一、什么是下一代威脅

下一代威脅主要是指攻擊者采取了現(xiàn)有檢測體系難以檢測的方式(未知漏洞利用、已知漏洞變形、特種木馬等)，組合各種其他手段(社會工程、釣魚、供應鏈植入等)，有針對性的針對目標發(fā)起的攻擊。這種攻擊能有效穿透大多數(shù)的公司的內(nèi)網(wǎng)防御體系，攻擊者成功控制了內(nèi)網(wǎng)主機之后，再進行內(nèi)部滲透或收集信息的攻擊模式。

0DAY漏洞威脅：0DAY漏洞由于系統(tǒng)還未修補，而大多數(shù)用戶、廠商也不知道漏洞的存在，因此是攻擊者入侵系統(tǒng)的利器。也有很多利用已修復的漏洞，但由于補丁修復不普遍(如第三方軟件)，通過變形繞過現(xiàn)有基于簽名的檢測體系而發(fā)起攻擊的案例。

多態(tài)病毒木馬威脅：已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬，而惡意代碼開發(fā)者也還在不斷開發(fā)新的功能更強大的病毒和木馬，他們可以繞過現(xiàn)有基于簽名的檢測體系發(fā)起攻擊。

混合性威脅：攻擊者混合多種路徑、手段和目標來發(fā)起攻擊，如果防御體系中存在著一個薄弱點就會被攻破，而現(xiàn)有安全防御體系之間缺乏關(guān)聯(lián)而是獨立防御，及時一個路徑上檢測到威脅也無法將信息共享給其他的檢測路徑。

定向攻擊威脅：攻擊者發(fā)起針對具體目標的攻擊，大多數(shù)情況下是從郵件、IM、SNS發(fā)起，因為這些系統(tǒng)賬戶背后標記的都是一個真實固定的一個人，而定向到人與他周邊的關(guān)系，是可以在和攻擊者目標相關(guān)的人與系統(tǒng)建立一個路徑關(guān)系。定向攻擊如果是小范圍發(fā)起，并和多種滲透手段組合起來，就是一種APT攻擊，不過定向攻擊也有大范圍發(fā)起的，這種情況下攻擊者處于成本和曝光風險考慮，攻擊者往往使用已知的安全漏洞來大規(guī)模發(fā)起，用于撒網(wǎng)和撈魚(攻擊一大片潛在受害者，再從成功攻擊中查找有價值目標或作為APT攻擊的滲透路徑點)。

APT威脅： APT威脅是以上各種手段(甚至包括傳統(tǒng)間諜等非IT技術(shù)手段)的組合，威脅最大的威脅。他是有組織黑客團隊精心策劃，為了攻擊者認定的目標，長期持續(xù)的攻擊行為。攻擊者一旦攻入系統(tǒng)，會給受害者帶來重大的損失(但受害者可能感受不到)，而且會長期持續(xù)的控制、竊取系統(tǒng)信息，關(guān)鍵時也可能大范圍破壞系統(tǒng)。APT攻擊，其實是一種網(wǎng)絡情報、間諜和軍事行為。很多時候，APT都具備著國家和有政治目的組織的背景，但為了商業(yè)、知識產(chǎn)權(quán)和經(jīng)濟目的的APT攻擊，也不少見。#p#

二、APT(高級持續(xù)性威脅)

APT攻擊，特別是具有國家和組織背景的APT攻擊，無疑將是伴隨信息IT化和網(wǎng)絡化深入到人類生活每個領(lǐng)域之后，將要遇到的最具威脅的挑戰(zhàn)。

APT攻擊是指融合情報、黑客技術(shù)、社會工程等各種手段，針對有價值的信息資產(chǎn)或通過IT系統(tǒng)控制的重要控制系統(tǒng)，發(fā)起的復雜而專業(yè)攻擊。由于IT系統(tǒng)復雜性，目前還沒有很好的檢測措施完全發(fā)現(xiàn)IT產(chǎn)品中的后門、漏洞以及應用運行時的可信性，利用IT發(fā)起的攻擊已經(jīng)有很長的歷史了，如美國在天然氣系統(tǒng)中植入木馬引發(fā)1985年前蘇聯(lián)西伯利亞天然氣大爆炸、在海灣戰(zhàn)爭中通過打印機芯片植入定位系統(tǒng)指導轟炸伊拉克重要目標，都成為重要的國家級作戰(zhàn)手段。

