APT这个词汇最早起源于：2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件，放弃特洛伊木马以泄露敏感信息的第一个警告，尽管没有使用“APT”这个名字。但 “先进的持续威胁”一词被广泛引用，2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。后来，在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就是一个APT攻击例子。在计算机安全领域以及越来越多的媒体中，APT这个术语几乎总是用来指向针对政府，公司和政治活动家的黑客攻击的高级持续模式，而且也延伸到涉及到群体这些攻击背后。作为一个术语，高级持续威胁（APT）可以被转移焦点到攻击出现次数。一个常见的误解是APT只针对西方国家。西方国家可能会更多地宣传针对西方国家的技术性APT，但许多国家的行为者都将网络空间安全作为收集有关个人和群体的情报的手段。在美国，网络司令部的任务是协调美国军方，应对高级持续网络威胁，也就是APT攻击。

    同时，许多消息来源都觉得一些APT组织实际上隶属于或者代表着民族和国家。否则很难持有大量信息和资源，三类机构容易面临高级持续威胁的高风险，即：高等教育,金融机构,政府机构。

    实际上，一个APT是有一套隐匿和持续攻击的框架的，往往针对特定的实体由一人或多人策划（一般是多人）。APT通常针对高价值目标出于商业或政治动机进行实施的。APT在长时间的攻击中依旧会尽可能的保证高度隐蔽性。而“高级”意味着使用恶意软件来攻击系统漏洞的复杂技术。“持续”过程表明，APT攻击组织外部和控制系统正在持续监测和提取特定目标的数据。“威胁”过程表明攻击会损害目标利益。

APT通常是指一个组织，甚至可能一个政府支持下的组织，因为APT团体是一个既有能力也有意向持续而有效地进行攻击的实体。所以APT通常用来指网络威胁，特别是使用互联网进行间谍活动，利用各种情报搜集技术来获取敏感信息，但同样适用于诸如传统间谍活动或攻击等其他威胁。其他公认的攻击媒介包括受感染的媒体，供应链和社会工程。这些攻击的目的是将自定义的恶意代码放在一台或多台计算机上执行特定的任务，并在最长的时间内不被发现。了解攻击者文件（如文件名称）可帮助专业人员进行全网搜索，以收集所有受影响的系统。个人，如个人黑客，通常不被称为APT，因为即使他们意图获得或攻击特定目标，他们也很少拥有先进和持久的资源。

APT攻击（Advanced Persistent Threat，高级持续性威胁）是指组织(特别是政府)或者小团体利用当下先进的攻击手法对特定目标进行长期持续性的网络攻击。APT攻击的高级体现在于精确的信息收集、高度的隐蔽性、以及使用各种复杂的网络基础设施、应用程序漏洞对对目标进行的精准打击。攻击人员的攻击形式更为高级和先进，称为网络空间领域最高级别的安全对抗。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为。

APT(高级长期威胁)包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。

APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击

 APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，此类攻击行为是传统安全检测系统无法有效检测发现，前沿防御方法是利用非商业化虚拟机分析技术，对各种邮件附件、文件进行深度的动态行为分析，发现利用系统漏洞等高级技术专门构造的恶意文件，从而发现和确认APT攻击行为。由于APT的特性，导致难发现、潜在威胁大，一旦被攻击将导致企业、政府、医疗组织等等的大量数据被窃取，公司重要财务、机密被盗窃。

APT组织常用的攻击手法有：鱼叉式网络钓鱼、水坑攻击、路过式下载攻击、社会工程学、即时通讯工具、社交网络等

鱼叉式网络钓鱼（Spear phishing）指一种源于亚洲与东欧，只针对特定目标进行攻击的网络钓鱼攻击。当进行攻击的骇客锁定目标后，会以电子邮件的方式，假冒该公司或组织的名义寄发难以辨真伪之档案，诱使员工进一步登录其账号密码，使攻击者可以以此借机安装特洛伊木马或其他间谍软件，窃取机密；或于员工时常浏览之网页中置入病毒自动下载器，并持续更新受感染系统内之变种病毒，使使用者穷于应付。由于鱼叉式网络钓鱼锁定之对象并非一般个人，而是特定公司、组织之成员，故受窃之资讯已非一般网络钓鱼所窃取之个人资料，而是其他高度敏感性资料，如知识产权及商业机密。

