1.2 無所不能的網絡攻擊

網絡攻擊向夢魔一樣伴隨著信息化的過程，無法擺脫。攻擊的目標五花八門，只要是連在網絡上的終端，都有可能成為目標。而網絡攻擊背后的實施者可能是一個人、一個組織，也可能是一個主權國家。網絡攻擊可能以一個玩笑、一次網絡犯罪或一次網絡戰爭（Cyber War）的形式呈現。開一個玩笑可能無傷大雅，實施一次網絡犯罪可能造成被害人生命財產損失，而網絡戰爭雖然沒有硝煙，卻可能導致更加慘烈的后果。

1.2.1 網絡犯罪

網絡攻擊通常是黑客所為。我們知道，一枚硬幣有兩個面，所謂黑客也有好壞之分。在行業內，通常用帽于的顏色來區別黑客的好壞：白帽于，指的是那些精通安全技術，但是做著反黑客、保護用戶安全性的工作。而黑帽于，則是指利用黑客技術造成破壞、甚至進行網絡犯罪的群體。

網絡犯罪，是指行為人運用計算機技術，借助于網絡對其系統或信息進行攻擊、破壞或者利用網絡進行其他犯罪的總稱。網絡詐騙式的犯罪是網絡犯罪的另外一種形式，偏重的是社工知識的運用，而不是純技術的運用，兩者是有區別的。本書主要涉及利用技術實施網絡犯罪。

隨著大數據、大網絡和智能制造時代的到來，各種信息系統、信息產品在研發、運行過程中引入大量的安全漏洞，針對這些漏洞，每天都有人摸索出大量的新滲透方法和技術，也有人用這些技術去實現各種不可告人的目的。

盡管網絡監控手段日趨完備，網絡安全立法也在不斷推進和細化，統計顯示網絡犯罪的數量井未得到有效控制。圖1-7為美國國土安全部和互聯網舉報中心（IC3）的統計圖表，從中可以看出各種渠道舉報的案例總數仍居高不下。

前文提到的安全研究人員雖然也被稱為黑客，但實際上他們都是白帽于。他們不遺余力地尋找各種漏洞，通知相應廠商整改修補，告訴世人存在的各種危險性。而網絡罪犯可能是一群毫無底線、不擇手段的人，他們利用各種漏洞實施攻擊，達到不同的訴求。

這些年來，網絡罪犯可謂作惡多端，坑了別人，也可能害了自己。

（1）李俊悲劇：“熊貓燒香”其實不入流

2007年，湖北小伙李俊編寫的蠕蟲病毒變種“熊貓燒香”，通過大面積感染的方式肆虐網絡，主流殺毒軟件幾乎全部被拿下。用戶計算機中毒后會出現藍屏、頻繁重啟以及系統硬盤中數據文件被破壞等現象。同時，病毒的某些變種通過局域網進行傳播，進而感染局域網內所有計算機，最終導致企業局域網癱瘓，無法正常使用。據統計，“熊貓燒香”具有多達上百中變種，感染了數百萬臺計算機。“熊貓燒香”利用了一個PE程序感染方式，利用的是已知的漏洞，有編程基礎的人不難做到。李俊執意要通過一種破壞性的方式顯示自己的存在，然而帶給自己的是長達兩年的牢獄之災。

（2）好萊塢女星艷照外泄，黑客稱利用蘋果云服務漏洞

2014年8月，多位好萊塢女星的私密照開始在網上瘋傳，其中包括奧斯卡影后詹妮弗.勞倫斯、“蜘蛛女”克里斯汀.鄧斯特等人。據報道，這些照片最早在美國的4chan論壇被公開，發布者聲稱是黑客通過攻擊蘋果的iCloud賬號獲取的。后經證實，黑客發布的照片是真實的。事情已經過去了一年多，罪犯仍然逍遙法外。

（3）如家等連鎖酒店開房信息遭泄露

酒店開房記錄查詢，2 000萬條酒店開房記錄遭泄露。2013年，包括如家、漢庭、錦江之星等在內一大批經濟連鎖酒店和星級酒店的住客開房記錄遭攻擊泄露，有好事者一度開通在線查詢網站，輸入姓名或身份證即可查詢個人開房信息。后來，國內第三方漏洞監測平臺發布報告，惠達驛站為國內大量酒店提供的無線門戶認證系統存在信息泄露的安全漏洞，通過這個漏洞，酒店客戶的姓名、身份證、開房日期等敏感信息一覽無余。

