一、什么是下一代威脅

下一代威脅主要是指攻擊者采取了現有檢測體系難以檢測的方式(未知漏洞利用、已知漏洞變形、特種木馬等)，組合各種其他手段(社會工程、釣魚、供應鏈植入等)，有針對性的針對目標發起的攻擊。這種攻擊能有效穿透大多數的公司的內網防御體系，攻擊者成功控制了內網主機之后，再進行內部滲透或收集信息的攻擊模式。

0DAY漏洞威脅：0DAY漏洞由于系統還未修補，而大多數用戶、廠商也不知道漏洞的存在，因此是攻擊者入侵系統的利器。也有很多利用已修復的漏洞，但由于補丁修復不普遍(如第三方軟件)，通過變形繞過現有基于簽名的檢測體系而發起攻擊的案例。

多態病毒木馬威脅：已有病毒木馬通過修改變形就可以形成一個新的未知的病毒和木馬，而惡意代碼開發者也還在不斷開發新的功能更強大的病毒和木馬，他們可以繞過現有基于簽名的檢測體系發起攻擊。

混合性威脅：攻擊者混合多種路徑、手段和目標來發起攻擊，如果防御體系中存在著一個薄弱點就會被攻破，而現有安全防御體系之間缺乏關聯而是獨立防御，及時一個路徑上檢測到威脅也無法將信息共享給其他的檢測路徑。

定向攻擊威脅：攻擊者發起針對具體目標的攻擊，大多數情況下是從郵件、IM、SNS發起，因為這些系統賬戶背后標記的都是一個真實固定的一個人，而定向到人與他周邊的關系，是可以在和攻擊者目標相關的人與系統建立一個路徑關系。定向攻擊如果是小范圍發起，并和多種滲透手段組合起來，就是一種APT攻擊，不過定向攻擊也有大范圍發起的，這種情況下攻擊者處于成本和曝光風險考慮，攻擊者往往使用已知的安全漏洞來大規模發起，用于撒網和撈魚(攻擊一大片潛在受害者，再從成功攻擊中查找有價值目標或作為APT攻擊的滲透路徑點)。

APT威脅： APT威脅是以上各種手段(甚至包括傳統間諜等非IT技術手段)的組合，威脅最大的威脅。他是有組織黑客團隊精心策劃，為了攻擊者認定的目標，長期持續的攻擊行為。攻擊者一旦攻入系統，會給受害者帶來重大的損失(但受害者可能感受不到)，而且會長期持續的控制、竊取系統信息，關鍵時也可能大范圍破壞系統。APT攻擊，其實是一種網絡情報、間諜和軍事行為。很多時候，APT都具備著國家和有政治目的組織的背景，但為了商業、知識產權和經濟目的的APT攻擊，也不少見。#p#

二、APT(高級持續性威脅)

APT攻擊，特別是具有國家和組織背景的APT攻擊，無疑將是伴隨信息IT化和網絡化深入到人類生活每個領域之后，將要遇到的最具威脅的挑戰。

APT攻擊是指融合情報、黑客技術、社會工程等各種手段，針對有價值的信息資產或通過IT系統控制的重要控制系統，發起的復雜而專業攻擊。由于IT系統復雜性，目前還沒有很好的檢測措施完全發現IT產品中的后門、漏洞以及應用運行時的可信性，利用IT發起的攻擊已經有很長的歷史了，如美國在天然氣系統中植入木馬引發1985年前蘇聯西伯利亞天然氣大爆炸、在海灣戰爭中通過打印機芯片植入定位系統指導轟炸伊拉克重要目標，都成為重要的國家級作戰手段。

