APT单兵作战指南？进攻向课程！

随着网络安全事件的发酵，更加显得我们网络安全行业人员需求的迫切。对于经常关注网络安全事件的研究员来说，会经常听到APT的相关事件，那么APT到底是什么？他们的攻击是怎么发起的？都可以在本节课中找到答案。

何为APT？

APT，全称Advanced Persistent Threat，即高级持续性威胁。它是一种复杂、隐蔽且持续时间长的网络攻击形式，旨在渗透到目标系统内部，长期潜伏并窃取敏感信息或破坏关键基础设施。

APT攻击的典型目标如下所示：

政府机构
大型企业
科研机构
金融机构
国防部门
关键基础设施（如能源、交通、通信）

攻击特点

与传统的网络攻击（如病毒传播、DDoS攻击）相比，APT攻击具有以下显著特点：

高级性 (Advanced): APT攻击者通常具备高超的技术水平、丰富的经验和专业的知识，能够利用复杂的攻击工具、技术和漏洞，绕过常见的安全防御措施。
持续性 (Persistent): APT攻击不是一次性的事件，而是持续性的渗透和控制过程。攻击者会在目标系统内建立持久存在点，长期潜伏并持续收集情报，即使目标系统重启或更新，也能保持连接。
威胁性 (Threat): APT攻击的目标通常是具有高价值的敏感信息、知识产权或关键基础设施，一旦成功，会对受害者造成严重的经济损失、声誉损害甚至国家安全威胁。

生命周期

APT攻击的生命周期 (通常包括以下阶段)：

情报收集: 攻击者会搜集关于目标组织的公开信息，包括人员、技术、业务流程等，以便制定更有效的攻击计划。
初始入侵: 攻击者利用各种手段（如鱼叉式网络钓鱼、水坑攻击、供应链攻击等）突破目标系统的外围防御，植入恶意代码。
权限获取：攻击者在目标系统内部建立控制通道，获得持久访问权限并使用提权技术扩大在目标系统中的权限。
横向移动: 攻击者在目标网络内部横向扩散，寻找有价值的资源和敏感数据。
数据窃取/破坏: 攻击者秘密窃取敏感数据，或者破坏关键系统，达到最终攻击目标。
维持访问: 攻击者会不断维护其在目标系统中的存在，并且会部署后门工具以确保能够再次访问目标网络，防止被发现和清除。

我理解的生命周期为一个大“循环”：

信息收集：对目标域名、业务、供应链、人员信息等进行信息收集，信息收集的越全面，对目标的漏洞利用也就越容易。
漏洞利用：对常见的WEB漏洞使用高级手法进行利用，还有组件漏洞、中间件漏洞、系统漏洞以及0day漏洞等等。
社会工程学：包括钓鱼邮件、钓鱼文档、水坑攻击、应用伪装等攻击手法。
命令控制：在目标服务器上植入后门程序，使其能够在服务器上高隐蔽性的执行命令等操作。
提权：在目标服务器上通过漏洞利用、暴力破解等方式获取电脑的管理员权限，并尝试获取域管理员权限等。
横向：获取内网中其他服务器、设施等权限。
（后）信息收集：最后我们又回到信息收集，不过该步骤是在目标上横向后对目标进行收集敏感数据、访问权限所要执行的。

不过，卡巴斯基为APT攻击的生命周期进行了更加一步的细分。

APT攻击事件

很早之前，APT攻击仅针对西方，而随着网络攻击日益增大，其实各个国家之间都遭受过APT攻击。

1.震网病毒

2010年6月中旬，VirusBlokAda安全公司发现该病毒，并追溯到开始传播的时间为2009年6月或者更早，该病毒是首个针对工业控制系统的蠕虫病毒，其感染占比60%都是伊朗的个人电脑，而且该蠕虫病毒的目标很可能是针对的伊朗核设施。

2010年9月，伊朗证实了境内首座核能发电厂被震网病毒感染，且核子离心机被彻底摧毁。 2012年6月左右，《纽约时报》报导了美国官员承认这个病毒是与以色列政府协助研发，目的是阻止伊朗发展核武。

