段六 --- 横向渗透

阶段七 --- 目标行动

防御APT

最佳有效办法 --- 沙箱技术

沙箱技术

针对APT攻击的防御过程

APT防御与反病毒的差异

反病毒

区别 --- APT防御机制与反病毒不同

特点

总结

沙箱处理流程

内容安全检测

查询Web信誉

查询文件信誉

配置APT防御

升级文件信誉库

配置Web信誉

本地沙箱联动

选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置”

编辑配置本地沙箱

编辑配置APT防御文件

配置APT防御配置文件的名称和描述

配置沙箱检测的相关参数

在安全策略中引用APT防御配置文件

结果验证

云沙箱联动

注意 --- 云沙箱基本配置与本地沙箱配置一致

配置沙箱检测的相关参数

在安全策略中引用APT防御配置文件

结果验证

APT

深度包检测技术 --- 将应用层内容展开进行分析，根据不同的设定从而做出不同的安全产品

深度流检测技术 --- 与APS画像类似。会记录正常流量行为，也会将某些应用的行为画像描述出来。也可将加密流量进行判断，并且执行相应措施。

定义

APT攻击即高级可持续威胁攻击，也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动

APT --- 黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击收发，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数据空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为

APT攻击 --- 一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现

特点

高度专业化 --- 攻击者拥有先进的技术和专业知识，能够深入挖掘漏洞、规避防御措施，并利用各种手段进行攻击

长时间持续性攻击 --- APT攻击是一种长期持续的攻击，攻击者会在较长时间内悄悄地进行攻击，以避免被发现和防御

针对性强 --- APT攻击通常是有目的和针对性的，攻击者会针对特定目标进行攻击，并才去专门攻击手段和技术

多重攻击手段 --- APT攻击会采用多种攻击手段，如漏洞利用、社会工程学、恶意软件等，以达到其攻击目的

目的

APT是黑客以盗取核心资料为目的，针对客户发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为长期的经营与策划、并具备高度隐蔽性。APT的攻击收发，在于隐匿自己，针对特定对象，长期、有计划和组织性的窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为

APT攻击的生命周期

阶段一 --- 扫描探测

攻击者会花上几个月甚至更长的时间对“目标”网络进行踩点，针对性收集目标信息，包括网络拓扑结构、系统和应用程序漏洞、系统和应用程序的弱点等。这个阶段的攻击方式包括电子邮件钓鱼、社会网络工程和网络扫描等

阶段二 --- 工具投送

在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如Java或微软的办公软件)的0day漏洞，投送其恶意代码。一旦到位，恶意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播

0day漏洞 --- 指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知，所以没有可用的补丁程序。

阶段三 ---漏洞利用

利用漏洞，达到攻击的目的。攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。而如果漏洞利用成功的话，你的系统将受到感染。普通用户系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。

阶段四 --- 木马植入

随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制（相当于留了隐秘通道）。

阶段五 --- 远程控制

一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程工具。这些远程控制工具是以反向连（避免防火墙检测）接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。

阶段六 --- 横向渗透

一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，他感兴趣的是组织内部其他包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的PC和服务器。攻击者才去的横向渗透方法包括口令偷听和漏洞攻击等

阶段七 --- 目标行动

是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT 攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找"已知的"恶意地址和受到严格监管的数据。

防御APT

最佳有效办法 --- 沙箱技术

沙箱技术

定义 --- 在计算机系统中创建一个隔离的、受控的运行环境，用来执行未知、不受信任的程序或代码，以便分析它们的行为、检测恶意行为和漏洞，从而保护系统和数据的安全。

用途 --- 通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知FW（防火墙）实施阻断

注意：

将程序放入沙箱运行后，它所创建修改删除的所有文件和注册表都会被虚拟化重定向，也就是说所有操作都是虚拟的，真实的文件和注册表不会被改动，这样可以确保病毒无法对系统关键部位进行改动破坏系统。

针对APT攻击的防御过程

黑客（攻击者）向企业内网发起APT攻击，FW从网络流量中识别并提取需要进行APT检测的文件类型
FW将攻击流量还原成文件送入沙箱进行威胁分析
沙箱通过对文件进行威胁检测，然后将检测结果返回给FW
FW获取检测结果后，实施相应的动作。如果时沙箱分析出改文件是一种恶意攻击文件，FW则可以实施阻断操作，防止该文件进入企业网内网，保护企业网免遭攻击

APT防御与反病毒的差异

反病毒

通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性，只能针对已知病毒进行防御，无法识别未知攻击

区别 --- APT防御机制与反病毒不同

APT防御和反病毒都是保护计算机系统安全的关键方法，但两者的差异在于其处理安全威胁的方式和重点。反病毒主要通过检测病毒、恶意软件等已知威胁的特征码，来保护计算机的安全，而APT防御则主要针对未知威胁，通过分析威胁行为，指定相应的防御策略

特点

反病毒主要关注已知威胁的防御，他会不断地升级病毒库，检测计算机系统中的病毒、恶意软件等特定的已知威胁。一旦发现特定的病毒或恶意软件、反病毒软件会立即进行拦截或隔离
APT防御则主要关注未知威胁的防御，通过沙箱技术、流量分析等多重手段，来检测网络中的异常行为。一旦发现异常行为，APT防御系统会通过实时监测、流量分析等技术，分析威胁行为的特征，并及时进行相应的防御措施。同时，APT防御也会关注网络中的恶意程序、利用漏洞利用等攻击手段，并对其进行相应的防御

