APT的工作原理和危害

APT事件

此類事件本人接觸的并不多，實際遭遇目前差不多就兩三次的樣子。首先明確一下什么樣的事件可以被歸類為APT事件，借鑒一下百度百科的說明，APT攻擊的主要特征有

針對性強、組織嚴(yán)密、持續(xù)時間長、高隱蔽性和間接攻擊

詳細可以參考百度百科

高級長期威脅（英語：Advanced Persistent Threat，縮寫：APT），又稱高級持續(xù)性威脅、先進持續(xù)性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標(biāo)。其通常是出于商業(yè)或政治動機，針對特定組織或國家，并要求在長時間內(nèi)保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞。長期暗指某個外部力量會持續(xù)監(jiān)控特定目標(biāo)，并從其獲取數(shù)據(jù)。威脅則指人為參與策劃的攻擊。

簡單講述一下本人遭遇過的一個事件為例，接到應(yīng)急通知，某軍工相關(guān)單位，更新了軟件后安全設(shè)備一直告警。

到現(xiàn)場查看，殺軟當(dāng)前更新到最新版本，掃描到的木馬日期在兩年之前，此前一直沒有發(fā)現(xiàn)（環(huán)境為內(nèi)網(wǎng)環(huán)境，無法連接外網(wǎng)，近期才更新了殺軟病毒庫）（持續(xù)性），說明木馬具有一定的免殺性（隱蔽性），考慮到目標(biāo)系統(tǒng)在內(nèi)網(wǎng)（間接攻擊）并且為敏感單位（針對性），基本確認為APT事件。

由于時間太久遠，網(wǎng)站沒有日志記錄，通過溝通確認網(wǎng)站使用了某知名OA系統(tǒng)，查看webshell時間與當(dāng)年該OA系統(tǒng)爆出RCE漏洞時間基本吻合，大致確認是由于該漏洞導(dǎo)致的入侵，由此得出結(jié)論，鑒于事件性質(zhì)，后續(xù)工作移交了對應(yīng)部門進行處理。

總得來說，如果真懷疑遇到了APT，還是建議找專業(yè)公司來進行解決。