什麼是APT攻擊

　　何為APT攻擊

　　APT（Advanced Persistent Threat）高級持續性威脅顧名思義，這種攻擊行為首先具有極強的隱蔽能力，通常是利用企業或機構網絡中受信的應用程序漏洞來形成攻擊者所需 C&C網絡；其次APT攻擊具有很強的針對性，攻擊觸發之前通常需要收集大量關於用戶業務流程和目標系統使用情況的精確信息，情報收集的過程更是 社工藝術的完美展現；當然針對被攻擊環境的各類0day收集更是必不可少的環節。

　　在已經發生的典型的APT攻擊中，攻擊者經常會針對性的進行為期幾個月甚至更長時間的潛心准備，熟悉用戶網絡壞境，搜集應用程序與業務流程中的安全隱患，定位關鍵信息的存儲位置與通信方式，整個驚心動魄的過程絕不遜於好萊塢巨制《偷天換日》。當一切的准備就緒，攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉移。例如，在某台服務器端成功部署Rootkit後，攻擊者便會通過精心構造的C&C網絡定期回送目標文件進行審查。

　　也許很多IT管理者認為APT攻擊這種長期而復雜的攻擊方式不可能幸運的發生在您所負責網絡中，但在西方先進國家APT攻擊已經成為國家網絡安 全防御戰略的重要環節。例如，美國國防部的High Level網絡作戰原則中，明確指出針對APT攻擊行為的檢測與防御是整個風險管理鏈條中至關重要也是最基礎的組成部分。

　　對於APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰策略，法國人的整條防線便淪落成擺設，至於APT攻擊，任 何疏忽大意都可能為信息系統帶來災難性的破壞。相信您迫切想了解傳統的網絡犯罪集團與APT攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。

　　不難看出APT攻擊更像一支配備了精良武器的特種部隊，這些尖端武器會讓用戶網絡環境中傳統的IPS/IDS、防火牆等安全網關失去應有的防御能力。無論是0day或者精心構造的惡意程序，傳統的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業界熱議的NGFW，利用CA證書自身的缺陷也可讓受信的應用成為網絡入侵的短板。

　　典型的APT攻擊，通常會通過如下途徑入侵到您的網絡當中：

　　通過SQL注入等攻擊手段突破面向外網的Web Server；

　　通過被入侵的Web Server做跳板，對內網的其他服務器或桌面終端進行掃描，並為進一步入侵做准備；

　　通過密碼爆破或者發送欺詐郵件，獲取管理員帳號，並最終突破AD服務器或核心開發環境；

　　被攻擊者的私人郵箱自動發送郵件副本給攻擊者；

　　通過植入惡意軟件，如木馬、後門、Downloader等惡意軟件，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）；