有很好資金支持的APT對手不一定要從邊界網(wǎng)絡(luò)進(jìn)行入侵,他們經(jīng)常會充分利用具有"內(nèi)部威脅"和"受信鏈接"的定向訪問和目標(biāo)系統(tǒng)的漏洞�。
濫用和泄露"受信鏈接"是許多APT攻擊成功的關(guān)鍵因素�。雖然被攻擊的企業(yè)可以采用非常高端的技術(shù)來防止信息泄露,但犯罪團(tuán)伙往往會通過企業(yè)的某個雇員或者是商業(yè)伙伴的遠(yuǎn)程辦公來劫持敏感的數(shù)據(jù)(例如合法的身份憑證等)���。所以���,幾乎每個企業(yè)的遠(yuǎn)程站點都有可能成為數(shù)據(jù)泄漏的犧牲品。
APT成功的另一個關(guān)鍵因素就是它夠隱蔽�����,盡可能地不被任何人發(fā)現(xiàn)��。為此�����,APT犯罪團(tuán)伙往往把攻擊的重點放在"低慢"上面–慢慢地�,悄悄地從一個被入侵的主機(jī)移動到下一個主機(jī)上面,其中也不會產(chǎn)生可被監(jiān)測的網(wǎng)絡(luò)流量�����,從而尋找自己需要的數(shù)據(jù)和目標(biāo)系統(tǒng)��。
惡意軟件也是APT攻擊成功與否的核心要素����。這些惡意軟件包括一些必須特性和功能�,它們能夠感染系統(tǒng)��,并且隱藏在具有檢測系統(tǒng)的主機(jī)上面�����,從而掃描網(wǎng)絡(luò)和捕獲關(guān)鍵數(shù)據(jù)���,提供視頻監(jiān)控����,通過遠(yuǎn)程控制通道隱蔽地發(fā)送出信息�����。如果有必要��,APT入侵者會自己開發(fā)具有特定功能的惡意軟件來達(dá)到目標(biāo)��,從而非法獲取系統(tǒng)數(shù)據(jù)�����,這也是每個APT攻擊的核心控制功能���。通過惡意軟件的部署�,攻擊者可以操縱本地系統(tǒng)��,并獲得持續(xù)訪問的權(quán)限�。
如果APT的惡意軟件不能和其攻擊者保持連接的話,它就不能發(fā)送任何已獲取的情報��。實際上�����,這就像是它被做了絕育手術(shù)一樣���。也有人說���,這一點使得APT被當(dāng)做了僵尸網(wǎng)絡(luò)的子類,雖然APT的惡意軟件可以一直潛伏在主機(jī)里面�,然而其遠(yuǎn)程控制等相關(guān)網(wǎng)絡(luò)活動則相對容易被發(fā)現(xiàn)。所以�,APT攻擊的有效防范就是在網(wǎng)絡(luò)層進(jìn)行控制和中斷。也有不少人認(rèn)為��,數(shù)據(jù)盜竊者絕不可能完全不被看到。在輸出數(shù)據(jù)中查找異?,F(xiàn)象可能是管理員發(fā)現(xiàn)網(wǎng)絡(luò)成為APT目標(biāo)的最好方式。