隨著IT深入發(fā)展，各種行業(yè)、各個企業(yè)都不可避免越來越深入的依賴于IT系統(tǒng)。利用攻入IT系統(tǒng)竊取情報與知識產(chǎn)權(quán)、篡改數(shù)據(jù)獲取收益、監(jiān)控和獲取個人隱私、控制重要系統(tǒng)獲得戰(zhàn)略控制或大面積破壞，已經(jīng)成為國家、組織和個人可以看得到的重大利益。于是APT在21世紀開始蓬勃發(fā)展起來，除了國家級的軍事政治目標外，能源、公共服務、科研、大型企業(yè)、金融、大型站點等有重要信息資產(chǎn)的部門，都成為APT指向的目標，而大量IT系統(tǒng)和應用的安全漏洞與缺陷、安全意識的薄弱和攻擊技術(shù)普通人難以理解、加之缺乏惡意客戶判定的標準、程序的黑盒性，為APT攻擊提供著無窮盡的彈藥和成功保證，而無須非得象以前需要通過供應鏈來植入木馬和后門。而IT系統(tǒng)的損失難以感知的特性(信息資產(chǎn)的可拷貝性讓很多損失者不知損失，即使感知到損失，由于缺乏關(guān)聯(lián)性，受害者也不一定清楚是IT安全問題導致的)又讓受害者一直活在安全的假象中難以察覺，于是APT攻擊愈演愈烈，美國2013年國會聽證會上的評估，美國因為網(wǎng)絡攻擊導致的知識產(chǎn)權(quán)的損失(這大部分是通過APT攻擊來獲取的)每年高達3000億美金(注1)。

但是伴隨著APT攻擊造成的重大損失的同時，是傳統(tǒng)安全檢測與防御手段針對APT攻擊的無能為力。從國家級的核設(shè)施網(wǎng)絡到美國NASA，從世界互聯(lián)網(wǎng)巨頭GOOGLE到安全公司翹楚RSA，無一不是APT攻擊的受害者。如果說他們的安全做的不好，那世界上又有幾家能說比他們的安全做的更好呢?APT劍指之下，沒有那個部門能幸免，美國前國土安全部部長Michael Chertoff說："There are two types of people: those who've been hacked and those who don't know they've been hacked" (注2)，就是這一現(xiàn)實的寫照。試想一下，當攻擊者可以肆意進出和控制軍事指揮系統(tǒng)、核系統(tǒng)、能源系統(tǒng)、交通指揮系統(tǒng)、金融系統(tǒng)，除了信息的安全，我們實體的財產(chǎn)與生命安全，也變得無比脆弱。#p#

三、APT攻擊環(huán)節(jié)與技術(shù)手段

APT攻擊可以分為大的三個環(huán)節(jié)，每個環(huán)節(jié)又會干一些具體的工作內(nèi)容，如下圖：

三個環(huán)節(jié)其實是混雜互相交織在一起的，并沒有嚴格的分界線的，這里分開，主要是為了從技術(shù)環(huán)節(jié)做更好的分析。另外每個環(huán)節(jié)，攻擊者都可能發(fā)起多次甚至持續(xù)多年而并非單獨一次，這取決于攻擊者意愿、被攻擊的目標價值、攻擊者已經(jīng)得手的情況而定。

在攻擊前奏環(huán)節(jié)，攻擊者主要是做入侵前的準備工作。主要是：

收集信息：了解被攻擊目標的IT環(huán)境、保護體系、人際關(guān)系、可能的重要資產(chǎn)等信息，用于指導制定入侵方案，開發(fā)特定的攻擊工具。在收集信息時，攻擊者可以利用多種方式來收集信息，主要有：

◆網(wǎng)絡公開信息收集，如通過搜索引擎、企業(yè)站點、社交網(wǎng)站等公開的信息來收集分析攻擊者需要的信息

◆通過地下售賣的大型站點的用戶數(shù)據(jù)獲取信息，由于各種站點自身的安全性比較薄弱，一些入侵站點為主的黑客會入侵獲得他們的用戶資料庫然后地下售賣，如CSDN用戶注冊資料泄露事件(注3)，其實就是黑客早已竊取并售賣多次的數(shù)據(jù)庫，失去價值后公開的，攻擊者可以通過獲取這些數(shù)據(jù)庫獲得需要的數(shù)據(jù)。