隨著IT深入發展，各種行業、各個企業都不可避免越來越深入的依賴于IT系統。利用攻入IT系統竊取情報與知識產權、篡改數據獲取收益、監控和獲取個人隱私、控制重要系統獲得戰略控制或大面積破壞，已經成為國家、組織和個人可以看得到的重大利益。于是APT在21世紀開始蓬勃發展起來，除了國家級的軍事政治目標外，能源、公共服務、科研、大型企業、金融、大型站點等有重要信息資產的部門，都成為APT指向的目標，而大量IT系統和應用的安全漏洞與缺陷、安全意識的薄弱和攻擊技術普通人難以理解、加之缺乏惡意客戶判定的標準、程序的黑盒性，為APT攻擊提供著無窮盡的彈藥和成功保證，而無須非得象以前需要通過供應鏈來植入木馬和后門。而IT系統的損失難以感知的特性(信息資產的可拷貝性讓很多損失者不知損失，即使感知到損失，由于缺乏關聯性，受害者也不一定清楚是IT安全問題導致的)又讓受害者一直活在安全的假象中難以察覺，于是APT攻擊愈演愈烈，美國2013年國會聽證會上的評估，美國因為網絡攻擊導致的知識產權的損失(這大部分是通過APT攻擊來獲取的)每年高達3000億美金(注1)。

但是伴隨著APT攻擊造成的重大損失的同時，是傳統安全檢測與防御手段針對APT攻擊的無能為力。從國家級的核設施網絡到美國NASA，從世界互聯網巨頭GOOGLE到安全公司翹楚RSA，無一不是APT攻擊的受害者。如果說他們的安全做的不好，那世界上又有幾家能說比他們的安全做的更好呢?APT劍指之下，沒有那個部門能幸免，美國前國土安全部部長Michael Chertoff說："There are two types of people: those who've been hacked and those who don't know they've been hacked" (注2)，就是這一現實的寫照。試想一下，當攻擊者可以肆意進出和控制軍事指揮系統、核系統、能源系統、交通指揮系統、金融系統，除了信息的安全，我們實體的財產與生命安全，也變得無比脆弱。#p#

三、APT攻擊環節與技術手段

APT攻擊可以分為大的三個環節，每個環節又會干一些具體的工作內容，如下圖：

三個環節其實是混雜互相交織在一起的，并沒有嚴格的分界線的，這里分開，主要是為了從技術環節做更好的分析。另外每個環節，攻擊者都可能發起多次甚至持續多年而并非單獨一次，這取決于攻擊者意愿、被攻擊的目標價值、攻擊者已經得手的情況而定。

在攻擊前奏環節，攻擊者主要是做入侵前的準備工作。主要是：

收集信息：了解被攻擊目標的IT環境、保護體系、人際關系、可能的重要資產等信息，用于指導制定入侵方案，開發特定的攻擊工具。在收集信息時，攻擊者可以利用多種方式來收集信息，主要有：

◆網絡公開信息收集，如通過搜索引擎、企業站點、社交網站等公開的信息來收集分析攻擊者需要的信息

◆通過地下售賣的大型站點的用戶數據獲取信息，由于各種站點自身的安全性比較薄弱，一些入侵站點為主的黑客會入侵獲得他們的用戶資料庫然后地下售賣，如CSDN用戶注冊資料泄露事件(注3)，其實就是黑客早已竊取并售賣多次的數據庫，失去價值后公開的，攻擊者可以通過獲取這些數據庫獲得需要的數據。

◆釣魚收集：攻擊者通過郵件和IM，發送一個正常的URL并吸引對方(如針對技術人員提供技術資料站點，高端人才招聘站點)，用戶打開后也是一個正常有價值的站點，但是利用URL參數，攻擊者可以標記郵件關聯的人，再利用瀏覽器本身支持的功能可以收集用戶使用的操作系統、瀏覽器和版本的信息。高級一些的，還可以利用ACTIVEX創建對象和路徑加載探測技術，準確判定用戶安裝的各種應用環境，特別是客戶端安全防護軟件和一些常見的本地應用，這些都是可以用來指導攻擊者精確攻擊和繞開常規檢測的信息。

◆人肉搜集：通過偽冒、套話，通過IM、郵件、電話甚至人身接近，配合社工獲得更多的信息。

◆嗅探：如果攻擊者可以解除到被攻擊目標的網絡(如托管WEB站點，攻擊者可以入侵甚至自己也托管一臺同網段主機進行嗅探獲得信息，如無線網絡，攻擊者可以在附近嗅探獲得信息)。

