鑒于APT攻擊的對(duì)象和目的可能存在差異，不同的APT攻擊所采用的技術(shù)和方法也存在較大的不同;而且隨著 APT 攻防的升級(jí)，新的攻擊技術(shù)和方法也會(huì)不斷涌現(xiàn)。根據(jù)對(duì)大量APT攻擊事件的跟蹤和分析，我們發(fā)現(xiàn)：雖然 APT 攻擊具有明顯的定制化特征，但是一般來(lái)說(shuō)，所使用技術(shù)和方法的差異主要出現(xiàn)在“突破防線”和“完成任務(wù)”兩個(gè)階段。本文首先枚舉影響較大或者具有顯著特征的 APT 事件，然后歸納出若干我們認(rèn)為應(yīng)該引起業(yè)界重點(diǎn)關(guān)注的新攻擊技術(shù)和方法。

一般來(lái)說(shuō)，攻擊者突破防線的常用技術(shù)包括：水坑+網(wǎng)站掛馬，魚叉式釣魚郵件+客戶端漏洞利用、網(wǎng)站掛馬+URL 社工、服務(wù)端漏洞利用等。

(1) 水坑+網(wǎng)站掛馬 攻擊者收集潛在受害者經(jīng)常訪問(wèn)的網(wǎng)站(水坑)，并尋找這些網(wǎng)站中存在漏洞(攻擊者自己發(fā)現(xiàn)漏洞或通過(guò)黑市購(gòu)買漏洞);通過(guò)存儲(chǔ)型 XSS漏洞在這些網(wǎng)站上植入惡意代碼;等待潛在受害者使用包含漏洞的 Web 客戶端(例如 IE 瀏覽器)訪問(wèn)植入了惡意代碼的網(wǎng)頁(yè)。

(2) 魚叉式釣魚郵件+客戶端漏洞利用 根據(jù)潛在受害者的行業(yè)和愛(ài)好，攻擊者直接向受害者發(fā)送其可能感興趣的電子郵件(電子郵件社工)，這些電子郵件會(huì)包含植入了惡意代碼的附件;一旦潛在受害者使用關(guān)聯(lián)的客戶端工具(包含漏洞)打開(kāi)了惡意附件，則攻擊者就可以利用客戶端漏洞輕易突破防線。

(3) 網(wǎng)站掛馬+URL 社工 攻擊者首先在包含存儲(chǔ)型 XSS 漏洞的某些知名網(wǎng)站上植入惡意代碼;然后將包含惡意代碼的 URL 通過(guò)即時(shí)通訊/電子郵件等方式發(fā)送給潛在受害者(URL 社工);一旦潛在受害者使用包含漏洞的 Web 客戶端(例如IE 瀏覽器)打開(kāi)包含惡意代碼的 URL，則攻擊者就可以利用客戶端漏洞輕易突破防線。

(4) 服務(wù)端漏洞利用 攻擊者利用目標(biāo)網(wǎng)絡(luò)所提供的服務(wù)中存在的 SQL 注入、遠(yuǎn)程溢出等漏洞，直接進(jìn)入目標(biāo)網(wǎng)絡(luò)。鑒于目前網(wǎng)絡(luò)上已經(jīng)或正在部署大量的安全防護(hù)設(shè)備，服務(wù)端漏洞利用的難度越來(lái)越大，因此這種直接的方式會(huì)逐漸減少。

從近幾年的 APT 攻擊事件上來(lái)看，上述技術(shù)仍能很好地工作，因此攻擊者并不急于采用大量更新奇的攻擊技術(shù)，而更多的是在這些技術(shù)的使用策略和方法上下功夫。目前，能夠看到的新攻擊策略和方法主要有以下幾個(gè)方面：

(1) 單漏洞多水坑 攻擊者使用一個(gè)漏洞攻占一個(gè)網(wǎng)站后，并不急于立即使用該網(wǎng)站發(fā)起攻擊，而是在攻占多個(gè)網(wǎng)站后，集中地發(fā)起對(duì)多個(gè)目標(biāo)的攻擊。攻擊者采用這種策略可能有兩方面原因：一是攻擊者為了提高漏洞的利用效率，減少開(kāi)銷;

另一個(gè)可能是不同的攻擊者之間交換漏洞信息，增加可用漏洞儲(chǔ)備。

(2) 更激進(jìn)的魚叉式釣魚 攻擊者不僅發(fā)送魚叉式釣魚郵件，而且緊接著會(huì)使用電話等途徑對(duì)潛在的受害者實(shí)施進(jìn)一步的社工。

