APT***

APT简介：

高级长期威胁（英语：advanced persistent threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑***过程，一般由某些人员精心策划，针对特定的目标。其一般是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的***。^[1]

APT发起方，如政府，一般具有持久而有效地针对特定主体的能力及意图。此术语通常指网络威胁，尤为是指使用众多情报收集技术来获取敏感信息的网络间谍活动，^[2]但也适用于传统的间谍活动之类的威胁。^[3]其余***面包括受感染的媒介、***供应链、社会工程学。我的，如我的***，一般不被称做APT，由于即便我的有意***特定目标，他们也一般不具有高级和长期这两个条件。^[4]

目录

  [隐藏] 

• 1历史

• 2特色

• 3生命周期

• 4术语

• 5缓解策略

• 6参考文献

• 7扩展阅读

• 8参见

历史[编辑]

2005年时，英国及美国的一些计算机应急响应组织发布报告，提醒人们注意某些针对性的钓鱼电子邮件会释放***，外泄敏感信息，但“APT”一词还未被使用。^[5]广泛认为“高级长期威胁”这个术语是在2006年由美国空军创造，^[6]而格雷格·拉特雷上校通常被认为是该术语的发明人。^[7]

震网蠕虫是APT的一个例子，此蠕虫专门针对伊朗核设施的电脑硬件。此事件中，伊朗政府可能就把震网蠕虫的创造者视为一个高级长期威胁。

在计算机安全社群及媒体中，此术语常指针对政府、公司、政治活跃分子的长期而复杂的******，普遍来说也指发起这些***的幕后团体。^{[来源请求]} 日趋频繁的高级长期威胁（APT）可能会逐渐只用于指代计算机******。据《PC World》杂志统计，从2010年到2011年，针对性的高级电脑******增加了81%。^[8]

对于APT的一个常见误解^[谁？]是，APT仅仅针对西×××府。虽然针对西×××府的APT事件在西方广为流传，但许多国家的***也会经过网络空间收集我的或一群我的的情报。^[9][10][11]美国网战司令部负责协调美国军方对网络***做出的响应。

有说法称一些APT团体直属于或受雇于民族国家。^[12][13][14] 掌握大量可辨识的我的身份信息的行业极有可能遭受高级长期威胁，如：^[2]

• 高等教育^[15]

• 金融机构

特色[编辑]

Bodmer、Kilger、Carpenter和Jones的研究将APT的标准定义以下：^[16]

• 目标 – 威胁的最终目标，即你的对手

• 时间 – 调查、***所花的时间

• 资源 – 所涉及的知识面及工具（技能和方法也有所影响）

• 风险承受能力 – 威胁能在多大程度上不被发觉

• 技能与方法 – 所使用的工具及技术

• 行动 – 威胁中采起的具体行动

• ***源头 – ***来源的数量

• 牵涉数量 – 牵涉到多少内部或外部系统，多少人的系统具备不一样重要性

• 信息来源 – 是否能经过收集在线信息识别出某个威胁

生命周期[编辑]

APT的幕后黑手会对组织团体的金融财产、知识产权及名誉形成持续变化的威胁，^[17]其过程以下：

1. 因一个目标开始盯上特定组织团体

2. 试图***到其环境中（如发送钓鱼邮件）

3. 利用***的系统来访问目标网络

4. 部署实现***目标所用的相关工具

5. 隐藏踪影以便未来访问

2013年，美国网络安全公司麦迪安（Mandiant）发布了关于2004至2013年间疑似来源于中国的APT***的研究结果，^[18]其中的生命周期与上述类似：

• 初始*** – 使用社会工程学、钓鱼式***、零日***，经过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种经常使用的方法。

• 站稳脚跟 – 在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。

• 提高特权 – 经过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。

• 内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。

• 横向发展 – 将控制权扩展到其余工做站、服务器及设施，收集数据。

• 保持现状 – 确保继续掌控以前获取到的访问权限和凭据。

• 任务完成 – 从受害者的网络中传出窃取到的数据。

麦迪安所分析的这起***事件中，***者对受害者的网络保有控制权的平均时间为一年，最长时间为五年。^[18] 这次******据称是位于上海的中国人民解放军61398部队所为。中国官方否定参与了这些***。^[19]

术语[编辑]

APT并没有准肯定义，但整体可概括以下：^[3][4][20]

• 高级 – 威胁的幕后操纵者对情报收集技术有着全面的掌控能力。其中可包括电脑***技术和传统情报收集技术（如电话监听技术、卫星成像技术）。***中使用的各个组件自己可能并不能算特别“高级”（例如，利用公开的恶意软件生成工具生成的恶意软件，或是一些容易得到的漏洞利用材料），可是操纵者每每能够按需开发出更高级的工具。他们通常会使用多种针对方式、工具和技术以***目标，并保持访问权限。操纵者也可能会特别注意行动中的安全，这一点和“不那么高级”的威胁有所不一样。

• 长期 – 操纵者注重一个特定的任务，而不是盲目搜寻信息。这一区别暗示***者受到外部力量指示。为了达到预约目的，***者会持续监控目标，并作出反应。这并不表示***者会常常发动***、频繁更新恶意软件。事实上，“放长线”的方法会更为成功。若是操纵者失去了对目标的访问权，他们通常会从新尝试***，也每每会成功。操纵者的目的之一就是对目标保有长期的访问权，而不是一次性的访问权。

• 威胁 – APT之因此成为威胁，是由于发起方既有此能力，又有此意图。APT***是由一群有组织的人发起的。操纵者有特定的目标，且技术精湛、资金雄厚。

缓解策略[编辑]

恶意软件的变种数以千万计，所以要保护组织团体免于APT***极为困难。虽然APT活动十分隐蔽，但与APT相关的命令与控制网络流量却很容易在网络层检测。深刻的日志分析和比对有助于检测APT活动。尽管要从正常流量中分离出异常流量有必定难度，但这一工做能够借助完善的日志分析工具来完成，以便安全专家调查异常流量。^[1]

^{51cto APT专题}

^{http://netsecurity.51cto.com/art/201109/290796.htm}