APT攻击过程的六个阶段

　　第1阶段：情报收集

　　在趋势科技的调查数据中，只有31%的企业会惩罚将公司机密资料贴到公众社交平台上的员工，这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。攻击者针对需要窃取数据的企业或个人，将第一个目标锁定到企业员工的身上作为情报开端，并通过社交工程攻击开启一连串攻击。

　　第2阶段：利用社会工程学

　　利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。趋势科技的调查结果显示，在87%的组织中，会有网络用户点击黑客安排的网络链接，这些恶意链接都是精心设计的APT社交工程的诱饵。另外，95%的APT攻击利用了社交工程钓鱼邮件，这是针对性最强、设计最缜密的攻击，但却是简单的技巧。

　　第3阶段：命令与控制 (C&C 通信)

　　但阅读或点击了“诱饵”，攻击者需要通过在主机上安装后门程序，以达到持久驻留在内部网络的目的，并潜入尽可能多的主机。APT攻击活动利用这些后门程序，首先在目标网络中找出放有敏感信息的重要计算机。然后，APT攻击活动利用网络通信协议来与C&C服务器通讯，并确认入侵成功的计算机和C&C服务器间保持通讯。

　　由于 C&C 通信的特征与正常流量不同，因此这通常可能是APT攻击的第一个迹象。但是，攻击者演进了技术，通过降低通信频率以及在极短的时间内改变域名和 IP 地址，让 C&C 通信变得难以检测。

　　第4阶段：横向移动

　　攻击者会开始潜入更多的内部设备，收集凭证、提升权限级别，实现持久控制。为此，攻击者会试图获取大量的普通帐户以及管理员帐户。因此，攻击者通常会跟踪 Active Directory 之类目录服务或Root权限的账号，使用包括传递哈希值算法的技巧和工具，将攻击者权限提升到跟管理者一样。这个过程一旦成功，攻击者便会为自己创建合法的帐户和访问权限，以访问托管所需信息的服务器，从而加快数据隐蔽泄露。由于最终数据窃取利用了合法的管理凭证，这使得数据窃取检测变得更加困难。

　　第5阶段：资产/资料发掘

　　为确保以后的数据窃取行动中会得到最有价值的数据，APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点，来挖掘出最多的资料，而且在这个过程当中，通常不会是重复自动化的过程，而是会有人工的介入对数据做分析，他们寻找雇佣者需要的，或是可以贩卖高价的“数据”。

　　第6阶段：资料窃取

　　APT是一种高级的、狡猾的伎俩，高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问，最终挖掘到攻击者想要的资料信息。而在收集了敏感信息之后，攻击者将把数据归集到内部暂存服务器，并在这里对数据进行压缩和加密，以传输至外部位置。

　　经过前面6个阶段，攻击者后面主要的行为将放在长期控制上，一旦他们发现事件暴露，便会破坏信息的完整性及可用性，以起到“毁尸灭迹”的目的。但此时，泄密信息早已进入到地下黑市交易，或是被雇佣方非法占有。