你的網絡上是否有重要的數據？察覺到有奇怪的網絡狀況？那么你可能已經淪為APT攻擊的受害者了……

與傳統網絡攻擊相比，黑客所發動的APTs（高級持續性威脅）是一個新興的攻擊類型。APTs會給企業和網絡帶來持續不斷的威脅，能夠發動APTs攻擊的黑客，往往是一個有著良好紀律性的組織，作為一個專業團隊集中進行網絡活動。通常情況下，他們將寶貴的知識產權、機密的項目說明、合同與專利信息作為竊取目標。

發動APT的黑客在一般情況下所使用的方法便是用網絡釣魚郵件或其他的技巧來欺騙用戶下載惡意軟件。但其最終目的往往是極其核心的信息。若是發現一個非法入侵，但它唯一明顯的意圖就是去偷你企業的錢，那么這很可能不是一個APT攻擊。那么真正的APTs攻擊應該是什么樣子呢？

因為APT黑客與普通黑客所用的技術不同，所以他們會留下不同的痕跡。在過去的十年里，我發現了若是出現下列5種信號的話，你的企業很有可能已經遭到了APTs攻擊。在一個企業中，每個業務都有一個固定的、合法的活動頻率，若其活動頻率突然發生異變，說不定這部分業務正在被APT所利用。

APT信號 NO.1：在晚上，日志登錄信息的暴增

APTs首先會攻陷一臺電腦，然后會迅速接管整個網絡大環境。通過讀取數據庫的身份認證，竊取證書并反復利用這些權限，從而達到接管整個網絡的目的。他們了解哪些用戶（或者服務）賬戶擁有更高的權限，有了這些特權，他們就可以游走于網絡各方，危及企業的資產。因為攻擊者的生活時差與我們相反，所以通常情況下，日志中大量的登錄與注銷記錄的爆發都會發生在夜里。如果你突然發現日志的登錄注銷記錄突然大量出現，而該時間段里，這些員工應該是在家休息的，那么你就需要警惕了！

APT信號 NO.2：廣泛的后門木馬

APT黑客經常在開發環境中在被感染的電腦里面裝上后門木馬。他們這樣做是為了能夠確保隨時可以回來，即便是捕獲的日志認證發生了改變，他們也能夠通過此后門得到線索與信息。另一個相關的特征：一旦行蹤暴露，APT黑客不會像普通攻擊者那樣馬上逃走擦凈痕跡，為什么會如此呢？他們在企業中操控了計算機等相關設備，而且只要他們本人不坦白，即使是走了法律流程，這些潛在的威脅也很難被發現。

這段時間以來，大多數被部署了木馬的企業，均是被社會工程學的攻擊手段鉆了空子。這種攻擊手段相當普遍，它們使APT攻擊的成功率提高了不少。

APT信號 NO.3：意想不到的信息流動

我能想到的，檢測APT活動的最好方法是：看到大量意想不到的數據流從內部計算機向外部流動。有可能是從服務器流向服務器，也有可能是從服務器流向客戶端或是從網絡移動到網絡。

這些數據流可能是有限的，但是卻具備非常強的針對性。比如會有些人專門收取一些國外發來的郵件。我希望每個郵件客戶端都能夠顯示最新的用戶登錄地點以及最后訪問的登錄地點。Gmail和其他一些云電子郵件系統已經能夠實現這一點。

當然，為了更準確地判斷APT攻擊，你必須能夠從數據流中判斷是否存有異常，那么現在就開始了解你的數據流基準信息吧。

APT信號 NO.4：發現意外的大數據包

APTs攻擊通常將竊取的信息在內部進行整合，然后再傳輸到外部。如果發現大塊數據（這里指的是千兆字節的數據）出現在不該出現的地方，特別是那種在企業內部不常出現的壓縮格式，或是不需要壓縮的文件。發現這些數據后，你千萬需要小心了。

APT信號 NO.5：檢測哈希傳遞（pass-the-hash）黑客工具

雖然APTs攻擊中不是總是使用哈希值傳遞工具，這個工具卻會經常彈出。奇怪的是，黑客使用這個工具后，往往會忘記將其刪除。如果你發現了一個孤零零的哈希工具掛在那里，那他們肯定是有一點慌張了，或許至少可以證明他們確實是有所動作，你應該進一步深入調查。

如果非要讓我總結出APT攻擊的第6個信號的話，那么我將會強烈反對企業使用變態的Adobe Acrobat PDF文件，因為它是引起魚叉式網絡釣魚活動的重點。它是誘發APT攻擊的根源，我并沒有將其寫進上面5個信號中，因為Adobe Acrobat在任何地方都會被利用上。但是，如果你發現了一個魚叉式網絡釣魚攻擊，尤其是在一些高管不慎點擊了附加PDF文件后，你一定要開始著手尋找其他的攻擊特征。這很可能是APT攻擊的前奏。

話雖如此，但我希望你永遠不需要面對APT攻擊，它是你和你的企業最難以做到的事情之一。預防和早期檢測將會減輕你的痛苦與壓力。