APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性。APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。

APT攻擊是一個集合了多種常見攻擊方式的綜合攻擊。綜合多種攻擊途徑來嘗試突破網(wǎng)絡(luò)防御，通常是通過Web或電子郵件傳遞，利用應(yīng)用程序或操作系統(tǒng)的漏洞，利用傳統(tǒng)的網(wǎng)絡(luò)保護機制無法提供統(tǒng)一的防御。除了使用多種途徑，高級定向攻擊還采用多個階段穿透一個網(wǎng)絡(luò)，然后提取有價值的信息，這使得它的攻擊更不容易被發(fā)現(xiàn)。

整個攻擊生命周期的七個階段如下：

在APT攻擊中，攻擊者會花幾個月甚至更長的時間對'目標'網(wǎng)絡(luò)進行踩點，針對性地進行信息收集，目標網(wǎng)絡(luò)環(huán)境探測，線上服務(wù)器分布情況，應(yīng)用程序的弱點分析，了解業(yè)務(wù)狀況，員工信息等等。

在多數(shù)情況下，攻擊者會向目標公司的員工發(fā)送郵件，誘騙其打開惡意附件，或單擊一個經(jīng)過偽造的惡意URL，希望利用常見軟件(如Java或微軟的辦公軟件)的0day漏洞，投送其惡意代碼。一旦到位，惡意軟件可能會復(fù)制自己，用微妙的改變使每個實例都看起來不一樣，并偽裝自己，以躲避掃描。有些會關(guān)閉防病毒掃描引擎，經(jīng)過清理后重新安裝，或潛伏數(shù)天或數(shù)周。惡意代碼也能被攜帶在筆記本電腦、USB設(shè)備里，或者通過基于云的文件共享來感染一臺主機，并在連接到網(wǎng)絡(luò)時橫向傳播。

利用漏洞，達到攻擊的目的。攻擊者通過投送惡意代碼，并利用目標企業(yè)使用的軟件中的漏洞執(zhí)行自身。而如果漏洞利用成功的話，你的系統(tǒng)將受到感染。普通用戶系統(tǒng)忘記打補丁是很常見的，所以他們很容易受到已知和未知的漏洞利用攻擊。一般來說，通過使用零日攻擊和社會工程技術(shù)，即使最新的主機也可以被感染，特別是當這個系統(tǒng)脫離企業(yè)網(wǎng)絡(luò)后。

隨著漏洞利用的成功，更多的惡意軟件的可執(zhí)行文件——擊鍵記錄器、木馬后門、密碼破解和文件采集程序被下載和安裝。這意味著，犯罪分子現(xiàn)在已經(jīng)建成了進入系統(tǒng)的長期控制機制。

一旦惡意軟件安裝，攻擊者就已經(jīng)從組織防御內(nèi)部建立了一個控制點。攻擊者最常安裝的就是遠程控制工具。這些遠程控制工具是以反向連接模式建立的，其目的就是允許從外部控制員工電腦或服務(wù)器，即這些工具從位于中心的命令和控制服務(wù)器接受命令，然后執(zhí)行命令，而不是遠程得到命令。這種連接方法使其更難以檢測，因為員工的機器是主動與命令和控制服務(wù)器通信而不是相反。

一般來說，攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個人電腦為跳板，在系統(tǒng)內(nèi)部進行橫向滲透，以攻陷更多的pc和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

也就是將敏感數(shù)據(jù)從被攻擊的網(wǎng)絡(luò)非法傳輸?shù)接晒粽呖刂频耐獠肯到y(tǒng)。在發(fā)現(xiàn)有價值的數(shù)據(jù)后，APT攻擊者往往要將數(shù)據(jù)收集到一個文檔中，然后壓縮并加密該文檔。此操作可以使其隱藏內(nèi)容，防止遭受深度的數(shù)據(jù)包檢查和DLP技術(shù)的檢測和阻止。然后將數(shù)據(jù)從受害系統(tǒng)偷運出去到由攻擊者控制的外部。大多數(shù)公司都沒有針對這些惡意傳輸和目的地分析出站流量。那些使用工具監(jiān)控出站傳輸?shù)慕M織也只是尋找'已知的'惡意地址和受到嚴格監(jiān)管的數(shù)據(jù)。