世界上最可怕的網(wǎng)絡(luò)“間諜”恐怕要屬“APT 攻擊”，潛伏數(shù)年、甚至數(shù)十年，默默偷取關(guān)鍵數(shù)據(jù)，它可能不為錢、不為利，但就是為了搞垮你。

聽上去實(shí)在是又賤、又狠的一種黑客攻擊。

趙雨婷，是第一個(gè)登上SyScan 360 安全會(huì)議演講臺(tái)的女講師。她是360追日?qǐng)F(tuán)隊(duì)中的一員，面對(duì) APT 攻擊，這個(gè)團(tuán)隊(duì)希望像夸父追日一樣，一直堅(jiān)持不懈地進(jìn)行追擊。

關(guān)于 APT 攻擊，趙雨婷揭示了一些關(guān)于它的秘密。

最近一起重要的 APT 攻擊當(dāng)屬11月曝光的蔓靈花 APT 行動(dòng)。

美國(guó)網(wǎng)絡(luò)安全公司 Forcepoint 發(fā)布了一篇報(bào)告，該報(bào)告主要披露了巴基斯坦政府官員最近遭到了來(lái)源不明的網(wǎng)絡(luò)間諜活動(dòng)。該報(bào)告描述了攻擊者使用了魚叉郵件以及利用系統(tǒng)漏洞等方式，在受害者計(jì)算機(jī)中植入了定制的 AndroRAT，意圖竊取敏感信息和資料。Forcepoint 研究人員認(rèn)為該組織與 BITTER 相關(guān)，而且可能還不止發(fā)起了這一起攻擊事件。BITTER 攻擊始于2013年11月，且多年來(lái)一直未被檢測(cè)到，目前攻擊者背景尚未明確。相關(guān) APP 信息包括提供關(guān)于印度和巴基斯坦之間的爭(zhēng)議地區(qū)新聞的 Kashmir News 等。

趙雨婷及團(tuán)隊(duì)成員發(fā)現(xiàn)，這起看上去和我們沒(méi)有一毛錢關(guān)系的蔓靈花 APT 行動(dòng)其實(shí)也悄悄潛伏在中國(guó)地區(qū)，受影響單位主要涉及政府、電力和工業(yè)相關(guān)單位，可怕的是，該組織至今依然處于活躍狀態(tài)。

最近一年來(lái)，和蔓靈花 APT 行動(dòng)一樣“蜚聲中外”的，還有下面這些：

抓出“間諜”第一步

還好，通過(guò)對(duì) APT 攻擊的行動(dòng)特征分析，人們已經(jīng)知道它們的一些行為模式，這正是揪出這個(gè)“間諜”的第一步。趙雨婷說(shuō)，

APT 攻擊一般不會(huì)停歇，有一些可能會(huì)因?yàn)楸话踩珡S商披露，導(dǎo)致過(guò)去的攻擊手段失效，而選擇暫時(shí)銷聲匿跡，但只要被攻擊的目標(biāo)還存在價(jià)值，這個(gè)攻擊就會(huì)依然持續(xù)。另外有一些情況是，攻擊者在發(fā)動(dòng)某一次攻擊時(shí)，已經(jīng)達(dá)到了預(yù)期目標(biāo)，攻擊組織可能會(huì)選擇暫時(shí)性蟄伏，但其目的是為了下一次攻擊養(yǎng)精蓄銳。

其次，APT 組織是否會(huì)對(duì)一個(gè)目標(biāo)發(fā)動(dòng)攻擊，并不取決于這個(gè)目標(biāo)本身系統(tǒng)安全強(qiáng)弱的防護(hù)程度，而主要取決于目標(biāo)是否有價(jià)值。即使，被攻擊目標(biāo)的本身系統(tǒng)防御非常強(qiáng)，只要這個(gè)目標(biāo)存在價(jià)值，APT攻擊組織也會(huì)不計(jì)成本對(duì)它進(jìn)行攻擊。

真是不到黃河心不死！

再者，APT 攻擊者還會(huì)擁有大量的 0day （零日漏洞）資源，可以發(fā)動(dòng)針對(duì)性攻擊。它具有有高度隱蔽性，可以持續(xù)數(shù)年，甚至數(shù)十年不被發(fā)現(xiàn)。APT 攻擊組織方發(fā)動(dòng)攻擊不以直接獲取利益為目的，更傾向于竊取敏感數(shù)據(jù)和破壞基礎(chǔ)設(shè)施建設(shè)。

