你有没有想过高级持续性攻击（APT）者究竟为什么如此难以检测到？因为这些高级持续性威胁(APT)攻击者使用的是目标主机上现有的工具，通过常用网络端口，并将他们的命令控制(C&C)通信隐藏在HTML注释中。

　　“他们试图瞒天过海！”对这些攻击进行取证调查研究的HBGary首席科学家Shawn Bracken表示，“应该注意到他们对目标企业使用的行为阻断和分析非常熟悉。”

　　这些攻击者没有采取任何可能触发警报或者引起怀疑的行动，而是试图融入系统。“他们安装的工具都是专门不会与入侵防御系统发生冲突的工具，并且他们使用的是合法的已发布的API，试图不引起任何怀疑。”

　　这意味着使用目标操作系统中存在的真正的系统管理工具，并且越来越多地使用HTML用于控制命令通信。至少有三个高级持续性攻击团队，包括Operation Shady RAT campaign背后的攻击者，都是用了这样的技术来掩盖他们的通信。“但你不能阻止所有包含注释的网站，”Bracken表示。

　　戴尔安全工作反威胁部门的恶意软件研究主管Joe Stewart表示，在网页使用加密HTML注释在一段时间内已经成为高级持续攻击的一部分。“这个技术已经被用了好几年了，我相信，那些跟踪高级持续攻击活动的安全研究人员早就意识到这一点，”Stewart表示，“知道HTML注释可能被利用可以帮助检测高级持续攻击流量，然而，只有特定恶意软件会使用特定HTML注释，其他都有各自不同的格式，因此很难察觉。”

　　它的工作原理是这样的：攻击者利用互联网某个地方的web服务器或者社交网络站点，例如博客网站。然后攻击者将他的编码指令作为隐藏注释藏在这个网站中，而RAT会定期检查这个页面。

　　“我们已经看到了两种情况：攻击者将使用SQL诸如攻击渗透到受感染的web服务器，然后将他的注释隐藏在这个服务器中，”HBGary首席执行官Greg Hoglund表示。

　　RAT有一个硬编码DNS名称来连接，这个名称随后会被修改为与被感染网站相匹配的IP地址，“所有RAT进行出站连接，并获取指令，”他表示。

　　第二种情况是，攻击者使用合法的社交网络媒体或者应用程序网站，例如Google BlogSpot来将他们隐藏指令藏在HTML注释中，Hoglund表示。这些指令通常是配置指令，例如指示一台机器连接到受害者网络特定机器以及打开一个TCP连接。这就为攻击者提供了到那台机器的互动连接，“并且他获取了命令行访问权限，”Hoglund说到。

　　即使这些远程访问工具没有故意隐藏起来：“它们完全不会被察觉，看起来就像是正常软件。”

　　因此，如果你可以找到HTML注释，你就可以找出在哪台机器上安装了RAT，但是也有可能在网络种存在大量RAT程序。