apt技术原理_APT的工作原理和危害

APT事件

这类事件我接触不多，实际经历目前差不多两三次。首先明确什么样的事件可以归为APT事件。参考百度百科，APT攻击的主要特征如下

针对性强，组织严密，持续时间长，隐蔽性高，打击间接

详情请参考百度百科。

高级持续威胁(APT)，又称高级持续威胁、高级持续威胁等。指的是隐蔽的、持续的计算机入侵过程，通常由一些人精心策划，针对特定目标。通常是出于商业或政治动机，针对特定组织或国家，要求隐蔽性高，时间长。高级长期威胁包括高级、长期和威胁三个要素。高级强调使用复杂的恶意软件和技术来利用系统中的漏洞。长期含义是，外部力量将持续监视特定目标并从中获取数据。威胁是指人们策划的攻击。

简单说一下我遇到的一个事件。比如某涉军单位接到紧急通知后，更新软件，安全设备不停报警。

现场检查显示，杀毒软件已更新至最新版本。扫描到的木马日期是两年前，之前没有发现过(环境是内网环境，无法连接外网，最近杀毒软件数据库有更新)(持续性)，说明木马有一定的免疫力(隐蔽性)。考虑到目标系统在内网(间接攻击)，是敏感单元(针对性)，基本确认为APT事件。

由于时间太长，网站没有日志记录。通过沟通确认，该网站使用了某知名OA系统。查看webshell的时间与当年OA系统爆发RCE漏洞的时间基本一致，大致确认是漏洞导致的入侵。断定由于事件性质，后续工作移交相应部门处理。

一般来说，如果真的怀疑自己遇到了APT，建议找专业公司解决。