APT攻击详解

0x01.APT到底是什么？
APT:高级持续威胁（Advanced Persistent Threat),普遍认可的定义是，利用各种先进的攻击手段，对高价值目标进行的有组织、长期持续性网络攻击行为。也就是说很难去确定是不是APT攻击，只能从已发生过的APT攻击事件，分析其特点，进而与上述解释性概念相关联，得出APT攻击的一般规律。大致有这些规律：

1)高度目的性
2)高度隐蔽性
3)高度危害性
4)目标实体化
5)极强的持续性

APT攻击大致包含以下内容：

目标 - 威胁的最终目标
时效性 - 探测和访问系统的时间
资源 - 事件中使用的知识和工具的级别（技能和方法将会影响到这一点）
风险容忍度 - 为了不被发现而受到威胁的程度
技巧和方法 - 整个活动中使用的工具和技巧
行动 - 威胁或许多威胁的确切行动
攻击起点 - 事件发生点的数量

参与攻击的人数 - 事件涉及多少个内部和外部系统，有多少人的系统具有不同的影响/重要性权重

信息来源 - 通过在线信息收集来识别关于任何特定威胁的任何信息的能力（可以通过一点积极主动的方式找到）

0x02.APT的一些知名论坛，团体
目前业界比较流行的防御APT思路有三种：

1、采用高级检测技术和关联数据分析来发现APT行为，典型的公司是FireEye；
2、采用数据加密和数据防泄密(DLP)来防止敏感数据外泄，典型的公司是赛门铁克；
3、采用身份认证和用户权限管理技术，严格管控内网对核心数据和业务的访问，典型的公司是RSA。

至于其他说什么人工智能，机器学习防止APT，都还在发展阶段，而题主觉得防御应该是从基础传统防御到到云大物移四个层面，最后到人工智能，这些都是基础环境，技术层面的防御措施。

0x03.APT有哪些攻击阶段？
所谓攻击阶段只是在进行黑客攻击中典型的攻击手段和形式，不一定界限清晰，但都有迹可循。

题主最早了解阶段是从我们最常见的大规模，也是比较简单的一个类似于黑客渗透攻击阶段模型：信息收集，攻击阶段，提权阶段，后渗透阶段，销声匿迹。

但APT攻击会更加系统，分布，协作，一般分成信息收集，武器化部署，传递载荷，利用，安装，命令和控制，执行

而杀伤链一般是6个阶段：发现-定位-跟踪-瞄准-入侵-完成，APT攻击模型Cyber-Kill-chain与之对应

0x04.APT分析模型
这里借用两个分析模型，一个是kill-chain七层模型，一个是钻石模型

4.1Cyber-Kill-Chain攻击杀伤链
对于混迹于安全圈的我们来说，洛克希德-马丁的网络杀伤链（Cyber-Kill-Chain，也被我们称网络攻击生命周期），专门用来识别和防止入侵。然而，攻击模式会一直变化，就拿Valut7来说，里面提到的攻击模型，都是在08年就已经开始在使用，而却在16年，17年才被曝光，可想而知，攻防之间的时间差是多么的严峻，所以我不给予希望一个Kill-Chain能够带来多大的安全防护，而重在开拓视野，最好能未雨绸缪，如今，Valut8已经曝光，企业安全，似乎远远没有我们想象的那么安静。

网络攻击杀伤链模型用于拆分恶意软件的每个攻击阶段，在每个阶段有对应的特征用于识别，但用我后面会提到的一句：堵不如疏，殊途同归，具体如何，后面会具体说说我自己的理解，现在先简单说说Cyber-Kill-Chain的每个阶段。

4.2什么是网络攻击杀伤链（Cyber-Kill-Chain）？
“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，理论上也可以用来预防此类攻击（即反杀伤链）。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。

在越早的杀伤链环节阻止攻击，防护效果就越好。例如，攻击者取得的信息越少，这些信息被第三人利用来发起进攻的可能性也会越低。
洛克希德-马丁公司提出的网络攻击杀伤链Cyber-Kill-Chain与此类似，本质是一种针对性的分阶段攻击。同样，这一理论可以用于网络防护，具体阶段如下图所示：

Cyber-Kill-Chain

这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境，需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后，企业需要第一时间获悉，为此企业可以设置攻击警报。

另一个需要牢记的点是：在越早的杀伤链环节阻止攻击，修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止，那么企业就不得不修理设备并核验泄露的信息。

要想明确杀伤链技术是否适合自己的企业，不妨通过杀伤链模型的几个阶段入手，来发现企业应当核实的问题。

0x05.被透露的APT攻击
https://github.com/kbandla/APTnotes

0x06.一些APT信息获取渠道
1.第一类：Github
APT大事件：https://github.com/kbandla/APTnotes

2.第二类：互联网安全商
360威胁情报中心：https://ti.360.net/
IBM：https://exchange.xforce.ibmcloud.com/

3.第三类：开源安全威胁情报
Threatminer：https://www.threatminer.org/
ThreatBook：https://x.threatbook.cn/

4.付费类威胁情报
知道创宇：https://www.yunaq.com/gpt/
NOSEC：https://nosec.org/

5.资讯类威胁情报
安全牛：http://www.aqniu.com/category/threat-alert
安全客：http://bobao.360.cn/news/index

secwiki：https://www.sec-wiki.com/index.php
Tools：https://www.t00ls.net/
sec-un:https://www.sec-un.org/category/安全威胁情报/
IBM：https://securityintelligence.com/
天际友盟：https://www.sec-un.com/post_queryByPage.action?pager.page=1
Freebuf：http://www.freebuf.com/
ichunqiu：https://www.ichunqiu.com/
cybernews：https://www.cyberwarnews.info/
Secrss：https://www.secrss.com/
Exploit-DB：https://www.exploit-db.com/
TheHacknews：https://thehackernews.com/
Hack news：http://hackernews.cc/

6.网络空间搜索引擎威胁情报
Shodan：https://www.shodan.io/
censys：https://www.censys.io/
Fofa：https://fofa.so/
Zoomeye：https://www.zoomeye.org/