◆釣魚收集：攻擊者通過郵件和IM，發(fā)送一個正常的URL并吸引對方(如針對技術(shù)人員提供技術(shù)資料站點，高端人才招聘站點)，用戶打開后也是一個正常有價值的站點，但是利用URL參數(shù)，攻擊者可以標記郵件關(guān)聯(lián)的人，再利用瀏覽器本身支持的功能可以收集用戶使用的操作系統(tǒng)、瀏覽器和版本的信息。高級一些的，還可以利用ACTIVEX創(chuàng)建對象和路徑加載探測技術(shù)，準確判定用戶安裝的各種應用環(huán)境，特別是客戶端安全防護軟件和一些常見的本地應用，這些都是可以用來指導攻擊者精確攻擊和繞開常規(guī)檢測的信息。

◆人肉搜集：通過偽冒、套話，通過IM、郵件、電話甚至人身接近，配合社工獲得更多的信息。

◆嗅探：如果攻擊者可以解除到被攻擊目標的網(wǎng)絡(如托管WEB站點，攻擊者可以入侵甚至自己也托管一臺同網(wǎng)段主機進行嗅探獲得信息，如無線網(wǎng)絡，攻擊者可以在附近嗅探獲得信息)。

◆掃描：利用掃描技術(shù)，攻擊者可以獲得網(wǎng)絡和開放服務的一些信息。

◆信息收集是貫穿全攻擊生命周期的，攻擊者在攻擊計劃中每獲得一個新的控制點，就能掌握更多的信息，指導后續(xù)的攻擊。#p#

技術(shù)準備：根據(jù)獲取的信息，攻擊者做相應的技術(shù)湊合，主要有：

◆入侵路徑設(shè)計并選定初始目標：攻擊者設(shè)計一個攻擊路徑，通過多層的滲透，逐步達到攻擊者希望獲取的資產(chǎn)上。當然這個路徑會隨實施情形變化或更多信息產(chǎn)生改變。

◆漏洞和利用代碼：攻擊者發(fā)送直接木馬過去成功率比較低，被發(fā)現(xiàn)率比較高，所以攻擊者一般會借助應用的漏洞來發(fā)起攻擊。當然，利用漏洞入侵受害者可信的服務器再通過篡改可信服務器上的可信程序植入或推送木馬也是常見的手段，也有直接發(fā)送木馬或綁定木馬的文檔再利用社工欺騙用戶打開的案例。但整體來說，利用漏洞的欺騙性更強一些，安全意識高的用戶也容易中招而難以察覺，安全防御軟件也難以檢測，特別是利用攻擊者自己挖掘的0DAY漏洞。所以攻擊者會根據(jù)受害者的應用環(huán)境，選擇攻擊者手上掌握的漏洞和利用代碼，構(gòu)造成看起來無害的東西如WORD文檔、WEB頁面。

◆木馬：最終攻擊者需要植入木馬到被控制者機器中，但已知廣泛傳播的木馬被檢測率比較高，所以攻擊者需要根據(jù)掌握的信息，定制開發(fā)木馬并確保不被受害者主機上安裝的安全軟件查殺出來。攻擊者可以在漏洞和利用代碼那一層就做對抗如關(guān)閉這些軟件，也可以在木馬本身這一層做對抗繞過查殺。

◆漏洞和利用代碼和木馬，我們統(tǒng)稱為攻擊負載。

◆控制服務器和跳板：除了對系統(tǒng)做純破壞類的入侵，大多數(shù)的攻擊，攻擊者都會將竊取信息回傳回來，所以需要開發(fā)特定的控制服務器，與木馬進行通訊，來下發(fā)指令、實施內(nèi)部滲透、獲得竊取的信息，為了繞過檢測，還會模擬內(nèi)網(wǎng)常見協(xié)議如DNS、HTTP、HTTPS并進行加密。另外為了躲避追查，無論是攻擊和控制，攻擊者都需要利用1，2個不同國家已被攻擊者控制的受害機器(俗稱肉雞)做跳板(當然越多越不易追查到攻擊者源IP地址，但越多性能越差)。#p#

