1.2 无所不能的网络攻击

网络攻击向梦魔一样伴随着信息化的过程，无法摆脱。攻击的目标五花八门，只要是连在网络上的终端，都有可能成为目标。而网络攻击背后的实施者可能是一个人、一个组织，也可能是一个主权国家。网络攻击可能以一个玩笑、一次网络犯罪或一次网络战争（Cyber War）的形式呈现。开一个玩笑可能无伤大雅，实施一次网络犯罪可能造成被害人生命财产损失，而网络战争虽然没有硝烟，却可能导致更加惨烈的后果。

1.2.1 网络犯罪

网络攻击通常是黑客所为。我们知道，一枚硬币有两个面，所谓黑客也有好坏之分。在行业内，通常用帽于的颜色来区别黑客的好坏：白帽于，指的是那些精通安全技术，但是做着反黑客、保护用户安全性的工作。而黑帽于，则是指利用黑客技术造成破坏、甚至进行网络犯罪的群体。

网络犯罪，是指行为人运用计算机技术，借助于网络对其系统或信息进行攻击、破坏或者利用网络进行其他犯罪的总称。网络诈骗式的犯罪是网络犯罪的另外一种形式，偏重的是社工知识的运用，而不是纯技术的运用，两者是有区别的。本书主要涉及利用技术实施网络犯罪。

随着大数据、大网络和智能制造时代的到来，各种信息系统、信息产品在研发、运行过程中引入大量的安全漏洞，针对这些漏洞，每天都有人摸索出大量的新渗透方法和技术，也有人用这些技术去实现各种不可告人的目的。

尽管网络监控手段日趋完备，网络安全立法也在不断推进和细化，统计显示网络犯罪的数量井未得到有效控制。图1-7为美国国土安全部和互联网举报中心（IC3）的统计图表，从中可以看出各种渠道举报的案例总数仍居高不下。

前文提到的安全研究人员虽然也被称为黑客，但实际上他们都是白帽于。他们不遗余力地寻找各种漏洞，通知相应厂商整改修补，告诉世人存在的各种危险性。而网络罪犯可能是一群毫无底线、不择手段的人，他们利用各种漏洞实施攻击，达到不同的诉求。

这些年来，网络罪犯可谓作恶多端，坑了别人，也可能害了自己。

（1）李俊悲剧：“熊猫烧香”其实不入流

2007年，湖北小伙李俊编写的蠕虫病毒变种“熊猫烧香”，通过大面积感染的方式肆虐网络，主流杀毒软件几乎全部被拿下。用户计算机中毒后会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时，病毒的某些变种通过局域网进行传播，进而感染局域网内所有计算机，最终导致企业局域网瘫痪，无法正常使用。据统计，“熊猫烧香”具有多达上百中变种，感染了数百万台计算机。“熊猫烧香”利用了一个PE程序感染方式，利用的是已知的漏洞，有编程基础的人不难做到。李俊执意要通过一种破坏性的方式显示自己的存在，然而带给自己的是长达两年的牢狱之灾。

（2）好莱坞女星艳照外泄，黑客称利用苹果云服务漏洞

2014年8月，多位好莱坞女星的私密照开始在网上疯传，其中包括奥斯卡影后詹妮弗.劳伦斯、“蜘蛛女”克里斯汀.邓斯特等人。据报道，这些照片最早在美国的4chan论坛被公开，发布者声称是黑客通过攻击苹果的iCloud账号获取的。后经证实，黑客发布的照片是真实的。事情已经过去了一年多，罪犯仍然逍遥法外。

（3）如家等连锁酒店开房信息遭泄露

酒店开房记录查询，2 000万条酒店开房记录遭泄露。2013年，包括如家、汉庭、锦江之星等在内一大批经济连锁酒店和星级酒店的住客开房记录遭攻击泄露，有好事者一度开通在线查询网站，输入姓名或身份证即可查询个人开房信息。后来，国内第三方漏洞监测平台发布报告，惠达驿站为国内大量酒店提供的无线门户认证系统存在信息泄露的安全漏洞，通过这个漏洞，酒店客户的姓名、身份证、开房日期等敏感信息一览无余。

