如何避免来自邮件的APT攻击

       APT(Advanced Persistent Threat)一词，源自于美国空军的信息安全报告，泛指有计划且针对性的网络间谍活动。迄今已经有许多可怕的攻击案例，诸如：2010年7月Stuxnet攻击伊朗核电厂;2011年5月美国军火大厂洛克希德马丁(Lockheed Martin)网络遭到入侵;同年日本总务省发现计算机遭木马入侵已三个月;2013年3月DarkSeoul事件造成南韩金融机构严重瘫痪。可见APT攻击只要奏效，受攻击的标的势必带来严重损失。

　　APT攻击与以往的黑客入侵、计算机病毒有何不同呢?大致有如下几个不同点：

　　多半不是正面针对提供外部服务主机的弱点进行攻击;

　　常以电子邮件搭配恶意文件，搭配社交工程手法进行攻击;

　　恶意文件多通过文件格式的文件进行包裹，如：PDF、XLS、DOC…等;

　　感染企业内部主机后，不立即进行大规模破坏或扩散、不太占主机资源，使用网络流量也低，长期潜伏不易发现。

　　恶意软件的活动、攻击、扩散都具有目标性。

　　许多研究认为，APT攻击的对象以企业或中的重要干部为主。如果我们不是重要角色，是不是意味着不需要担心此议题?答案当然是否定的!或许攻击企业或中的重要干部是最后真正目标，但要直接攻击目标对象通常并不容易。发动APT攻击的黑客也明白这一点，因为计划性的先攻击目标对象外围的人，并窃取及电子邮件账号密码、研究受攻击者与攻击目标的关系后，再一步步以社交工程手法假冒发信，一步步进击。面对APT攻击，其实你我都有可能被包含进黑客的攻击计划之中。

　　▲

　　黑客发动APT攻击经常利用电子邮件作为发动管道。因为电子邮件这个沟通管道具备可主动发送的特性，且可轻松绕过防火墙，需要的技术与成本都相对低廉。黑客唯一的难题，大概就是要避开一般计算机上的防病毒软件侦测。

　　部份黑客会在攻击程序做好后，利用Virustotal  验证攻击程序，如果没有防病毒软件可侦测出，那该次的APT攻击已经先成功了一半;另一种躲避防病毒软件的方式是将真正的恶意软件放置在外部，夹于电子邮件附件文件的程序只是一个下载器。当携带下载器的恶意邮件发送给攻击目标并被开启执行后，下载器才开始从外部下载恶意软件，万一下载回来的恶意软件已经可被防病毒软件侦测并隔离，只要下载器没有被发现，它还是可以随时再下载更新的攻击程序。
▲

　　要如何避免来自电子邮件中的APT攻击呢?

　　一般APT攻击，大致上可分为三个主要阶段，分别为：

　　恶意邮件散布阶段、

　　恶意软件感染阶段、

　　长期对内窃资阶段。

　　要避免成为APT攻击的受害者，可分别从此三个阶段进行防范，防范方法介绍如下：

　　恶意邮件散布阶段

　　在这个阶段，黑客需设法让攻击目标接触恶意邮件，并诱使其执行其中的恶意链接或是恶意软件的下载程序。在这个阶段的主要防护课题为避免接触。

　　部署强力的邮件过滤软件、多层不同品牌的防病毒软件，即可达成一定程度的避免接触恶意邮件效果。为避免邮件中携带的恶意超链接攻击，使用高安全性的浏览器，再搭配安全的上网防护也是不可或缺的。最后，人员本身的信息安全意识与警觉心，是对未知攻击的重要防线。对于不明发件人的来信、来信者与时间的异常，及邮件中真正超链接连往的地址，都是需要特别留心的地方，一旦觉得有所怀疑，则要避免开信并由其它管道与发件人做确认，才可有效避免成为受害者。

　　恶意软件感染阶段

　　在这个阶段，黑客需藉由被打开的恶意文件或超链接攻击受害者的计算机，并取得该计算机的使用权或相关账号密码。通常进行这样的攻击必须利用一些软件、操作系统的漏洞，或计算机中其它容易被疏忽的不安全设定。在这个阶段的主要防护课题为减少应用程序的漏洞与不安全的访问权限。

　　定期将操作系统或常用的应用程序进行安全性更新修补，是防止恶意软件利用操作系统或应用程序漏洞的最根本方法，用不到的程序也尽量别安装。除此之外，计算机中最好不要有不使用的或密码设定过于简单的账号存在，也不应以明码记录账号、密码;操作系统在不妨碍正常使用的情况下，应尽量将相关的信息安全设定调整为最高的防护等级。以Windows操作系统为例，应启用系统内建防火墙，且不随意关闭UAC(User Account Control)防护，在系统支持DEP(DataExecution Prevention)功能时，应对所有程序和服务开启DEP功能，再对不适用DEP防护的程序进行排外设定，这样才能有效的免除风险。

　　长期对内窃取阶段

　　当黑客顺利让受害者接触恶意软件，并取得受害者计算机的控制权时，下一步就是窃取数据，或操控受害者计算机以便发起其它攻击行动。在这个阶段主要的防护课题在于监控计算机活动，并杜绝任何不明联机。

　　许多防病毒软件有内建软件防火墙，这些防火墙在计算机程序准备向外联机前，会警示并询问计算机的用户这样的联机是否合理、是否要许可这个联机。软件防火墙可以监控本机计算机明显不合理的网络活动。除了本机的监控外，计算机对外联机的各种网关端(Gateway)也需要有相关的记录与监控程序的存在，诸如向外传递机敏数据的审核;非工作时间不合理网络存取限制、记录与警示;异常的网络探测尝试，或是有计算机试图拜访恶意网址…等，这些都是黑客试图窃取信息或操控受害者计算机的痕迹。

　　上述三种阶段的对应防护工作，只要其中一项生效，即可中断黑客的攻击。我们难以确保某一阶段的防护已达滴水不漏，所以在做信息安全部署时，三种阶段的对应防护工作都必须同时落实。