外圍滲透準備：攻擊者會入侵一些外圍目標，這些受害者本身不是攻擊者攻擊的目標，但因為可以被攻擊者用來做跳板、社工跳板、大規(guī)模拒絕服務機器、相關(guān)信息獲取等而被入侵：

◆入侵實際攻擊目標可信的外部用戶主機：這樣攻擊者可以以可信的身份(如QQ、MSN)向攻擊目標發(fā)送攻擊負載或可以物理接近被攻擊者設(shè)施實體(如震網(wǎng)攻擊中一種入侵方式就是入侵核電站工作人員家庭主機，當工作人員將工作U盤接入家庭主機時，震網(wǎng)將利用漏洞可以攻擊核電站系統(tǒng)的攻擊負載傳遞到U盤上)。

◆入侵實際攻擊目標可信的外部用戶的各種系統(tǒng)賬戶：這樣攻擊者可以以可信的身份(如郵件地址，SNS的賬戶)向攻擊目標發(fā)送攻擊負載。

◆入侵實際攻擊目標可信的外部服務器：這樣攻擊者可以利用可信下載、可信自動推送向攻擊目標發(fā)送攻擊負載。

◆入侵實際攻擊目標可信的外部基礎(chǔ)設(shè)施：攻擊者可以獲得可信的外部基礎(chǔ)的身份和認證，特別是數(shù)字簽名和加密種子。一個可以將自己的攻擊負載打上可信任的標簽繞過檢測，一個可以直接破解身份認證系統(tǒng)和加密數(shù)據(jù)。據(jù)估計，最近幾年，APT攻擊已經(jīng)獲取了大量的外部基礎(chǔ)設(shè)施的證書和加密種子(暴露出來的如RSA種子失竊(注4)，賽門鐵克證書失竊(注5)，荷蘭證書公司證書失竊(注6))，這讓APT檢測更加困難。#p#

在入侵實施環(huán)節(jié)，攻擊者針對實際的攻擊目標，展開攻擊，主要內(nèi)容有：

利用常規(guī)手段入侵：攻擊者利用常規(guī)的手段，將惡意代碼植入到系統(tǒng)中，常見的做法有：

◆通過病毒傳播感染目標

◆通過薄弱安全意識和薄弱的安全管理控制目標

◆通過社會工程：利用人性的弱點發(fā)送惡意代碼，欺騙用戶打開執(zhí)行惡意代碼。

◆通過供應鏈植入：攻擊者控制了供應鏈某一環(huán)節(jié)，通過這一環(huán)節(jié)植入惡意代碼進系統(tǒng)，當系統(tǒng)交付給最終用戶后，攻擊者就可以通過惡意代碼控制最終用戶的系統(tǒng)。這是掌握一定資源的國家和組織經(jīng)常會采取的手法，最近也出現(xiàn)了一些新的方式，如購買手機植入木馬后贈送或意外留給目標，發(fā)行盜版光盤或免費應用植入到目標中，甚至某些國家的部門或組織出現(xiàn)了派遣員工去有名的廠商那里臥底(注7)，然后植入后門、木馬或漏洞，然后控制最終用戶系統(tǒng)的事件。

利用缺陷入侵：缺陷是指IT系統(tǒng)中廣泛事實存在且已知，但由于修復成本很高或短期內(nèi)難以替代的問題，如

◆默認密碼：大多數(shù)系統(tǒng)都提供默認用戶和默認密碼，很多用戶并不會去更新密碼，導致攻擊者可以直接使用。

◆弱密碼：大多數(shù)用戶使用位數(shù)不多、沒有字符集變化、自身相關(guān)信息的密碼，很容易被攻擊者猜解。

◆默認配置和錯誤配置：大多數(shù)系統(tǒng)默認配置會暴露很多信息并增大攻擊面，用戶也不清楚一些功能會帶來的潛在風險，攻擊者會利用這些缺陷發(fā)起攻擊。

◆脆弱計算機和網(wǎng)絡環(huán)境和協(xié)議：我們的網(wǎng)絡環(huán)境、認證協(xié)議、常見的加密算法強度本身存在很多問題，如ARP、DHCP都可以被同網(wǎng)主機輕易劫持，大多數(shù)的認證協(xié)議都可以被中間人劫持，很多協(xié)議算法強度不夠，利用這些問題，攻擊者可以發(fā)起攻擊。#p#

