APT-什么是APT

前言:APT是什么，APT该怎么检测，APT该如何溯源？这边将以三篇文章进行描述。笔者作为一名资深反入侵工程师，对APT组织有着四年以上的对抗经验。今天就带大家来了解一下什么是APT？

1.名词解释

APT(advanced persistent threat )即高级可持续威胁攻击。也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。这个概念最早由fireeye子公司提出。

1.1名词概念

既然是由商业公司提出，一开始这就是个商业概念，跟态势感知一样。但随着时间的推移，伴随着政治,金融等多因素的影响下APT一词被赋予了或多或少的国家意志。

1.2国家意志

APT到底是经历了什么，竟然从一个商业概念发展到国家意志？以下为个人猜测:

1.2.1APT的难以溯源性

APT攻击作为一个有规划有组织的高级攻击，大家都是好几层代理+tor+跳板机，在攻击的溯源难度上可想而知。既然大家都找不到攻击者，这不就有意思了(why not 老毛子?)为了更生动形象模拟一个场景:

A是一名美国某机构安全管理员，一日发现自己的网站被黑了，又溯源不到攻击者。A:完犊子,数据库被拖了。要被优化了，指不定还要坐牢。A的领导:md,这黑锅又大又圆背不得呀，我得想想办法。既然找不到攻击者，谁又不知道攻击者是谁。Why not 老毛子？A:妙呀，就老毛子了。美国:老毛子你TM黑我网站，拖我库！！！老毛子:?????,拿出证据？美国:这VPS是你们国家的，你们还有动机老毛子:你们放屁，这东西谁都能租，凭啥说是老子美国:急了？不是你们是谁？你倒是找出攻击者证明清白呀。老毛子:mdzz一个星期后，美国某安全机构定义老毛子为APT23333,并出具了一份报告。

1.2.2概念提出者

众所周概念的提出者fireeye是一家美国公司，且fireeye拥有国家背景。就跟FBI一样。这也不难理解为啥FBI wanted 网络犯罪通缉名单大部分为美国不友好的国家人员及组织了。

https://www.fbi.gov/wanted/cyber

2.APT的常见攻击手法

APT一般都是团伙作案，是一个组织，即APT group。从本人历年处理的APT事件来看，在多起事件中，其样本中加载的恶意代码和执行行为几乎都是一致。可以推断出他们在入侵过程进行了明确的分工。

虽然每个组织的常用攻击手法都各有特色，但是万变不离其宗，可以归纳如下：

外部打点:

通过使用社工和鱼叉式网络钓鱼、通过电子邮件、使用零日病毒来执行。另一种流行的感染方法是在受害者的员工可能会访问的网站上植入恶意软件或者直接入侵目标网站。

反弹代理：

在受害者的网络中安装远程管理软件，创建网络后门和隧道，允许秘密访问其基础设施。

权限提升：

使用漏洞利用和密码破解来获取对受害者计算机的管理员权限,并可能将其扩展到Windows域管理员帐户。

内网信息收集:

收集有关周围基础设施、信任关系、Windows 域结构的信息。

横向移动:

将控制扩展到其他工作站、服务器和基础设施，并对其进行信息收集。

权限维持:

对之前步骤中获得的权限和凭证的持续控制。

数据传输及痕迹清除：

从受害者的网络中窃取被盗数据，并清除痕迹。

写在最后:其实APT组织这个概念一般用来描述组织行为的攻击，但是组织到底归属于谁一直是个谜。所以说APT编号可能完全是一个模糊的概念或者扯蛋的东西。比如说A获取了lazarus的样本，去攻击金融机构，那么A的行为就可能被归属于lazarus group。

本文始发于微信公众号（边界骇客）：APT-什么是APT