多数人可能从来没听过APT攻击，文章内容通俗易懂，耐心看哦。

APT名字来源 Advanced（高级）Persistent（持续）Threat（威胁），中文全称高级持续性威胁。

而这种攻击最主要的两个特点就是高级、持续。

高级指的是攻击手段高，攻击对象也高端，通常攻击对象是国家政府单位，政府或企业高管人员，国家机密军事机密等。

持续指持续性，说明攻击时间极长，通常以年为单位，想象一下，当一个技术顶尖的组织，分工明确，目的明确，长期盯着要害部门，收集情报，获取重要机密，并且长期潜伏，攻击持续数年甚至十几年，你怕不怕？

APT攻击的两个特点，听起来便令人害怕。

APT组织攻击手段

很明显，APT攻击并不是什么新鲜的黑客技术，而是一种攻击手段，它是结合全部攻击技术进行攻击，是一个综合体。并且不止局限于网络上，现实中也可以攻击：

想象一下你是某企业高管，攻击者调查到你要参加某个会议，于是穿着正式，蹲守在大会门口，当你要进去时跟你说需要登记些信息，你便毫无防备的将个人信息填写上去，许久之后你便忘记了这件事。等你参加完会议，攻击者再伪造一个邮件发给你，内容大概是感谢您参加本次会议，请查看附件感谢函。

而附件的doc文档，自然是写着一些不太重要的内容，当然还配上了会议的logo之类的图片，这样更像是官方人员发送来的，但是当你打开文档时，背后已经执行已经捆绑好的木马，电脑瞬间沦为黑客的肉鸡，而如果这台电脑还是公司的电脑，甚至可以利用内网渗透，获取到公司全部电脑权限。

而被攻击的人，却毫无察觉。攻击者便能长期潜伏着，这也是第三个特点，潜伏性。勒索病毒在爆发前，这漏洞也是存在的，但是可能已经被APT攻击者利用了很多次了，因为大多电脑都毫无防备。

APT攻击现状

中国是目前主要的受害国，境外被发现长期攻击国内的APT间谍组织就有三十多个（数据来源360），知道为什么杀毒软件的系统漏洞，过一段时间就需要修复吗？

因为各种漏洞会不断被发现，也不断被攻击者利用，或许你的电脑没什么有价值的东西，但是如果是政府、能源、军事、教育等行业的电脑被攻击，后果可想而知。

目前肯定还有各种各样的系统漏洞没被发现，并且真正被APT攻击者利用，作为普通人，定期修复电脑漏洞必不可少，至少这是最简单的操作。

APT攻击防御

1、基于沙箱的恶意代码检测技术——未知威胁检测

要检测恶意代码，最具挑战性的就是利用0day漏洞的恶意代码。因为是0day，就意味着没有特征，传统的恶意代码检测技术就此失效。

沙箱技术简单说就是构造一个模拟的执行环境，让可疑文件在这个模拟环境中运行起来，通过监控可疑文件所有的真正的行为（程序外在的可见的行为和程序内部调用系统的行为）判断是否为恶意文件。

沙箱技术的模拟环境可以是真实的模拟环境，也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建（KVM），或者通过一个特制程序来虚拟（docker）。

2、基于异常的流量检测技术——IDS（已知的特征库的检测）

传统的IDS都是基于特征的技术去进行DPI分析（入侵检测系统），检测能力的强弱主要看ids库的能力（规则库要广泛还要及时更新），主要是安全分析人员要从各种开源机构或自发渗透挖掘出利用代码或恶意代码，来加入ids规则库来增强检测能力。这种防御技术的方法显而易见对已知的网络威胁检测时可以的，对未知的威胁就尴尬了。

面对新型威胁，有的ids也加入了DFI技术，来增强检测能力。基于Flow，出现了一种基于异常的流量检测技术，通过建立流量行为轮廓和学习模型来识别流量异常，进而识别0day攻击、C&C通讯，以及信息渗出。本质上，这是一种基于统计学和机器学习的技术。

3、全包捕获与分析技术

应对APT攻击，需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办？对于某些情况，我们需要全包捕获及分析技术（FPI）。

借助天量的存储空间和大数据分析（BDA）方法，FPI能够抓取网络中的特定场合下的全量数据报文并存储起来，进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法，协助分析师剖丝抽茧，定位问题。

有了全流量然后用机器学习—检测建模—数据挖掘—引擎分析，做全面的大数据安全分析。

4、信誉技术

信誉技术早已存在，在面对新型威胁的时候，可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络、恶意IP、恶意邮件，还是威胁情报库，都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建，这需要一个强有力的技术团队来维护。

一般是借助第三方情报平台：如国内的有“烽火台”、“微步在线”等，实时的收集互联网上的最新威胁情报，实时的更新情报库。

5、关联分析技术

把前述的技术关联在一起，进一步分析的威胁的方法。我们已经知道APT攻击是一个过程，是一个组合，如果能够将APT攻击各个环节的信息综合到一起，有助于确认一个APT攻击行为。通过ids+情报+沙箱+机器学习等综合的判断网络数据是否有威胁。

综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为，包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术，等等。

6、安全人员的挖掘，提升安全防御技术

要实现对这种有组织隐蔽性极高的攻击攻击，除了监测/检测技术之外，还需要依靠强有力的专业分析服务做支撑，通过专家团队和他们的最佳实践，不断充实安全知识库，进行即时的可疑代码分析、渗透测试、漏洞验证，等等。安全专家的技能永远是任何技术都无法完全替代的。

APT攻击是什么？该如何预防？相关推荐

基于OSSIM系统的APT攻击检测实践
目录 0.背景 1. APT的显著特征 2. APT 的主要阶段 3.APT分层防御策略 4.检测与防御技术 5.复杂网络环境部署OSSIM 6.在特殊场景的应用 7.利用OSSIM识别APT攻击 ...
从kill-chain的角度检测APT攻击
前言最近一直在考虑如何结合kill chain检测APT攻击.出发点是因为尽管APT是一种特殊.高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测 ...
水抗攻击 apt攻击手段
所谓"水坑攻击"是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 这种攻击行为类似<动物世界 ...
攻击链路识别——CAPEC（共享攻击模式的公共标准）、MAEC（恶意软件行为特征）和ATTCK（APT攻击链路上的子场景非常细）...
结合知识图谱对网络威胁建模分析,并兼容MITRE组织的CAPEC(共享攻击模式的公共标准).MAEC和ATT&CK(APT攻击链路上的子场景非常细)等模型的接入,并从情报中提取关键信息对知识图 ...
什么是 APT 攻击
APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击. 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT 攻击的原理相对于其他攻击形式 ...
[译] APT分析报告：04.Kraken - 新型无文件APT攻击利用Windows错误报告服务逃避检测
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了APT组织Fin7 / Carbanak的Tirion恶 ...
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...
cobaltstrike扩展_Malwarebytes：使用可变C2下发Cobalt Strike的APT攻击
6月中旬,Malwarebytes Labs的研究人员发现了一个伪装成简历的恶意Word文档,该文档使用模板注入来删除.Net Loader.研究人员认为这是与APT攻击有关的多阶段攻击的第一部分.在 ...
水抗攻击（APT攻击手段）
所谓"水坑攻击"是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 这种攻击行为类似<动物世界 ...

APT攻击是什么？该如何预防？