什麼是 APT 攻擊？

12-30

謝邀。

百度百科自然是可以參考的，我不做太多複製粘貼的活兒。

我只是想再度轉述一下去年江海客老師在XDef演講中轉述的一個觀點：「所謂APT攻擊並非是真正存在的」。

因為從本質上講，APT攻擊並沒有任何嶄新的攻擊手段，比如0 Day，比如釣魚郵件，比如社工，比如木馬，比如DDOS，都是存在已久的攻擊手段，它只是多種攻擊手段的戰術性綜合利用而已。因此在業界里有一種看法是APT應該是國與國之間，組織與組織之間網路戰的一種具體表現形式，而非一種可供炒作的黑客入侵手段。

去年我做過一個演講，主題叫《高級APT戰術研究》，除了前面那位直接複製百度百科的同學的答案外，還粗淺歸納了一下「真正的」APT應該是一種怎樣的形態：

在宏觀特點上應該具備如下特徵：

高度目的性
高度隱蔽性
高度突然性
高度規模性
高度危害性
高度複合性
共時並發性
目標實體化
攻擊非對稱化

以上這些都被冠以「高度」的特徵，自然是不會用於對付一般目標的，所謂殺雞不用牛刀，所以大多數人不用太在意APT可能帶來的威脅，當然前提是每個人對自己或自己所在機構的價值有清醒認識的基礎上。

而在具體戰術設計上，也呈現多樣化形態（懶得打字了，放個PPT截圖）：

也就是說，事實上一次真正高級的APT攻擊，是有著充分的計劃性和準備性的，包括以下步驟：

APT戰術思想：確立作戰目標、作戰範圍與作戰目的
APT戰術設計：確定戰術實現的資源需求、作戰環境、戰術部署
APT戰術準備：人力資源準備、技術資源準備、情報資源準備、作戰預案準備
APT作戰方法：主攻與鉗制、強攻與突破、戰術協同
APT高級戰術：複雜戰術的構造，戰術的藝術

具體內容我也不再贅述，我想解釋的一點是，真正的APT攻擊不是單個黑客或者幾個黑客為了撈點兒錢就能搞出來的花樣，那必然是有著深厚背景和強大支撐力量的組織發起的，只有這樣才能支持和維持APT攻擊所需要的大量時間、人力、物力與財力。

順帶一提的是，現在大家說到APT攻擊言必稱0 day，更多原因大概是因為最近兩年發現的APT攻擊中，利用微軟office文件（尤其是ppt與doc）0 day的郵件附件木馬比較多的緣故。但事實上在實際工作中，我們在一些網路設備和負載均衡設備中也有發現APT攻擊木馬的情況。

最後放一個我設計的理想化的，針對一家地區商業銀行的APT戰術計劃圖供大家消遣，萬萬不能當真。

看了高贊的帖子，我手裡的煙放下了。

APT它是一個母集，它的子集有太多目前沒有公布出來的。

我不在意如何說APT存在與不存在的問題，或者對它是否過度解讀的問題。

我在意的是，這背後的一群人，一群默默無聞的人。他們多年堅守在一線工作。默默無聞的貢獻著，微博的收入。國家有目前的部分科技，離不開這群人的默默貢獻，我像他們致敬！

推薦題主做一遍這個課程的實驗六——APT攻擊原理實驗。鏈接：合天-網路攻擊與對抗主頁

APT（Advanced Persistent Threat）--------高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。APT攻擊的原理相對於其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網路，並利用0day漏洞進行攻擊。

高級持續性威脅(Advanced Persistent Threat，APT)，威脅著企業的數據安全。APT是黑客以竊取核心資料為目的，針對客戶所發動的網路攻擊和侵襲行為，是一種蓄謀已久的「惡意商業間諜威脅」。這種行為往往經過長期的經營與策劃，並具備高度的隱蔽性。APT的攻擊手法，在於隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，就是一種「網路間諜」的行為。