◆掃描：利用掃描技術，攻擊者可以獲得網絡和開放服務的一些信息。

◆信息收集是貫穿全攻擊生命周期的，攻擊者在攻擊計劃中每獲得一個新的控制點，就能掌握更多的信息，指導后續的攻擊。#p#

技術準備：根據獲取的信息，攻擊者做相應的技術湊合，主要有：

◆入侵路徑設計并選定初始目標：攻擊者設計一個攻擊路徑，通過多層的滲透，逐步達到攻擊者希望獲取的資產上。當然這個路徑會隨實施情形變化或更多信息產生改變。

◆漏洞和利用代碼：攻擊者發送直接木馬過去成功率比較低，被發現率比較高，所以攻擊者一般會借助應用的漏洞來發起攻擊。當然，利用漏洞入侵受害者可信的服務器再通過篡改可信服務器上的可信程序植入或推送木馬也是常見的手段，也有直接發送木馬或綁定木馬的文檔再利用社工欺騙用戶打開的案例。但整體來說，利用漏洞的欺騙性更強一些，安全意識高的用戶也容易中招而難以察覺，安全防御軟件也難以檢測，特別是利用攻擊者自己挖掘的0DAY漏洞。所以攻擊者會根據受害者的應用環境，選擇攻擊者手上掌握的漏洞和利用代碼，構造成看起來無害的東西如WORD文檔、WEB頁面。

◆木馬：最終攻擊者需要植入木馬到被控制者機器中，但已知廣泛傳播的木馬被檢測率比較高，所以攻擊者需要根據掌握的信息，定制開發木馬并確保不被受害者主機上安裝的安全軟件查殺出來。攻擊者可以在漏洞和利用代碼那一層就做對抗如關閉這些軟件，也可以在木馬本身這一層做對抗繞過查殺。

◆漏洞和利用代碼和木馬，我們統稱為攻擊負載。

◆控制服務器和跳板：除了對系統做純破壞類的入侵，大多數的攻擊，攻擊者都會將竊取信息回傳回來，所以需要開發特定的控制服務器，與木馬進行通訊，來下發指令、實施內部滲透、獲得竊取的信息，為了繞過檢測，還會模擬內網常見協議如DNS、HTTP、HTTPS并進行加密。另外為了躲避追查，無論是攻擊和控制，攻擊者都需要利用1，2個不同國家已被攻擊者控制的受害機器(俗稱肉雞)做跳板(當然越多越不易追查到攻擊者源IP地址，但越多性能越差)。#p#

外圍滲透準備：攻擊者會入侵一些外圍目標，這些受害者本身不是攻擊者攻擊的目標，但因為可以被攻擊者用來做跳板、社工跳板、大規模拒絕服務機器、相關信息獲取等而被入侵：

◆入侵實際攻擊目標可信的外部用戶主機：這樣攻擊者可以以可信的身份(如QQ、MSN)向攻擊目標發送攻擊負載或可以物理接近被攻擊者設施實體(如震網攻擊中一種入侵方式就是入侵核電站工作人員家庭主機，當工作人員將工作U盤接入家庭主機時，震網將利用漏洞可以攻擊核電站系統的攻擊負載傳遞到U盤上)。

◆入侵實際攻擊目標可信的外部用戶的各種系統賬戶：這樣攻擊者可以以可信的身份(如郵件地址，SNS的賬戶)向攻擊目標發送攻擊負載。

◆入侵實際攻擊目標可信的外部服務器：這樣攻擊者可以利用可信下載、可信自動推送向攻擊目標發送攻擊負載。

◆入侵實際攻擊目標可信的外部基礎設施：攻擊者可以獲得可信的外部基礎的身份和認證，特別是數字簽名和加密種子。一個可以將自己的攻擊負載打上可信任的標簽繞過檢測，一個可以直接破解身份認證系統和加密數據。據估計，最近幾年，APT攻擊已經獲取了大量的外部基礎設施的證書和加密種子(暴露出來的如RSA種子失竊(注4)，賽門鐵克證書失竊(注5)，荷蘭證書公司證書失竊(注6))，這讓APT檢測更加困難。#p#