从上述这些网络犯罪的实例可以看出，实施网络犯罪的动机可能五花八门，攻击的方式也多种多样，但是这些网络攻击能够成功，都离不开各种漏洞的成功利用。俗话说，苍蝇不叮无缝的蛋，正是因为信息产品、信息系统本身存在各种已知或者未知的漏洞，才为犯罪分于实施网络犯罪提供了可乘之机。

1.2.2 APT

2010年1月Google的一名雇员点击即时消息中的一条恶意链接，引发的一系列事件导致这个搜索引擎巨人的网络被侵入数月，井且造成各种系统的数据被窃取。这次十分著名的攻击事件被称为Google Aurora（极光）攻击。2010年7月，震网病毒攻击了伊朗的核设施，导致其1/5的离心机报废，震动全球。该攻击主要利用了微软操作系统中的5个漏洞，其中，有4个是全新的0day漏洞，通过一套完整的入侵和传播流程，突破了工业控制专用局域网的物理限制，伪造驱动程

序的数字签名，利用WinCC系统的2个漏洞，对系统开展破坏性攻击。它是第一个直接破坏现实世界中工业基础设施的恶意代码。从此，APT（Advanced Persistent Threat，高级持续性威胁）成为信息安全圈于人尽皆知的时髦名词。

1.APT历史回顾

与APT相关的网络攻击事件构成的时间线如图1-8所示。其中，一些案例的名称表示一系列攻击或入侵企图，井且影响众多对象。最早曝光的APT攻击可追溯到1998年开始的月光迷宫（Moonlight Maze）攻击。根据事后的报告，该攻击主要针对五角大楼、NASA、美国能源部、国家实验室和私立大学的计算机，攻击者成功获得了成千上万的文件。自2006年开始，APT攻击事件呈现持续性增长，APT也逐渐被揭开其神秘面纱。其中，著名的攻击事件包括震网、RSA SecurID攻击、Operation Aurora（极光行动）等。

当前，APT已成为各级各类网络所面临的主要安全威胁。它使得网络威胁从随机攻击变成有目的、有组织、有预谋的群体式攻击。

很难给APT一个准确的定义。维基百科的解释为：APT是一种针对政府、企业等特定目标进行的长期、复杂的有组织网络攻击行为，攻击背后通常得到某个政府或特定组织的支持。美国国家标准与技术研究所（National Institute of Standards and Technology，NIST）给出的定义是：“精通复杂技术的攻击者利用多种攻击向量（如网络、物理和欺诈），借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据（例如将数据从内网输送到外网），执行或阻止一项任务、程序，又或者是潜入对方架构中伺机进行偷取数据。

APT是针对一个特定组织所做的复杂且多方位的网络攻击，不管是从攻击者所使用的技术或者他们对目标内部的了解来看，这种攻击都是非常先进的。APT可能采取多种手段，例如，恶意软件、漏洞扫描、针对性入侵以及利用恶意的内部人员破坏安全措施。APT是长期且多阶段的攻击，APT攻击的早期阶段可能集中在收集关于网络设置和服务器操作系统的详细信息等工作。接着，攻击者的经历会放在安装Roothit或其他恶意软件中，以取得控制权，或是以命令方式与控制服务器建立连接。随后的攻击可能集中在复制机密或敏感数据，以窃取知识产权。

2.APT攻击特点

APT攻击利用了多种攻击手段，包括各种最先进的网络攻击技术和社会工程学方法，一步一步地获取进入内部网络的权限。APT攻击往往利用网络的内部操作人员作为攻击跳板。为了实施有目的的攻击，APT攻击者通常会针对被攻击对象编写专门的攻击程序，而不是使用一些公开、通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年，这种持续体现在攻击者不断尝试各种攻击手段，以及渗透到网络内部后长期蛰伏，不断收集各种重要机密数据信息，甚至达到瘫痪整个被攻击系统的目的。

