一般來說APT攻擊有三個主要的環(huán)節(jié)：攻擊前奏，入侵實施，后續(xù)攻擊。

在攻擊前奏階段，攻擊者首先會做信息搜集的工作。通過搜集信息，攻擊者能夠很清晰的知道受害目標(biāo)使用什么樣的應(yīng)用、防御軟件，內(nèi)部的人際關(guān)系，組織架構(gòu)，核心資產(chǎn)可能存放在哪里。做完這些工作以后，攻擊者就會做些攻擊的準(zhǔn)備。比如說攻擊者知道目標(biāo)使用office，就專門去找office方面的漏洞;然后目標(biāo)使用XX殺毒軟件，那就專門寫一個能繞過XX殺毒軟件的木馬;然后搭建入侵服務(wù)器，進(jìn)行技術(shù)準(zhǔn)備工作。做好技術(shù)的準(zhǔn)備工作之后，攻擊者還會進(jìn)行周邊的滲透，因為直接向敏感的目標(biāo)發(fā)送郵件，用不可信的郵箱地址發(fā)過去，受害者可能不會打開它。攻擊者通過社交關(guān)系的調(diào)研，找到跟受害目標(biāo)有業(yè)務(wù)關(guān)系的某個人，這個人的安全意識可能很差，那么攻擊者就先入侵這個人的電腦，然后再假冒他的身份向受害目標(biāo)發(fā)送郵件，期望獲得受害目標(biāo)的信任。

在入侵實施方面，攻擊者會使用各種各樣對應(yīng)的技術(shù)手段來發(fā)起攻擊。可能是利用漏洞觸發(fā)，或者欺騙用戶去執(zhí)行木馬，目的是在企業(yè)內(nèi)部建立立足點。攻擊者即使只獲得一個權(quán)限很低的個人主機(jī)的權(quán)限，在企業(yè)內(nèi)部也能獲得更多的信息，再利用它進(jìn)行滲透提權(quán)，直到最后獲得核心目標(biāo)主機(jī)的控制權(quán)。

在后續(xù)攻擊階段，攻擊者可以進(jìn)行痕跡的隱藏，對敏感信息進(jìn)行搜集，然后把搜集到的信息通過加密通道秘密的傳輸出來，避免被企業(yè)的審計系統(tǒng)所發(fā)現(xiàn)。同時，攻擊者還會做一些深度的滲透，滲透到內(nèi)部，控制更多的主機(jī)之后，他可能會潛伏下來，即使他工作的這臺主機(jī)被發(fā)現(xiàn)，還可以利用其他主機(jī)再來持續(xù)的控制，這樣他就能長期的控制受害目標(biāo)。

2010年，全球公布4651個漏洞，2011年公布4155個漏洞，2012年公布5297個漏洞，2013年(截止6月)公布2096個漏洞。漏洞嚴(yán)重程度以Adobe居首。每年公開的漏洞就有這么多，實際上被攻擊者掌握的、沒被公開的的漏洞更是無法統(tǒng)計。微軟發(fā)布的報告顯示，這些公開的漏洞被廣泛的利用在攻擊當(dāng)中。

這里有一個重點問題，就是為什么我們檢測不到這種攻擊呢?2013年，美國知名安全培訓(xùn)與研究機(jī)構(gòu)SANS針對多款主流IPS進(jìn)行測試，使用5年前的老漏洞MS08-067，采用了變形攻擊手段，結(jié)果沒有一個IPS能檢測出變形的攻擊。這說明我們現(xiàn)在檢測的能力、體系已經(jīng)遠(yuǎn)遠(yuǎn)滯后于攻擊技術(shù)。

另一個案例是，2013年JAVA 0DAY暴露出來，產(chǎn)生了10多個變形樣本，漏洞發(fā)布者使用所有主流殺毒軟件來檢測這些樣本，大部分都只檢測到0個樣本，最高的也就檢測出來兩個攻擊的樣本。

為什么傳統(tǒng)的技術(shù)檢測不到APT呢?這是因為傳統(tǒng)的檢測技術(shù)主要在網(wǎng)絡(luò)邊界和主機(jī)邊界進(jìn)行檢測。在網(wǎng)絡(luò)邊界我們主要靠防火墻，而防火墻并不能識別通道上的負(fù)載是惡意的還是善意的。而IDS、IPS雖然可以識別，但是它們基于的技術(shù)是已知威脅的簽名，當(dāng)這個威脅發(fā)生了，我們知道了，我們?nèi)シ治鏊奶卣?，然后把這個特征抽取出來，我們對它進(jìn)行檢測。這種方法的問題是：第一，它檢測不到未知的漏洞、新的木馬;第二，攻擊者很容易對漏洞的定義方法和木馬進(jìn)行變形，就檢測不到了。在主機(jī)邊界，殺毒軟件也存在同樣的問題。這就是當(dāng)前檢測體系存在的最核心的問題。