從上述這些網絡犯罪的實例可以看出，實施網絡犯罪的動機可能五花八門，攻擊的方式也多種多樣，但是這些網絡攻擊能夠成功，都離不開各種漏洞的成功利用。俗話說，蒼蠅不叮無縫的蛋，正是因為信息產品、信息系統本身存在各種已知或者未知的漏洞，才為犯罪分于實施網絡犯罪提供了可乘之機。

1.2.2 APT

2010年1月Google的一名雇員點擊即時消息中的一條惡意鏈接，引發的一系列事件導致這個搜索引擎巨人的網絡被侵入數月，井且造成各種系統的數據被竊取。這次十分著名的攻擊事件被稱為Google Aurora（極光）攻擊。2010年7月，震網病毒攻擊了伊朗的核設施，導致其1/5的離心機報廢，震動全球。該攻擊主要利用了微軟操作系統中的5個漏洞，其中，有4個是全新的0day漏洞，通過一套完整的入侵和傳播流程，突破了工業控制專用局域網的物理限制，偽造驅動程

序的數字簽名，利用WinCC系統的2個漏洞，對系統開展破壞性攻擊。它是第一個直接破壞現實世界中工業基礎設施的惡意代碼。從此，APT（Advanced Persistent Threat，高級持續性威脅）成為信息安全圈于人盡皆知的時髦名詞。

1.APT歷史回顧

與APT相關的網絡攻擊事件構成的時間線如圖1-8所示。其中，一些案例的名稱表示一系列攻擊或入侵企圖，井且影響眾多對象。最早曝光的APT攻擊可追溯到1998年開始的月光迷宮（Moonlight Maze）攻擊。根據事后的報告，該攻擊主要針對五角大樓、NASA、美國能源部、國家實驗室和私立大學的計算機，攻擊者成功獲得了成千上萬的文件。自2006年開始，APT攻擊事件呈現持續性增長，APT也逐漸被揭開其神秘面紗。其中，著名的攻擊事件包括震網、RSA SecurID攻擊、Operation Aurora（極光行動）等。

當前，APT已成為各級各類網絡所面臨的主要安全威脅。它使得網絡威脅從隨機攻擊變成有目的、有組織、有預謀的群體式攻擊。

很難給APT一個準確的定義。維基百科的解釋為：APT是一種針對政府、企業等特定目標進行的長期、復雜的有組織網絡攻擊行為，攻擊背后通常得到某個政府或特定組織的支持。美國國家標準與技術研究所（National Institute of Standards and Technology，NIST）給出的定義是：“精通復雜技術的攻擊者利用多種攻擊向量（如網絡、物理和欺詐），借助豐富資源創建機會實現自己目的。”這些目的通常包括對目標企業的信息技術架構進行篡改從而盜取數據（例如將數據從內網輸送到外網），執行或阻止一項任務、程序，又或者是潛入對方架構中伺機進行偷取數據。

APT是針對一個特定組織所做的復雜且多方位的網絡攻擊，不管是從攻擊者所使用的技術或者他們對目標內部的了解來看，這種攻擊都是非常先進的。APT可能采取多種手段，例如，惡意軟件、漏洞掃描、針對性入侵以及利用惡意的內部人員破壞安全措施。APT是長期且多階段的攻擊，APT攻擊的早期階段可能集中在收集關于網絡設置和服務器操作系統的詳細信息等工作。接著，攻擊者的經歷會放在安裝Roothit或其他惡意軟件中，以取得控制權，或是以命令方式與控制服務器建立連接。隨后的攻擊可能集中在復制機密或敏感數據，以竊取知識產權。

2.APT攻擊特點

APT攻擊利用了多種攻擊手段，包括各種最先進的網絡攻擊技術和社會工程學方法，一步一步地獲取進入內部網絡的權限。APT攻擊往往利用網絡的內部操作人員作為攻擊跳板。為了實施有目的的攻擊，APT攻擊者通常會針對被攻擊對象編寫專門的攻擊程序，而不是使用一些公開、通用的攻擊代碼。此外，APT攻擊具有持續性，甚至長達數年，這種持續體現在攻擊者不斷嘗試各種攻擊手段，以及滲透到網絡內部后長期蟄伏，不斷收集各種重要機密數據信息，甚至達到癱瘓整個被攻擊系統的目的。