在入侵實施環節，攻擊者針對實際的攻擊目標，展開攻擊，主要內容有：

利用常規手段入侵：攻擊者利用常規的手段，將惡意代碼植入到系統中，常見的做法有：

◆通過病毒傳播感染目標

◆通過薄弱安全意識和薄弱的安全管理控制目標

◆通過社會工程：利用人性的弱點發送惡意代碼，欺騙用戶打開執行惡意代碼。

◆通過供應鏈植入：攻擊者控制了供應鏈某一環節，通過這一環節植入惡意代碼進系統，當系統交付給最終用戶后，攻擊者就可以通過惡意代碼控制最終用戶的系統。這是掌握一定資源的國家和組織經常會采取的手法，最近也出現了一些新的方式，如購買手機植入木馬后贈送或意外留給目標，發行盜版光盤或免費應用植入到目標中，甚至某些國家的部門或組織出現了派遣員工去有名的廠商那里臥底(注7)，然后植入后門、木馬或漏洞，然后控制最終用戶系統的事件。

利用缺陷入侵：缺陷是指IT系統中廣泛事實存在且已知，但由于修復成本很高或短期內難以替代的問題，如

◆默認密碼：大多數系統都提供默認用戶和默認密碼，很多用戶并不會去更新密碼，導致攻擊者可以直接使用。

◆弱密碼：大多數用戶使用位數不多、沒有字符集變化、自身相關信息的密碼，很容易被攻擊者猜解。

◆默認配置和錯誤配置：大多數系統默認配置會暴露很多信息并增大攻擊面，用戶也不清楚一些功能會帶來的潛在風險，攻擊者會利用這些缺陷發起攻擊。

◆脆弱計算機和網絡環境和協議：我們的網絡環境、認證協議、常見的加密算法強度本身存在很多問題，如ARP、DHCP都可以被同網主機輕易劫持，大多數的認證協議都可以被中間人劫持，很多協議算法強度不夠，利用這些問題，攻擊者可以發起攻擊。#p#

利用漏洞入侵：這是專業黑客對付重點目標常用的方式，重點目標的安全防護意識和意識，以及管理制度都比較完善，單靠前面的方式不容易湊效，攻擊者會利用系統中存在的安全漏洞，特別是攻擊者自己通過研究發現而其他人不知道的安全漏洞(0DAY漏洞)發起攻擊，由于這類攻擊使用看起來合法的業務數據為載體(如DOC文檔)，受害者難以察覺攻擊者的攻擊，從業務管理規范上也很難避免不打開使用，因此成為APT入侵的主要載體。主要有：

◆桌面文件處理類漏洞：利用常見數據文件處理(如DOC、PPT、PDF、FLASH、XLS、音頻、視頻)等應用的安全漏洞，攻擊者發送數據文件(通過郵件、IM、下載等)吸引用戶打開，以此來發起攻擊。這是最常見入侵目標內網主機的手段，如RSA的令牌種子被竊取事件就是攻擊者利用了XLS文件里包含一個FLASH的0DAY漏洞發起的(注8)。

◆瀏覽器類漏洞：利用瀏覽器處理HTML的安全漏洞或常見ACTIVEX控件安全漏洞、瀏覽器直接支持打開的數據文件應用的安全漏洞，攻擊者發送URL(通過郵件、IM)或入侵特定站點(如大型公開站點、目標是用的內部站點)上掛馬，以此來發起攻擊。這也是一種常見入侵目標內網主機的手段，如GOOGLE被極光攻擊入侵內容竊取了GMAIL多個郵箱敏感信息的事件就是攻擊者利用了IE7 CSS 0DAY漏洞發起的(注9)。

◆桌面網絡應用漏洞：利用IM、P2P等常見網絡客戶端的安全漏洞，攻擊者發送相關的功能、報文，以此來發起攻擊。

◆網絡服務類漏洞：利用網絡服務端的安全漏洞，攻擊者發送相關的功能、報文，以此來發起攻擊。

◆系統邏輯類漏洞：利用系統邏輯處理相關的安全漏洞，攻擊者構造相應的觸發環境，以此來發起攻擊。如入侵伊朗核電站的震網攻擊事件就是攻擊者利用了WINDOWS DLL加載次序的邏輯漏洞發起的(注10)。