总结

反病毒系统是以被检测对象的特征来识别攻击对象、而APT防御系统是以被检测对象的行为来识别攻击对象

沙箱处理流程

内容安全检测

网络流量进入FW并通过安全检查策略以后，进入智能感知引擎进行内容安全检测。智能感知引擎可以分析出网络流量所使用的应用协议，并根据实际配置对流量进行一系列的检测，如反病毒、URL过滤、APT防御等。如果对应流量命中了APT防御配置文件中的应用类型等匹配条件，则准备对文件进行还原，并进行其他检测判断是否需要将还原后的文件送往沙箱做进一步检测;如果未命中APT防御配置文件，则流量直接被转发。

查询Web信誉

大型正规网站一般拥有较好的安全意识和优良的网络安全防护能力，所以网站被侵入口的可能性较小，网站上也几乎不存在恶意文件，用户访问此类网站时的风险很小。相反，随意搭建的小网站或者恶意网站上充斥着大量的恶意文件，用户访问此类网站时的风险也极大。

Web信誉功能对网站进行了分类，FW会根据不同分类进行差异化处理。对于信誉度低的网站，FW会提取出网络流量中的文件，然后送往沙箱进行进一步的检测；对于信誉度高的网站，FW不会提取网络流量中的文件，即跳过了沙箱检测的步骤。这样处理可以提高FW的检测效率，在不降低安全性的同时，提升用户的访问体验。

Web信誉网站分类 --- 1.预定义可信网站；2.自定义可信网站；3.自定义可疑网站；4.未知网站

当某个网站命中预定义可信网站或自定义可信网站列表时，系统不会提取网络流量中的文件;而命中自定义可疑网站或未知网站时，系统会提取出网络流量中的文件，并送往沙箱进行进一步的检测。

查询文件信誉

在文件还原之后，提交到沙箱之前，设备会对待检测文件进行文件信誉的查询，判断该文件是否为恶意文件。如果判定为恶意文件，则直接将该文件删除，无需再送往沙箱进行检测；否则送往沙箱进行检测

文件提交至沙箱并进行检测

智能感知引擎将原始文件发送给APT防御模块。智能感知引擎还原出原始文件以后.会将这些文件放入一个缓存区。APT防御模块会定期扫描缓存区，当发现有新的文件以后，通知智能引擎将对应的文件发送给自己。

APT防御模块将原始文件发送给沙箱。APT防御模块将文件发送给沙箱时会记录相应文件的MD5值

沙箱获取文件后运行此文件，并将文件的行为特征与沙箱的行为特征库进行比对，判定文件是否为恶意攻击文件。然后向APT防御模块发送检测结果。

根据沙箱检测结果阻断后续流量

APT防御模块随后将检测结果和MD5值发给智能感知引擎。智能感知引擎根据文件的MD5值和检测结果决定是否针对该文件执行阻断操作。

默认系统会在沙箱返回的检测结果为恶意时执行阻断，否则将会对流量放行。

如果用户想要根据检测结果对后续流量进行阻断，则需要在配置内容安全检测时必须配置反病毒和URL过滤功能。因为只有配置了这两个功能之后，IAE会根据沙箱的检测结果更新缓存中的AV特征库、文件信誉库和恶意URL列表。含有同样恶意特征的流量到达防火墙后，由于命中了AV特征库或恶意UJRL列表，可以根据反病毒配置文件或URL过滤配置文件中的动作来对该流量进行告警或者阻断。

配置APT防御

升级文件信誉库

升级文件信誉库前，请根据沙箱确认License状态

云沙箱 --- 以来云沙箱检测License，请确认购买并成功激活支持文件信誉特征库升级服务的云沙箱检测License

本地沙箱 --- 不依赖License

升级文件信誉库

在线升级

本地升级

升级文件信誉热点

文件信誉热点库是由sec.huawei.com发布的，启用文件信誉热点库的更新功能后，可以快速获取云端的文件信誉信息，以便对存在威胁的文件进行及时的阻断

配置Web信誉

添加自定义可信/可疑网站

本地沙箱联动

企业内网用户通过FW 和路由器连接到 Internet ，企业内网中部署了本地沙箱，且本地沙箱与 FW 路由可达。配置FW 与本地沙箱联动，将 FW 识别出来存在风险的流量送往本地沙箱进行检测， FW 定期去本地沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL列表，当具有相同特征的后续流量命中恶意文件或恶意URL 列表时，直接进行阻断等处理，保护内网用户免受 APT 攻击。

选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置”

配置本地沙箱

配置APT防御文件

配置APT防御配置文件的名称和描述

配置沙箱检测的相关参数

在安全策略中引用APT防御配置文件

结果验证

选择“对象 > 安全配置文件 > APT防御 > 沙箱联动配置 > 本地沙箱”，查看本地沙箱的连接状态为“连接成功”。

点击“连接状态”后面的“登录本地沙箱”，登录本地沙箱后查看已经提交到本地沙箱的文件及检测结果

云沙箱联动

Internet与企业内网之间通过 FW 和路由器进行连接，组网中部署了云沙箱。配置 FW 与云沙箱联动，将FW识别出来存在风险的流量送往云沙箱进行检测， FW 定期去云沙箱上获取检测结果，并根据检测结果更新设备缓存中的恶意文件和恶意URL 列表，当具有相同特征的后续流量命中恶意文件或恶意 URL 列表时，直接进行阻断等处理，保护内网用户免受APT 攻击。