在之前的两篇文章中《APT报复打击背后的奥秘:报复打击前的"敌情"窥伺》《APT报复打击背后的奥秘:报复打击性质及特点阐发》，我们介绍了APT报复打击的性质、特点，和报复打击前的"敌情"窥伺。本篇文章，我们将继续介绍APT报复打击时利用的兵器和手段，这是真正开端策动报复打击的阶段，也是报复打击者需要经由过程的第一道"关卡"。

　　正如在前面文章我们提到的，APT报复打击和通俗报复打击之间的辨别是目标，或说背后把持者的具体方针，而不是东西、策略或流程。

　　一般的报复打击首要依托于数量，报复打击者会成百上千次的发送不异的链接或是歹意软件，在大年夜大都环境下，这个过程是主动化的，报复打击者利用机械人或基于web脚本来鞭策报复打击，假定报复打击了大年夜量的暗藏受害者，那么报复打击者可能获得已获得了一半的成功。而APT报复打击则会利用多个链接、不合类型的歹意软件，并节制报复打击量，是以，APT报复打击很难被传统的安然防驭手段所发现。

　　启动报复打击

　　在窥伺阶段，报复打击者会汇集尽可能多的关于方针的信息，这些信息在报复打击开端阶段将阐扬首要感化。这些信息可让报复打击者可以或许设计和开辟一个歹意有效载荷，并选择最好的编制来传送。

　　对报复打击东西包，有良多低成本的选择，并且还可以随后添加自定义模块或功能。这些东西可以托管在任何位置，但报复打击者凡是会将它们放在有着杰出名誉的合法域名，操纵路过式下载报复打击。

　　水坑报复打击凡是采取两种报复打击编制。一种编制是经由过程收集垂钓电子邮件将方针带到报复打击者的操纵东西包。

　　另外一种编制是对准共享资本。这些资本凡是对方针有着一订价值，并有杰出的名誉。对这类这类编制来讲，报复打击者没有直接对准方针，而是传染方针将要拜候的网站，等着方针被传染。

　　我们需要体味水坑报复打击和路过式下载报复打击的辨别，此中一种可用于倡议一般报复打击，而这类报复打击很等闲被发现，另外一种则加倍埋没。

　　报复打击者还会操纵零日缝隙，但并不是老是如斯。当利用零日缝隙时，首要启事是报复打击者报复打击方针实现概率增加。这些方针多是安装Paid-Per-Install歹意软件、信息盗取、构建僵尸收集或间谍勾当。但是，操纵现有缝隙要比零日缝隙加倍等闲，因为企业和小我用户常常没有修复系统和第三方软件的缝隙。

　　回顾在窥伺阶段，还有一些其他信息可能帮忙报复打击者展开报复打击。假定报复打击者发现可托营业合作火伴网站中的缝隙，或方针企业的缝隙，报复打击将变得加倍等闲，因为报复打击者既可以操纵水坑报复打击，也能够操纵单一的可托资本。在这类环境下，SQL注进、跨站脚本(XSS)等常见缝隙都可以报复打击者的切进点，默许或有缝隙的办事器建设一样如斯。

　　别的，报复打击者会将精力集中在等闲实现的方针上，是以，内部开辟的有缝隙的利用法度或添加到公司博客或内网的第三方脚本，都可能用来策动报复打击。最后，假定方针企业利用的CMS或主机平台已颠末时或未修复，这也会成为报复打击的存眷点。

　　选择方针

　　一旦报复打击者肯定了报复打击向量(此中包含有缝隙的平台和报复打击类型)，他们将需要选择一个受害者。在良多环境下，受害者其实已肯定。但有时辰，受害者是谁其实不首要，报复打击者会报复打击尽可能多的方针以进步其成功率。假定受害者还没有选定，整体方针是一个企业，那么，来自窥伺阶段的数据再次会变得有效。

　　请记住，报复打击者起首会对准等闲报复打击的方针，企业内最等闲的方针是办事台工作人员，或供给付出办事的员工，例如客户办事代表或行政助理。因为这些人可以或许拜候或联系企业内的其他人。在窥伺阶段，报复打击者可以或许获得这些人的信息，包含他们正在利用的软件和硬件类型、社交收集信息、公开的陈述或其他工作、欢愉爱好或他们的小我信息。

　　企业内的其他人也可能成为方针，这主如果因为他们在企业内的拜候权限和影响力。这些包含：首席履行官、首席财务官、IT部门、QA和开辟团队、发卖、营销和公共关系团队。

　　传送有效载荷

　　在成立有效载荷、选定报复打击方针后，报复打击者需要开端传送歹意载荷到方针，他们选择的传送编制包含：

　　1. 路过式下载报复打击： 这类传送编制让报复打击者可以对准更遍及的受害者。这是一般犯法的常常利用编制，例如信息盗取歹意软件或僵尸收集构建歹意软件。犯法东西包是典型的传送东西，因为它们可以操纵多个缝隙。