该病毒同时使用5个Windows的0day漏洞和已知的2个Windows漏洞，还使用了针对西门子工业控制系统的2个漏洞，可以说该病毒的复杂性非常罕见，也让伊朗成为了网络战争的第一个目标。

2.美国电网攻击事件

2017年3月，All-Ways Excavating公司的Mike Vitello电子邮件被黑客接管，该公司是一家美国政府承包商，与美国陆军工程兵团等机构进行竞标工作，该兵团经营着数十个联邦拥有的水力发电设施。

2017年3月2日，攻击者使用Vitello的电子邮件向客户发送大量电子邮件，将收件人欺骗到一个被黑客接管的网站，该电子邮件向收件人提示立即下载文档，受害者显示被邀请点击一个链接，上面写着他们可以直接下载文件。Corvallis 公司的一名员工点击了指向该网站的链接，系统提示她输入用户名和密码。

2017年6月，黑客使用 Corvallis 公司的系统对其他公司发动攻击。6月15日，黑客攻击了ReEnergy Holdings LLC网站，这家公司为可再生能源公司，该公司建造了一座小型发电站，用来保证即使民用电网崩溃，纽约西部的德拉姆堡依旧能正常运行。同天，黑客攻击了大西洋电力公司网站，这家公司是一家独立电力生产商，向八个州和两个加拿大省的十几家公用事业公司出售电力，攻击者还访问了该公司的虚拟专用网络的登录页面。

2017年6月28日，黑客利用Corvallis公司的网络与密歇根州一家名为 DeVange Construction Inc. 的公司发送了电子邮件，其中华盛顿的富兰克林 PUD、威斯康星州的 Dairyland Power Cooperative 和纽约州电力和天然气公司都收到了该邮件。

2017年6月30日，黑客攻击了Vectren Corp的一个子公司，该公司的客户之一就是德特里克堡，是马里兰州的一个陆军基地。

2017年7月1日，黑客利用Corvallis 公司攻击了两家英国公司，即 Severn Controls和Oakmount Control Systems，然后攻击了同样位于英格兰的 Simkiss Control Systems，该公司主要销售技术人员远程访问工业控制网络的工具，其客户包括大型电气设备制造商和公用事业公司、国家电网公司，该公司在英国和美国部分地区运营输电线路，在纽约、罗德岛和马萨诸塞州均拥有公用事业公司。

2017年9月18日，黑客攻击者了Dan Kauffman Excavating，并在10月18日晚上向该公司大约2300名联系人发送了电子邮件。

2017年10月，美国政府就黑客攻击活动发出警告，并将该攻击归咎于Energetic Bear。

该攻击事件范围光，且持久性强，试图攻击美国24个州以及加拿大和英国的电网

3.SWIFT攻击事件

2016年2月，黑客向SWIFT（环球银行金融电信协会网络）发出35条欺骗指令，要求将孟加拉央行存储在美国纽约联邦储备局的10亿美元取走，其中5条指令被执行，成功转走1.01亿美元，30条指令被联邦储备局拒绝，涉及多达8.5亿美元。

流向菲律宾的8100万美元尚未追回，而流向斯里兰卡2000万美元成功追回，种种证据表明该攻击事件是黑客组织——Lazarus Group一手造成的。

已被2025年的

4.方程式组织泄露事件

2015年2月16日，卡巴斯基实验室披露了方程式组织（Equation Group）的存在，该组织行动隐蔽性极高，技术十分先进，卡巴斯基猜测该组织可能与Regin攻击、震网病毒和Flame恶意软件有关，并推测该组织隶属于美国国家安全局（National Security Agency，NSA）。

2016年8月，自称为影子经纪人（Shadow Brokers）的组织发布了大量来自方程式组织的文件，包含了多个针对企业防火墙、杀毒软件和微软的0day漏洞。

其中一个0day漏洞被后续用于WannaCry勒索软件蠕虫病毒，漏洞被称为“永恒之蓝”（编号为MS17-010），而该蠕虫病毒也大面积爆发，大约150个国家遭到攻击，即使到现在2022年，仍旧有Windows系统存在该漏洞，其产生的影响非常深远。

课程介绍