APT（高级持续性威胁）是黑客以窃取核心资料为目的，针对企业发动的网络攻击和侵袭行为。本文将探讨APT的技术、设计及内部工作机制。此外，文章将不同的攻击阶段与特定攻击关联起来，看攻击者如何渗透企业，获取其内部数据、业务秘密、敏感的业务信息等。

APT的目标是访问企业网络、获取数据，并长期地秘密监视目标计算机系统。许多研究人员认为，所谓的“高级”是指攻击者借助恶意软件和已知漏洞等技术,利用内部系统的漏洞。而“连续”意味着外部的命令和控制系统持续不断地监视特定目标，并窃取数据。

APT使得到授权者获得了网络的访问，并通过建立后门而可以长期访问网络，并不断地收集数据和向外发送知识产权等机密数据。

APT变得日益复杂。它通过绕过或摧毁传统的安全措施而制造成本高昂的数据泄露事件。甚至在成功完成其使命后，APT仍贼心不死，继续驻留，进一步收集信息。而且，这种威胁很难检测和清除，因为它看起来并不象是恶意软件，却深入到企业的计算系统中。此外，APT的设计者和发动者为逃避检测还会不断地改变其代码，从而持续地监视和指引其活动。

零日漏洞和网络攻击

许多APT与零日漏洞一直有千丝万缕的联系，它往往利用零日漏洞对企业实施攻击。去年，曾出现过一种可以利用IE的零日漏洞的攻击，攻击者将钓鱼邮件发送给在国防、航天、能源、研究机构中的目标人员。这些钓鱼邮件包含一个可以指向恶意网站（此网站管理着利用零日漏洞的代码）的连接。

钓鱼邮件的发送者还会将更多的消息发送给更广泛的目标，试图在补丁可用之前感染尽可能多的终端。攻击者还会更新其电子邮件的模板和主题，保持其伎俩的“新鲜”，并借以逃避企业已经部署的垃圾邮件检测规则的检查。

深入解剖APT

攻击者对APT中的每一步可谓用心良苦，精心计划和研究，其中的步骤包括：构建企业IT基础架构的内部设计图、恶意软件工程、社交工程攻击、难以检测的数据泄露等。

1.目标选择

高级持续威胁的首要一步是选择目标企业，然后通过企业网站、雇员简历、网站数据等，查找公司使用的可能存在漏洞的（或易于攻击的）软件和基础架构。还有的攻击者会寻找“意外的受害者”，比如，黑客疯狂查找Wi-Fi网络有漏洞的企业，并发现其攻击目标。

2.信息收集

知彼知己，百战不殆。攻击者全面地研究攻击目标的配置信息，构建其IT系统的内部设计图，并查找可利用的漏洞，进行全面渗透。他会搜集关于网站、网络拓扑、域、内部DNS和DHCP服务器、内部IP地址的范围以及任何可利用其漏洞的端口或服务的细节。根据目标不同，该过程可能会花费不同的时间。大型企业可能在安全方面进行更多投资，并建立多层防御。知识即力量，攻击者获得的目标网站的信息越多，他实施渗透和部署恶意软件的成功机率就越大。

3.确定侵入点

在收集了发动攻击的足够信息后，攻击者会缩小其利用漏洞的入侵范围，并研究目标企业的安全方案的防御机制，了解企业可能拥有的攻击签名。在多数情况下，攻击者会向目标公司的雇员发送邮件，诱骗其打开恶意附件，或单击一个伪造的URL，希望利用常见软件（如Java或微软的办公软件）中的零日漏洞，交付其恶意代码。当然，攻击者还可以利用雇员使用的任何软件的零日漏洞。
 

4.将恶意软件植入到被控制的机器上

在攻击者利用了雇员机器的漏洞之后，就会将恶意代码植入到机器上，安装后门，实现对机器的完全访问，例如，攻击者最常安装的就是远程管理工具。这些远程管理工具是以反向连接模式建立的，其目的就是允许从外部控制雇员电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为雇员的机器是主动与命令和控制服务器通信而不是相反。

5.提升特权

攻击者首先从受到损害的雇员电脑或用户那里获得访问凭据，然后对目标系统中的非管理用户执行特权提升，进而访问关键的重要目标（其中包括IT和非IT的特定服务器管理员）。

为获得登录凭据，攻击者会使用键盘记录器、ARP欺骗、钩子工具等。钩子工具基本上都可以劫持与口令认证有关的功能，而ARP欺骗工具会监听数据包中两个或多个系统之间的会话。例如中，Pwdump就是从Windows注册表中获得口令哈希的另一个工具。此外，攻击者还可以利用其它的工具，如WCE(Windows凭据编辑器)、Mapiget、 Lslsass、 Gsecdump、 CacheDump等。

攻击者还可以利用一种称为“哈希传递”的技术，其中涉及使用哈希而不是明文口令，目的是为了进行身份验证并取得更高级的访问。攻击者还可以利用蛮力攻击，即通过预定义的口令简单地猜测口令。

请继续阅读《走近APT（下）》