3.1.4 APT攻击

高级持续性威胁（Advanced Persistent Threat, APT）是利用先进的攻击手段对特定目标发起的长期持续性网络攻击。APT攻击通常都有强大的组织支撑，通常用于国家/地区之间的对抗，或者是针对某个组织的特定攻击。APT攻击的方式包括鱼叉攻击、水坑攻击等社会工程学攻击，还包括DDoS、木马、0day漏洞攻击以及针对特定目标定制恶意软件等攻击手段。这种攻击行为往往经过长期的经营与策划，具备高度的隐蔽性。它的攻击手法是在隐匿自己的同时，针对特定对象，长期、有计划、有组织地窃取数据。

很多经典的APT攻击事件的攻击流程都可以分为3个核心阶段。

❍ 第1阶段：采用鱼叉、水坑等攻击方式对特定目标开展社会工程学攻击，并利用0day漏洞植入恶意软件或代码。

❍ 第2阶段：通过恶意代码进行远程监控、信息收集。

❍ 第3阶段：利用恶意代码对内网进行渗透攻击，窃取机密数据或者进行破坏攻击。这些恶意代码通常都是特别定制的武器级恶意代码，携带着不止一个Nday已知漏洞甚至0day未知漏洞。

APT攻击的主要特征如下所示。

❍ 潜伏性

APT可能在用户环境中存在一年以上甚至更久，主要目的是不断收集各种信息，直到收集到重要情报。而黑客发动APT攻击的目的并不是为了在短时间内获利，而是把“被控主机”当成跳板持续搜索，直到能彻底掌握所针对的目标人、事、物等信息。APT攻击实质上是一种“恶意商业间谍威胁”。

❍ 持续性

由于APT攻击具有持续性甚至长达数年的特征，因此网络管理人员很难察觉。在此期间，这种“持续性”体现在攻击者不断尝试各种攻击手段，以及渗透到网络内部后长期蛰伏。

❍ 安装远程控制工具

在APT攻击中，攻击者建立一个类似于僵尸网络（Botnet）的远程控制架构，之后会将有潜在价值的文件副本定期发送给命令和控制（C&C）服务器审查，然后将过滤后的敏感机密数据利用加密的方式外传。

1．解析震网病毒

2010年被发现的震网病毒又名Stuxnet病毒（见图3.4），是一个席卷全球工业界的病毒。截至2011年，震网病毒感染了全球45000个以上的网络，其中伊朗遭到的攻击最为严重。

震网病毒利用了微软操作系统中之前未被发现的4个漏洞，而且由于这种新病毒采取了多种先进技术，因此具有极强的隐身和破坏力。只要将被病毒感染的U盘插入USB接口，震网病毒就会在神不知鬼不觉的情况下（不会出现任何其他操作要求或者提示）取得一些工业用计算机系统的控制权。通常，黑客会利用这些漏洞盗取银行和信用卡信息以获取非法收入。而震网病毒的目的并不是为了赚钱，而且它的研制成本也不低，所以专家们均认为震网病毒出自情报部门。

2．针对韩国金融机构和媒体的APT攻击

2013年3月20日，韩国多家银行和媒体同时遭受攻击，迫使业务运行出现中断，信息系统几乎瘫痪，部分节目制作受到负面影响，电视台工作人员无法使用公司系统；不少银行终端和取款机无法正常运行，银行员工无法正常登录网络开展银行服务。直到四五天后业务才得以恢复。

据分析，攻击者采用了社会工程学攻击，共使用了76个定制的恶意软件，其中包括9个破坏性恶意软件，其余软件用于进行渗透和监控。另外，攻击者通过一家防病毒供应商的管理服务器传播恶意软件，利用合法的更新机制将恶意软件更快地部署到了端点。除了这些手段外，攻击者还对许多个人计算机和Linux服务器发起定制攻击，并通过从受感染的客户端获取服务器登录凭证来发起远程攻击。

3．证券幽灵

2013年8月，在数家金融公司的网络环境中发现了一种危险度较高且具有APT性质的恶意程序。这种恶意程序的主要攻击目标为证券行业，因此被命名为“证券幽灵”。“证券幽灵”恶意威胁拥有更加典型的APT攻击的特点，以银行、证券等更具攻击价值的企业网络为目标，主要针对的是IT管理人员的终端、域控制器、DNS服务器、网络安全和业务管理软件服务器。“证券幽灵”通过网络共享或由其他病毒及被篡改后的第三方软件传播释放，但进入企业内网后不会立即大规模传播，反而会潜伏下来，并寻找其他更具价值的数字信息。该恶意程序可以接受控制端发来的命令，充当后门程序，亦可以通过SMB协议进行自传播并收集被感染主机中的敏感信息，因此危险性极高。