APT攻擊

對於APT攻擊比較權威的定義是由美國國家標準與技術研究所( NIST)提出的,該定義給出了APT攻擊的4個要素,具體如下。

(1)攻擊者：擁有高水平專業知識和豐富資源的敵對方。

(2)攻擊目的：破壞某組織的關鍵設施,或阻礙某項任務的正常進行

(3)攻擊手段：利用多種攻擊方式,通過在目標基礎設施上建立並擴展立足點來獲取信息。

(4)攻擊過程：在一個很長的時間段內潛伏並反覆對目標進行攻擊,同時適應安全系統的防禦措施,通過保持高水平的互動來達到攻擊目的。

APT入侵客戶的途徑多種多樣，主要包括以下幾個方面。

一、以智慧型手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。

二、社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工傳送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

三、利用防火牆、伺服器等系統漏洞繼而獲取訪問企業網路的有效憑證信息是使用APT攻擊的另一重要手段。

總之，高級持續性威脅(APT)正在通過一切方式，繞過基於代碼的傳統安全方案(如防病毒軟體、防火牆、IPS等)，並更長時間地潛伏在系統中，讓傳統防禦體系難以偵測。

APT攻擊可以分為三個環節，每個環節又會有一些具體的工作內容。這三個環節其實是混雜互相交織在一起的，並沒有嚴格的分界線的，這裡分開，主要是為了從技術環節做更好的分析。另外每個環節，攻擊者都可能發起多次甚至持續多年而並非單獨一次，這取決於攻擊者意願、被攻擊的目標價值、攻擊者已經得手的情況而定。

1. 攻擊前奏

在攻擊前奏環節，攻擊者主要是做入侵前的準備工作。

2. 入侵實施

在入侵實施環節，攻擊者針對實際的攻擊目標，展開攻擊。

3. 後續攻擊

在後續攻擊環節，攻擊者竊取大量的信息資產或進行破壞，同時還在內部深度的滲透以保證發現後難以全部清除。

APT攻擊具有不同於傳統網路攻擊的5個顯著特徵：針對性強、組織嚴密、持續時間長、高隱蔽性和間接攻擊。

1針對性強

APT攻擊的目標明確，多數為擁有豐富數據/智慧財產權的目標，所獲取的數據通常為商業機密、國家安全數據、智慧財產權等。

相對於傳統攻擊的盜取個人信息，APT攻擊只關注預先指定的目標，所有的攻擊方法都只針對特定目標和特定系統，針對性較強。

2組織嚴密

APT攻擊成功可帶來巨大的商業利益，因此攻擊者通常以組織形式存在，由熟練黑客形成團體，分工協作，長期預謀策劃後進行攻擊。他們在經濟和技術上都擁有充足的資源，具備長時間專注APT研究的條件和能力。

3持續時間長

APT攻擊具有較強的持續性，經過長期的準備與策劃，攻擊者通常在目標網路中潛伏几個月甚至幾年，通過反覆滲透，不斷改進攻擊路徑和方法，發動持續攻擊，如零日漏洞攻擊等。

4高隱蔽性

APT攻擊根據目標的特點，能繞過目標所在網路的防禦系統，極其隱藏地盜取數據或進行破壞。在信息收集階段，攻擊者常利用搜尋引擎、高級爬蟲和數據泄漏等持續滲透，使被攻擊者很難察覺；在攻擊階段，基於對目標嗅探的結果，設計開發極具針對性的木馬等惡意軟體，繞過目標網路防禦系統，隱蔽攻擊。

5間接攻擊

APT攻擊不同於傳統網路攻擊的直接攻擊方式，通常利用第三方網站或伺服器作跳板，布設惡意程式或木馬向目標進行滲透攻擊。惡意程式或木馬潛伏於目標網路中，可由攻擊者在遠端進行遙控攻擊，也可由被攻擊者無意觸發啟動攻擊。

與傳統網路攻擊相比，APT攻擊的檢測難度主要表現在以下幾方面:

1)先進的攻擊方法。

攻擊者能適應防禦者的入侵檢測能力，不斷更換和改進入侵方法，具有較強的隱藏能力，攻擊入口、途徑、時間都是不確定和不可預見的，使得基於特徵匹配的傳統檢測防禦技術很難有效檢測出攻擊。

2)持續性攻擊與隱藏。

APT通過長時間攻擊成功進入目標系統後，通常採取隱藏策略進入休眠狀態；待時機成熟時，才利用時間間隙與外部伺服器交流。在系統中其並無明顯異常，使得基於單點時間或短時間視窗的實時檢測技術和會話頻繁檢測技術也難以成功檢測出異常攻擊。

3)長期駐留目標系統，保持系統的訪問許可權。

攻擊者一旦侵入目標系統便會積極爭取目標系統或網路的最高許可權，實現程式的自啟功能。同時，攻擊者會在目標網路中基於已控制的網路主機實現橫向轉移和信息收集，規避安全檢測，擴大被入侵網路的覆蓋面，尋找新的攻擊目標。一旦其找到了想要攻擊的最終目標和適當傳送信息的機會，攻擊者便會通過事先準備好的隱藏通道獲取信息、竊取數據或執行破壞活動，且不留任何被入侵的痕跡。