APT攻防的溯源与反溯源技术 (apt攻防技术)

教程大全 2025-07-19 22:42:56 浏览次

作者｜高尉峰，单位：中移雄安产业研究院智慧城市平台部

Labs 导读

近年来，高级可持续性威胁（APT）大幅增加，多个国家都受到了来自APT组织的攻击，网络战也愈演愈烈，对企业安全和国家安全造成了重大威胁。APT溯源与反溯源技术对于APT攻击的防御有着举足轻重的作用，攻击事件发生后，溯源是应急响应过程中的核心环节，对攻击行为能否准确溯源，直接决定应急响应的安全加固措施是否有效。知己知彼才能百战不殆，所以本文针对APT攻击的特征、溯源和反溯源技术做一个全面的讲解。

1什么是APT攻击？

高级可持续性威胁（APT），是指隐匿而持久的主机入侵过程，通常出于商业或政治动机，由某些人员精心策划，然后针对特定组织或国家进行攻击，该攻击的主要特征是能够持续监控靶机，并从靶机获取数据。

1.1 APT攻击与传统攻击的区别

下图表示APT攻击常用的战术：

1.2 APT攻击步骤

下图展示了横向运动的过程，V代表C2服务器，红线左侧代表公网，红线右侧代表内网，内网中的四台主机只有192.73.1.19可以与公网通信，其他三台主机均与公网隔离，但是C2服务器通过打通内网路由的方式成功控制了内网的四台主机。

2什么是APT攻击溯源？

通过攻击溯源，我们可以确定源IP或媒介IP，及其对应的攻击路径，从而制定更有针对性的防护或对策，实现主动防御。安全业界常见的溯源方式是基于防火墙和流量检测技术，但是这种溯源方式存在误报率高，单点安全告警无法联动，无法还原完整攻击链的问题，但是APT攻击溯源能够解决上述问题。APT攻击溯源主要分析以下三个问题：

3如何实现APT攻击的溯源？

APT溯源的过程类似警方破案的过程，溯源需要证据，不能靠猜测。常见的溯源技术如下：

3.1 对APT组织画像

3.2 通过IOC（特征值）进行攻击溯源

3.3 通过沙箱进行攻击溯源

为解决特征匹配对新型攻击的滞后性而产生的解决方案。其原理是将实时流量先引入沙箱，通过对沙箱的文件系统、进程、注册表、网络行为实施监控，判断流量中是否包含恶意代码。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，但其难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发，造成漏报。

3.4 通过异常行为进行攻击溯源

其原理是通过对网络中的正常行为模式建模。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击。

3.5 通过全流量审计进行攻击溯源

其原理是对链路中的流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，回溯分析相关流量，例如可将包含的http访问、下载的文件、及时通信信息进行还原，协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力，是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的解决方案。

3.6 样本溯源

样本的静态特征有语言、pdb、字符串等，pdb文件主要存储了VS调试程序时所需要的基本信息，主要包括源文件名、变量名、函数名、FPO(帧指针)、对应的行号等等。可以通过样本的聚类和同源分析，ip、domain、url、md5等的关联实现溯源。

3.7 溯源案例分析

WANnaCry勒索攻击是2017年5月由WannaCry蠕虫发起的全球网络攻击，该攻击通过加密数据并要求以比特币加密货币支付赎金。

通过样本溯源和流量分析就能准确定位WannaCry勒索攻击，分析方法如下：

4如何实现APT攻击的反溯源？

“道高一尺，魔高一丈”，既然有溯源技术，那就肯定有反溯源技术。对于APT组织来说，通信信道的隐蔽性直接决定了是否能够持续攻击，如果缺少隐蔽性，就需要不断开发样本，因此会提高攻击成本，下面介绍一种通过端口映射隐藏攻击ip的方法。

5如何防御APT攻击？

目前安全业界比较流行的防御APT思路如下：

夏普空气净化器好用吗?

据网上新闻报导，夏普空气净化器2010年销量达3000万台，不小的数目，从这个销量来说应该是挺不错的牌子！我们家已经用了一年多了夏普的空气净化器，而夏普空气净化器的除病毒、杀菌能力已经得到日本等国13个权威机构的认证，其净化作用在科学领域是得到认可的。我是在广州展会上看到的，顺便买了一台！我买的是这个型号：