(1) 鱼叉攻击（Spear Phishing）是针对特定组织的网络欺诈行为，目的是不通过授权访问机密数据，最常见的方法是将木马程序作为电子邮件的附件发送给特定的攻击目标，并诱使目标打开附件。

(2)水坑攻击（Water Holing）是指黑客通过分析攻击目标的网络活动规律，寻找攻击目标经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待攻击目标访问该网站时实施攻击。水坑攻击（Watering hole）是一种计算机入侵手法，其针对的目标多为特定的团体（组织、行业、地区等）。攻击者首先通过猜测（或观察）确定这组目标经常访问的网站，并入侵其中一个或多个，植入恶意软件，最后，达到感染该组目标中部分成员的目的。 由于此种攻击借助了目标团体所信任的网站，攻击成功率很高，即是针对那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。

下图给出了OceanLotus使用鱼叉攻击和水坑攻击的基本方法。

(4)路过式下载（Drive-by download）:用户不知道的情况下下载间谍软件、计算机病毒或者任何恶意软件。路过式下载可能发生在用户访问一个网站、阅读一封电子邮件、或者点击一个欺骗性弹出式窗口的时候。例如，用户误以为这个弹出式窗口是自己的计算机提示错误的窗口或者以为这是一个正常的弹出式广告，因此点击了这个窗口。

(5)社会工程学：在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。在英美普通法系中，这一行为一般是被认作侵犯隐私权的。社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是，这种手段非常有效，而且应用效率极高。然而事实上，社会工程学已是企业安全最大的威胁之一。

360发布的《摩诃草APT组织大揭秘》报告中，发现了摩诃草近年来大量使用即时通讯工具（主要是腾讯的QQ聊天工具）和社交网络（Facebook）进行载荷投递的攻击方式；即时通讯工具以发送二进制可执行程序为主，这类程序主要伪造成MP4格式的视频文件；社交网络（Facebook）的载荷投递一般是分为：SNS蠕虫、放置二进制格式可执行恶意程序或文档型漏洞文件。

在确定目标公司后，APT组织会开始收集目标的一切信息，如：公司用户的电子邮箱，手机号码，通讯软件号码、姓名、你的工作岗位接着APT组织会对目标开始构造钓鱼文档并准备投放，当内部工作人员打开恶意文档了之后，电脑会触发相关的漏洞为apt成员打开了一道通往内部网络的大门，这时候他们会开始寻找存放着信息的服务器并开始攻击服务器拿到自己想要的东西后，在植入木马进行权限维持。

目标 – 威胁的最终目标，即你的对手 

时间 – 调查、入侵所花的时间 

资源 – 所涉及的知识面及工具（技能和方法也有所影响） 

风险承受能力 – 威胁能在多大程度上不被发觉 

技能与方法 – 所使用的工具及技术 

行动 – 威胁中采取的具体行动 

攻击源头 – 攻击来源的数量 

牵涉数量 – 牵涉到多少内部或外部系统，多少人的系统具有不同重要性 

信息来源 – 是否能通过收集在线信息识别出某个威胁

APT攻击精心策划，精心执行。 它们通常分为四个阶段：入侵，发现，捕获和渗出。 在每个阶段中，可以使用各种技术，如下图示。

APT的幕后黑手会对组织团体的金融财产、知识产权及名誉造成持续变化的威胁，其过程如下： 因一个目标开始盯上特定组织团体试图入侵到其环境中（如发送钓鱼邮件） 利用入侵的系统来访问目标网络部署实现攻击目标所用的相关工具隐藏踪迹以便将来访问。

2013年，美国网络安全公司麦迪安（Mandiant）发布了关于2004至2013年间的一例APT攻击的研究结果，其中的生命周期与上述相似： 

初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。 

站稳脚跟 – 在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。 

提升特权 – 通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。 

内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。 

横向发展 – 将控制权扩展到其他工作站、服务器及设施，收集数据。 

保持现状 – 确保继续掌控之前获取到的访问权限和凭据。 

任务完成 – 从受害者的网络中传出窃取到的数据。

麦迪安所分析的这起入侵事件中，攻击者对受害者的网络保有控制权的平均时间为一年，最长时间为五年。

APT攻击会更加系统，分布，协作，一般分成：信息收集，武器化部署，传递载荷，利用，安装，命令和控制，执行

而杀伤链一般是6个阶段：发现-定位-跟踪-瞄准-入侵-完成，APT攻击模型Cyber-Kill-chain与之对应

这里借用两个分析模型，一个是kill-chain七层模型，一个是钻石模型

“杀伤链”这个概念源自军事领域，它是一个描述攻击环节的六阶段模型，理论上也可以用来预防此类攻击（即反杀伤链）。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。

