【51CTO.com 綜合消息】2013年3月15日，APT攻擊作為一種高效、精確的網(wǎng)絡(luò)攻擊方式，在近幾年被頻繁用于各種網(wǎng)絡(luò)攻擊事件之中，并迅速成為企業(yè)信息安全最大的威脅之一。全球服務(wù)器安全、虛擬化及云計算安全領(lǐng)導(dǎo)廠商趨勢科技在對2012年APT攻擊的海量信息進(jìn)行分析之后發(fā)現(xiàn)，APT攻擊在去年的攻擊范圍不斷擴大、隱蔽性也有所增強。預(yù)計在2013年，這些趨勢將進(jìn)一步反映在APT攻擊的特征中，不但攻擊的破壞力會越來越大，對攻擊的判斷也將越來越困難。

趨勢科技（中國區(qū)）產(chǎn)品經(jīng)理蔣世琪表示：“APT的攻擊手法在于隱匿自己，針對特定對象，長期、有組織、有計劃的竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間偷竊資料、搜集情報的行為類似于‘網(wǎng)絡(luò)間諜’。正是由于APT的隱蔽性，把握其中的攻擊規(guī)律就變得尤為重要。趨勢科技將總結(jié)回顧2012年APT 特點，并對其預(yù)測了2013年攻擊特征進(jìn)行預(yù)測，幫助用戶判斷APT攻擊的趨勢與脈絡(luò)，希望給企業(yè)用戶防護(hù)APT攻擊提供更多有價值的建議。“

趨勢科技觀察到，APT攻擊在去年非?；钴S，并頻繁發(fā)生黑客利用復(fù)雜精準(zhǔn)的方式對特定對象發(fā)動高級持續(xù)性威脅的事件。在這些事件中，2012年APT攻擊主要呈現(xiàn)出以下五種特征：

一、APT攻擊目標(biāo)和范圍不斷擴展

在2012年，在世界各地出現(xiàn)了各式各樣的攻擊，針對俄羅斯、韓國、越南、印度和日本等地區(qū)的攻擊活動相當(dāng)活躍，特別是黑客在中東地區(qū)開展的Shamoon和Mahdi攻擊活動，造成巨大危害。除了這些地理位置上的不斷擴張之外，我們還看到了針對技術(shù)的擴展。為了對目標(biāo)進(jìn)行更有效的破壞，APT攻擊在工具上不斷精進(jìn)，而且在攻擊范圍上也不斷擴展。在2012年，趨勢科技已經(jīng)監(jiān)測到多個以Mac平臺為攻擊目標(biāo)的木馬，而將智能卡作為攻擊目標(biāo)的行為也日益增多。

二、APT攻擊隱蔽性日漸提升

APT攻擊為了躲避安全防護(hù)軟件的查殺，往往會讓自身的隱蔽性更強。例如2012年，微軟發(fā)現(xiàn)一個舊惡意軟件組件會在NDIS（網(wǎng)絡(luò)驅(qū)動程序界面規(guī)范）層建立一個隱蔽的后門，讓監(jiān)測變得更加困難。除了隱身在網(wǎng)絡(luò)層，APT攻擊程序也常使用增加數(shù)字簽名、使用DLL搜尋路徑劫持等技術(shù)，大大增加了監(jiān)測的難度。

APT攻擊不僅僅指惡意軟件，還指配套的攻擊方式與部署模式。為了確保軟件隱藏在用戶的系統(tǒng)中，其常常會存取、使用正常應(yīng)用程序（例如VPN），確保自己持久不會發(fā)現(xiàn)。

三、新社交工程陷阱出現(xiàn)

魚叉式網(wǎng)絡(luò)釣魚郵件仍然是APT攻擊用來散播惡意軟件的主要機制，但不是唯一的攻擊路徑。在2012年，一個值得關(guān)注的新社交工程陷阱利用安全廠商對惡意軟件的分析作為誘餌，來傳播惡意軟件。此外，在2012年新發(fā)現(xiàn)的一種新入侵模式中，攻擊者利用了Java和Flash的漏洞攻擊碼。而RSA公司此前的安全報告中所提到的VOHO攻擊活動，也使用了相同的技術(shù)。

四、“超限”武器交易走向“前臺”

“超限”武器交易是指販賣漏洞攻擊碼及搭配的惡意軟件，這本來是個隱秘的話題，卻在2012年成為公開的祕密。美國公民自由聯(lián)盟的Christopher Soghoian在VB2012大會上以此為主題進(jìn)行了演講，在演講中他提到，“超限”武器交易出現(xiàn)“泛化”的趨勢，其不但涉及買賣漏洞和攻擊碼，還涉及惡意軟件的交易。

五、以破壞信息為目的的攻擊增多

雖然APT攻擊通常是為了竊取信息，但是其有時也會被用作從事破壞性行為。趨勢科技監(jiān)測發(fā)現(xiàn)，在2012年中，有多起APT攻擊侵入了目標(biāo)系統(tǒng)，并銷毀了部分資料。而這種形式的目標(biāo)攻擊在今后將可能繼續(xù)增多。

蔣世琪談到：“APT攻擊是一個在時間上具備連續(xù)性的行為，其在2012年表現(xiàn)出來的特征會反映在我們對于2013年的預(yù)測中?；谶@種判斷，趨勢科技認(rèn)為，在2013年，APT攻擊將會變得越來越復(fù)雜，這并不僅僅表示攻擊技術(shù)越來越強大，也意味著部署攻擊的方式越來越靈活。以后，這類攻擊將會具備更大的破壞能力，使得我們更難進(jìn)行屬性分析。”

具體來說，2013年APT攻擊可能表現(xiàn)出以下三個趨勢：

第一、攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區(qū)、特定的用戶群體進(jìn)行攻擊。在此類攻擊中，除非目標(biāo)在語言設(shè)定、網(wǎng)段等條件上符合一定的標(biāo)準(zhǔn)，否則惡意軟件不會運行。因此，在2013年我們將會看到越來越多的本地化攻擊。

第二、APT攻擊將更有破壞性：在2013年，APT攻擊將帶有更多的破壞性質(zhì)，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標(biāo)上。

第三、對攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術(shù)指標(biāo)來判斷攻擊的動機和地理位置。但是到了2013年，我們將需要綜合社會、政治、經(jīng)濟、技術(shù)等多重指標(biāo)進(jìn)行判斷，以充分評估和分析目標(biāo)攻擊。但是，多重指標(biāo)很容易導(dǎo)致判斷出現(xiàn)失誤，而且，攻擊者還可能利用偽造技術(shù)指標(biāo)來將懷疑對象轉(zhuǎn)嫁到別人身上，大大提升了判斷的難度。