【51CTO.com 綜合消息】2013年3月15日，APT攻擊作為一種高效、精確的網(wǎng)絡(luò)攻擊方式，在近幾年被頻繁用于各種網(wǎng)絡(luò)攻擊事件之中，并迅速成為企業(yè)信息安全最大的威脅之一。全球服務(wù)器安全、虛擬化及云計(jì)算安全領(lǐng)導(dǎo)廠商趨勢(shì)科技在對(duì)2012年APT攻擊的海量信息進(jìn)行分析之后發(fā)現(xiàn)，APT攻擊在去年的攻擊范圍不斷擴(kuò)大、隱蔽性也有所增強(qiáng)。預(yù)計(jì)在2013年，這些趨勢(shì)將進(jìn)一步反映在APT攻擊的特征中，不但攻擊的破壞力會(huì)越來(lái)越大，對(duì)攻擊的判斷也將越來(lái)越困難。

趨勢(shì)科技（中國(guó)區(qū)）產(chǎn)品經(jīng)理蔣世琪表示：“APT的攻擊手法在于隱匿自己，針對(duì)特定對(duì)象，長(zhǎng)期、有組織、有計(jì)劃的竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間偷竊資料、搜集情報(bào)的行為類似于‘網(wǎng)絡(luò)間諜’。正是由于APT的隱蔽性，把握其中的攻擊規(guī)律就變得尤為重要。趨勢(shì)科技將總結(jié)回顧2012年APT 特點(diǎn)，并對(duì)其預(yù)測(cè)了2013年攻擊特征進(jìn)行預(yù)測(cè)，幫助用戶判斷APT攻擊的趨勢(shì)與脈絡(luò)，希望給企業(yè)用戶防護(hù)APT攻擊提供更多有價(jià)值的建議。“

趨勢(shì)科技觀察到，APT攻擊在去年非?；钴S，并頻繁發(fā)生黑客利用復(fù)雜精準(zhǔn)的方式對(duì)特定對(duì)象發(fā)動(dòng)高級(jí)持續(xù)性威脅的事件。在這些事件中，2012年APT攻擊主要呈現(xiàn)出以下五種特征：

一、APT攻擊目標(biāo)和范圍不斷擴(kuò)展

在2012年，在世界各地出現(xiàn)了各式各樣的攻擊，針對(duì)俄羅斯、韓國(guó)、越南、印度和日本等地區(qū)的攻擊活動(dòng)相當(dāng)活躍，特別是黑客在中東地區(qū)開展的Shamoon和Mahdi攻擊活動(dòng)，造成巨大危害。除了這些地理位置上的不斷擴(kuò)張之外，我們還看到了針對(duì)技術(shù)的擴(kuò)展。為了對(duì)目標(biāo)進(jìn)行更有效的破壞，APT攻擊在工具上不斷精進(jìn)，而且在攻擊范圍上也不斷擴(kuò)展。在2012年，趨勢(shì)科技已經(jīng)監(jiān)測(cè)到多個(gè)以Mac平臺(tái)為攻擊目標(biāo)的木馬，而將智能卡作為攻擊目標(biāo)的行為也日益增多。

二、APT攻擊隱蔽性日漸提升

APT攻擊為了躲避安全防護(hù)軟件的查殺，往往會(huì)讓自身的隱蔽性更強(qiáng)。例如2012年，微軟發(fā)現(xiàn)一個(gè)舊惡意軟件組件會(huì)在NDIS（網(wǎng)絡(luò)驅(qū)動(dòng)程序界面規(guī)范）層建立一個(gè)隱蔽的后門，讓監(jiān)測(cè)變得更加困難。除了隱身在網(wǎng)絡(luò)層，APT攻擊程序也常使用增加數(shù)字簽名、使用DLL搜尋路徑劫持等技術(shù)，大大增加了監(jiān)測(cè)的難度。

