一般來(lái)說(shuō)APT攻擊有三個(gè)主要的環(huán)節(jié)：攻擊前奏，入侵實(shí)施，后續(xù)攻擊。

在攻擊前奏階段，攻擊者首先會(huì)做信息搜集的工作。通過(guò)搜集信息，攻擊者能夠很清晰的知道受害目標(biāo)使用什么樣的應(yīng)用、防御軟件，內(nèi)部的人際關(guān)系，組織架構(gòu)，核心資產(chǎn)可能存放在哪里。做完這些工作以后，攻擊者就會(huì)做些攻擊的準(zhǔn)備。比如說(shuō)攻擊者知道目標(biāo)使用office，就專(zhuān)門(mén)去找office方面的漏洞;然后目標(biāo)使用XX殺毒軟件，那就專(zhuān)門(mén)寫(xiě)一個(gè)能繞過(guò)XX殺毒軟件的木馬;然后搭建入侵服務(wù)器，進(jìn)行技術(shù)準(zhǔn)備工作。做好技術(shù)的準(zhǔn)備工作之后，攻擊者還會(huì)進(jìn)行周邊的滲透，因?yàn)橹苯酉蛎舾械哪繕?biāo)發(fā)送郵件，用不可信的郵箱地址發(fā)過(guò)去，受害者可能不會(huì)打開(kāi)它。攻擊者通過(guò)社交關(guān)系的調(diào)研，找到跟受害目標(biāo)有業(yè)務(wù)關(guān)系的某個(gè)人，這個(gè)人的安全意識(shí)可能很差，那么攻擊者就先入侵這個(gè)人的電腦，然后再假冒他的身份向受害目標(biāo)發(fā)送郵件，期望獲得受害目標(biāo)的信任。

在入侵實(shí)施方面，攻擊者會(huì)使用各種各樣對(duì)應(yīng)的技術(shù)手段來(lái)發(fā)起攻擊?？赡苁抢寐┒从|發(fā)，或者欺騙用戶去執(zhí)行木馬，目的是在企業(yè)內(nèi)部建立立足點(diǎn)。攻擊者即使只獲得一個(gè)權(quán)限很低的個(gè)人主機(jī)的權(quán)限，在企業(yè)內(nèi)部也能獲得更多的信息，再利用它進(jìn)行滲透提權(quán)，直到最后獲得核心目標(biāo)主機(jī)的控制權(quán)。

在后續(xù)攻擊階段，攻擊者可以進(jìn)行痕跡的隱藏，對(duì)敏感信息進(jìn)行搜集，然后把搜集到的信息通過(guò)加密通道秘密的傳輸出來(lái)，避免被企業(yè)的審計(jì)系統(tǒng)所發(fā)現(xiàn)。同時(shí)，攻擊者還會(huì)做一些深度的滲透，滲透到內(nèi)部，控制更多的主機(jī)之后，他可能會(huì)潛伏下來(lái)，即使他工作的這臺(tái)主機(jī)被發(fā)現(xiàn)，還可以利用其他主機(jī)再來(lái)持續(xù)的控制，這樣他就能長(zhǎng)期的控制受害目標(biāo)。

2010年，全球公布4651個(gè)漏洞，2011年公布4155個(gè)漏洞，2012年公布5297個(gè)漏洞，2013年(截止6月)公布2096個(gè)漏洞。漏洞嚴(yán)重程度以Adobe居首。每年公開(kāi)的漏洞就有這么多，實(shí)際上被攻擊者掌握的、沒(méi)被公開(kāi)的的漏洞更是無(wú)法統(tǒng)計(jì)。微軟發(fā)布的報(bào)告顯示，這些公開(kāi)的漏洞被廣泛的利用在攻擊當(dāng)中。

這里有一個(gè)重點(diǎn)問(wèn)題，就是為什么我們檢測(cè)不到這種攻擊呢?2013年，美國(guó)知名安全培訓(xùn)與研究機(jī)構(gòu)SANS針對(duì)多款主流IPS進(jìn)行測(cè)試，使用5年前的老漏洞MS08-067，采用了變形攻擊手段，結(jié)果沒(méi)有一個(gè)IPS能檢測(cè)出變形的攻擊。這說(shuō)明我們現(xiàn)在檢測(cè)的能力、體系已經(jīng)遠(yuǎn)遠(yuǎn)滯后于攻擊技術(shù)。

另一個(gè)案例是，2013年JAVA 0DAY暴露出來(lái)，產(chǎn)生了10多個(gè)變形樣本，漏洞發(fā)布者使用所有主流殺毒軟件來(lái)檢測(cè)這些樣本，大部分都只檢測(cè)到0個(gè)樣本，最高的也就檢測(cè)出來(lái)兩個(gè)攻擊的樣本。

為什么傳統(tǒng)的技術(shù)檢測(cè)不到APT呢?這是因?yàn)閭鹘y(tǒng)的檢測(cè)技術(shù)主要在網(wǎng)絡(luò)邊界和主機(jī)邊界進(jìn)行檢測(cè)。在網(wǎng)絡(luò)邊界我們主要靠防火墻，而防火墻并不能識(shí)別通道上的負(fù)載是惡意的還是善意的。而IDS、IPS雖然可以識(shí)別，但是它們基于的技術(shù)是已知威脅的簽名，當(dāng)這個(gè)威脅發(fā)生了，我們知道了，我們?nèi)シ治鏊奶卣?，然后把這個(gè)特征抽取出來(lái)，我們對(duì)它進(jìn)行檢測(cè)。這種方法的問(wèn)題是：第一，它檢測(cè)不到未知的漏洞、新的木馬;第二，攻擊者很容易對(duì)漏洞的定義方法和木馬進(jìn)行變形，就檢測(cè)不到了。在主機(jī)邊界，殺毒軟件也存在同樣的問(wèn)題。這就是當(dāng)前檢測(cè)體系存在的最核心的問(wèn)題。