在越早的杀伤链环节阻止攻击，防护效果就越好。例如，攻击者取得的信息越少，这些信息被第三人利用来发起进攻的可能性也会越低。

洛克希德-马丁公司提出的网络攻击杀伤链Cyber-Kill-Chain与此类似，本质是一种针对性的分阶段攻击。同样，这一理论可以用于网络防护，具体阶段如下图所示：

这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境，需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后，企业需要第一时间获悉，为此企业可以设置攻击警报。

另一个需要牢记的点是：在越早的杀伤链环节阻止攻击，修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止，那么企业就不得不修理设备并核验泄露的信息。

要想明确杀伤链技术是否适合自己的企业，不妨通过杀伤链模型的几个阶段入手，来发现企业应当核实的问题。

这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑，一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境，需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后，企业需要第一时间获悉，为此企业可以设置攻击警报。

另一个需要牢记的点是：在越早的杀伤链环节阻止攻击，修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止，那么企业就不得不修理设备并核验泄露的信息。

要想明确杀伤链技术是否适合自己的企业，不妨通过杀伤链模型的几个阶段入手，来发现企业应当核实的问题。

对于混迹于安全圈的我们来说，洛克希德-马丁的网络杀伤链（Cyber-Kill-Chain，也被我们称网络攻击生命周期），专门用来识别和防止入侵。然而，攻击模式会一直变化，就拿Valut7来说，里面提到的攻击模型，都是在08年就已经开始在使用，而却在16年，17年才被曝光，可想而知，攻防之间的时间差是多么的严峻，所以我不给予希望一个Kill-Chain能够带来多大的安全防护，而重在开拓视野，最好能未雨绸缪，如今，Valut8已经曝光，企业安全，似乎远远没有我们想象的那么安静。

网络攻击杀伤链模型用于拆分恶意软件的每个攻击阶段，在每个阶段有对应的特征用于识别，但用我后面会提到的一句：堵不如疏，殊途同归，具体如何，后面会具体说说我自己的理解，现在先简单说说Cyber-Kill-Chain的每个阶段。

Kill Chain模型将攻击者的攻击过程分解为如下七个步骤：

侦察（Reconnaissance）- 攻击者开始探测目标可能存在的弱点或不良配置

组装（Weaponization）- 攻击者开始构建一个可以传递给受害者的有效载荷（它可以是PDF文件或Office文档）

投送（Delivery）- 攻击者通过电子邮件，网页链接或可移动媒体将有效载荷发送给目标

利用（Exploit）- 有效载荷将在受害者的网络上执行

植入（Installation）- 有效载荷将下载其他远程访问工具，并安装它们以建立持久后门

命令和控制（Command and Control）- 在受害者和攻击者之间创建一个通道

收割（Actions）- 执行预期目标（如加密文件，窃取数据等）

在这个阶段，犯罪分子试图确定目标的好坏。他们从外部了解企业的资源和网络环境，并确定是否值得攻击。最理想的情况是，攻击者希望目标防备薄弱、数据价值。罪犯可以找到的信息门类，以及这些信息如何被使用。

企业的信息价值往往超出他们想象。雇员的姓名和详细信息（不仅是企业网站，而且包括社交网站的信息）是否在网端存储？这些信息可以用来进行社会工程用途，比如，让人们透露用户名或密码。企业的网站服务器或物理位置是否接入网络吗？这些也可以用于社会工程，或帮助攻击者缩小企业环境漏洞的寻找范围。

这个层面上的问题很难处理，社交网络的普及让它变得尤为棘手。将敏感信息隐藏起来是一个廉价的改善方式，虽然这也增加信息调用的时间成本。

攻击方防御方特点攻击方的攻击计划阶段。他们进行研究，以了解其目标，使他们能够实现自己的目标探测侦察，因为它发生是非常困难的，但是，当守军发现侦察 - 事后甚至好 - 它可以揭示了攻击方的意图。常用攻击/防御方式获取电子邮件地址，确定员工社交媒体网络，收集新闻稿，合约奖励，会议出席者名单，探索放在公网上运行的服务器收集网站访问者日志警报和历史搜索，与网站管理员合作对其现有浏览器进行分析，建立浏览异常、行为独特的检测机制，优先周围的防御，特别是基于技术和人的侦察活动。

