什么是APT攻击

从目前能够公开查阅到的资料来说，国际上最早对APT攻击进行分析的文献是2005年 5-6 月期间，英国国家基础设施安全协调中心（UK-NISCC）和美国计算机应急响应中心（US-CERT）联合发布的一份技术预警报告。APT 一词，目前业界比较统一认可的说法是，APT这一术语是2006年由美国空军上校格雷戈里·拉特雷（Gregory Rattray）首先提出的。

APT（Advanced Persistent Threat），即高级持续性威胁，是指隐匿而持久的计算机入侵过程，通常由某些具有国家背景的人员或者团体精心策划，针对特定的目标进行。APT攻击通常是出于商业或者政治动机，针对特定目标（组织或者国家）进行的攻击，并要求在长时间内保持高度的隐蔽性。综上可得APT攻击的三要素：高级、可持续、威胁。高级指的是使用复杂精密的战术（Tatic）、技术（technology）。可持续（长期）是指APT组织在事前、事中以及事后长期监控攻击目标（受害者），在事前长期监控攻击目标，搜集目标组织的开源情报信息，事中长期潜伏收集秘密情报，事后继续监控尝试进行下一步攻击（数据窃密或者摧毁性攻击）。威胁，意味着在APT攻击活动中有协调性的人为参与，而不是一段盲目的自动化代码。攻击者具有特定的目标，且动机明确、技术精湛、资金雄厚。

APT攻击是由能力超群的网络攻击者组成的团队，对政府机构、国防系统、研究者、制造商、律师事务所以及非盈利性团体等其人为对其有高价值的目标发动的网络入侵活动。这些入侵活动是由一群具有很强的资金和技术背景的技术团体实施的。

APT攻击剖析

背景： APT攻击的背景一般是由国家或者政府支持的。在判定一次攻击或者一个组织的攻击是否为APT攻击的时候，必定需要考虑其背景因素。绝大多数的APT组织具有国家或政府背景，并且会由一个实体机构来操控。客观地说，APT组织的国家或政府背景也是其能够发动高级持续性攻击的经济基础和精神动力。

另外一些极少数没有国家或者政府支持的APT组织，通常也不是个人黑客或者一般的民间攻击组织，而是由一些经济集团、犯罪集团或者恐怖集团暗中支持的。这些组织的目的是刺探商业机密，进行金融犯罪或者从事网络恐怖主义活动。

目的： APT攻击的目的都非常的明确，一般是进行情报的刺探、收集和监控，在某些特定的条件下也会对受害者网络环境进行毁灭性打击（比如俄乌网络战中的恶意软件擦除攻击）组织内部的分工也很明确。这是APT攻击与普通的网络攻击最本质的一个区别。同时APT攻击不会停歇，只会短暂的蛰伏，这种特性在越高级的攻击组织中体现的越明显，这就体现了APT三要素中的持续性（P：Persistence） 这种持续性指的是持续进行多次、不同的攻击。

能力： APT攻击组织的能力是一般黑客组织不具有的。APT攻击具有很强的调度攻击资源的能力是APT攻击具有高级性的特点之一。APT组织因为其背景强大、轻则具有经济集团的支持、重则具有一个国家、政体的支持，一个国家、一个政体、一个经济集团调度资源的能力是不言而喻的，这也就导致APT组织在实施攻击的时候可以不计成本、不择手段。

APT攻击的技术特点

正是由于攻击目的与攻击方式的特殊性，APT攻击在技术上也有鲜明的特点。

（1）针对性：APT攻击的基础或者前提就是针对性攻击，目标清晰、打法稳准狠，危害大。

（2）高隐蔽性：一个攻击组织能够长期持续性地对特定目标发动攻击，一个必要的前提就是自身的隐蔽性。只有极少数以给对手造成毁灭性打击的APT攻击才会主暴露，大多数以情报刺探、收集和监控为目的的APT组织是不会主动暴露的。

（3）不以获取经济效益为首要目的：绝大多数的APT组织是不以获取经济效益为首要目的的，一般都是以在目标系统中长期潜伏进行情报刺探、收集、监控，或者进行长期潜伏以待时机对目标系统进行毁灭性打击，以造成对手系统瘫痪、产生一定的负面社会影响。

（4） 0Day漏洞，由于APT组织背景强大，以至于他们能够有强大的经济实力进行0Day漏洞的购买以及0Day漏洞的挖掘。

APT组织与一般攻击组织的区别

APT攻击可以视为新形势下的战争模式 --- 网络战的一种攻击手段。其最大的特点就是具有明确的攻击目标，具体攻击的目的为窃取情报或者摧毁关乎民生或者政体运转的关键基础设施（关基），APT攻击是不计算成本的、是会使用一些0Day漏洞、鲜为人知的攻击武器、木马病毒等等，这种攻击是难以察觉的，是不会被绝大多数安全厂商的网络安全设备所监测的。

码字不易，喜欢给个关注~~~

原文始发于微信公众号（威胁情报捕获与分析）：什么是APT攻击？