我相信你在去年可能就已經(jīng)聽說過RSA被入侵了，而且RSA Secure ID的相關(guān)數(shù)據(jù)也被盜走，這些數(shù)據(jù)還被用于后續(xù)的攻擊事件中。除了RSA，其實還有很多其他相似的受害者。你可能也聽說過ShadyRAT，這事情充分證明了殭尸網(wǎng)絡(luò)的壽命能夠有多長，另外還有Nitro和Night Dragon事件證明有些攻擊者的目標會鎖定在特定產(chǎn)業(yè)上。

你可能還看過趨勢科技關(guān)于Lurid攻擊的研究報告，這個事件證明攻擊者對非美國的目標也是有興趣的。而更重要的是，這樣的事件應(yīng)該被看作“系列攻擊”，而非獨立事件。

此外還有一些重要的高級持續(xù)性滲透攻擊的相關(guān)研究可能是你所不知道的。我對此進行了歸類總結(jié)，并列出了11個重要研究：

Contagio Dump和Targeted Email Attacks這兩個博客已經(jīng)在這方面發(fā)表過很多相關(guān)研究報告。我們通常可以獲得惡意程序代碼做進一步分析，但社會工程學(xué)陷阱所用的電子郵件內(nèi)容卻不容易獲取。這些博客在目標攻擊領(lǐng)域中有很多獨特見解。

1.CyberESI：CyberESI的團隊發(fā)表過一些具有大量變種的惡意軟件家族產(chǎn)品分析報告（是真非常詳細）。在我看來，他們的分析報告為這方面的逆向工程設(shè)立了標準。

2.Htran：Joe Stewarts在Htran方面的研究成果被ShadyRAT研究報告的光芒掩蓋了，但我認為這是今年最具創(chuàng)新性的研究報告，因為它著眼在問題的根本，試圖尋找攻擊來源IP，以找出幕后攻擊者的實際位置。

3.通過對系列攻擊的分析啟動智能型電腦網(wǎng)絡(luò)防御系統(tǒng)：Hutchins、Cloppert，以及Amin的研究介紹了如何追蹤同一次攻擊的不同階段，并將多次事件串聯(lián)成一次“系列攻擊”。這是任何想要追蹤高級持續(xù)性滲透攻擊的人都不可不看的報告。

4.1.php：這份來自Zscaler的報告對一次特定的系列攻擊，及所用的命令與控制基礎(chǔ)架構(gòu)做了徹底的解構(gòu)和分析，并在結(jié)論中提出了確實可行的防御方法。另外，該報告對于在這方面的信息披露也提出了相當獨到的見解。

5.APT解密在亞洲：Xecure在今年的黑帽大會上展示了他們對惡意軟件以共同屬性作群集分類的研究。我真的很喜歡他們在群集分類上所下的功夫，還有他們提出的名詞“NAPT（非高級持續(xù)性威脅）”。

6.M-Trends：這份來自Mandiant的報告對攻擊者所用的方法做了清楚的描述，也提出了詳細的清除策略。此外，還包含Mandiant對于持續(xù)性機制所做的研究，特別是“DLL搜索路徑劫持”技術(shù)。

7.Sykipot：AlienLabs記錄了Sykipot系列攻擊中所做的目標攻擊，包括攻擊所用的弱點攻擊代碼、惡意軟件，以及命令和控制基礎(chǔ)架構(gòu)。

8.APT在煽動性的名稱外還有什么？：Seth Hardy在SecTor提出了很多對于高級持續(xù)性滲透攻擊進行炒作的重要觀點，包括對一個具體的惡意軟件“SharkyRAT”所進行的詳細技術(shù)分析。

9.My Lovely Wood，這篇來自Frankie Li的報告對用在目標攻擊活動中的惡意軟件進行了詳盡的技術(shù)分析。

安全小貼士：認識APT

什么是APT？簡單來說，就是針對特定組織所作的復(fù)雜且多方位的網(wǎng)絡(luò)攻擊。APT-高級持續(xù)性滲透攻擊主要集中于間諜與竊取機敏數(shù)據(jù)方面，其影響程度雖大，但攻擊范圍很小，這也使得搜集有用的證據(jù)變得相對較為困難。攻擊者除了使用現(xiàn)成的惡意程序外，也會使用定制的惡意組件，并建立一個類似殭尸網(wǎng)絡(luò)的遠端控制架構(gòu)，并將自己隱藏其中，形成一種高度安全的操作環(huán)境。網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)間諜之間的界限變得越來越模糊，而由于使用一般的惡意程序、漏洞與架構(gòu)，也使得要區(qū)分與調(diào)查這類案件越來越困難。

APT攻擊可能會持續(xù)幾天、幾周、幾個月，甚至更長時間。APT攻擊可以從搜集情報開始，這可能會持續(xù)一段時間。在這期間可能需要搜集包含技術(shù)和人員情報等信息。情報收集工作可以塑造出后期的攻擊，而后期攻擊可能很快速，或者很漫長。

例如，試圖竊取商業(yè)機密可能需要幾個月的時間，針對安全協(xié)議，應(yīng)用程序弱點，以及文件位置等信息收集所需情報，但當計劃完成后，只要一次幾分鐘的執(zhí)行時間就可以了。在其他情況下，攻擊可能會持續(xù)較長的時間。例如，成功部署Rootkit到服務(wù)器后，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制服務(wù)器進行審查。

注釋：作者Nart Villeneuve現(xiàn)為趨勢科技資深威脅研究員。

原文鏈接：http://tech.ccidnet.com/art/1099/20120307/3659385_1.html