这些阶段是攻击者用工具攻击被选目标的具体过程，他们收集的信息将被用于恶意行为。他们手头的信息越多，社会工程攻击就越无缝可击。通过员工在LinkedIn上的信息，他们可以用鱼叉式钓鱼获得公司内部资源。或者，他们可以把远程访问木马提前嵌入可能会录入重要信息的文件里，以诱使接收者运行它。如果他们知道用户或服务器运行的软件信息，比如操作系统版本和类型，他们在企业网络里渗透和布置的把握就大大增加。

就这些阶段的防御而言，企业应当参照标准安全专家的建议去做。

企业的软件是否达到最新？这需要具体到每台终端上的每个应用。大多数公司都有某个小角落还用着老式台式机，系统仍然用的是Windows 98。如果这台设备接入网络，无异于对攻击者门洞大开。

企业使用电子邮件和网页过滤功能吗？电子邮件过滤可以有效阻止攻击中常用的文档类型。如果企业的文件必须用某种标准发送，比如密码保护的ZIP文件，这可以让用户了解文件是否无误。网页过滤则可以防止用户访问已知的不良网站或域名。

企业禁用USB设备吗？从安全的角度来看，让文件不需许可就运行绝非什么好主意。最好在运行前，确保给用户有时间暂停和思考他们所看到的情况。

企业使用端点保护软件的最新功能吗?虽然端点保护软件不是为了应对新型针对性攻击而设计，但是它们常常根据已知的可疑行为或软件漏洞来捕捉威胁。

攻击方防御方特点在攻击方向目标传达了恶意软件之后。都将开始执行进一部分攻击操作。这是防御方阻止该操作的第一个也是最重要的机会。有效性的关键措施是阻断入侵尝试和工具传递的重要部分常用攻击/防御方式攻击方控制下传递载荷：直接针对Web服务器，攻击方释放载荷：恶意电子邮件，恶意软件的USB存储，社交媒体互动，“水坑式”钓鱼网站攻击分析和理解载荷传递的介质 - 关注上层的基础设施主要是关键基础设施，了解目标服务器和相关人员，他们的角色和责任，可用的信息，根据攻击方载荷情况推断攻击方的意图，分析“军火库”攻击载荷在传递区域检测新的恶意代码，分析在一天中的什么时间段对方开始行动，收集电子邮件和网络日志，还原取证。即使后期检测到入侵，防御方必须能够确定何时以及如何开始传递载荷。

  攻击方防御方特点攻击方利用一个漏洞来获得访问权限（实际上可能会运用多个漏洞）。“0day”指的就是此步骤中使用的攻击漏洞。这里部署的一般是传统的防御措施，同时针对“0day”，“1day”，“Nday”等类型的漏洞增加弹性，定制化的防御能力常用攻击/防御方式软件，硬件，或人类的脆弱性，获取或发现“0day”漏洞，攻击方利用基于服务器的安全漏洞，受害者触发漏洞：点击恶意电子邮件，点击恶意链接用户安全意识培训和员工的电子邮件测试。以及邮箱服务器防护，Web开发人员的对于安全编码培训，定期扫描漏洞和渗透测试，端点防御措施：限制管理员权限，使用Microsoft EMET，自定义端点规则阻断shellcode执行，端点登录审计过程，取证确定攻击源。

通常情况下攻击方安装一个持续后门或植入，可以长时间访问目标的工具终端防御检测和记录“异常”安装活动。恶意软件分析过程中分析安装阶段的行为可以缓解攻击。常用攻击/防御方式Web服务器上安装木马后门，在目标客户端安装后门和植入，在目标上创建持续运行的服务，或者自启的服务和进程等等，有些攻击者会让一些“时间点”的文件，让恶意软件看起来它就是操作系统安装的一部分。一个好的建议：关注通用软件安装路径，例如RECYCLER，了解恶意软件是需要特权账户还是一般用户的权限，终端接入审计：去发现异常文件的创建，所有的摘录证书，主要是包含签名的可执行文件，了解恶意软件的编译时间，以确定它是旧的还是新出现的恶意软件。

