APT攻击的目标与平台

APT攻击通常具有明确的攻击对象与攻击目标。从战略层面看，政府机构、科研机构和大型企业往往会成为APT组织攻击的主要对象。而从战术层面看，组织机构内部的机密文件、敏感信息则是APT攻击者最想要获取的情报信息。

APT攻击的战术目标之敏感情报信息

APT攻击的战术目标是指APT攻击者在一次或一段时间内的攻击中想要达到的具体目的。对于窃密型攻击来说，战术目标是指APT攻击者想要窃取的具体的情报信息；而对于破坏型攻击来说，例如俄乌网络冲突中的各种数据擦除攻击，战术目标则是指具体要破坏的设施或者系统。就目前监测到的大量APT攻击来说，破坏型的攻击相对较少，绝大多数的APT攻击都是以窃取情报为目的的窃密型攻击。

绝大多数情况下，情报信息都是以具体的实体形态的文档形式进行存储的。因此，APT攻击者在实现具体的战术目标时，通常也是以窃取最有可能存储着敏感情报信息的某些特定格式的文件为主要方式的。而除了窃取存储在系统中的文件，也有不APT组织将账号、密码、屏幕截图等系统运行的状态信息或者程序运行的过程信息等作为窃取情报的战术目标。

1. 个人计算机上窃取文件的格式

文档类：doc、docx、ppt、pptx、xls、xlsx、rft、wps、et、dps、pdf、txt、

设计图类：dwg

压缩类：rar、zip、7z

应用类：exe

邮件类：eml

2. 智能移动终端上窃密文件的格式

在移动互联网时代，APT攻击者自然也不会放过对移动终端的攻击。特别是智能移动终端上往往存储了通讯录、短信、通话记录、照片等大量的敏感信息，因此在很多情况下，智能移动终端的攻击价值甚至高于个人计算机。

APT组织攻击智能移动终端窃取的相关信息：音频、照片、通话录音、录像、通话记录、通讯录、短信、手机基本信息、地理位置信息。

3. 选择性的情报信息窃取

攻击者的活动越频繁，如木马与C2服务器的通信次数越多，上传的文件数量越多，联网传输的数据量越大，其被发现或监测到的概率也就越大。为了尽可能地降低活动的频率和被发现的风险，一些APT攻击者采取了更加精确的情报信息收集方式，例如，只收集指定目录下的文件，只收集文件中包含特殊关键字的文件等。更有甚者，只会收集特定时间段内产生的符合特定特征的文件。

而事实上，攻击者窃取信息的方式越精确，往往也就说明了攻击者对被攻击目标的情况越了解，甚至是深入掌握了被攻击目标人群的行为习惯。

4. 网络安全威胁情报中心纳新

5. 网络安全威胁情报中心交流群（加我微信拉你进群）

原文始发于微信公众号（威胁情报捕获与分析）：APT攻击的战术目标之敏感情报信息窃取