趙雨婷分析，近年來(lái)還發(fā)現(xiàn) APT 攻擊逐漸轉(zhuǎn)向跨平臺(tái)攻擊。比如，蔓靈花 APT 行動(dòng)就同時(shí)對(duì) windows 和 安卓平臺(tái)進(jìn)行了攻擊。

我們認(rèn)為，在未來(lái) APT 攻擊中，針對(duì)傳統(tǒng) PC 的攻擊將會(huì)減少，針對(duì)移動(dòng)設(shè)備、物聯(lián)網(wǎng)設(shè)備，甚至工業(yè)控制設(shè)備的攻擊將會(huì)持續(xù)性增加。

需要的威脅情報(bào)——揪出連著的“線”

這是 APT 攻擊鏈的關(guān)鍵環(huán)節(jié)。攻擊者從偵查目標(biāo)，制作攻擊工具，傳遞攻擊工具，利用被攻擊目標(biāo)的漏洞或者弱點(diǎn)來(lái)進(jìn)行突防，拿下全線運(yùn)行工具，后期遠(yuǎn)端的維護(hù)這個(gè)工具，到最后達(dá)到了長(zhǎng)期控制目標(biāo)的目的。針對(duì)這種現(xiàn)在日益廣泛的高級(jí)攻擊，威脅情報(bào)存在于整個(gè)攻擊的各個(gè)環(huán)節(jié)。

所謂威脅情報(bào)，就是 APT 將可能在這些環(huán)節(jié)露出蛛絲馬跡，安全人員如果能夠發(fā)現(xiàn)，就能抓到其中最關(guān)鍵的“線頭”，順藤摸瓜指日可待。

在攻防斗爭(zhēng)史中，安全人員曾認(rèn)為漏洞是唯一能威脅企業(yè)安全的途徑，事實(shí)上，漏洞只是其中之一。釣魚郵件、員工利用社交網(wǎng)絡(luò)泄露的個(gè)人信息、黑客撞庫(kù)產(chǎn)生的密碼等都可能是 APT 攻擊潛伏進(jìn)來(lái)的鑰匙。

雖然 APT 攻擊“安靜而又危害極大”，在攻防較量中，安全人員也在一步一步搜集攻擊者暴露的信息。

1. 能夠觀察到的行為，也是威脅情報(bào)當(dāng)中最基本的信息。比如，用戶網(wǎng)絡(luò)數(shù)據(jù)異常，網(wǎng)絡(luò)系統(tǒng)遭到了破壞等，其次是威脅的特征指標(biāo)，這些特征可以用來(lái)判斷用戶是否真的遭受了這個(gè)威脅的攻擊，包括威脅處理的條件，威脅可能造成的影響，威脅的有效時(shí)間和測(cè)試方法等。

2. 對(duì)事件的描述，主要包括事件發(fā)生的時(shí)間、位置、事件的日志等。然后是技術(shù)手法，從手段、技術(shù)、過(guò)程三個(gè)緯度，對(duì)安全事件進(jìn)行了較為全面的描述，一般包括惡意攻擊的行為，惡意攻擊者采用的工具和整個(gè)工具的攻擊鏈，對(duì)漏洞造成的影響等。還有受害者和被攻擊目標(biāo)的信息，一般包括被攻擊系統(tǒng)的基本信息，在 APT 攻擊中，通常會(huì)針對(duì)不同系統(tǒng)定制不同的攻擊策略，以及可能在這個(gè)攻擊中被利用的漏洞信息等。

3. 最后是攻擊者的信息，只有到這個(gè)層次上，安全人員才會(huì)考慮關(guān)注攻擊者的動(dòng)機(jī)——他為什么要發(fā)起這次攻擊？攻擊的發(fā)起方到底是誰(shuí)？

趙雨婷說(shuō)，

我們結(jié)合自己的研究經(jīng)驗(yàn)對(duì)威脅情報(bào)也有細(xì)化的解讀——威脅情報(bào)是一種基于證據(jù)的描述威脅的一組關(guān)聯(lián)的信息，通常包括威脅相關(guān)的環(huán)境信息，采用的手法機(jī)制，指標(biāo)影響等。更細(xì)化一下，就會(huì)指具體的攻擊組織，惡意域名。這里的惡意域名通常是遠(yuǎn)控的 IOC，惡意文件的 HASH 和 URL 以及威脅指標(biāo)之間的關(guān)聯(lián)性，時(shí)間緯度上攻擊手法的變化。這些匯總在一起會(huì)形高級(jí)威脅情報(bào)。除此之外，我們所關(guān)注的情報(bào)，還包括傳統(tǒng)威脅種類的擴(kuò)充，包括木馬遠(yuǎn)控，僵尸網(wǎng)絡(luò)，間諜軟件，Web后門等。

