接上阅读《走近APT（上）》

6.命令和控制通信

在进入目标企业之后，APT一般还会通过被感染系统和攻击者的“远程命令和控制”通信来进行远程配合。在整个攻击过程中，攻击者还会使用这个通道来打开并操纵后门网络的访问，其目标是发现并泄露其需要的数据。

命令和控制通信与僵尸网络的通信不一样，后者有海量的通信量到达成千上万的僵尸电脑，而前者的通信量很少，这使其更难以被发现。攻击者还可以通过不断地变换IP地址、通过代理服务器重定向通信等手段来使其无法被检测到。命令和控制通信与正常的Web通信混合在一起，使用或欺骗合法的应用或网站，如果没有高级的本地网络监视，这种内部命令和控制通信服务器是无法被检测到的。

7.横向迁移

如果攻击者认为自己可以在环境中驻留而不被检测到，就会继续以秘密方式存在。如果他们认为自己面临着被检测到的风险，“狡兔三窟”，就会快速移动。横向迁移往往伴随着与侦察、凭据窃取、渗透其它计算机等有关的活动。

远程控制工具可以使攻击者访问网络中的其它桌面，并在其它系统上实施诸如执行程序、制定计划任务、管理数据的收集等操作。用于此目的的工具和技术包括远程桌面工具、PsExec、WMI等。攻击者通过这些操作和工具可以进一步访问包含机密信息的企业服务器。

8.资源的发现和保持

有些技术（如端口扫描和网络分析）可用于确认重要的保存机密数据的服务器和服务。这种活动中的有些工具包括netstat（一个通过活动连接和开放端口而获得网络连接信息的命令行工具）。这类工具可用于确认正在运行的服务，或者被控制的计算机能够访问的内部服务器。端口扫描工具可以检查开放的网络端口，使攻击者能够在受控制的系统和攻击者系统之间的建立一个隧道连接。端口扫描工具（如ZXPortMap和 ZXProxy 等）可用于创建隧道连接并绕过防火墙的保护。

9.数据偷运

也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止，下一步骤就是要将数据从受害系统偷运出去。

由于数据看似正常在进出企业网络，数据的偷运非常类似于正常的网络通信，这就使得IT安全团队对偷运数据的检测非常困难。在攻击者收集了敏感信息后，数据就被传输到一台内部的临时服务器,并进行压缩和加密，然后传输到由攻击者控制的外部。攻击者使用的工具包括多种类型，如Lz77用于进行压缩以便于偷运数据，ZXProxy可用于重定向HTTP或HTTPS连接，LSB-Steganography可以将将文件嵌入到镜像中，ZXPortMap（通信重定向工具，帮助攻击者制造连接源头的混乱），还有ZXHttpServer（一种易于部署的小巧的HTTP服务器）。所有这些工具都被复制到被控制的电脑上。

10.消灭罪证

在攻击者完成其目标后，就要关心如何消除其秘密操作的踪迹。但攻击者经常会留下后门，借以多次进入系统并窃取机密数据。

如果攻击目标有了新的客户记录或最新的业务计划，对攻击者来说将有很大的吸引力，其数据偷运过程也会持续更长的时间。

最后，攻击者会停手，其原因往往是他完成了目标，或者受害者发现并切断了攻击。在窃取数据后，APT攻击者会出卖数据、威胁被攻击的公司、要求受害者支付赎金等。

结论

针对性攻击可以成功地绕过传统的安全防御，而许多IT专业人士相信其企业已经成为了靶子。如今的APT采取了一种难以检测的低姿态的慢速方法，但其成功的可能性却更高了。攻击者只需欺骗一个雇员打开一个利用零日漏洞的恶意软件，就不仅可以访问雇员的电脑，还有可能访问整个公司的网络。

由上文的分析可以看出，应对APT的强健防御机制必须拥有深度的检测和分析功能。最后强调三点：网络管理者必须实施应用程序的白名单功能，防止恶意软件在雇员电脑上的安装和使用。企业还必须利用SIEM工具来分析网络日志，如果将来发生了数据泄露，管理员还可以借助工具进行取证分析。