利用漏洞入侵：這是專業(yè)黑客對付重點目標常用的方式，重點目標的安全防護意識和意識，以及管理制度都比較完善，單靠前面的方式不容易湊效，攻擊者會利用系統(tǒng)中存在的安全漏洞，特別是攻擊者自己通過研究發(fā)現(xiàn)而其他人不知道的安全漏洞(0DAY漏洞)發(fā)起攻擊，由于這類攻擊使用看起來合法的業(yè)務數(shù)據(jù)為載體(如DOC文檔)，受害者難以察覺攻擊者的攻擊，從業(yè)務管理規(guī)范上也很難避免不打開使用，因此成為APT入侵的主要載體。主要有：

◆桌面文件處理類漏洞：利用常見數(shù)據(jù)文件處理(如DOC、PPT、PDF、FLASH、XLS、音頻、視頻)等應用的安全漏洞，攻擊者發(fā)送數(shù)據(jù)文件(通過郵件、IM、下載等)吸引用戶打開，以此來發(fā)起攻擊。這是最常見入侵目標內(nèi)網(wǎng)主機的手段，如RSA的令牌種子被竊取事件就是攻擊者利用了XLS文件里包含一個FLASH的0DAY漏洞發(fā)起的(注8)。

◆瀏覽器類漏洞：利用瀏覽器處理HTML的安全漏洞或常見ACTIVEX控件安全漏洞、瀏覽器直接支持打開的數(shù)據(jù)文件應用的安全漏洞，攻擊者發(fā)送URL(通過郵件、IM)或入侵特定站點(如大型公開站點、目標是用的內(nèi)部站點)上掛馬，以此來發(fā)起攻擊。這也是一種常見入侵目標內(nèi)網(wǎng)主機的手段，如GOOGLE被極光攻擊入侵內(nèi)容竊取了GMAIL多個郵箱敏感信息的事件就是攻擊者利用了IE7 CSS 0DAY漏洞發(fā)起的(注9)。

◆桌面網(wǎng)絡應用漏洞：利用IM、P2P等常見網(wǎng)絡客戶端的安全漏洞，攻擊者發(fā)送相關(guān)的功能、報文，以此來發(fā)起攻擊。

◆網(wǎng)絡服務類漏洞：利用網(wǎng)絡服務端的安全漏洞，攻擊者發(fā)送相關(guān)的功能、報文，以此來發(fā)起攻擊。

◆系統(tǒng)邏輯類漏洞：利用系統(tǒng)邏輯處理相關(guān)的安全漏洞，攻擊者構(gòu)造相應的觸發(fā)環(huán)境，以此來發(fā)起攻擊。如入侵伊朗核電站的震網(wǎng)攻擊事件就是攻擊者利用了WINDOWS DLL加載次序的邏輯漏洞發(fā)起的(注10)。

◆對抗類漏洞：利用安全防護和檢測軟件的安全漏洞，攻擊者可以繞過、逃逸、關(guān)閉掉相應的安全防護和檢測軟件。

◆本地提權(quán)漏洞：利用主機高權(quán)限組件或邏輯檢測的安全漏洞，攻擊者可以獲取更高的權(quán)限。此類攻擊一般是攻擊者已經(jīng)通過前述手段獲得了一個初步的權(quán)限之后發(fā)起的。

除了以上幾類針對內(nèi)容主機的入侵漏洞，也有如下一些漏洞類型來發(fā)起周邊一些的攻擊。

◆WEB類攻擊漏洞：分2類，一類是針對WEB站點自身的安全漏洞，如SQL注射、包含等漏洞，攻擊者以此入侵WEB站點，通過對WEB站點上的資源進行篡改(在下載程序里綁木馬、在頁面上掛觸發(fā)瀏覽器漏洞的HTML內(nèi)容等)，再發(fā)起針對內(nèi)網(wǎng)主機的攻擊。一類是針對WEB站點自身有敏感信息發(fā)起，利用XSS、CSRF漏洞，攻擊者可以獲取受害者在WEB站點上的身份或修改其配置以訪問這些敏感信息，之后再發(fā)起攻擊。

