接续《高级网络攻击剖析（一）》

APT工具集

APT为了执行这些活动，他们需要准备基础设施和工具。大型APT活动有来自国家政府的大量资助，用于研发工作，例如针对大多数商业安全工具创建漏洞利用或测试代码。APT工具集通常包括以下：

云服务提供商出租的命令控制（C2）计算机主机，或者作为C2主机的目的而被感染的主机。这些主机会间接与攻击者通信。使用由A国政府拥有的C2主机，或者间接与A国通信的C2主机，都不是明智的做法。相反，这些主机应该通过主机层和代理服务器进行通信，以掩盖流量的目的地。通过这些C2主机网络，恶意软件通过鱼叉式钓鱼攻击进行通信，以建立通道到受感染主机，然后下载工具集和远程管理工具（RAT）。

· 包含水坑或路过式漏洞利用（电子邮件中网址链接到的地方）的网站，可感染主机
· 用于保存渗出数据的互联网文件共享，这些文件共享可能包括Google Docs或者Dropbox账户。
· 广泛的恶意软件库，以在网络获取立足点来下载RAT和工具集。该恶意软件将会尝试利用近零日或零日漏洞。零日漏洞通常用于高价值目标，因为当这些漏洞在互联网时，可能会开发补丁和签名。
· 在域名和主机配置方面具有丰富技能的Windows管理员。这些技术人员将会推动受感染主机继续在被感染网络获取主机，找到数据并渗出数据。

基于对目标最初的搜索，该活动的模板被选定为从目标获取数据。这些模板或者运作模式是基于目标公司部署的技术、目标的网络安全状况以及目标的价值。

在模板被选定和批准后，资源也准备就绪，鱼叉式钓鱼电子邮件被发送到目标。邮件被发送，并隐藏在目标的防火墙背后。如果恶意软件信标进入C2主机（其地址在利用代码中），就会成功。
几年前，大多数公司对这种威胁都手足无措，攻击者很容易得手。这些早期攻击活动的作案手法还在延续，并根据防御的改进作出了调整。随着大家对APT认识的提高，针对它的主动防御也在提高，这意味着，APT操作者需要调整其MO来抵御企业部署的新兴防御技术。

主动防御

了解了APT操作者如何攻击可以帮助企业构建抵御APT的主动防御。传统基于签名的防火墙和IDS无法对抗APT攻击。APT操作者具有所有商业安全设备和软件的副本，并构建其模板来轻松抵御防病毒和反恶意软件工具等系统。

这里还有一些方法来防止APT攻击：

使用威胁情报。这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。

建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。

收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。

聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

你的企业是否面临APT威胁？你的公司是否存在吸引APT攻击者愿意花时间和金钱试图窃取的东西？企业可以询问美国联邦调查局他们是否可能受到APT攻击。如果答案是否定的，那么，花钱在抵御APT的防御工作并不是很好的投资。但可能成为潜在“目标”的企业必须考虑进行防御。