一旦威胁在企业的网络环境里扎根，它的下一个任务是给老窝打电话并等待指示。它可能下载额外的组件，更有可能的是通过C&C通道联系一个僵尸网络主控机。无论哪种方式，这都要求网络流量，这意味着企业必须扪心自问：防火墙是否设置了新项目进行网络通信的警报？

如果威胁已经实现了这些，它将对机器进行更改并将耗费IT工作人员对大量精力。有些公司或行业要求诊断受影响的机器上哪些数据被窃取或篡改。受影响的机器需要进行清洗或重置。如果数据已经备份，或者有可以快速加载到机器的标准企业模式，修复工作的成本和时间损耗就会有所降低。

有些攻击会另辟蹊径

去年的攻击状况已经充分证明了一点：攻击者不会严格按照游戏流程来——他们可能跳过步骤、添加步骤，甚至重复之前的步骤。最近的一些最具破坏性的攻击事件都是如此，这些攻击之所以能绕过安全团队耗费多年精心打造的防御体系，是因为它们有不同的流程安排。

“符合洛克希德-马丁公司的杀伤链的恶意行为被重点关注，这也让某些攻击隐形了。”Kudelski Security的全球管理服务副总裁Alton Kizziah说。 数据中心安全的领军者Alert Logic的合伙人、产品营销高级经理Misha Govshteyn指出：“杀伤链从来不能彻底符合我们看到的种种攻击。”

根据2017年威瑞森的数据泄露调查报告，今年，网络程序攻击成为了数据泄露的最常见形式，在数据泄露案例中占到了近三分之一。常见方法是利用应用程序自身的漏洞。最近的Equifax数据泄露事件就是典型例子。这种攻击很难发现。在两个月里，Equifax未在网站上发现可疑的网络流量。“通常到了数据外泄的时候，企业才能察觉。”Positive Technologies的网络安全弹性主管Leigh-Anne Galloway说。“或者，可能需要一个第三方的实体，例如某个客户，来提醒企业出了问题。”Equifax泄露案可以追溯到Apache Struts Web服务器软件中的一个漏洞。如果公司安装了这个漏洞的安全补丁，这个问题可能会避免，但是有时软件更新本身就是恶意攻击的桥梁，9月发生的CCleaner被黑事件就是一例。零日漏洞也是大麻烦。根据Contrast Security的共同创始人兼首席技术官杰夫·威廉姆斯的观点，平均每个软件应用和api拥有26.8个严重漏洞。“这是一个惊人的数字，”他说。“公众对Equifax感到愤怒，但事实是，几乎所有的公司在应用程序层都是不安全的。我们发现，世界各地有成千上万的IP地址正在进行的应用攻击尝试，这一现象正在扩散。”

要抵御这类攻击，企业必须缩短补丁的安装延迟。“过去的时候，直到应用程序漏洞被披露后的数周或数月，针对性的攻击才会出现，”他说，“但是今天，安全窗口已经只有一天左右，而在2018年，这一时间可能进一步缩减到几个小时。”他补充说，企业也需要开始将安全控件直接嵌入到应用程序里。这被称为应用程序的运行自保，Gartner预测这一细分市场的复合年增长率为9%。

“安全需要更贴近应用程序，需要深入了解程序的核心进程和内存使用量，”Virsec Systems的创始人和首席技术官Satya Gupta说。“新的流程控制技术将嵌入到应用程序层面，能理解应用的协议和环境，可以将可接受的应用程序流程绘制出来（就像谷歌地图）。如果应用程序应该从A点走到B点，但是却出现了一段意外的路程，那么肯定出错了。”