◆網(wǎng)絡設(shè)備安全漏洞：還有針對網(wǎng)絡設(shè)備發(fā)起的安全漏洞，如網(wǎng)絡設(shè)備的管理端使用了WEB管理方式，利用WEB漏洞可以發(fā)起攻擊，網(wǎng)絡設(shè)備自身協(xié)議、數(shù)據(jù)處理、功能設(shè)計、配置弱點等，也可以讓攻擊者直接控制網(wǎng)絡設(shè)備。攻擊者控制了網(wǎng)絡設(shè)備后，可以修改如DNS，路由表控制，可以劫持流量到攻擊者控制的中間設(shè)備上以獲得敏感信息，一些高端的路由設(shè)備，攻擊者也可以完全控制以運行木馬實現(xiàn)更特定的功能。

以上三個環(huán)節(jié)，并非是必須的，攻擊者可以只用其中一個兩個就達成了入侵，也可能多個復雜的手段組合起來(多個攻擊行為依次組合和一個攻擊行為復合組合都有可能，前者如利用缺陷猜解出云備份帳號后將備份程序篡改植入木馬，后者如利用默認密碼配合CSRF漏洞劫持被害目標路由器DNS服務器配置)實施入侵，這取決于被攻擊目標的防護能力與安全意識。

SHELLCODE執(zhí)行：大多數(shù)情況攻擊者利用漏洞觸發(fā)成功后，攻擊者可以在漏洞觸發(fā)的應用母體內(nèi)執(zhí)行一段特定的代碼(由于這段代碼在受信應用空間內(nèi)執(zhí)行，很難被檢測)，實現(xiàn)提權(quán)、桌面安全軟件對抗之后，植入木馬。

木馬植入：從攻擊者目標來說，APT攻擊者最終是希望最終在受害主機上植入(但也有一些例外，如只針對WEB系統(tǒng)帳戶攻擊，攻擊者以拿到身份可以訪問WEB敏感資源為主要目的，如針對路由器攻擊，攻擊者以能修改配置和啟用路由器特定功能，達到路由路徑劫持進而拿到敏感數(shù)據(jù)為主要目的)

◆遠程下載植入：攻擊者可能遠程下載一個木馬，安裝進受害者的系統(tǒng)。

◆綁定文檔植入：攻擊者可能在觸發(fā)漏洞的文檔或直接在文檔中綁定一個木馬，漏洞觸發(fā)后釋放或欺騙用戶點擊鏈接，安裝進受害者的系統(tǒng)。

◆綁定程序植入：攻擊者可能在一個合法程序中綁定一個木馬，利用合法程序執(zhí)行時，安裝進受害者的系統(tǒng)。

◆激活后門和木馬：利用供應鏈等方式，攻擊者可能事先在受害者機器中已經(jīng)植入了木馬、后門，然后通過特定的方式激活他們。

滲透提權(quán)：攻擊者控制了內(nèi)網(wǎng)某個用戶的一臺主機控制權(quán)之后，對攻擊者要獲取的目標，還需要在內(nèi)部進行滲透和提權(quán)。

◆立足點：攻擊者控制了內(nèi)網(wǎng)某個用戶的一臺主機控制權(quán)之后，相當于獲得了一個內(nèi)網(wǎng)的立足點，而內(nèi)網(wǎng)一旦進入突破了安全邊界之后后，內(nèi)部安全防御就再難以檢測和防御。

◆滲透：攻擊者可以組合以上各種手段，如社會工程、文件共享服務器篡改程序、本地嗅探、SMB中繼欺騙、漏洞等等，對內(nèi)網(wǎng)內(nèi)的其他主機發(fā)起攻擊，獲得更多主機的控制。

◆特權(quán)獲?。汗粽咄ㄟ^更多主機的控制，逐步滲透到目標資產(chǎn)存放主機或有特權(quán)訪問攻擊者目標資產(chǎn)的主機上。那么到此攻擊者已經(jīng)成功完成了入侵。#p#

在后續(xù)攻擊環(huán)節(jié)，攻擊者竊取大量的信息資產(chǎn)或進行破壞，同時還在內(nèi)部深度的滲透以保證發(fā)現(xiàn)后難以全部清除(典型案例如韓國農(nóng)協(xié)銀行，2011年4月被攻擊者大規(guī)模破壞損失慘重(注11)，而這次320事件(注12)，他的服務器又成為攻擊者控制服務器)，主要環(huán)節(jié)有：

