【工控中國 學術論文】近日，一份關于APT攻擊的報告顯示，在所有數據泄漏事件當中，黑客平均潛伏的天數長達205天。受害企業通常都有一個同樣的疑惑：“黑客是如何在我的網絡中長期躲藏而不被發現？”，本文將為您解答這個問題。
　　
　　亞信安全通過對APT攻擊長期的追蹤發現，黑客往往會精心選擇隱匿行蹤的技巧，而且擅長通過有組織的行動將攻擊分散開來，以躲避查殺。針對APT攻擊的特征，亞信安全建議企業用戶持續監察網絡內的異常流量，并格外小心“圖片”和“文檔”中的黑色代碼。
　　APT攻擊黑客團體特別擅長隱匿行蹤
　　
　　在所有黑客攻擊行為當中，有能力在企業網絡內部四處隱藏及游走的，就應該是APT攻擊。黑客團體有著組織性犯罪的顯著特征，而且特別擅長隱匿行蹤，他們通常會運用“零時差”漏洞進入網絡。其盜取的核心機密數據能夠在地下黑市為其換得高額回報，巨大的誘惑讓他們長期潛伏下來，并且持續滲透。
　　
　　黑客團體的成員之間，有著統一的指揮通道并且分工明確，要緝拿這些行動背后的首腦相當困難，尤其是當他們躲藏在國外的時候。事實上，許多APT攻擊團體通常都有政府在背后支持。還有，即使我們可以從攻擊行動所使用的網址來追溯到某個地區，但該網址注冊的DNS和IP服務廠商通常也不愿配合國外的執法機關。正因如此，那些由政府在背后撐腰的黑客，就能一再發動惡意攻擊而不會遭到任何懲罰。嚴重的是，這些黑客團體還會被一些投機取巧、惡意競爭的企業，甚至是恐怖組織雇傭。在低風險、高報酬的條件下，他們會不斷從過去的失敗當中吸取教訓，并且每一次都比上一次的行動更加小心謹慎。
　　
　　“如果我們還不能建立起有效的APT攻擊防御架構，任何一個組織都可能遇到數據泄漏的危險。管理員必須要熟悉黑客竊取數據的方法，掌握APT攻擊各個階段的特點，并且能夠針對APT攻擊鏈條建立有效的抑制點，在互聯網入口、內部交換層，都要配備更智能的過濾和分析機制，因為黑客正在把APT攻擊代碼寫進看似正常的圖片和文檔中。”亞信安全APT治理專家徐江明提醒：“企業用戶一定要關注APT攻擊的變化。我們的工程師已經發現了更糟糕的狀況，地下市場上隨處可見的惡意程序，以及卷土重來的宏病毒已經被APT攻擊者廣泛采用。”
　　
　　APT攻擊“武器”正在升級
　　
　　亞信安全的研究人員發現，當前地下市場上精密的惡意軟件之一就是Stegoloader，它可以將C&C通信隱藏在圖片當中。大多數的系統管理員都會被這樣的技巧所騙，因為他們習慣上只會在安全網關上攔截可以執行文件并進行分析，不會攔截圖片文件。但這些圖片一旦進入目標網絡之后，惡意軟件就會幫助黑客發揮“橫向移動”的能力。另外，Stegoloader采用了模塊化的設計可讓它在不同類型的終端之間移動，并且迅速發掘可竊取的數據類型及數量，進而判斷是否值得花時間來發動進一步攻擊。大多數的安全專家都認為Stegoloader是一種黑客用來從事長期攻擊行動的工具。
　　
　　能夠騙過管理員和用戶的另外一個伎倆就是Office文檔，而這也是宏病毒藏身的地方。上世紀末惡名昭彰的梅麗莎病毒(Melissa)出現之后，宏病毒貌似離開了人們的視線。但是，現在宏病毒強勢回歸，并成為了APT攻擊的慣用工具。例如：2014年出現的數據竊取軟件ZeuS，它通過啟用宏的MicrosoftWord文件來進行散播。在同年11月還發現了DRIDEX（一個針對網絡銀行用戶的數據竊取軟件）采用相同的感染策略。緊隨其后的是ROVNIX、VAWTRAK、BARTALEX這些后門惡意軟件，黑客還加上自己的防御手段，他們或是對啟用宏的文件加上密碼保護來防止防毒軟件的查殺，或是開辟新方法來通過宏惡意軟件感染用戶。
　　
　　找出APT攻擊的藏身之處
　　
　　APT攻擊共有六個階段，這包括：情報收集、單點突破、命令與控制（C&C通信）、橫向移動、資產/資料發掘、資料竊取。在黑客團體常常分工明確，每一階段由一組專門的黑客負責。另外，需要注意的不僅是在“單點突破”這個階段的惡意代碼，黑客在第四階段的“橫向移動”對于后資料竊取階段的布局也至關重要。不斷地在不同終端之間移動，可以讓黑客完整掃描整個網絡，并且找到珍貴的數據。
　　
　　發現APT攻擊者在企業內部的藏身之處有一定的難度，但不是說企業就束手無策。相反，企業必須不斷提升自己的安全防護，并隨時掌握整個企業網絡的情況。亞信安全服務器深度安全防護系統（DeepSecurity）產品可提供360度掌握來偵測APT，防范黑客竊取企業敏感信息。在今日的大環境下，黑客入侵已經是無可避免的事，因此盡可能降低黑客潛伏的時間，并且妥善保護核心的數字資產，這才是重要的。