(3) 供應(yīng)鏈攻擊 生產(chǎn)力的發(fā)展促進(jìn)社會(huì)分工的細(xì)化，當(dāng)前極少有一個(gè)組織或者行業(yè)能做到完全不依賴于外部環(huán)境。雖然最終目標(biāo)的防護(hù)可能非常堅(jiān)固，但是卻不能保證其供應(yīng)鏈上的每一個(gè)合作伙伴都能達(dá)到同樣的標(biāo)準(zhǔn)。

完成任務(wù)

根據(jù)任務(wù)的性質(zhì)不同，完成任務(wù)所使用的技術(shù)之間必定存在較大的差異。一般來(lái)說(shuō)，信息竊取任務(wù)中使用的主要技術(shù)可能包括：網(wǎng)絡(luò)竊聽(tīng)(通過(guò)網(wǎng)絡(luò)嗅探截獲網(wǎng)絡(luò)上傳輸?shù)馁~戶登錄信息)、擊鍵記錄(通過(guò)文件過(guò)濾驅(qū)動(dòng)竊取用戶輸入的賬戶登錄信息)、信息過(guò)濾(掃描受害主機(jī)磁盤，尋找具有特定擴(kuò)展名或者內(nèi)容的文件)等;而破壞性任務(wù)中使用的主要技術(shù)表現(xiàn)為對(duì) PLC 設(shè)備的物理攻擊。

目前，雖然信息竊取任務(wù)占據(jù)絕對(duì)的主流，但是絕不能排除破壞性任務(wù)增多的可能性。相反，作為信息竊取的一個(gè)合乎邏輯的擴(kuò)展，修改或破壞數(shù)據(jù)，甚至造成物理基礎(chǔ)設(shè)施或設(shè)備損壞的攻擊在未來(lái)幾年可能會(huì)急劇增多。

從最近幾年被公開(kāi)報(bào)道的 APT 攻擊事件上來(lái)看，攻擊者在完成其 APT 攻擊任務(wù)中已經(jīng)采用的新技術(shù)主要有以下幾個(gè)方面：

(1) 屏幕記錄 某些特定的敏感信息可能不方便使用簡(jiǎn)單的文檔方式記錄，例如發(fā)現(xiàn)受害主機(jī)中特定進(jìn)程或者窗口激活情況的信息(這些信息能夠?yàn)樘囟ㄙY產(chǎn)識(shí)別和進(jìn)一步攻擊提供幫助)，可以通過(guò)創(chuàng)建一系列用戶屏幕快照實(shí)現(xiàn)收集。

(2) 交互式操作 攻擊者更多地使用交互式工具，而不是完全自動(dòng)化的工具，來(lái)實(shí)施信息過(guò)濾，確保更隱蔽同時(shí)更精確的外科手術(shù)式信息竊取。

(3) 加密通信 通過(guò)加密網(wǎng)絡(luò)協(xié)議建立與 C&C 服務(wù)器之間的加密連接，躲避常規(guī)的基于特征簽名的安全機(jī)制。

(4) 匿名網(wǎng)絡(luò) 通過(guò) Tor 等匿名網(wǎng)絡(luò)(該網(wǎng)絡(luò)使用一種稱為洋蔥路由的技術(shù)實(shí)現(xiàn)匿名機(jī)制)，隱藏 C&C 服務(wù)器的位置，增加追查的難度。更多細(xì)節(jié)，參考 Icefog[IF]等。

(5) 聲波通信 使用受害主機(jī)上附帶的麥克風(fēng)設(shè)備記錄周圍環(huán)境中的聲波(除了 Stuxnet 中使用可移動(dòng)存儲(chǔ)實(shí)現(xiàn)擺渡攻擊外，通過(guò)聲卡或其它計(jì)算機(jī)自帶物理設(shè)備實(shí)現(xiàn)擺渡攻擊很可能也已經(jīng)出現(xiàn)了)。

(6) 清除痕跡 某些特定的 APT 攻擊會(huì)使用附加的模塊執(zhí)行精心設(shè)計(jì)的清除痕跡子任務(wù)，例如徹底擦除(基本上無(wú)法恢復(fù))攻擊存在的蛛絲馬跡(包括徹底清除擦寫模塊自身存在的證據(jù))，或者大規(guī)模惡意擦寫受害主機(jī)上的文件。