價值信息收集：攻擊者利用掌握到的權(quán)限和資源，從中分析和收集對攻擊者有價值的信息。

傳送與控制：獲取到的信息，攻擊者將其傳回攻擊者控制的外部服務器。為了逃逸檢測和審計，一般會模擬網(wǎng)絡上一些常見公開的協(xié)議，并將數(shù)據(jù)進行加密。一些木馬還有長期控制并和外部服務器進行通訊，按外部服務器下發(fā)的指令進行操作、升級的能力。另外針對隔離的網(wǎng)絡，攻擊者一般使用移動介質(zhì)擺渡的方式，進行數(shù)據(jù)的傳送。

等待與破壞：一些破壞性木馬，不需要傳送和控制，就可以進行長期潛伏和等待，并按照事先確定的邏輯條件，觸發(fā)破壞流程：如震網(wǎng)，檢測到可能是伊朗核電站的環(huán)境就修改離心機轉(zhuǎn)速進行破壞。

深度滲透：攻擊者為了長期控制，保證再被受害者發(fā)現(xiàn)后還能復活，攻擊者會滲透周邊的一些機器，然后植入木馬。但該木馬可能處于非激活狀態(tài)，檢測和判斷網(wǎng)絡上是否有存活的木馬，如果有則繼續(xù)潛伏避免被檢測到，如果沒有了，則啟動工作。2011年4月韓國農(nóng)協(xié)銀行被黑客入侵大規(guī)模破壞，之后韓國農(nóng)協(xié)銀行進行了處置，但2013年320事件，攻擊者依然使用韓國農(nóng)協(xié)銀行的內(nèi)部主機做攻擊其他機構(gòu)的控制端，很有可能就是攻擊者通過深度滲透潛伏下來，在11年事件大面積處置后還能復活繼續(xù)控制韓國農(nóng)協(xié)銀行的內(nèi)部網(wǎng)絡。

痕跡抹除：為了避免被發(fā)現(xiàn)，攻擊者需要做很多痕跡抹除的工作，主要是去掉一些日志，躲避一些常規(guī)的檢測手段等。#p#

四、APT的特點

巨大利益驅(qū)動：隨著IT深入的發(fā)展和互聯(lián)網(wǎng)經(jīng)濟模式，入侵IT信息資產(chǎn)可以獲得巨大的政治經(jīng)濟軍事利益，而IT系統(tǒng)本身的脆弱性使得入侵不僅成為可能而且成本也相對其他傳統(tǒng)間諜等手段有優(yōu)勢。傳統(tǒng)的威脅更多以炫耀、惡作劇為主，即使有經(jīng)濟利益驅(qū)動，也大多是針對個人資產(chǎn)為主的威脅，而下一代威脅，則是在直接針對國家、組織、企業(yè)當中最核心的信息資產(chǎn)而發(fā)起，一旦得手，攻擊者獲取的收益和受害者遭受到的損失，都是傳統(tǒng)威脅難以比肩的。

專業(yè)性與隱蔽性：攻擊者為了對抗現(xiàn)有的安全防御體系，需要有專業(yè)分工的人員來實施攻擊，在情報收集與分析、漏洞挖掘、漏洞利用、木馬編寫與對抗、攻擊發(fā)起與痕跡抹除、敏感信息收集分析與竊取等方面，都會有專業(yè)的人員。而為了長期獲得收益并避免被發(fā)現(xiàn)，攻擊者選擇精確受控的目標發(fā)起，減少受害者和防御者通過大規(guī)模異?，F(xiàn)象發(fā)現(xiàn)的可能，進入系統(tǒng)后都會實施專業(yè)的痕跡抹除工作，讓發(fā)現(xiàn)和取證變得更困難。因此很多時候用戶對這些攻擊是難以感知的(包括行為和危害)，即使感知到了危害也并不一定知道是自己IT系統(tǒng)被入侵導致的危害。

廣泛覆蓋性：攻擊者雖然針對高價值資產(chǎn)，但是并非只有特定的幾個行業(yè)才是受害目標，除了軍事政治相關(guān)的領(lǐng)域，科研、醫(yī)療、金融、能源等相關(guān)領(lǐng)域也是重災區(qū)，大中型企業(yè)遭受APT攻擊也不鮮見，針對小企業(yè)和個人，出于APT攻擊路徑的考慮，也經(jīng)常成為APT的跳板目標。而隨著APT技術(shù)的普及，也有一些直接以小企業(yè)為最終攻擊目標的案例(如已經(jīng)發(fā)生過多起的通過控制外貿(mào)企業(yè)的郵箱后通知客戶的賬戶變更到攻擊者控制的賬戶上去)#p#