鍛造抓捕利器——機(jī)器學(xué)習(xí)

按照趙雨婷給出的機(jī)器學(xué)習(xí)在威脅情報(bào)中的模型，機(jī)器學(xué)習(xí)三個(gè)基本元素分別是任務(wù)、經(jīng)驗(yàn)、性能。任務(wù)利用機(jī)器學(xué)習(xí)來(lái)處理威脅情報(bào)，對(duì)經(jīng)驗(yàn) E 的選擇會(huì)直接影響最后流程產(chǎn)出的效果，所以在擇經(jīng)驗(yàn) E 時(shí)需要考慮以下幾點(diǎn)：

第一，選取的經(jīng)驗(yàn)是否能為系統(tǒng)的決策提供直接或者間接的反饋；

第二，機(jī)器學(xué)習(xí)的決策要自主性，主要是指機(jī)器學(xué)習(xí)要能通過(guò)對(duì)自身的評(píng)估、估計(jì)、規(guī)劃來(lái)做出最終的決策，盡量不要受到人工控制；

第三，訓(xùn)練的樣例是否盡可能接近真實(shí)世界的實(shí)例分布，只有選取的樣例更接近真實(shí)數(shù)據(jù)時(shí)，整個(gè)流程的性能才會(huì)非常高，也就是說(shuō)，性能 P 通過(guò)這種相似性來(lái)衡量；

之所以要有這么一套看上去十分復(fù)雜的流程，是為了利用機(jī)器學(xué)習(xí)來(lái)處理威脅情報(bào)，檢測(cè)并識(shí)別出 APT 攻擊中的惡意載荷，提高 APT 攻擊威脅感知系統(tǒng)的效率與精確性，讓安全研究人員能更快實(shí)現(xiàn) APT 攻擊的發(fā)現(xiàn)和溯源。

手把手教你“海底撈針”

那么，到底機(jī)器學(xué)習(xí)是如何幫助甄別威脅情報(bào)，從茫茫數(shù)據(jù)大海中撈取一根有用的針？

這里需要介紹一下背景。

機(jī)器學(xué)習(xí)分為兩類：監(jiān)督學(xué)習(xí)和無(wú)監(jiān)督學(xué)習(xí)。很多機(jī)器學(xué)習(xí)的問(wèn)題都是在解決類別歸屬的問(wèn)題，也就是給定一些數(shù)據(jù)，要判定每條數(shù)據(jù)是屬于哪些類，或者是這條數(shù)據(jù)可以和哪些其他的數(shù)據(jù)歸為一類，如果一上來(lái)就直接對(duì)輸入的數(shù)據(jù)進(jìn)行建模，通過(guò)數(shù)據(jù)內(nèi)在的屬性和聯(lián)系讓機(jī)器自動(dòng)分類，這就屬于無(wú)監(jiān)督學(xué)習(xí)。

如果一開始就知道了本身數(shù)據(jù)的類別，并且給其中一部分?jǐn)?shù)據(jù)打上了標(biāo)簽，通過(guò)對(duì)這些已經(jīng)標(biāo)好類別的數(shù)據(jù)進(jìn)行歸納總結(jié)，然后得出數(shù)據(jù)到類別的映射函數(shù)，再用映射函數(shù)對(duì)剩余的數(shù)據(jù)進(jìn)行分類，這種就屬于監(jiān)督學(xué)習(xí)。

趙雨婷指出——無(wú)監(jiān)督學(xué)習(xí)是機(jī)器學(xué)習(xí)未來(lái)發(fā)展的一個(gè)趨勢(shì)，但是基于目前的技術(shù)水平，她和團(tuán)隊(duì)還是更傾向采用監(jiān)督學(xué)習(xí)來(lái)處理威脅情報(bào)，畢竟技術(shù)層面上來(lái)看更成熟。

采用監(jiān)督學(xué)習(xí)的一般過(guò)程是：首先是準(zhǔn)備訓(xùn)練數(shù)據(jù)，從訓(xùn)練數(shù)據(jù)中抽取所需要的特征向量，把特征向量及對(duì)應(yīng)的標(biāo)記一起放到學(xué)習(xí)算法中，訓(xùn)練得出一個(gè)預(yù)測(cè)模型，再用相同的特征選取方法，作用于新測(cè)試數(shù)據(jù)，得到用于測(cè)試的特征向量。最后使用預(yù)測(cè)模型對(duì)這些帶特征向量進(jìn)行預(yù)測(cè)，并得到最終結(jié)果。

