华纳云：什么是APT攻击？

APT（Advanced Persistent Threat）高级持续性威胁顾名思义，这种攻击行为首先具有极强的隐蔽能力，通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络；其次APT攻击具有很强的针对性，攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社工艺术的完美展现；当然针对被攻击环境的各类0day收集更是必不可少的环节。

在已经发生的典型的APT攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络环境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式，整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如，在某台服务器端成功部署Rootkit后，攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。

也许很多IT管理者认为APT攻击这种长期而复杂的攻击方式不可能幸运的发生在您所负责网络中，但在西方先进国家APT攻击已经成为国家网络安全防御战略的重要环节。例如，美国国防部的High Level网络作战原则中，明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。

对于APT攻击我们需要高度重视，正如看似固若金汤的马奇诺防线，德军只是改变的作战策略，法国人的整条防线便沦落成摆设，至于APT攻击，任何疏忽大意都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与APT攻击行为到底有哪些异同，下面的表格或许能让您找到答案。

不难看出APT攻击更像一支配备了精良武器的特种部队，这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙等安全网关失去应有的防御能力。无论是0day或者精心构造的恶意程序，传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵。即便是业界热议的NGFW，利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。

• 通过SQL注入等攻击手段突破面向外网的Web Server；
• 通过被入侵的Web Server做跳板，对内网的其他服务器或桌面终端进行扫描，并为进一步入侵做准备；
• 通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境；
• 被攻击者的私人邮箱自动发送邮件副本给攻击者；
• 通过植入恶意软件，如木马、后门、Downloader等恶意软件，回传大量的敏感文件（WORD、PPT、PDF、CAD文件等）；
• 通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击并入侵内网终端。