APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

APT攻擊是一個(gè)集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網(wǎng)絡(luò)防御，通常是通過Web或電子郵件傳遞，利用應(yīng)用程序或操作系統(tǒng)的漏洞，利用傳統(tǒng)的網(wǎng)絡(luò)保護(hù)機(jī)制無(wú)法提供統(tǒng)一的防御。除了使用多種途徑，高級(jí)定向攻擊還采用多個(gè)階段穿透一個(gè)網(wǎng)絡(luò)，然后提取有價(jià)值的信息，這使得它的攻擊更不容易被發(fā)現(xiàn)。

整個(gè)攻擊生命周期的七個(gè)階段如下：

在APT攻擊中，攻擊者會(huì)花幾個(gè)月甚至更長(zhǎng)的時(shí)間對(duì)'目標(biāo)'網(wǎng)絡(luò)進(jìn)行踩點(diǎn)，針對(duì)性地進(jìn)行信息收集，目標(biāo)網(wǎng)絡(luò)環(huán)境探測(cè)，線上服務(wù)器分布情況，應(yīng)用程序的弱點(diǎn)分析，了解業(yè)務(wù)狀況，員工信息等等。

在多數(shù)情況下，攻擊者會(huì)向目標(biāo)公司的員工發(fā)送郵件，誘騙其打開惡意附件，或單擊一個(gè)經(jīng)過偽造的惡意URL，希望利用常見軟件(如Java或微軟的辦公軟件)的0day漏洞，投送其惡意代碼。一旦到位，惡意軟件可能會(huì)復(fù)制自己，用微妙的改變使每個(gè)實(shí)例都看起來不一樣，并偽裝自己，以躲避掃描。有些會(huì)關(guān)閉防病毒掃描引擎，經(jīng)過清理后重新安裝，或潛伏數(shù)天或數(shù)周。惡意代碼也能被攜帶在筆記本電腦、USB設(shè)備里，或者通過基于云的文件共享來感染一臺(tái)主機(jī)，并在連接到網(wǎng)絡(luò)時(shí)橫向傳播。

利用漏洞，達(dá)到攻擊的目的。攻擊者通過投送惡意代碼，并利用目標(biāo)企業(yè)使用的軟件中的漏洞執(zhí)行自身。而如果漏洞利用成功的話，你的系統(tǒng)將受到感染。普通用戶系統(tǒng)忘記打補(bǔ)丁是很常見的，所以他們很容易受到已知和未知的漏洞利用攻擊。一般來說，通過使用零日攻擊和社會(huì)工程技術(shù)，即使最新的主機(jī)也可以被感染，特別是當(dāng)這個(gè)系統(tǒng)脫離企業(yè)網(wǎng)絡(luò)后。

隨著漏洞利用的成功，更多的惡意軟件的可執(zhí)行文件——擊鍵記錄器、木馬后門、密碼破解和文件采集程序被下載和安裝。這意味著，犯罪分子現(xiàn)在已經(jīng)建成了進(jìn)入系統(tǒng)的長(zhǎng)期控制機(jī)制。

一旦惡意軟件安裝，攻擊者就已經(jīng)從組織防御內(nèi)部建立了一個(gè)控制點(diǎn)。攻擊者最常安裝的就是遠(yuǎn)程控制工具。這些遠(yuǎn)程控制工具是以反向連接模式建立的，其目的就是允許從外部控制員工電腦或服務(wù)器，即這些工具從位于中心的命令和控制服務(wù)器接受命令，然后執(zhí)行命令，而不是遠(yuǎn)程得到命令。這種連接方法使其更難以檢測(cè)，因?yàn)閱T工的機(jī)器是主動(dòng)與命令和控制服務(wù)器通信而不是相反。

一般來說，攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的pc和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

也就是將敏感數(shù)據(jù)從被攻擊的網(wǎng)絡(luò)非法傳輸?shù)接晒粽呖刂频耐獠肯到y(tǒng)。在發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)后，APT攻擊者往往要將數(shù)據(jù)收集到一個(gè)文檔中，然后壓縮并加密該文檔。此操作可以使其隱藏內(nèi)容，防止遭受深度的數(shù)據(jù)包檢查和DLP技術(shù)的檢測(cè)和阻止。然后將數(shù)據(jù)從受害系統(tǒng)偷運(yùn)出去到由攻擊者控制的外部。大多數(shù)公司都沒有針對(duì)這些惡意傳輸和目的地分析出站流量。那些使用工具監(jiān)控出站傳輸?shù)慕M織也只是尋找'已知的'惡意地址和受到嚴(yán)格監(jiān)管的數(shù)據(jù)。