攻击者也可以利用被泄露的身份信息或强度弱的密码。这一过程不需要安装恶意软件，也不用与C&C服务器通信，不会产生横向操作。“寻找一份泄露的数据库或Amazon S3数据意味着攻击可以简便完成，从而避免和防御者交锋。”Obsidian Security的首席技术官Ben Johnson说。根据RedLock本月发布的一份报告，53%的组织使用Amazon S3等云存储服务，这至少导致了一个意外结果，即数据暴露在公众面前。今年夏天的早些时候，Skyhigh Networks报道称，7%的企业使用的所有AWS S3数据可以无限制访问，另有35%的企业未对数据加密。由于数据是通过合法渠道传出，数据防泄露可能无法检测这种行为。Govshteyn说：“企业需要专门的工具来保护针对网络应用程序的攻击。”DOS攻击也难以被杀伤链解释。“攻击者仍需选择目标，所以必须进行侦察阶段。”Cybereason的首席安全官Sam Curry说。但是在准备之后，攻击者将直接跳转到中断阶段。他补充说DOS攻击也可能只是攻击的第一步，用来掩盖其他恶意行为。“当系统崩溃时，攻击者可以创建一个漏洞，”他说，“或者创建一个高信噪的筛选器，来掩盖痕迹或破坏系统的信号发现能力。”他说，攻击者也可以添加步骤到游戏流程里。例如，他们可以花时间清理痕迹、设置中断、传播虚假数据，或安装未来用得上的后门。他们也可以重新安排各步骤的顺序，或者重复之前的步骤。这不是一个简单的线性过程。这通常更像树状或根系的分支和蔓延，这一过程很复杂，会发生很多事情。

攻击方防御方特点恶意软件将打开通信信道，以使攻击方远程操作目标。向C2目标开放双向通信通道基础设施；防御的最后一个最佳时机-阻止C2操作：“通过阻断C2通道”。如果攻击方不能通过通信信道发出命令，相应的防御方就可以实现阻断C2攻击常用攻击/防御方式最常见的C2渠道涉及web，DNS和电子邮件协议，C2基础设施可能被攻击方或目标自身所拥有通过全面的恶意软件分析工具去发现部署和执行了C2的基础设施强化网络：汇总所有存在的互联网点，规范所有类型的代理流量（HTTP，DNS等）；自定义C2模块：网络代理协议；代理类模块，包括“none”或“未分类”的域；DNS穿透和域名服务器毒化防御；实施开源研究发现新的C2攻击方式。

在拒绝服务攻击案例中，中断不一定是攻击的最后一步。在攻击者成功地破坏、瘫痪或渗入系统后，攻击者可以重复这一过程。也可以转移到另一个阶段——盈利。Preempt Security的首席执行官 Ajit Sancheti 认为，攻击者可能采取任意形式的组合。比如，他们可以通过破坏基础设施来进行广告欺诈或发送垃圾邮件、向企业勒索赎金、出售他们在黑市上获得的数据，甚至劫持基础设施出租给其他罪犯。“攻击的盈利已经急剧增加。”他补充说，比特币的使用让攻击者更简便、安全地得到钱，这导致了攻击动机的变化。不同群体的数量参与也让黑市上被盗数据的消费变得更加复杂。这也为企业、执法部门和其他组织创造了合作破坏这一过程的机会。以被盗的支付卡信息为例。“一旦信用卡数据被盗，这些数据必须被测试、出售、用于获取商品或服务，反过来这些商品或服务必须转换为现金。”Splunk公司的安全研究主管Monzy Merza说。这一切都早已超出了传统网络杀伤链的范畴。黑市生态系统也在影响了网络攻击周期中的攻击准备环节。攻击者们会分享身份凭证列表、漏洞或被修改的应用程序。

攻击方防御方特点激活键盘接入激活键盘接入，入侵者完成任务的目标。接下来会发生什么将取决于谁是在键盘上。较长的攻击方有CKC7访问，更大的影响。包括网络数据包捕获，进行损失评估 - 防御方必须通过取证去尽可能快地检测到这一阶段常用攻击/防御方式收集用户凭据，权限提升，内部侦查，横向内网渗透，收集和传出数据，破坏系统，覆盖或破坏数据，偷偷修改数据制定事件响应流程，包括行政参与和沟通计划。检测数据泄露，横向传输，未经授权证书的使用。即时响应分析反馈所有事件告警。预先部署监控节点端点快速分流。网络包捕获，还原攻击活动。让专家进行事件损害评估

钻石模型是一个针对单个事件分析的模型，核心就是用来描述攻击者的技战术和目的，具体的钻石模型如下图所示：

钻石模型由三部分组成：置信度、元数据、社会-政治影响和技战术组合

社会政治影响：处于钻石模型上下两个顶点，上顶点表示攻击者，下顶点表示受害者也就是目标。攻击者和受害者之间的某种利益冲突或者是社会地位对立则会产生攻击的意图和发起攻击的原因，纵切面表示的就是社会政治影响。说大白话就是根据这俩人去发现攻击的意图。

