APT事件

此類(lèi)事件本人接觸的并不多，實(shí)際遭遇目前差不多就兩三次的樣子。首先明確一下什么樣的事件可以被歸類(lèi)為APT事件，借鑒一下百度百科的說(shuō)明，APT攻擊的主要特征有

針對(duì)性強(qiáng)、組織嚴(yán)密、持續(xù)時(shí)間長(zhǎng)、高隱蔽性和間接攻擊

詳細(xì)可以參考百度百科

高級(jí)長(zhǎng)期威脅（英語(yǔ)：Advanced Persistent Threat，縮寫(xiě)：APT），又稱(chēng)高級(jí)持續(xù)性威脅、先進(jìn)持續(xù)性威脅等，是指隱匿而持久的電腦入侵過(guò)程，通常由某些人員精心策劃，針對(duì)特定的目標(biāo)。其通常是出于商業(yè)或政治動(dòng)機(jī)，針對(duì)特定組織或國(guó)家，并要求在長(zhǎng)時(shí)間內(nèi)保持高隱蔽性。高級(jí)長(zhǎng)期威脅包含三個(gè)要素：高級(jí)、長(zhǎng)期、威脅。高級(jí)強(qiáng)調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞。長(zhǎng)期暗指某個(gè)外部力量會(huì)持續(xù)監(jiān)控特定目標(biāo)，并從其獲取數(shù)據(jù)。威脅則指人為參與策劃的攻擊。

簡(jiǎn)單講述一下本人遭遇過(guò)的一個(gè)事件為例，接到應(yīng)急通知，某軍工相關(guān)單位，更新了軟件后安全設(shè)備一直告警。

到現(xiàn)場(chǎng)查看，殺軟當(dāng)前更新到最新版本，掃描到的木馬日期在兩年之前，此前一直沒(méi)有發(fā)現(xiàn)（環(huán)境為內(nèi)網(wǎng)環(huán)境，無(wú)法連接外網(wǎng)，近期才更新了殺軟病毒庫(kù)）（持續(xù)性），說(shuō)明木馬具有一定的免殺性（隱蔽性），考慮到目標(biāo)系統(tǒng)在內(nèi)網(wǎng)（間接攻擊）并且為敏感單位（針對(duì)性），基本確認(rèn)為APT事件。

由于時(shí)間太久遠(yuǎn)，網(wǎng)站沒(méi)有日志記錄，通過(guò)溝通確認(rèn)網(wǎng)站使用了某知名OA系統(tǒng)，查看webshell時(shí)間與當(dāng)年該OA系統(tǒng)爆出RCE漏洞時(shí)間基本吻合，大致確認(rèn)是由于該漏洞導(dǎo)致的入侵，由此得出結(jié)論，鑒于事件性質(zhì)，后續(xù)工作移交了對(duì)應(yīng)部門(mén)進(jìn)行處理。

總得來(lái)說(shuō)，如果真懷疑遇到了APT，還是建議找專(zhuān)業(yè)公司來(lái)進(jìn)行解決。