簡(jiǎn)單而言，處理過(guò)程就是特征抽取、篩選、訓(xùn)練和驗(yàn)證。在特征抽取與篩選部分，首先準(zhǔn)備訓(xùn)練數(shù)據(jù)，即一切可以收集到的真實(shí)準(zhǔn)確的數(shù)據(jù)，都可以嘗試拿來(lái)作為威脅情報(bào)處理流程的輸入數(shù)據(jù)。在這些大數(shù)據(jù)中抽取所需要的特征，即特征抽取，將原始數(shù)據(jù)逐條轉(zhuǎn)化為特征向量，會(huì)得到初始向量集。然后就可以對(duì)初始特征集進(jìn)行一次特征篩選，篩選出想要的高效特征，形成特征向量。數(shù)據(jù)特征的抽取與篩選，主要是為了達(dá)到提升模型的目的。如果選取了過(guò)多特征，就會(huì)浪費(fèi)服務(wù)器資源。如果選取了一些不良特征，就會(huì)大大影響模型的精確度。

在訓(xùn)練生成模型的過(guò)程中，趙雨婷和團(tuán)隊(duì)會(huì)從兩方面入手：一方面是樣本的相關(guān)靜態(tài)特征，另一方面是一切能夠觀察到的動(dòng)態(tài)行為。

以 PE 文件為例，會(huì)先做一個(gè)特征抽取，抽取 PE 文件的一些靜態(tài)特征。比如，文件描述、可執(zhí)行代碼靜態(tài)數(shù)據(jù)，簽名附件等，形成初始的特征集后，對(duì)它進(jìn)行降維，即特征轉(zhuǎn)化，最后重復(fù)上面的這個(gè)過(guò)程，對(duì)模型進(jìn)行驗(yàn)證。在訓(xùn)練過(guò)程中一個(gè)比較重要的點(diǎn)是——要維護(hù)自己的訓(xùn)練樣本，這些訓(xùn)練樣本統(tǒng)稱為訓(xùn)練集，我們的訓(xùn)練集通常由人工鑒定和算法結(jié)合選取出來(lái)，訓(xùn)練集的好壞直接影響了最終模型的效率。

預(yù)測(cè)模型還需進(jìn)行檢測(cè)和驗(yàn)證，以保證性能是高效和準(zhǔn)確的。在模型檢測(cè)過(guò)程中，趙雨婷及團(tuán)隊(duì)會(huì)采取留一驗(yàn)證和交叉驗(yàn)證結(jié)合使用的方法。

留一驗(yàn)證是什么？舉個(gè)栗子！

比如，在現(xiàn)有的 APT 樣本事件樣本集中，抽取一個(gè) APT 事件不參與模型訓(xùn)練，等模型生成后用模型來(lái)掃描這個(gè) APT 事件，檢驗(yàn)相關(guān)的威脅情報(bào)掃描結(jié)果。

交叉驗(yàn)證就是多次使用留一驗(yàn)證，保證每次不參與訓(xùn)練的事件都不一樣，這樣是為了保證每一條可以用到的數(shù)據(jù)都參與了模型驗(yàn)證和訓(xùn)練的過(guò)程，會(huì)使優(yōu)化后的模型更加可信。

在實(shí)驗(yàn)室階段，這些方法通常用于檢測(cè)模型的有效性，在這套流程正式上線前，我們會(huì)選擇設(shè)置一個(gè)壓力池。壓力池中有很多數(shù)據(jù)，在上線前會(huì)對(duì)池子里的所有數(shù)據(jù)進(jìn)行掃描，然后對(duì)掃描結(jié)果進(jìn)行評(píng)估，如果這個(gè)掃描的結(jié)果符合我們的預(yù)期效果這個(gè)流程才會(huì)正式上線。

雖然利用機(jī)器學(xué)習(xí)來(lái)挖掘高級(jí)威脅情報(bào)目前效果不錯(cuò)，但是趙雨婷告訴雷鋒網(wǎng)，還有一個(gè)瓶頸——如何要在時(shí)間緯度上實(shí)現(xiàn)交叉驗(yàn)證。

如何在實(shí)現(xiàn)這個(gè)緯度以后還能保證這套流程的高效與精確性，是我們接下來(lái)研究的重點(diǎn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。