前言

最近在看ATT&CK的文章，里面有提到针对目标主要是APT组织，针对的攻击方法也主要为APT攻击，那么什么是APT呢

APT起源

2006年，APT被正式提出，用以描述自20世纪90年代末至21世纪初在美国政府和军事网络中发现的强大而持续的网络攻击。

美国中情局将经典情报周期划分为5个阶段：规划、收集、处理、分析和生产、传播，并明确APT攻击属情报收集范畴。美国国防部的高级网络作战原则中明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要的组成部分。可见，APT攻击侧重于敏感数据获取与关键情报收集。

APT定义

自APT术语诞生至今，依然没有权威统一的定义，但不同研究机构和研究者相继提出了各自对于APT的理解与描述。

下面是维基百科对于APT的定义：

高级长期威胁（英语：advanced persistent threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。

高级长期威胁包含三个要素：高级、长期、威胁 高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。

APT发起方，如政府，通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁，尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动，但也适用于传统的间谍活动之类的威胁。其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人，如个人黑客，通常不被称作APT，因为即使个人有意攻击特定目标，他们也通常不具备高级和长期这两个条件。

APT生命周期

APT的生命周期即为一次攻击入侵的流程，下面介绍一下美国网络安全公司麦迪安（Mandiant）发布的一个APT组织的生命周期

• 初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。
• 站稳脚跟 – 在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。
• 提升特权 – 通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。
• 内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
• 横向发展 – 将控制权扩展到其他工作站、服务器及设施，收集数据。
• 保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
• 任务完成 – 从受害者的网络中传出窃取到的数据。

我觉得最后一步，可以添加一步安全撤出的流程。

防御方法

目前各大院校的研究院和各大厂商也正在做APT攻击的监测方法和抵抗方法，可以在各大文献平台进行检索。

下面是一些厂商做的APT威胁的年度报告：
奇安信2021年APT年度报告：https://ti.qianxin.com/uploads/2022/03/25/68f214e06e1983b73b7d0f2e075a5fa8.pdf
360安全2020年全球APT研究报告：
http://pub1-bjyt.s3.360.cn/bcms/2020%E5%85%A8%E7%90%83%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81APT%E7%A0%94%E7%A9%B6%E6%8A%A5%E5%91%8A.pdf
360安全2021年上半年全球APT研究报告：
http://pub1-bjyt.s3.360.cn/bcms/2021%E5%B9%B4%E4%B8%8A%E5%8D%8A%E5%B9%B4%E5%85%A8%E7%90%83%E9%AB%98%E7%BA%A7%E6%8C%81%E7%BB%AD%E6%80%A7%E5%A8%81%E8%83%81%EF%BC%88APT%EF%BC%89%E7%A0%94%E7%A9%B6%E6%8A%A5%E5%91%8A.pdf

绿盟2022年APT组织情报研究：
http://blog.nsfocus.net/wp-content/uploads/2022/01/APT.pdf

总结

APT是有针对有组织的黑客攻击，目前主流的防守方法是采用ATT&CK模型，进行有针对的防御。