正解：APT的那些事儿

今天我们看到有针对性的网络攻击事件越来越复杂，越来越严重，越来越广泛。在二十世纪二十年代中期，“黑帽子”社区从少年黑社会演变成有组织的犯罪网络，为公司和政府网络收集的大量个人数据提供了高利润的身份盗用计划。近年来，IT基础设施和使用模式的变化，包括移动性，云计算和虚拟化，已经解决了传统的企业安全周边，为黑客创造了一个“目标丰富”的环境。但也许威胁形势中最重要的新要素是由隐蔽的国家行为者出现高度针对性，长期的国际间谍活动和破坏活动。

这些长期的国家赞助运动有时被称为高级持久威胁（APT）。该术语已经成为媒体和一些技术供应商滥用的流行语。虽然APT确实在当今世界确实是一个真正的危险，但重要的是要了解他们在更大的背景下如何看待。只有将现实与炒作分开，并了解APT如何与更广泛的针对性攻击方法和技术相关联，组织才能在未来十年内保护他们的信息和运作。

APT的概念

高级长期威胁（英语：AdvancedPersistentThreat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。

APT是一种有针对性的攻击。目标攻击使用各种技术，包括驱动下载、Microsoft SQL注入、漏洞利用、恶意软件、间谍软件、网络钓鱼和垃圾邮件等等，仅举几例。 APT可以并且经常使用许多相同的技术。APT与其他有针对性的攻击有以下几种不同：

定制攻击

除了更常见的攻击方式之外，APT还经常使用高度定制的工具和入侵技术，专门为广告系列开发。这些工具包括零日漏洞利用，病毒，蠕虫和rootkit。此外，APT经常同时发起多重威胁或“杀死连锁”，以违反其目标，并确保持续进入目标系统，有时包括“牺牲”威胁，以欺骗目标，认为攻击已被成功击退。

时间较短

APT攻击发生时间较短，在此期间，攻击者会缓慢而静静地移动，以避免发现。与更典型的网络犯罪分子发起的许多有针对性的攻击的“粉碎和抢夺”策略相反，APT的目标是通过持续的监控和互动进行“低而缓慢”的移动来保持不被发现，直到攻击者实现其定义的目标。

更高的愿望

与典型的更常见的针对性攻击的快钱计划不同，APT旨在满足国际间谍活动和/或破坏的要求，通常涉及隐蔽的国家行为者。 APT的目标可能包括军事，政治或经济情报搜集，机密数据或商业秘密威胁，操作中断，甚至破坏设备。 APT背后的群体资金充足，人员配备齐全;他们可以在军事或国家情报的支持下行事。

具体目标

虽然几乎任何拥有知识产权或有价值的客户信息的大型组织都易受到有针对性的攻击，但APT的目标范围要小得多。广泛报道的APT攻击已经在政府机构和设施，国防承包商以及在全球市场上具有高度竞争力的产品制造商上发起。此外，APT可能会攻击与其主要目标进行业务的供应商或合作伙伴组织。但与政府有关的组织和制造商并不是唯一的目标。具有有价值的技术或知识产权的普通公司现在是民族国家的目标。随着世界经济全球化，国家安全和经济安全得到融合。此外，维护和运营重要国家基础设施的组织也可能成为目标。

APT发起方，如政府，通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁，尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动，但也适用于传统的间谍活动之类的威胁。其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人，如个人黑客，通常不被称作APT，因为即使个人有意攻击特定目标，他们也通常不具备高级和长期这两个条件。

APT的特点

Bodmer、Kilger、Carpenter和Jones的研究将APT的标准定义如下：

目标– 威胁的最终目标，即你的对手

时间– 调查、入侵所花的时间

资源– 所涉及的知识面及工具（技能和方法也有所影响）

风险承受能力– 威胁能在多大程度上不被发觉

技能与方法– 所使用的工具及技术

行动– 威胁中采取的具体行动

攻击源头– 攻击来源的数量

牵涉数量– 牵涉到多少内部或外部系统，多少人的系统具有不同重要性

信息来源– 是否能通过收集在线信息识别出某个威胁

APT攻击实现

APT攻击精心策划，精心执行。 它们通常分为四个阶段：入侵，发现，捕获和渗出。 在每个阶段中，可以使用各种技术，如下图示。

0X1:入侵

0X2:发现

0X3:捕获

0X4:渗出

APT攻击的生命周期

APT的幕后黑手会对组织团体的金融财产、知识产权及名誉造成持续变化的威胁，其过程如下： 因一个目标开始盯上特定组织团体试图入侵到其环境中（如发送钓鱼邮件） 利用入侵的系统来访问目标网络部署实现攻击目标所用的相关工具隐藏踪迹以便将来访问。

2013年，美国网络安全公司麦迪安（Mandiant）发布了关于2004至2013年间的一例APT攻击的研究结果，其中的生命周期与上述相似：

初始入侵– 使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。

站稳脚跟– 在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。

提升特权– 通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。

内部勘查– 收集周遭设施、安全信任关系、域结构的信息。

横向发展– 将控制权扩展到其他工作站、服务器及设施，收集数据。

保持现状– 确保继续掌控之前获取到的访问权限和凭据。

任务完成– 从受害者的网络中传出窃取到的数据。

麦迪安所分析的这起入侵事件中，攻击者对受害者的网络保有控制权的平均时间为一年，最长时间为五年。

APT应对缓解策略

恶意软件的变种数以千万计，因此要保护组织团体免于APT攻击极为困难。虽然APT活动十分隐蔽，但与APT相关的命令与控制网络流量却很容易在网络层检测。深入的日志分析和比对有助于检测APT活动。尽管要从正常流量中分离出异常流量有一定难度，但这一工作可以借助完善的日志分析工具来完成，以便安全专家调查异常流量。

延伸阅读：APT高级持续威胁组织

APT33 | APT32 | APT30 | APT29 | APT28 | APT18 | APT17 | APT12 | APT5 | APT3 | APT1

APT高级持续威胁组织

APT专题资讯报告已为您准备完毕，请长按识别下文3份主题的二维码阅读报告（重磅干货）！