APT检测利器系列3-Root9b网络攻击模型

高级可持续威胁（Advanced Persistent Threat，APT），也称为“APT攻击”，逐渐进入公众的视野。研究者目前认为APT攻击的概念是由美国空军安全分析师于2006年提出的，是指由掌握丰富攻击资源的、有组织的专业攻击者发起的，针对经济、政治和国家安全相关的重要目标，利用先进的攻击技术和理念开展的隐蔽的和持续的攻击过程。

APT攻击有三个特点：

• 高级--是指攻击者掌握先进的攻击工具和技术，具备自主开发漏洞利用工具的能力。
• 持续--是指攻击者会持续不断的进行攻击以达成最终攻击目标。
• 威胁--是指攻击是由掌握丰富资源的攻击组织发起的，具有明确攻击动机。

传统的攻击检测方法很难检测出APT攻击，研究者针对这一问题进行了研究，提出了一系列APT攻击检测的模型、技术和方法，本系列文章将相关的内容进行汇总、分析和整理，为读者提供参考。

Root9b是2011年成立的，总部位于美国科罗拉多州的网络安全公司，主要业务是网络安全产品、服务和培训，该公司提出了“威胁猎杀”（HUNTing）的概念，并声称可以在攻击者窃取信息之前发现攻击活动。该公司引起了网络安全领域的广泛重视，曾经在Cybersecurity Ventures发布的《网络安全创新500强》企业榜单中排名第一。

在Root9b开展的高级培训班中，提出了Root9b攻击模型，将网络攻击过程进行了分解，细化为踩点、扫描、枚举、网络结构图、获取访问权、权限提升和溢出后控制等过程，具体过程如下图所示。

踩点(Footprinting)：是对目标进行分析、识别和发现的过程。通常使用开源工具，包括社会工程学、电子邮箱搜索、搜索引擎hack、traceroutes、ping, network lookup等。

扫描(Scanning)：根据踩点获取的信息对目标网络进行更深入地探测，这一步骤一般包括端口扫描、操作系统识别等过程，以确定是否可以获取目标系统的访问权。

枚举(Enumeration)： 与目标系统的特定服务进行交互，以确定操作系统和应用软件的版本等细节信息，枚举技术一般包括搜索网络共享、运行的应用程序版本、用户账户、SNMP枚举等。

网络结构图(Network MApping)：此步骤根据所有可用的资源（如日志、扫描、枚举结果等），创建目标网络的可视化结构图，此结构图是从攻击者角度出发，与系统管理员角度看到的可能不一样，根据网络结构图制定进一步攻击计划。此步骤不是必须的。

获取访问权(Gaining Access)：此步骤就是指通过漏洞利用过程获取系统访问权。利用客户端应用程序漏洞利用、内部人员渗透、远程漏洞利用和供应链攻击等方式获取目标系统和网络的访问权，也可以通过鱼叉式钓鱼攻击、缓冲区溢出、嵌入式设备溢出、证书伪装攻击等方式达到目的。

权限提升(Privilege Escalation): 如果使用的漏洞利用工具获取的系统访问权不能满足攻击要求，攻击者就需要权限提升以获取更高的权限，在许多情况下都需要进行这个过程。通常，可以通过本地漏洞利用机获取root权限或者系统权限，这是最高的用户权限。

溢出后的控制(Post Exploitation): 这一步实际上是有许多步组成，取决于具体的任务目标。这一步可能包含以下任何步骤的全部或部分的组合：

目标调查或远程取证分析

消除痕迹

数据收集

后门和木马、Rootkit

计算机网络攻击 6D

破坏 Disrupt

拒绝 Deny

降级 Degrade

欺骗 Deceive

销毁 Destroy

延迟 Delay

目标调查或远程取证分析(Target Survey & Remote Forensics Analysis)：这一步对目标系统进行分析，以确定其安全机制、文件存储位置或用户权限，这有助于获取目标控制权并避免被发现。

消除痕迹(Cover Tracks & cleanup)： 此步骤是消除漏洞利用或访问过程遗留的可以用于取证的残留数据。此步骤是攻击者保持隐蔽性的最重要的步骤之一，也通常是系统管理员发现攻击最重要的机会。

数据收集(Data Collection)： 攻击者总会在网络中采取一些行动，这些行动不单纯为了展示攻击能力，而是为了获取尽可能多的东西，如敏感数据，网络流量分析是这一步的重要手段。

后门和木马、Rootkit(Backdoor, Implant, Persistence)： 此步骤需要安装一个应用程序，通过内核钩子或者其他机制部署，以保持攻击者对目标系统或网络的持续访问权。如果植入的远程控制工具设计的好，攻击者可以对目标网络进行长期的隐秘控制。

计算机网络攻击(Computer Network Attack)： 这一步攻击者已将目标网络确定为可能的攻击目标，并有计划的对其发动攻击。这种攻击可能是远程的，也可能是本地的，可能通过已经获取的访问权或者没有取得访问权，攻击者通常会识别核心和重要的网络进程，并在目标网络中执行破坏、拒绝服务、降级、摧毁或欺骗等活动，这些活动简称6D。