APT攻擊不僅僅指惡意軟件，還指配套的攻擊方式與部署模式。為了確保軟件隱藏在用戶的系統(tǒng)中，其常常會(huì)存取、使用正常應(yīng)用程序（例如VPN），確保自己持久不會(huì)發(fā)現(xiàn)。

三、新社交工程陷阱出現(xiàn)

魚叉式網(wǎng)絡(luò)釣魚郵件仍然是APT攻擊用來(lái)散播惡意軟件的主要機(jī)制，但不是唯一的攻擊路徑。在2012年，一個(gè)值得關(guān)注的新社交工程陷阱利用安全廠商對(duì)惡意軟件的分析作為誘餌，來(lái)傳播惡意軟件。此外，在2012年新發(fā)現(xiàn)的一種新入侵模式中，攻擊者利用了Java和Flash的漏洞攻擊碼。而RSA公司此前的安全報(bào)告中所提到的VOHO攻擊活動(dòng)，也使用了相同的技術(shù)。

四、“超限”武器交易走向“前臺(tái)”

“超限”武器交易是指販賣漏洞攻擊碼及搭配的惡意軟件，這本來(lái)是個(gè)隱秘的話題，卻在2012年成為公開的祕(mì)密。美國(guó)公民自由聯(lián)盟的Christopher Soghoian在VB2012大會(huì)上以此為主題進(jìn)行了演講，在演講中他提到，“超限”武器交易出現(xiàn)“泛化”的趨勢(shì)，其不但涉及買賣漏洞和攻擊碼，還涉及惡意軟件的交易。

五、以破壞信息為目的的攻擊增多

雖然APT攻擊通常是為了竊取信息，但是其有時(shí)也會(huì)被用作從事破壞性行為。趨勢(shì)科技監(jiān)測(cè)發(fā)現(xiàn)，在2012年中，有多起APT攻擊侵入了目標(biāo)系統(tǒng)，并銷毀了部分資料。而這種形式的目標(biāo)攻擊在今后將可能繼續(xù)增多。

蔣世琪談到：“APT攻擊是一個(gè)在時(shí)間上具備連續(xù)性的行為，其在2012年表現(xiàn)出來(lái)的特征會(huì)反映在我們對(duì)于2013年的預(yù)測(cè)中?；谶@種判斷，趨勢(shì)科技認(rèn)為，在2013年，APT攻擊將會(huì)變得越來(lái)越復(fù)雜，這并不僅僅表示攻擊技術(shù)越來(lái)越強(qiáng)大，也意味著部署攻擊的方式越來(lái)越靈活。以后，這類攻擊將會(huì)具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。”

具體來(lái)說(shuō)，2013年APT攻擊可能表現(xiàn)出以下三個(gè)趨勢(shì)：

第一、攻擊將會(huì)更有針對(duì)性：越來(lái)越多的APT攻擊將會(huì)針對(duì)特定的地區(qū)、特定的用戶群體進(jìn)行攻擊。在此類攻擊中，除非目標(biāo)在語(yǔ)言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會(huì)運(yùn)行。因此，在2013年我們將會(huì)看到越來(lái)越多的本地化攻擊。

第二、APT攻擊將更有破壞性：在2013年，APT攻擊將帶有更多的破壞性質(zhì)，無(wú)論這是它的主要目的，或是作為清理攻擊者總計(jì)的手段，都很有可能成為時(shí)間性攻擊的一部分，被運(yùn)用在明確的目標(biāo)上。

第三、對(duì)攻擊的判斷將越來(lái)越困難：在APT攻擊防范中，我們通常用簡(jiǎn)單的技術(shù)指標(biāo)來(lái)判斷攻擊的動(dòng)機(jī)和地理位置。但是到了2013年，我們將需要綜合社會(huì)、政治、經(jīng)濟(jì)、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評(píng)估和分析目標(biāo)攻擊。但是，多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標(biāo)來(lái)將懷疑對(duì)象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。