APT攻击介绍

APT攻击介绍

APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性，通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

在APT攻击中，攻击者会花几个月甚至更长的时间对"目标"网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。当攻击者收集到足够的信息时，就会对目标网络发起攻击，我们需要了解的是，这种攻击具有明确的目的性与针对性。发起攻击前，攻击者通常会精心设计攻击计划，与此同时，攻击者会根据收集到的信息对目标网络进行深入的分析与研究，所以，这种攻击的成功率很高。当然，它的危害也不言而喻。

从攻击目标来看，APT 攻击不以破坏目标系统的可用性、 可靠性为主要目的， 旨在窃取高价值的数据、资料、文件；其次，从攻击方法来看，APT 攻击者通常不计成本地挖掘、购买 0day 漏洞，甚至自行开发恶意软件以绕过现有的 IDS／IPS、反病毒软件系统，在此基础上进一步采用社会工程学方法在目标企业内部员工的电脑主机中建立攻击支点；最后，从防护技术来看，相较于传统网络攻击易于被现有安全防御设备检测、 防范，APT 攻击的潜伏时间长，难以被已有的安全防御系统所检测，甚至在攻击后，也难以被溯源。

安全漏洞生命周期与APT攻击生命周期

安全漏洞生命周期
顺序	内容
1	安全漏洞研究与挖掘
2	Exploit代码开发与测试
3	安全漏洞/Exploit代码限于封闭团队
4	安全漏洞/Exploit代码开始扩散
5	攻击工具/恶意程序出现并传播
6	Exploit/攻击工具/恶意程序大规模传播并危害互联网
7	Exploit/攻击工具/恶意程序逐渐消亡

APT攻击生命周期
顺序	内容
1	扫描探测
2	工具投送
3	漏洞利用
4	木马植入
5	远程控制
6	横向渗透
7	目标行动

APT与SRC漏洞挖掘思维与侧重点的区别

APT：几个月甚至几年的时间都在持续收集资产，然后去发掘漏洞，尤其是能进入内部网络的漏洞，一经发现就着手策划攻击方案。
1）发现漏洞
2）积累、策划攻击
3）权限提升
4）持续控制
5）目标实现

SRC漏洞挖掘：几周的时间整理资产，到处找漏洞，尤其是XSS！更是不能放过，一发现就提交。
1）白帽子挖洞
2）SRC接收漏洞
3）漏洞评估
4）漏洞修复
5）奖励

从本质上讲，APT攻击并没有任何崭新的攻击手段，比如0 Day，比如钓鱼邮件，比如社工，比如木马，比如DDOS，都是存在已久的攻击手段，它只是多种攻击手段的战术性综合利用而已。因此在业界里有一种看法是APT应该是国与国之间，组织与组织之间网络战的一种具体表现形式，而非一种可供炒作的黑客入侵手段。

APT攻击的特征以及其战术

在宏观特点上看，APT攻击应该具备如下特征：
1）高度目的性；
2）高度隐蔽性；
3）高度突然性；
4）高度规模性；
5）高度危害性；
6）高度复合性；
7）共时并发性；
8）目标实体化；
9）攻击非对称化
以上这些都被冠以“高度”的特征，自然是不会用于对付一般目标的，所谓杀鸡不用牛刀，所以大多数人不用太在意APT可能带来的威胁，当然前提是每个人对自己或自己所在机构的价值有清醒认识的基础上。

而在具体战术设计上，也呈现多样化形态，也就是说，一次真正高级的APT攻击，是有着充分的计划性和准备性的，包括以下步骤：
APT战术思想：确立作战目标、作战范围与作战目的；
APT战术设计：确定战术实现的资源需求、作战环境、战术部署；
APT战术准备：人力资源准备、技术资源准备、情报资源准备、作战预案准备；
APT作战方法：主攻与钳制、强攻与突破、战术协同；
APT高级战术：复杂战术的构造，战术的艺术

APT 攻击特点及其入侵方式

APT攻击特点：
1）攻击目的性强，为了达到目的不择手段。通常不以破坏目标系统的可用性、可靠性为主要目的，旨在窃取高价值的数据、资料、文件、资产。
2）有大量漏洞利用和定制化工具使用，这反应出APT攻击需要耗费巨大的人力、物力。攻击者往往有政府或财团支持。
3）与投入相匹配，APT攻击的目标价值往往也十分高，其攻击领域有:政府部门、军事部门、基础设施、金融机构、教育科研机构和大型企业等。
4）持续时间长。即使有报告对APT组织进行披露，导致之前的攻击手段失效，但只要目标的价值还在，那么攻击还会发生。

APT入侵方式：
1）鱼叉式钓鱼邮件、即时通信软件 （最常见成本最低的攻击方式，攻击者常常以鱼叉邮件作为入侵的入口，投递一些恶意网站，伪装文件）
2）水坑攻击、钓鱼网站（侵入网站，加入恶意javascript，伪装更新，或者通过评论转发等方式形成社交平台的水坑攻击，用来窃取受害者的账号密码，收集主机信息，或者诱惑受害者下载恶意软件）
3）1/Nday漏洞（漏洞利用目的，未授权安装，运行代码和规避杀软）
4）0day漏洞（成本和危害远远高于上者，在各种APT攻击中，出现过许多操作系统，office或者FLASH的漏洞利用）
5）供应链(其实供应链攻击现已运用到APT攻击中，这种攻击的难点在于熟悉目标软件环境，拿下上游供应商后迅速开发后门，替换发布更新服务器文件。在短时间内，不被发现完成所有动作，对攻击者技术能力，团队协作能力要求很高。虽然攻击难度高，一旦成功，收益也是巨大的。)
6）物理接触(最顶层是物理接触，典型的攻击事件：“震网”。这种比较少见，不多说。)

由上至下，攻击难度增加，收益增加，使用频率减少

APT攻击是否成功，取决于攻击者的目的和所具有的入侵能力，与目标防御强弱无关。防御强弱和目标的价值决定了入侵的方式。漏洞利用，特别是0 day漏洞都是针对高价值，特定目标。考虑到入侵成本，供应链攻击、0day不常见，APT攻击更倾向于其他的低成本的入侵方式。