近日，全球領先的APT防禦企業FireEye透露其系統遭到APT攻擊。在FireEye受到攻擊後不到一週時間，《路透社》再次曝出猛料稱，包括美國財政部、商務部在內的多個政府機構遭到有組織的大規模APT攻擊。

值得注意的是，FireEye在部落格中指出，所有受害公司遭遇的攻擊都有一個共同的攻擊路徑：透過目標公司的SolarWinds網路管理系統的更新伺服器。

根據IT管理公司SolarWinds官網顯示，其產品在全球超過300,000個組織中使用，客戶包括美國500強企業、美國十大電信公司、美國軍方的所有五個分支機構、國務院、司法部以及國家安全域性等。

顯然，這不僅僅只是一次針對美國的網路攻擊，一場密謀已久的全球大範圍APT攻擊正蓄意進行。

近幾年，APT攻擊呈高發態勢，無論是攻擊組織數量，還是攻擊頻率都較以往有較大增加。許多攻擊組織更是假借疫情之名對相關目標肆意進行攻擊，例如，今年2月，南亞APT組織借疫情對我國醫療機構發動攻擊。

2015年至2019年，全球主要廠商披露的APT攻擊事件數量來自《全球高階持續性威脅（APT）2019年研究報告》

無法預知，在這些已被發現的攻擊背後，是否還存在著更高階、更隱蔽的威脅。但不可否認的是，在這場APT阻擊戰中，很難有人可以獨善其身。

一、什麼是APT 攻擊？

APT（Advanced Persistent Threat）攻擊，即高階可持續威脅攻擊,也稱為定向威脅攻擊。指某組織對特定物件展開的持續有效的攻擊活動。這是一個集合了多種常見攻擊方式的綜合攻擊，不僅包括傳統的網路攻擊技術，也會結合一些社會工程學手段，透過人的弱點結合漏洞進行嘗試攻擊。

相較於傳統攻擊，APT攻擊最大的威脅是隱蔽性、針對性和持續性。

（1）隱蔽性：APT攻擊根據目標的特點，能繞過目標所在網路的防禦系統，極其隱藏地盜取資料或進行破壞。在資訊收集階段，攻擊者常利用搜索引擎、高階爬蟲和資料洩漏等持續滲透，使被攻擊者很難察覺；在攻擊階段，基於對目標嗅探的結果，設計開發極具針對性的木馬等惡意軟體，繞過目標網路防禦系統，隱蔽攻擊。

（2）針對性：發動APT攻擊的駭客目的往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，以此竊取國家機密資訊和重要企業的核心商業資訊、破壞網路基礎設施等，具有強烈的政治、經濟目的。所以這種APT攻擊模式, 實質上是一種“惡意商業間諜威脅”。

（3）持續性：為達到既定目標，需要透過持續監控和互動來實現攻擊的針對性。另外，由於這種攻擊具有持續性甚至長達數年的特徵，這讓企業的管理人員無從察覺。在此期間，這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網路內部後長期蟄伏。

二、APT攻擊流程

儘管每起APT攻擊事件的目的、攻擊目標不同，但是準備和實施APT攻擊的過程有一個通用的過程，一般可以劃分為四個階段:

1.搜尋階段：與傳統網路攻擊相比，APT攻擊在資訊搜尋的深度和廣度上有明顯區別。APT攻擊的攻擊者會花費大量的時間和精力用於搜尋目標系統的相關資訊。他們會了解企業的背景、公司文化、人員組織，還會收集目標系統的網路結構、業務系統、應用程式版本等資訊。隨後攻擊者會制定周密的計劃，識別有助於攻擊目標達成的系統、人員資訊，收集、開發或購買攻擊工具，APT攻擊可能會利用特種木馬、0DAY漏洞利用工具、口令猜測工具，以及其它滲透測試工具。

2.進入階段：攻擊者會進行間斷性的攻擊嘗試，直到找到突破口，控制企業內網的第一臺計算機。常見的方法如下：

惡意檔案：精心構造，並以郵件、IM軟體等形式向內部員工傳送攜帶惡意程式碼的PDF、Word文件;惡意連結：以郵件、IM軟體等形式向內部員工傳送攜帶惡意程式碼的URL連結，誘使員工點選;網站漏洞：利用網站系統的漏洞，例如SQL注入、檔案上傳、遠端溢位等等，控制網站伺服器作為跳板，對企業內部進行滲透、攻擊;購買“肉雞”：這是一種最便捷的攻擊方式，即從地下黑市直接購買企業內部已經被其它駭客攻陷的計算機。