技战术组合：技战术组合位于整个钻石模型的横切面，横切面的两个顶点分别为基础设施和技术能力，这里的基础设施和技术能力其实都是相对于攻击者而言的。

元数据：这个其实就是左边列出来的，攻击时间、攻击阶段、攻击结果、攻击方向、攻击手段、攻击资源利用。

置信度：也就是以上你分析出结果的可信程度。

钻石模型想要表达的其实就是针对单个安全事件，我们可以得到攻击者为什么想要攻击目标，打算用什么手段去攻击目标。

Office漏洞依然是大部分APT组织最喜爱的漏洞，Office在个人办公电脑使用量大，对针对性目标是最佳的外网入口，效果也是最直接的。你可能想到了办公套件这类神器，正所谓：最大的漏洞不是存在于任何系统上面，而是人。

CVE编号 

漏洞类型

使用组织

CVE-2009-2496

堆损耗远程代码执行漏洞，又称作 “Office Web 组件堆损耗漏洞 “

丰收行动

CVE-2010-3333

RTF分析器堆栈溢出漏洞，又称”RTF栈缓冲区溢出漏洞”

CVE-2012-0158

Microsoft Windows Common Controls ActiveX控件远程代码执行漏洞，栈内存拷贝溢出漏洞，又称“MSCOMCTL.OCX RCE漏洞”

摩诃草 蔓灵花 白象 Rotten Tomato

CVE-2013-3906

Microsoft Graphics组件处理特制的TIFF图形时存在远程代码执行漏洞

摩诃草 白象

CVE-2014-1761

Microsoft Word RTF文件解析错误代码执行漏洞

摩诃草 Pitty Tiger 白象 Rotten Tomato

CVE-2014-4114

 OLE包管理INF 任意代码执行漏洞

摩诃草 白象

CVE-2015-1641

RTF解析中的类型混淆漏洞

 MONSOON 摩诃草 白象 奇幻熊 Rotten Tomato 丰收行动

CVE-2015-2545

EPS图形文件任意执行代码

Rotten Tomato

CVE-2015-2546

 UAF（释放后重用）漏洞

CVE-2016-7193

RTF文件解析漏洞，可远程执行任意代码

CVE-2017-0199

首个Microsoft Office RTF漏洞

暗黑客栈

CVE-2017-0261

EPS中的UAF漏洞

摩诃草 白象 Turla 

CVE-2017-0262

EPS中的类型混淆漏洞

摩诃草 白象

CVE-2017-11826

OOXML解析器类型混淆漏洞

 东亚某组织

CVE-2017-11882

“噩梦公式”公式编辑器中的栈溢出漏洞，可远程代码执行

白象 响尾蛇 寄生兽 摩诃草 人面马 黑凤梨

CVE-2017-8464

解析快捷方式时存在远程执行任意代码的高危漏洞

CVE-2017-8570

OLE对象中的逻辑漏洞 (CVE-2017-0199的补丁绕过)，“沙虫”二代漏洞

白象 寄生兽 摩诃草

CVE-2017-8759

.NET Framework中的逻辑漏洞

CVE-2018-0802

“噩梦公式二代”利用office内嵌的公式编辑器EQNEDT32.EXE发起攻击

黑凤梨

CVE-2018-8174

利用浏览器0day漏洞的新型Office文档攻击

Adobe系列包括Adobe Reader、Acrobat、Flash Player，Flash Player因为其跨平台，使用广泛，一直也受到各大APT组织的关注。

CVE编号 

漏洞类型

影响版本

使用组织

CVE-2007-5659

Adobe Acrobat/Reader PDF文件 多个缓冲区溢出漏洞

Adobe Acrobat 8 Adobe Reader 8 Adobe Reader 7

丰收行动

CVE-2008-2992

Adobe Reader util.printf() JavaScript函数栈溢出漏洞

Adobe Acrobat < 8.1.3 Adobe Reader < 8.1.3

丰收行动

CVE-2009-0927

Adobe Acrobat和Reader Collab getIcon() JavaScript方式栈溢出漏洞

Adobe Acrobat 9 Adobe Acrobat 8 Adobe Acrobat 7.0 Adobe Reader 9 Adobe Reader 8 Adobe Reader 7

丰收行动

CVE-2009-4324

Adobe Reader和Acrobat newplayer() JavaScript方式内存破坏漏洞

Adobe Acrobat