APT的工作原理和危害

APT事件

此类事件本人接触的并不多，实际遭遇目前差不多就两三次的样子。首先明确一下什么样的事件可以被归类为APT事件，借鉴一下百度百科的说明，APT攻击的主要特征有

针对性强、组织严密、持续时间长、高隐蔽性和间接攻击

详细可以参考百度百科

高级长期威胁（英语：Advanced Persistent Threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。

简单讲述一下本人遭遇过的一个事件为例，接到应急通知，某军工相关单位，更新了软件后安全设备一直告警。

到现场查看，杀软当前更新到最新版本，扫描到的木马日期在两年之前，此前一直没有发现（环境为内网环境，无法连接外网，近期才更新了杀软病毒库）（持续性），说明木马具有一定的免杀性（隐蔽性），考虑到目标系统在内网（间接攻击）并且为敏感单位（针对性），基本确认为APT事件。

由于时间太久远，网站没有日志记录，通过沟通确认网站使用了某知名OA系统，查看webshell时间与当年该OA系统爆出RCE漏洞时间基本吻合，大致确认是由于该漏洞导致的入侵，由此得出结论，鉴于事件性质，后续工作移交了对应部门进行处理。

总得来说，如果真怀疑遇到了APT，还是建议找专业公司来进行解决。