【51CTO.com 綜合消息】2013年3月15日，APT攻擊作為一種高效、精確的網絡攻擊方式，在近幾年被頻繁用于各種網絡攻擊事件之中，并迅速成為企業信息安全最大的威脅之一。全球服務器安全、虛擬化及云計算安全領導廠商趨勢科技在對2012年APT攻擊的海量信息進行分析之后發現，APT攻擊在去年的攻擊范圍不斷擴大、隱蔽性也有所增強。預計在2013年，這些趨勢將進一步反映在APT攻擊的特征中，不但攻擊的破壞力會越來越大，對攻擊的判斷也將越來越困難。

趨勢科技（中國區）產品經理蔣世琪表示：“APT的攻擊手法在于隱匿自己，針對特定對象，長期、有組織、有計劃的竊取數據，這種發生在數字空間偷竊資料、搜集情報的行為類似于‘網絡間諜’。正是由于APT的隱蔽性，把握其中的攻擊規律就變得尤為重要。趨勢科技將總結回顧2012年APT 特點，并對其預測了2013年攻擊特征進行預測，幫助用戶判斷APT攻擊的趨勢與脈絡，希望給企業用戶防護APT攻擊提供更多有價值的建議。“

趨勢科技觀察到，APT攻擊在去年非常活躍，并頻繁發生黑客利用復雜精準的方式對特定對象發動高級持續性威脅的事件。在這些事件中，2012年APT攻擊主要呈現出以下五種特征：

一、APT攻擊目標和范圍不斷擴展

在2012年，在世界各地出現了各式各樣的攻擊，針對俄羅斯、韓國、越南、印度和日本等地區的攻擊活動相當活躍，特別是黑客在中東地區開展的Shamoon和Mahdi攻擊活動，造成巨大危害。除了這些地理位置上的不斷擴張之外，我們還看到了針對技術的擴展。為了對目標進行更有效的破壞，APT攻擊在工具上不斷精進，而且在攻擊范圍上也不斷擴展。在2012年，趨勢科技已經監測到多個以Mac平臺為攻擊目標的木馬，而將智能卡作為攻擊目標的行為也日益增多。

二、APT攻擊隱蔽性日漸提升

APT攻擊為了躲避安全防護軟件的查殺，往往會讓自身的隱蔽性更強。例如2012年，微軟發現一個舊惡意軟件組件會在NDIS（網絡驅動程序界面規范）層建立一個隱蔽的后門，讓監測變得更加困難。除了隱身在網絡層，APT攻擊程序也常使用增加數字簽名、使用DLL搜尋路徑劫持等技術，大大增加了監測的難度。

APT攻擊不僅僅指惡意軟件，還指配套的攻擊方式與部署模式。為了確保軟件隱藏在用戶的系統中，其常常會存取、使用正常應用程序（例如VPN），確保自己持久不會發現。

三、新社交工程陷阱出現

魚叉式網絡釣魚郵件仍然是APT攻擊用來散播惡意軟件的主要機制，但不是唯一的攻擊路徑。在2012年，一個值得關注的新社交工程陷阱利用安全廠商對惡意軟件的分析作為誘餌，來傳播惡意軟件。此外，在2012年新發現的一種新入侵模式中，攻擊者利用了Java和Flash的漏洞攻擊碼。而RSA公司此前的安全報告中所提到的VOHO攻擊活動，也使用了相同的技術。

四、“超限”武器交易走向“前臺”

“超限”武器交易是指販賣漏洞攻擊碼及搭配的惡意軟件，這本來是個隱秘的話題，卻在2012年成為公開的祕密。美國公民自由聯盟的Christopher Soghoian在VB2012大會上以此為主題進行了演講，在演講中他提到，“超限”武器交易出現“泛化”的趨勢，其不但涉及買賣漏洞和攻擊碼，還涉及惡意軟件的交易。

五、以破壞信息為目的的攻擊增多

雖然APT攻擊通常是為了竊取信息，但是其有時也會被用作從事破壞性行為。趨勢科技監測發現，在2012年中，有多起APT攻擊侵入了目標系統，并銷毀了部分資料。而這種形式的目標攻擊在今后將可能繼續增多。

蔣世琪談到：“APT攻擊是一個在時間上具備連續性的行為，其在2012年表現出來的特征會反映在我們對于2013年的預測中。基于這種判斷，趨勢科技認為，在2013年，APT攻擊將會變得越來越復雜，這并不僅僅表示攻擊技術越來越強大，也意味著部署攻擊的方式越來越靈活。以后，這類攻擊將會具備更大的破壞能力，使得我們更難進行屬性分析。”

具體來說，2013年APT攻擊可能表現出以下三個趨勢：

第一、攻擊將會更有針對性：越來越多的APT攻擊將會針對特定的地區、特定的用戶群體進行攻擊。在此類攻擊中，除非目標在語言設定、網段等條件上符合一定的標準，否則惡意軟件不會運行。因此，在2013年我們將會看到越來越多的本地化攻擊。

第二、APT攻擊將更有破壞性：在2013年，APT攻擊將帶有更多的破壞性質，無論這是它的主要目的，或是作為清理攻擊者總計的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標上。

第三、對攻擊的判斷將越來越困難：在APT攻擊防范中，我們通常用簡單的技術指標來判斷攻擊的動機和地理位置。但是到了2013年，我們將需要綜合社會、政治、經濟、技術等多重指標進行判斷，以充分評估和分析目標攻擊。但是，多重指標很容易導致判斷出現失誤，而且，攻擊者還可能利用偽造技術指標來將懷疑對象轉嫁到別人身上，大大提升了判斷的難度。