APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT入侵客户的途径多种多样，主要包括以下几个方面。

以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始，就是针对某些特定员工发送钓鱼邮件，以此作为使用APT手法进行攻击的源头。利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

总之，高级持续性威胁(APT)正在通过一切方式，绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等)，并更长时间地潜伏在系统中，让传统防御体系难以侦测。

"潜伏性和持续性"是APT攻击最大的威胁，其主要特征包括以下内容。

潜伏性:这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把"被控主机"当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式, 实质上是一种"恶意商业间谍威胁"。

持续性:由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种"持续性"体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。

锁定特定目标:针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。

安装远程控制工具:攻击者建立一个类似僵尸网络Botnet的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。

本文作者：埃文科技

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/154786.html