APT入侵客戶的途徑多種多樣，主要包括以下幾個方面。

——以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。

——社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一，隨著社交工程攻擊手法的日益成熟，郵件幾乎真假難辨。從一些受到APT攻擊的大型企業可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，就是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。

——利用防火牆、伺服器等系統漏洞繼而獲取訪問企業網路的有效憑證信息是使用APT攻擊的另一重要手段。

總之，高級持續性威脅(APT)正在通過一切方式，繞過基於代碼的傳統安全方案(如防病毒軟體、防火牆、IPS等)，並更長時間地潛伏在系統中，讓傳統防禦體系難以偵測。

「潛伏性和持續性」是APT攻擊最大的威脅，其主要特徵包括以下內容。

——潛伏性：這些新型的攻擊和威脅可能在用戶環境中存在一年以上或更久，他們不斷收集各種信息，直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利，而是把「被控主機」當成跳板，持續搜索，直到能徹底掌握所針對的目標人、事、物，所以這種APT攻擊模式, 實質上是一種「惡意商業間諜威脅」。

——持續性：由於APT攻擊具有持續性甚至長達數年的特徵，這讓企業的管理人員無從察覺。在此期間，這種「持續性」體現在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網路內部後長期蟄伏。

——鎖定特定目標：針對特定政府或企業，長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充客戶的來信,取得在計算機植入惡意軟體的第一個機會。

——安裝遠程控制工具：攻擊者建立一個類似殭屍網路Botnet的遠程控制架構，攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(CC Server)審查。將過濾後的敏感機密數據，利用加密的方式外傳。

--------來自百度百科------

例如--&>震網病毒_百度百科

APT的攻擊手法在於隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數據。這種攻擊往往是以破壞國家或大型企業的關鍵基礎設施為目標。

2010年，Google的一名僱員點擊即時消息中的一條惡意鏈接，引發了一系列事件導致Google的網路被滲透數月，並造成各種系統數據被竊取。

此次APT攻擊者首先尋找特定的Google員工成為攻擊者的目標。攻擊者儘可能的收集該員工在Facebook、Twitter和其他社交網站上發布的信息。接著攻擊者利用一個動態DNS供應商來建立一個託管偽造照片網站的Web伺服器。利用這個偽造的Web伺服器，攻擊者偽造成這位Google員工所信任的人，並向他發送了惡意鏈接。員工點擊了這個未知的網路鏈接就進入了惡意網站。該惡意網站頁面含有Shellcode的JavaScript腳本造成了IE瀏覽器溢出，進而執行FTP下載程序。攻擊者通過SSL安全隧道與受害人機器建立了鏈接，持續監聽最終獲得了該僱員訪問Google伺服器的賬號和密碼等信息。最後攻擊者就使用該僱員的憑證成功滲透進入了Google的郵件伺服器，進而不斷地獲取特定Gmail賬戶的郵件內容。

the US National Institute of Standards and Technology states that an APT is:

「An adversary that possesses sophisticated levels of expertise and significant resources which allow it to create opportunities to achieve its objectives by using multiple attack vectors (e.g., cyber, physical, and deception). These objectives typically include establishing and extending footholds within the information technology infrastructure of the targeted organizations for purposes of exfiltrating information, undermining or impeding critical aspects of a mission, program, or organization; or positioning itself to carry out these objectives in the future.The advanced persistent threat: (i) pursues its objectives repeatedly over an extended period of time; (ii) adapts to defenders』 efforts to resist it; and (iii) is determined to maintain the level of interaction needed to execute its objectives」.

This definition provides a good base for distinction between traditional threats and APTs. The distinguishing characteristics of APTs are:

(1) specific targets and clear objectives;

(2) highly organized and well-resourced attackers;

(3) a long-term campaign with repeated attempts;

(4) stealthy and evasive attack techniques. We elaborate on each of these characteristics below.