我相信你在去年可能就已經聽說過RSA被入侵了，而且RSA Secure ID的相關數據也被盜走，這些數據還被用于后續的攻擊事件中。除了RSA，其實還有很多其他相似的受害者。你可能也聽說過ShadyRAT，這事情充分證明了殭尸網絡的壽命能夠有多長，另外還有Nitro和Night Dragon事件證明有些攻擊者的目標會鎖定在特定產業上。

你可能還看過趨勢科技關于Lurid攻擊的研究報告，這個事件證明攻擊者對非美國的目標也是有興趣的。而更重要的是，這樣的事件應該被看作“系列攻擊”，而非獨立事件。

此外還有一些重要的高級持續性滲透攻擊的相關研究可能是你所不知道的。我對此進行了歸類總結，并列出了11個重要研究：

Contagio Dump和Targeted Email Attacks這兩個博客已經在這方面發表過很多相關研究報告。我們通?？梢垣@得惡意程序代碼做進一步分析，但社會工程學陷阱所用的電子郵件內容卻不容易獲取。這些博客在目標攻擊領域中有很多獨特見解。

1.CyberESI：CyberESI的團隊發表過一些具有大量變種的惡意軟件家族產品分析報告（是真非常詳細）。在我看來，他們的分析報告為這方面的逆向工程設立了標準。

2.Htran：Joe Stewarts在Htran方面的研究成果被ShadyRAT研究報告的光芒掩蓋了，但我認為這是今年最具創新性的研究報告，因為它著眼在問題的根本，試圖尋找攻擊來源IP，以找出幕后攻擊者的實際位置。

3.通過對系列攻擊的分析啟動智能型電腦網絡防御系統：Hutchins、Cloppert，以及Amin的研究介紹了如何追蹤同一次攻擊的不同階段，并將多次事件串聯成一次“系列攻擊”。這是任何想要追蹤高級持續性滲透攻擊的人都不可不看的報告。

4.1.php：這份來自Zscaler的報告對一次特定的系列攻擊，及所用的命令與控制基礎架構做了徹底的解構和分析，并在結論中提出了確實可行的防御方法。另外，該報告對于在這方面的信息披露也提出了相當獨到的見解。

5.APT解密在亞洲：Xecure在今年的黑帽大會上展示了他們對惡意軟件以共同屬性作群集分類的研究。我真的很喜歡他們在群集分類上所下的功夫，還有他們提出的名詞“NAPT（非高級持續性威脅）”。

6.M-Trends：這份來自Mandiant的報告對攻擊者所用的方法做了清楚的描述，也提出了詳細的清除策略。此外，還包含Mandiant對于持續性機制所做的研究，特別是“DLL搜索路徑劫持”技術。

7.Sykipot：AlienLabs記錄了Sykipot系列攻擊中所做的目標攻擊，包括攻擊所用的弱點攻擊代碼、惡意軟件，以及命令和控制基礎架構。

8.APT在煽動性的名稱外還有什么？：Seth Hardy在SecTor提出了很多對于高級持續性滲透攻擊進行炒作的重要觀點，包括對一個具體的惡意軟件“SharkyRAT”所進行的詳細技術分析。

9.My Lovely Wood，這篇來自Frankie Li的報告對用在目標攻擊活動中的惡意軟件進行了詳盡的技術分析。

安全小貼士：認識APT

什么是APT？簡單來說，就是針對特定組織所作的復雜且多方位的網絡攻擊。APT-高級持續性滲透攻擊主要集中于間諜與竊取機敏數據方面，其影響程度雖大，但攻擊范圍很小，這也使得搜集有用的證據變得相對較為困難。攻擊者除了使用現成的惡意程序外，也會使用定制的惡意組件，并建立一個類似殭尸網絡的遠端控制架構，并將自己隱藏其中，形成一種高度安全的操作環境。網絡犯罪和網絡間諜之間的界限變得越來越模糊，而由于使用一般的惡意程序、漏洞與架構，也使得要區分與調查這類案件越來越困難。

APT攻擊可能會持續幾天、幾周、幾個月，甚至更長時間。APT攻擊可以從搜集情報開始，這可能會持續一段時間。在這期間可能需要搜集包含技術和人員情報等信息。情報收集工作可以塑造出后期的攻擊，而后期攻擊可能很快速，或者很漫長。

例如，試圖竊取商業機密可能需要幾個月的時間，針對安全協議，應用程序弱點，以及文件位置等信息收集所需情報，但當計劃完成后，只要一次幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署Rootkit到服務器后，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制服務器進行審查。

注釋：作者Nart Villeneuve現為趨勢科技資深威脅研究員。

原文鏈接：http://tech.ccidnet.com/art/1099/20120307/3659385_1.html