一是有組織的攻擊。早期的攻擊行為常常是單打獨斗。而APT攻擊方法復雜，有較明確的組織者和領導者，井形成一定的協作流程。

二是以政治或者經濟利益為攻擊目標。早期的攻擊行為通常是隨機掃描一段地址，發現存在問題的主機后進行攻擊，隨機性強，而APT通過攻擊獲取某種政治或經濟利益，且具備一定的研究及攻擊實力。Stuxnet的攻擊者井沒有廣泛地去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸互聯網的計算機發起感染攻擊，以此為第一道攻擊跳板，進一步感染相關人員的移動設備，病毒以移動設備為橋梁進入“堡壘”內部，隨即潛伏下來。病毒很有耐心地逐步擴散，一點一點地進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在于極為巧妙地控制了攻擊范圍，目標非常明確，攻擊十分精準。

三是長時間持續攻擊。攻擊者為實現某個特定目的，會持續不斷地對網絡進行監聽和信息收集，這個持續性甚至長達1年，如果木馬程序與控制中心失去聯系，攻擊者會重新嘗試連接，不達目的誓不罷休。

四是更具有隱蔽性。傳統攻擊一般會引起網速變慢或宕機，給受害者留下一些可見的破壞線索。APT則是企圖不留任何痕跡地逃避“追捕”，做到盡可能亂真，盡量不讓自己的入侵行為對用戶系統造成明顯的破壞。攻擊得手后，獲得的重要信息也會經由秘密通道悄無聲息地轉移。

五是0day漏洞的利用。利用0day漏洞是APT攻擊的一個顯著的特點，傳統的殺毒軟件、IPS/IDS、防火墻等都是基于特征庫的防御體系，特征庫中沒有0day漏洞的攻擊特征，無法抵御0day漏洞利用工具的攻擊。安全防護軟件、安全防護設備自身也可能存在0day漏洞，被攻擊者利用來逃避檢測或者當作隱蔽快捷的攻擊通道。

3.APT防護

APT的核心是惡意攻擊者通過細致的觀察分析，精心布局，使用各種各樣的手段，悄然入侵，長期潛伏，搜索尋獲機密數據、高價值數據，偷走數據而不觸發任何警戒，讓用戶丟了數據還毫無察覺。這使得傳統基于規則、基于知識的防火墻、入侵檢測和預防系統（IDS/IPS）很難被觸發，被動式的防御方法已經無法及時有效地發現APT的入侵威脅。應對APT的威脅，需要我們展開一種新的思維。可以從4個層面部署分層控制來實現深度防御網絡安全的方法，應對APT的威脅和挑戰。

第一，加強宏觀安全管理。包括健全企業安全管理制度。實施網絡安全評估，找出企業網絡中存在的漏洞或者可能的缺失以及整個網絡最薄弱的環節在哪里，做到心中有數，及時整改完善。

第二，增強終端用戶安全素養。提高終端用戶安全意識，整個安全里面最薄弱的環節就是人。一條通用法則是：你不能阻止愚蠢行為發生，但你可以對其加以控制。完善終端用戶知識結構，使其掌握基本的安全知識。

第三，異常行為檢測。無論哪種攻擊，都可能會在主機和網絡中產生異常行為。相應的系統異常行為檢測則可分為主機行為檢測和網絡行為分析兩個方面。通過主機行為異常和網絡異常行為的分析和關聯，發現APT存在的端倪。

第四，研究大數據分析技術應對APT的挑戰。相比于傳統攻擊，APT帶來兩大難題：一是A難題，高級入侵手段帶來的難題。另一個是P難題，即持續性攻擊帶來的難題。這使得基于特征匹配的邊界防御技術和基于單個時間點的實時檢測技術都難以施效。為此，需要對整個網絡內部所有節點的訪問行為進行可持續監控。需要從多個角度綜合分析安全事件，進行整合。需要以時間對抗時間，對長時間、全流量數據進行深度分析。

近年來APT攻擊的發展和曝光告訴我們，攻擊者在持續不斷地發現問題，持續不斷地研發出攻擊武器，也在持續不斷地盯緊目標，而網絡和信息技術在持續不斷地發展過程中，也在持續不斷地累積問題。確定性、相似性、靜止性及漏洞的持續性是現有網絡信息系統的致命安全缺陷，這些缺陷導致當前網絡信息系統始終處于被動挨打的局面，找不盡的安全漏洞，打不完的安全補丁，只好一味地追求防衛系統的強度。但是，事實一次又一次地證明了，多么先進的防護技術和機制，多么嚴密的防護軟件和系統，也經不起攻擊者長期地觀察、分析和反復攻擊。