一是有组织的攻击。早期的攻击行为常常是单打独斗。而APT攻击方法复杂，有较明确的组织者和领导者，井形成一定的协作流程。

二是以政治或者经济利益为攻击目标。早期的攻击行为通常是随机扫描一段地址，发现存在问题的主机后进行攻击，随机性强，而APT通过攻击获取某种政治或经济利益，且具备一定的研究及攻击实力。Stuxnet的攻击者井没有广泛地去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心地逐步扩散，一点一点地进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙地控制了攻击范围，目标非常明确，攻击十分精准。

三是长时间持续攻击。攻击者为实现某个特定目的，会持续不断地对网络进行监听和信息收集，这个持续性甚至长达1年，如果木马程序与控制中心失去联系，攻击者会重新尝试连接，不达目的誓不罢休。

四是更具有隐蔽性。传统攻击一般会引起网速变慢或宕机，给受害者留下一些可见的破坏线索。APT则是企图不留任何痕迹地逃避“追捕”，做到尽可能乱真，尽量不让自己的入侵行为对用户系统造成明显的破坏。攻击得手后，获得的重要信息也会经由秘密通道悄无声息地转移。

五是0day漏洞的利用。利用0day漏洞是APT攻击的一个显著的特点，传统的杀毒软件、IPS/IDS、防火墙等都是基于特征库的防御体系，特征库中没有0day漏洞的攻击特征，无法抵御0day漏洞利用工具的攻击。安全防护软件、安全防护设备自身也可能存在0day漏洞，被攻击者利用来逃避检测或者当作隐蔽快捷的攻击通道。

3.APT防护

APT的核心是恶意攻击者通过细致的观察分析，精心布局，使用各种各样的手段，悄然入侵，长期潜伏，搜索寻获机密数据、高价值数据，偷走数据而不触发任何警戒，让用户丢了数据还毫无察觉。这使得传统基于规则、基于知识的防火墙、入侵检测和预防系统（IDS/IPS）很难被触发，被动式的防御方法已经无法及时有效地发现APT的入侵威胁。应对APT的威胁，需要我们展开一种新的思维。可以从4个层面部署分层控制来实现深度防御网络安全的方法，应对APT的威胁和挑战。

第一，加强宏观安全管理。包括健全企业安全管理制度。实施网络安全评估，找出企业网络中存在的漏洞或者可能的缺失以及整个网络最薄弱的环节在哪里，做到心中有数，及时整改完善。

第二，增强终端用户安全素养。提高终端用户安全意识，整个安全里面最薄弱的环节就是人。一条通用法则是：你不能阻止愚蠢行为发生，但你可以对其加以控制。完善终端用户知识结构，使其掌握基本的安全知识。

第三，异常行为检测。无论哪种攻击，都可能会在主机和网络中产生异常行为。相应的系统异常行为检测则可分为主机行为检测和网络行为分析两个方面。通过主机行为异常和网络异常行为的分析和关联，发现APT存在的端倪。

第四，研究大数据分析技术应对APT的挑战。相比于传统攻击，APT带来两大难题：一是A难题，高级入侵手段带来的难题。另一个是P难题，即持续性攻击带来的难题。这使得基于特征匹配的边界防御技术和基于单个时间点的实时检测技术都难以施效。为此，需要对整个网络内部所有节点的访问行为进行可持续监控。需要从多个角度综合分析安全事件，进行整合。需要以时间对抗时间，对长时间、全流量数据进行深度分析。

近年来APT攻击的发展和曝光告诉我们，攻击者在持续不断地发现问题，持续不断地研发出攻击武器，也在持续不断地盯紧目标，而网络和信息技术在持续不断地发展过程中，也在持续不断地累积问题。确定性、相似性、静止性及漏洞的持续性是现有网络信息系统的致命安全缺陷，这些缺陷导致当前网络信息系统始终处于被动挨打的局面，找不尽的安全漏洞，打不完的安全补丁，只好一味地追求防卫系统的强度。但是，事实一次又一次地证明了，多么先进的防护技术和机制，多么严密的防护软件和系统，也经不起攻击者长期地观察、分析和反复攻击。