你有沒有想過高級持續性攻擊（APT）者究竟為什么如此難以檢測到？因為這些高級持續性威脅(APT)攻擊者使用的是目標主機上現有的工具，通過常用網絡端口，并將他們的命令控制(C&C)通信隱藏在HTML注釋中。

“他們試圖瞞天過海！”對這些攻擊進行取證調查研究的HBGary首席科學家Shawn Bracken表示，“應該注意到他們對目標企業使用的行為阻斷和分析非常熟悉。”

這些攻擊者沒有采取任何可能觸發警報或者引起懷疑的行動，而是試圖融入系統。“他們安裝的工具都是專門不會與入侵防御系統發生沖突的工具，并且他們使用的是合法的已發布的API，試圖不引起任何懷疑。”

這意味著使用目標操作系統中存在的真正的系統管理工具，并且越來越多地使用HTML用于控制命令通信。至少有三個高級持續性攻擊團隊，包括Operation Shady RAT campaign背后的攻擊者，都是用了這樣的技術來掩蓋他們的通信。“但你不能阻止所有包含注釋的網站，”Bracken表示。

戴爾安全工作反威脅部門的惡意軟件研究主管Joe Stewart表示，在網頁使用加密HTML注釋在一段時間內已經成為高級持續攻擊的一部分。“這個技術已經被用了好幾年了，我相信，那些跟蹤高級持續攻擊活動的安全研究人員早就意識到這一點，”Stewart表示，“知道HTML注釋可能被利用可以幫助檢測高級持續攻擊流量，然而，只有特定惡意軟件會使用特定HTML注釋，其他都有各自不同的格式，因此很難察覺。”

它的工作原理是這樣的：攻擊者利用互聯網某個地方的web服務器或者社交網絡站點，例如博客網站。然后攻擊者將他的編碼指令作為隱藏注釋藏在這個網站中，而RAT會定期檢查這個頁面。

“我們已經看到了兩種情況：攻擊者將使用SQL諸如攻擊滲透到受感染的web服務器，然后將他的注釋隱藏在這個服務器中，”HBGary首席執行官Greg Hoglund表示。

RAT有一個硬編碼DNS名稱來連接，這個名稱隨后會被修改為與被感染網站相匹配的IP地址，“所有RAT進行出站連接，并獲取指令，”他表示。

第二種情況是，攻擊者使用合法的社交網絡媒體或者應用程序網站，例如Google BlogSpot來將他們隱藏指令藏在HTML注釋中，Hoglund表示。這些指令通常是配置指令，例如指示一臺機器連接到受害者網絡特定機器以及打開一個TCP連接。這就為攻擊者提供了到那臺機器的互動連接，“并且他獲取了命令行訪問權限，”Hoglund說到。

即使這些遠程訪問工具沒有故意隱藏起來：“它們完全不會被察覺，看起來就像是正常軟件。”

因此，如果你可以找到HTML注釋，你就可以找出在哪臺機器上安裝了RAT，但是也有可能在網絡種存在大量RAT程序。