你有沒有想過高級持續(xù)性攻擊（APT）者究竟為什么如此難以檢測到？因為這些高級持續(xù)性威脅(APT)攻擊者使用的是目標(biāo)主機上現(xiàn)有的工具，通過常用網(wǎng)絡(luò)端口，并將他們的命令控制(C&C)通信隱藏在HTML注釋中。

“他們試圖瞞天過海！”對這些攻擊進行取證調(diào)查研究的HBGary首席科學(xué)家Shawn Bracken表示，“應(yīng)該注意到他們對目標(biāo)企業(yè)使用的行為阻斷和分析非常熟悉。”

這些攻擊者沒有采取任何可能觸發(fā)警報或者引起懷疑的行動，而是試圖融入系統(tǒng)。“他們安裝的工具都是專門不會與入侵防御系統(tǒng)發(fā)生沖突的工具，并且他們使用的是合法的已發(fā)布的API，試圖不引起任何懷疑。”

這意味著使用目標(biāo)操作系統(tǒng)中存在的真正的系統(tǒng)管理工具，并且越來越多地使用HTML用于控制命令通信。至少有三個高級持續(xù)性攻擊團隊，包括Operation Shady RAT campaign背后的攻擊者，都是用了這樣的技術(shù)來掩蓋他們的通信。“但你不能阻止所有包含注釋的網(wǎng)站，”Bracken表示。

戴爾安全工作反威脅部門的惡意軟件研究主管Joe Stewart表示，在網(wǎng)頁使用加密HTML注釋在一段時間內(nèi)已經(jīng)成為高級持續(xù)攻擊的一部分。“這個技術(shù)已經(jīng)被用了好幾年了，我相信，那些跟蹤高級持續(xù)攻擊活動的安全研究人員早就意識到這一點，”Stewart表示，“知道HTML注釋可能被利用可以幫助檢測高級持續(xù)攻擊流量，然而，只有特定惡意軟件會使用特定HTML注釋，其他都有各自不同的格式，因此很難察覺。”

它的工作原理是這樣的：攻擊者利用互聯(lián)網(wǎng)某個地方的web服務(wù)器或者社交網(wǎng)絡(luò)站點，例如博客網(wǎng)站。然后攻擊者將他的編碼指令作為隱藏注釋藏在這個網(wǎng)站中，而RAT會定期檢查這個頁面。

“我們已經(jīng)看到了兩種情況：攻擊者將使用SQL諸如攻擊滲透到受感染的web服務(wù)器，然后將他的注釋隱藏在這個服務(wù)器中，”HBGary首席執(zhí)行官Greg Hoglund表示。

RAT有一個硬編碼DNS名稱來連接，這個名稱隨后會被修改為與被感染網(wǎng)站相匹配的IP地址，“所有RAT進行出站連接，并獲取指令，”他表示。

第二種情況是，攻擊者使用合法的社交網(wǎng)絡(luò)媒體或者應(yīng)用程序網(wǎng)站，例如Google BlogSpot來將他們隱藏指令藏在HTML注釋中，Hoglund表示。這些指令通常是配置指令，例如指示一臺機器連接到受害者網(wǎng)絡(luò)特定機器以及打開一個TCP連接。這就為攻擊者提供了到那臺機器的互動連接，“并且他獲取了命令行訪問權(quán)限，”Hoglund說到。

即使這些遠程訪問工具沒有故意隱藏起來：“它們完全不會被察覺，看起來就像是正常軟件。”

因此，如果你可以找到HTML注釋，你就可以找出在哪臺機器上安裝了RAT，但是也有可能在網(wǎng)絡(luò)種存在大量RAT程序。