字谜的种类有多少种？

从历代谜事活动的情况看，谈话的作用大体有三大方面，即是政治生活，文化娱乐与封建迷信。谜语的种类可有以下几种：1、事谜凡劝谏、答问、暗示等所采用的隐语方式多属于事谜，因是为了表达一个完整的意思，说明一件事，一个问题，故称事谜。如菩提祖师在悟空后脑拍三下（暗示半夜三更从后门入）2、物谜无论采用什么样的方法，或什么样的谜面，只要谜底是物的，都属物谜。《蚕赋》最古，另有《古诗赋败弓》：争帝图王势已倾（无靶），八千兵散楚歌声（无弦）。乌江不是无渡船（无梢），羞向东吴再起兵（无面）。又如：想当年，绿鬓婆娑，自归郎手，青少黄多。受尽了多少磨难，历尽了多少风波。莫提起，提起来，珠泪满江河。 -----（撑船竹篙）3、文谜凡使用书面语言所制之谜，统称为文谜，此以《曹娥碑》为开端，后兴起了以《四书》、《五经》语句制谜的风气。 4、姓名谜凡以姓名为谜的，谓之姓名谜，以孔融的《郡姓名字诗》为最早。如：大兴安岭（林如海-红楼梦人名一）依靠群众（赖大家的—红楼梦人名一）5、字谜一般认是鲍照的字谜三首开始的，凡谜底是字的都叫字谜。如：春雨连绵妻独宿-（一---“春”字“雨连绵”则无“日”，“妻独宿”则无“夫”。）6、诗谜从历史上是以古乐府的“稿砧今何在”为诗谜的开始，凡谜面用诗，谜底为诗的，统称为诗谜。 7、实物谜凡用实物作谜面的都叫实物谜，以曹操门上题“活”为最早。 8、画谜用图画作谜面，叫画谜，最早见于记载是明朝徐祯卿《剪胜野闻》所说“画一妇人赤脚怀抱大西瓜”（以“怀西女人好大脚”讽朱元璋之妻马皇后。）9、哑谜不用语言文字，不用图画，而用动作做谜面，叫哑谜。元曲有“哑谜儿早已人猜破”之句。如以一寸许美人射一动作— 夺（夺）--一寸佳人也“话不老，镜中人”射“请入”。 10、神智体利用字的大小、笔画多少、位置正斜、排列疏密等作谜面，即所谓以“意写图，使人自悟”，据说这种智体是苏东坡所创。较出名的有：夜半三更门半开，望断肝肠无人来。长亭短景无人画，老大横拖瘦竹筇;回首断云斜日暮，曲江倒蘸侧山峰.谜语的猜法多种多样，比较常见的有二十多种。属于会意体的有会意法、反射法、借扣法、侧扣法、分扣发、溯源法；属于增损体的有加法、减法、加减法；属于离合体的有离底法、离面法；属于象形体的有象形法、象画法；属于谐音体的有直谐法、间谐法；属于综合体的有比较法、拟人法、拟物法、问答法、运典法。会意法总体理解谜面的意义，扣合谜底。例如：脸上长钩子，头角挂扇子。四根粗柱子，一条小辫子。（打一动物：象）反射法即反其谜面意思而猜之。例如：莫用小人（打一中草药：使君子）借扣法不用谜面原意或多意、反意，借用谜面别解成新意，用来扣合谜底。例如：开明（打一唐代文学家：元结）“开明”别解为“明朝的开始”，即元朝的结束，因此谜底为“元结”。侧扣法不正面理解谜面原意，借用多义从侧面烘托扣合谜底。例如：江枫渔火（打一《儒林外史》人物：双红）这里“双红”是从“枫”、“火”得名，“枫”和“火”都是红的，因此“双红”扣合谜面。分扣法谜面的字分别扣合谜底的字，有的一字扣一字，有的一字扣多字，也有的多字扣一字。例如：望穿（打一昆曲剧目：十五贯）“望”俗称“十五”，“穿”与“贯”有同义之处，分别扣为“十五贯”溯源法 “溯源”及追溯谜面的来源以及与其原出处的上下关联，然后再扣合谜底，也有叫它承上启下法的。例如：桃花谭水深千尺（打一成语：无与伦比）这则谜以“桃花谭水深千尺”的下句“不及汪伦送我情”，扣合谜底。加法将谜面提示的部分字的笔划予以增加或将某些字相加，来扣合谜底。例如：好山好水（打二字：崔，淮）这里“好”扣“佳”，“好山”及“佳山”，自身相加得“崔”；“好水”及“佳水”，自身相加成“淮”。减法将谜面提示的部分字的笔划减少，或用某些字相减来扣合谜底。例如：池中没有水,地上没有泥（打一字：也）将“池”的三点水去掉的“也”，将“地”的土字旁去掉也得“也”。加减法按谜面的提示，有的字增加笔划，有的字减少笔划，既有加有减，最后扣合谜地。例如：上头去下头,下头去上头,两头去中间,中间去两头.本谜“去”为谜眼，分为上下两部分即可组合成谜底。离底法此谜，谜面反映的是谜底的拆离。猜时，将谜面合成，然后再扣合谜底。例如：七人（打一县名：开化）离面法将谜面某些字拆离，去扣合谜底。例如：诧（打一成语：一家之言）象形法根据事物的特征，汉字的结构（相形），进行拟人拟物，加以形象化，使人引起联想，增加趣味。例如：冰上两点嫌它多，石头压水水爬坡.（打一名词：水泵）象画法此谜是根据谜面整体具有图画意味去合谜底。例如：远树两行山倒影，轻舟一叶水平流。（打一字：慧）直谐法制作谜底时，利用声音相同或相近的字来代替本来应该用的字，把人的注意力引开，达到隐藏谜底的目的。例如：增加十两（打一城市：天津）“增加十两”及“添斤”，与“天津”谐音。间谐法先将谜中的某些字拆变，再谐音扣合谜底。例如：二者规格不同（打一字：鞋）猜时，先将“鞋”拆为“圭”、“革”两部分，“圭”与“规”谐音，“革”与“格”谐音，切合谜底。比较法是将形状、字义相近或相反的词放在一起，加以比较而扣合谜底。例如：加一笔不好，加一倍不少（打一字：夕）拟人法将谜面的字词人格化，扣合谜底。例如：有位小姑娘,身穿黄衣衫,你若欺负她,她就戳一枪. （打一动物：蜜蜂）拟物法将人或人体某部分物化，或者将谜面字词语义或所言之事物化，扣合谜底。例如：枕头.（打一成语：置之脑后）问答法此种谜通常是用提问式的谜面，回答式的谜底。例如：八十万禁军谁掌管？（打一成语：首当其冲）运典法词类谜语以人们熟悉的成语、口语、诗词、典故作谜面，而将意义别解，从而扣合谜底。例如：宝玉求婚（打一美国历史人物：林肯）排除法就是排除一面取一面，排除多方取一方，排除容易而取难的。例如：说不叫说，拿不叫拿（打一字：最）这里排除“说”而取“曰”，排除“拿”而换成“取”。