3.滲透階段：攻擊者利用已經控制的計算機作為跳板，透過遠端控制，對企業內網進行滲透，尋找有價值的資料，與進入階段類似，本階段一樣會考驗攻擊者的耐心、技術、手段。

4.收穫階段：攻擊者會構建一條隱蔽的資料傳輸通道，將已經獲取的機密資料傳送出來。其實本階段的名字叫“收穫階段”，但卻沒有時間的限制，因為APT攻擊的發起者與普通攻擊者相比是極端貪婪的，只要不被發現，攻擊行為往往不會停止，持續的嘗試竊取新的敏感資料與機密資訊。

三、遭受APT攻擊的跡象

雖然這種攻擊具有極強的隱蔽能力，但還是有一些跡象可以幫助IT管理者及早發現異常狀況，識別APT攻擊。如下所示：

1.異常登入次數增加：APT攻擊會在短短几個小時內迅速從單臺計算機升級到接管多臺計算機或整個環境。他們瞭解哪些帳戶具有提升的許可權和許可權，然後透過這些帳戶來破壞環境中的資產。通常，在辦公時間之外意外登入到伺服器可能表明一項APT攻擊正在發生。攻擊者可能在不同的時區工作，或者嘗試在夜間工作，以減少發現其活動的機會。

2.廣泛的後門木馬：如果網路安全工具檢測到的後門木馬數量比平時多，則可能是由於APT攻擊所致。攻擊者這樣做是為了確保可以隨時返回，即使受害者獲得線索更改了登入憑據，他們也可以繼續訪問受感染的裝置。

3.聚焦魚叉式網路釣魚活動：查詢包含只能由入侵者獲取的文件的魚叉式網路釣魚電子郵件。這些電子郵件可能會被髮送給高階管理人員，以便攻擊者訪問他們的電腦或受限制的資料。

4.無法解釋的資料轉換：APT攻擊經常將被盜資料彙總到內部收集點，然後再將其複製到網路中的另一個位置，並僅在確信無法檢測到時才將其傳輸到網路之外。查詢在不應該存在該資料的位置出現的大量（千兆位元組，非兆位元組）資料塊，尤其是在以公司通常不使用的存檔格式壓縮時。

5.意外的資訊流：查詢從內部始發點到其他內部計算機或外部計算機的大量意外資料流。它可以是伺服器到伺服器，伺服器到客戶端或網路到網路。

四、如何防禦APT攻擊？

APT攻擊中採用的各種關鍵技術相配合後能夠有效直接的繞過傳統的安全防禦工具，如防火牆、入侵檢測、安全閘道器、防毒軟體和反垃圾郵件等等。從這些具體的技術對抗中我們不難發現傳統防護體系在面對APT攻擊時的四個弱點：

1. 對未知攻擊的檢測能力嚴重不足；

2. 對流量的深度分析能力不足；

3. 對終端的強效監管能力不足；

4. 對整體安全態勢的管控手段不足。

尤其要注意的是，在APT攻擊與防禦的一般過程中，威脅檢測貫穿始終，因為只有及時發現APT攻擊，才能在第一時間阻止網路攻擊事態的繼續惡化，最大限度的減少或避免攻擊事件造成的損失。

如果當APT攻擊事件真實發生之後，再透過經驗豐富的安全研究人員對這些異常進行跟蹤溯源分析，確認為APT攻擊事件，屆時再響應，為時已晚。因為APT攻擊非常容易造成重大損失，且往往與地域政治局勢緊密關聯。

那麼如何從源頭上加強自身APT防護能力？傳統的防護方式是基於黑白名單策略。

黑名單方式，運維人員需要持續不斷地更新漏洞補丁，併疊加各種防護措施以增強安全性，透過窮盡現有漏洞補丁以及防護手段的方式來保障安全。但對於未知威脅、暫無修補的0day漏洞等依然無法有效防護。

白名單方式，只有那些被允許的程式以及操作才可以有效執行，通常由管理員手工定義白名單，但是不是足夠安全，不同伺服器節點不同，所適用的白名單也不同。因此每臺伺服器都應該有獨立的白名單，這樣駭客只能入侵到唯一的一臺。對於運維人員手動操作將帶來龐大的工作量。

近年來，隨著移動網際網路、物聯網和雲計算等技術的興起，企業數字資產的價值不斷提升。在全球APT攻擊高發的嚴峻現狀下，只有建立以安全技術與安全管理相結合的縱深防護體系，才能更好地抵禦APT攻擊。