　　任何具有可操纵缝隙的网站都可能受这类报复打击的影响。请记住，SQL注进报复打击可用于拜候存储数据，也能够拜候传染数据库中的身份验证具体信息，进一步鞭策报复打击。别的，跨站脚本和文件包含缝隙将让报复打击舒展。当歹意代码注进到网站，报复打击者只需要等候受害者。在文件包含缝隙的环境下，假定报复打击者获得对web办事器本身的节制，他们便可以报复打击其他区域和办事器上的数据。

　　寄望： 这就是分手和呵护网段的启事。这可以或许帮忙降落数据泄漏期间连带效应的风险。假定对一个区域的拜候承诺拜候所有其他区域，报复打击者的工作就变得加倍等闲了。

　　2. 水坑报复打击： 细粒度水坑报复打击不合于一般报复打击。当然全部报复打击勾当可能让其他不相干的人成为受害者，报复打击者对选定的一组人或特定人更感欢愉爱好。

　　这类报复打击的方针多是开辟人员、QA、IT或发卖人员，因为这些人更可能利用论坛或其他社友情况来与同业交换或寻求协助。 SQL注进、文件包含和跨站脚本缝隙都将是首要切进点。假定报复打击者可以节制直接绑定到方针收集的办事器，那么，报复打击员工就成了次要方针。

　　3. 收集垂钓(一般)： 一般收集垂钓报复打击会对准遍及受害者。报复打击者可以经由过程这类编制漫衍大年夜量歹意软件，既快速又便宜，并且不需要太费工夫。假定暗藏受害者打开邮件附件，或点击歹意链接，在有效载荷安装后，就申明报复打击成功了。收集垂钓被用来传播财务歹意软件，而一般歹意软件被用来盗取数据和构建僵尸收集，而这又被用来发送更多的垃圾邮件。

　　收集垂钓勾当中利用的电子邮件地址可能来自各类来历，包含在窥伺阶段汇集的数据，同时也可能来自数据库泄漏变乱公开透露的数据。一般收集垂钓的目标是玩数字游戏，假定报复打击者发送歹意邮件到100万地址，而安装了1000个歹意软件，那么，这将被视为一个巨大年夜的成功。

　　4. 收集垂钓(重点): 重点收集垂钓报复打击，或说鱼叉式收集垂钓，工作道理与一般收集垂钓报复打击差不多，只是暗藏受害者范围小良多。鱼叉式垂钓报复打击很合适于报复打击一小我或一个小组，因为在窥伺阶段汇集的数据能说服受害者做一些把持，例如打开歹意附件或点击链接。

　　鱼叉式收集垂钓勾当很难被发现，出格是对被动的反垃圾邮件手艺。鱼叉式收集垂钓获得成功是因为，受害者相信邮件中包含的信息，并且大年夜大都人都觉得反垃圾邮件呵护会抵抗这类威胁。

　　总结

　　将APT报复打击禁止在萌芽期间很关头，因为假定你能在这个阶段禁止报复打击，那么，战役已赢了。但是，犯法分子没有这么等闲对。除非你摆设了分层防御办法，完全禁止这类报复打击，说起来比做起来等闲。下面我们看看抵抗报复打击的编制：

　　进侵检测系统(IDS)和进侵防御系统(IPS)是很好的呵护层。但是，大年夜大都只是摆设了此中一个，而没有都摆设，最好的编制就是同时摆设这二者。

　　IDS产品供给了可视性，但只有当数据泄漏变乱产生后才有效。假定企业可以或许即时对IDS警报采纳步履，损掉和侵害可以获得减缓。在另外一方面，IPS产品可以或许有效发现和辨认已知报复打击，但贫乏可视性。这两个解决方案的错误谬误是它们所依托的签名。假定没有更新签名，你可能没法检测报复打击者摆设的最新报复打击手艺。

　　反病毒呵护凡是可以或许检测良多缝隙操纵东西包安装的歹意软件。但单靠AV签名并没甚么用，所有AV产品都需要依托于签名呵护。当然AV供给商供给各类呵护，包含白名单和基于主机的IDS，但这些功能需要启用和利用。

　　垃圾邮件过滤也是检测和禁止大年夜部门报复打击必不成少的编制，但企业不克不及只依托反垃圾邮件呵护。它们很等闲呈现误报，没法反对一切报复打击，出格是当报复打击者假装成白名单中的域名时。

　　补丁治理是另外一个关头呵护层，因为它可以或许应对报复打击者最强的东西之一—缝隙操纵东西包。但是，修复把持系统其实不敷，还需要按期修复第三方软件。

　　最后，还需要安然意识培训。企业应当对用户进行培训来抵抗最较着的威胁，包含收集垂钓报复打击。安然意识培训是延续的步履，可以或许直接解决企业面对的风险。