五、APT可能演化的一些技術(shù)方向

APT攻擊無疑會成為未來長期存在的威脅，并且會隨著IT環(huán)境的演化和攻擊對抗的現(xiàn)實而不斷演化：

云惡意下發(fā)模式：攻擊者下載的木馬本身并不含惡意行為，而是一個有簽名有正常功能的程序(甚至可能獲得了可信認證)，利用這個程序，定期和攻擊者控制的服務器(展現(xiàn)給用戶可以是一個升級服務器)通訊，下載策略與代碼數(shù)據(jù)(也可以使用已有程序的合法功能模塊拼接而成)，在內(nèi)存中組合成實際的惡意代碼并執(zhí)行，執(zhí)行完后刪除。這種方式由于不存在惡意文件實體，難以靜態(tài)或虛擬機動態(tài)檢測。我們已經(jīng)檢測到一些惡意移動應用采用了這樣的手法，其實用于APT攻擊者，也是非常有力的手段。

移動結(jié)合：移動目前已經(jīng)深入大眾生活和企業(yè)環(huán)境，而移動的安全性又更加脆弱，攻擊者可以通過移動設(shè)備跳入到內(nèi)網(wǎng)主機上，也可以通過內(nèi)網(wǎng)主機跳入到移動設(shè)備上。由于移動設(shè)備的隱私和人際身份的認同，控制了移動設(shè)備后可以獲得比較敏感的隱私信息，另外可以通過移動設(shè)備發(fā)起社工也更加有效。因此APT攻擊和移動結(jié)合起來，應該是一個趨勢。

網(wǎng)絡設(shè)備：網(wǎng)絡設(shè)備是更基礎(chǔ)的信息點，通過網(wǎng)絡設(shè)備可以長期大范圍的獲取信息、劫持用戶數(shù)據(jù)和行為，因此未來APT攻擊會更多針對網(wǎng)絡設(shè)備發(fā)起，一種方式是通過供應鏈植入木馬或后門(如這次棱鏡曝光的思科路由器)，一種方式是通過漏洞植入木馬或后門?？刂屏司W(wǎng)絡設(shè)備后，可以做的如：流量路徑修改、DNS劫持、下載木馬替換植入、修改安全策略等。

基礎(chǔ)安全設(shè)施：其實這個不是方向了而是有很多案例了，但是未來這個可能是APT攻擊更關(guān)注的方面。通過入侵基礎(chǔ)安全設(shè)施獲得的東西，可以大量發(fā)起攻擊且很難檢測，比如竊取到站點的次根級證書，可以無感監(jiān)聽加密流量，竊取到數(shù)字簽名，可以以大廠商軟件和補丁身份植入而且逃逸檢測，竊取到RSA令牌的種子，可以輕易破解RSA令牌的身份認證等。

WEB組合：針對WEB的攻擊手段，其實也是APT攻擊組合的手段。一是入侵了受害者可信的WEB站點，可以通過這個站點掛馬、篡改下載程序、收集敏感信息等方式更容易針對內(nèi)網(wǎng)發(fā)起攻擊。二是通過XSS、CSRF可以獲得外部WEB站點(如郵箱服務)可信的賬號身份和敏感信息。三是通過XSS、CSRF攻擊也可以攻擊內(nèi)網(wǎng)有WEB管理接口的內(nèi)網(wǎng)網(wǎng)絡、安全、管理設(shè)備，如最近曝光的攻擊者利用路由器的默認密碼和CSRF漏洞，攻擊了國內(nèi)上百萬的家庭路由器并修改其DNS配置指向攻擊者控制的DNS服務器(注13)，這樣攻擊者就可以發(fā)起DNS劫持攻擊，進一步獲得用戶的數(shù)據(jù)，篡改數(shù)據(jù)和行為，以及欺騙用戶下載惡意程序等。

傳統(tǒng)手段組合：我們把APT行為定性為基于網(wǎng)絡攻擊技術(shù)的網(wǎng)絡情報和間諜行為，傳統(tǒng)的情報和間諜，如收買、近身接觸、實體竊取等，和APT手段組合起來，可能會產(chǎn)生更大的威力。