詳細解密APT攻擊過程

　　一般的信息安全解決方案可以對抗高級持續性攻擊（Advanced Persistent Threat，APT ）嗎？ APT是為了從組織內部搜集特定檔案“特別”設計出來的嗎？資料外洩事件是APT造成的嗎？應該說APT攻擊是由“人”所發起的攻擊，因此他們是智慧的、積極的找尋並最終攻陷目標，那麼，今天IT團隊以及他們的網絡所面臨的挑戰將會更加殘酷。

　　為了有效的幫助企業制訂對抗APT的安全策略，趨勢科技TrendLab經過充分調查，采用直觀的數據圖表方式來說明了APT在各個階段所表現的形態。根據APT攻擊行為的特點分析，趨勢科技的研究人員將APT攻擊分為如下幾個階段，它們是：情報收集、進入點、命令和控制（C＆C）通訊、橫向擴展、資產/數據發掘和數據竊取。

　　通過對APT各階段攻擊的分析，IT團隊可以了解到黑客對自己網絡發動攻擊時用到的戰術和操作。這種分析有助於觀察黑客從特定網絡所發動攻擊的行為，並結合內部系統存在的安全隱患，建立本地威脅防御體系和動態的安全策略，這是消除由同一伙黑客或是同一類型APT攻擊的關鍵。

　　在現實狀況下，要處理APT各階段的攻擊比一般的網絡攻擊要更加困難。比如說：在資產/數據發掘階段，此時攻擊者已經進到網絡內部，他們尋找並分析哪些數據具有價值，並加以利用。根據一項調查顯示，雖然公司的機密信息占全部數據的三分之二，但是只有一半的企業會針對此種威脅安排信息安全建設預算，信息安全有時也會淪為了“討價還價”的范圍。

　　解密APT攻擊過程全貌

　　第1階段，情報收集：攻擊者會鎖定的公司和資源采用針對性APT攻擊，通常將目標鎖定到企業員工的身上作為開端，並通過社交工程攻擊開啟一連串攻擊。而在調查數據中，只有31%的企業會懲處將公司機密資料貼到社區網站上的員工，這樣使得黑客非常容易的就能獲取到目標企業的IT環境和組織架構的重要信息。

　　第2階段，進入點：利用電子郵件、即時通信軟件、社交網絡或是應用程序漏洞找到進入目標網絡的大門。一項研究指出，在87%的組織中，會有網絡用戶點擊黑客安排的網絡鏈接，這些惡意鏈接都是精心設計的APT社交工程的誘餌。

　　第3階段，命令與控制 （C&C 通信）：APT攻擊活動首先在目標網絡中找出放有敏感信息的重要計算機。然後，APT攻擊活動利用網絡通信協議來與C&C服務器通訊，並確認入侵成功的計算機和C&C服務器間保持通訊。

　　第4階段，橫向擴展：在目標網絡中找出放有敏感信息的重要計算機，使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣，讓他可以輕松的去訪問和控制關鍵目標（如：公司的郵件服務器）。