对企业的管理者和CSO们而言，高级可持续性威胁(APT)是他们的噩梦。对于APT攻击，企业很难做到阻止，应对这种攻击通常需要明确的响应和恢复计划，这样做的目的是减少损害和损失。因为一旦发现APT活动，这通常意味着已经为时已晚。在本文中，我们将和大家探讨APT攻击的全过程，让大家了解APT攻击，不在对它畏惧。

 

然而，安全专业人士知道当应对有针对性攻击时，需要使用不同的技术和战略，对于他们而言，这里还有战斗的机会。

攻击性质及特征分析

对于很多企业领导而言，APT侧重于单个攻击，使用高级攻击方法，以获取敏感信息或核心数据。攻击者获取信息后，就可以出售或使用这些信息来获得某种类型的(经济、社会、军事等方面)好处。在这种事件背后的参与者可能是进行间谍活动的国家，或者在重大产品发布会或并购之前想要占上风的商业竞争对手。

需要注意的是，在这种情况下商业竞争对手或是国家并不会直接攻击你，这些攻击者会攻击第三方，并利用他们来发起攻击和管理攻击活动。这也是APT攻击很难阻止的原因，企业可以抓到进行直接攻击的黑客并阻止他们，但找到攻击根源完全是另一回事。

另外，一些普通的网络罪犯也在使用这些用来发动APT攻击的方法，所以在大多数情况下，称他们为高级攻击并不恰当。此外，经常被人们用来描述APT攻击的零日漏洞利用能力，也不应该作为APT的明显特征。各种网络罪犯都在利用零日漏洞，因为这种工具能够带领他们实现更高程度的成功。

有针对性APT攻击和普通网络攻击之间的区别在于目的或是整体目标，而不是他们使用的工具、战略或程序。安全供应商可能不会苟同，但当你看看那些APT攻击和导致敏感记录或企业机密丢失而没有归类为APT的事件，区别在哪里？

APT活动背后的攻击者并不会使用网络巫术来实现他们的目标。他们利用基本攻击方法(例如社会工程、恶意软件、软件漏洞、web漏洞和公开课用的工具)来完成其攻击。他们与一般攻击者的区别是，他们有资金支持，并且有明确的任务目标。他们会尽一切力量来实现其目标，无论花多长时间。问题是，当涉及到安全性和防御部署时，很多企业没有太过重视，使他们轻松被命中。

APT相关的活动并不是攻击，它们是有针对性的持续活动。这些活动背后的操作者会花费大量时间和经历并制定详细计划，让他们不仅能够访问企业网络和数据，还能够保持其访问权限达数年之久。

在2009年，Lockheed Martin公司发布了一份关于APT防御的白皮书，其中介绍了这些高级攻击活动的特征，以及如何利用现有基础设施来打击这些活动。这份白皮书中写道：“由于传统的基于漏洞的做法并不够好，我们需要了解这种威胁本身、它的意图、能力以及操作模式。”

攻击前的"敌情"侦察

1、个人资料：人是最薄弱的环节

很多时候，导致企业受到攻击的信息通常是没有得到足够重视和保护的信息。这可能是电话号码、电子邮件目录表、文档中的元数据，以及企业高管的全名以及公司发展史等。

其中有些信息可以通过公共记录和网络搜索找到，但有时事实并非如此。公开的个人或企业的信息被称为开源情报(OSINT)，因为任何人都可以免费公开地获取这些信息。问题是，对于大多数来说，来自单一来源的可用OSINT数量通常非常少。

由于这种稀缺性，很多网络罪犯会链接信息，即整合很多小数据直到获得完整信息。黑客组织Anonymous在发动攻击前，就是利用“dox”来收集关于个人或事物的信息，这些“dox”就是信息链。然而，不只是黑客和犯罪分子，安全专家也会采用这种做法，包括执法机构。

这些向公众提供的信息包括：业务报告、新闻报道、企业网站、社交媒体账户(个人和专业)以及来自商业伙伴的相关信息。

通过这些信息，攻击者将了解其攻击目标以及原因;更重要的是，他们将知道如何攻击这些目标，而不需要进行额外的背景研究。

谈到没有受到保护的数据，让我们先看看元数据。

2、元数据：进入企业的隐藏的钥匙

在这里，元数据是指嵌入在文档和图像中的信息。我们并不是在谈论美国国家安全局收集的元数据。大多数人都不知道他们上传到网上的图片不仅包含图像拍摄位置，而且还包含准确的时间戳，以及硬件信息。对于文档(从PDF到PPT)中的元数据，攻击者可以获取软件产品名称和版本、文档作者的名字、网络位置、IP地址等。

了解元数据是很重要的，因为在侦察阶段，攻击者收集的第一个信息是可公开获取的文档。以下是利用元数据的很好的例子。在2011年，有人代表Anonymous上传了1.2GB torrent文件，让很多人相信美国商会、美国立法交流委员会(ALEC)、公共政策麦基诺中心遭受了数据泄露。事后发现，这些机构的文档并没有被偷窃，只是使用FOCA收集的文档信息。

在属于美国商会的文档集中，有194个Word文档(.doc和.docx)、724个PDF文档、59个PPT文档(.ppt和.pptx)以及12个Excel文档(.xls 和 .xlsx)。 通过检查其中的元数据，发现了293个名称，其中大部分是网络ID。虽然只有23个电子邮件地址泄露，但其实攻击者可以轻松获取其他地址，因为很多美国商会人员的信息可以通过OSINT发现。这些元数据还包括文件夹路径以及本地系统路径和web服务器路径。还有共享网络打印器的位置和名称。

在软件方面，美国商会的数据中列出了超过100个软件名称。虽然很多软件产品是在创建文档时记录的名称，但鉴于很多企业仍然在使用传统软件，这也是攻击者的宝贵数据。

同样重要的是IP地址，以及确定企业在运行Windows XP、Windows Server 2000和Windows Server 2003。虽然有些数据没有更新，但大量这种信息可以作为攻击企业的起点。

FOCA可以帮助企业发现元数据，还有很多可用资源可帮助企业管理和删除元数据。

3、技术信息：入侵基础设施

虽然攻击者会使用OSINT来寻找潜在的线索，他们也会查看目标企业网站使用的应用程序和脚本。攻击者会探测目标企业的整个网络中的漏洞，应用程序和脚本并不是唯一的攻击面，它们只是最容易获取的线索。

如前所述，攻击者能够知道目标企业使用的软件类型，还有IP地址、web服务器规格(例如平台版本)、虚拟主机信息以及硬件类型。

平台版本号码可以帮助员工找出存在的漏洞，当对于硬件，这些信息可以用来定位默认登录信息。而对于脚本和网站开发，攻击者可以被动扫描裸机漏洞、跨站脚本、SQL注入和其他漏洞。

技术侦查的另一种途径是供应链。很多企业经常会公开其业务合作伙伴，这给攻击者提供了另一个可利用的线索。试想一下：如果代理商的账户被攻破，这将对你的企业有何影响？

(责任编辑：安博涛)