◆對抗類漏洞：利用安全防護和檢測軟件的安全漏洞，攻擊者可以繞過、逃逸、關閉掉相應的安全防護和檢測軟件。

◆本地提權漏洞：利用主機高權限組件或邏輯檢測的安全漏洞，攻擊者可以獲取更高的權限。此類攻擊一般是攻擊者已經通過前述手段獲得了一個初步的權限之后發起的。

除了以上幾類針對內容主機的入侵漏洞，也有如下一些漏洞類型來發起周邊一些的攻擊。

◆WEB類攻擊漏洞：分2類，一類是針對WEB站點自身的安全漏洞，如SQL注射、包含等漏洞，攻擊者以此入侵WEB站點，通過對WEB站點上的資源進行篡改(在下載程序里綁木馬、在頁面上掛觸發瀏覽器漏洞的HTML內容等)，再發起針對內網主機的攻擊。一類是針對WEB站點自身有敏感信息發起，利用XSS、CSRF漏洞，攻擊者可以獲取受害者在WEB站點上的身份或修改其配置以訪問這些敏感信息，之后再發起攻擊。

◆網絡設備安全漏洞：還有針對網絡設備發起的安全漏洞，如網絡設備的管理端使用了WEB管理方式，利用WEB漏洞可以發起攻擊，網絡設備自身協議、數據處理、功能設計、配置弱點等，也可以讓攻擊者直接控制網絡設備。攻擊者控制了網絡設備后，可以修改如DNS，路由表控制，可以劫持流量到攻擊者控制的中間設備上以獲得敏感信息，一些高端的路由設備，攻擊者也可以完全控制以運行木馬實現更特定的功能。

以上三個環節，并非是必須的，攻擊者可以只用其中一個兩個就達成了入侵，也可能多個復雜的手段組合起來(多個攻擊行為依次組合和一個攻擊行為復合組合都有可能，前者如利用缺陷猜解出云備份帳號后將備份程序篡改植入木馬，后者如利用默認密碼配合CSRF漏洞劫持被害目標路由器DNS服務器配置)實施入侵，這取決于被攻擊目標的防護能力與安全意識。

SHELLCODE執行：大多數情況攻擊者利用漏洞觸發成功后，攻擊者可以在漏洞觸發的應用母體內執行一段特定的代碼(由于這段代碼在受信應用空間內執行，很難被檢測)，實現提權、桌面安全軟件對抗之后，植入木馬。

木馬植入：從攻擊者目標來說，APT攻擊者最終是希望最終在受害主機上植入(但也有一些例外，如只針對WEB系統帳戶攻擊，攻擊者以拿到身份可以訪問WEB敏感資源為主要目的，如針對路由器攻擊，攻擊者以能修改配置和啟用路由器特定功能，達到路由路徑劫持進而拿到敏感數據為主要目的)

◆遠程下載植入：攻擊者可能遠程下載一個木馬，安裝進受害者的系統。

◆綁定文檔植入：攻擊者可能在觸發漏洞的文檔或直接在文檔中綁定一個木馬，漏洞觸發后釋放或欺騙用戶點擊鏈接，安裝進受害者的系統。

◆綁定程序植入：攻擊者可能在一個合法程序中綁定一個木馬，利用合法程序執行時，安裝進受害者的系統。

◆激活后門和木馬：利用供應鏈等方式，攻擊者可能事先在受害者機器中已經植入了木馬、后門，然后通過特定的方式激活他們。

滲透提權：攻擊者控制了內網某個用戶的一臺主機控制權之后，對攻擊者要獲取的目標，還需要在內部進行滲透和提權。

◆立足點：攻擊者控制了內網某個用戶的一臺主機控制權之后，相當于獲得了一個內網的立足點，而內網一旦進入突破了安全邊界之后后，內部安全防御就再難以檢測和防御。

◆滲透：攻擊者可以組合以上各種手段，如社會工程、文件共享服務器篡改程序、本地嗅探、SMB中繼欺騙、漏洞等等，對內網內的其他主機發起攻擊，獲得更多主機的控制。

◆特權獲取：攻擊者通過更多主機的控制，逐步滲透到目標資產存放主機或有特權訪問攻擊者目標資產的主機上。那么到此攻擊者已經成功完成了入侵。#p#

在后續攻擊環節，攻擊者竊取大量的信息資產或進行破壞，同時還在內部深度的滲透以保證發現后難以全部清除(典型案例如韓國農協銀行，2011年4月被攻擊者大規模破壞損失慘重(注11)，而這次320事件(注12)，他的服務器又成為攻擊者控制服務器)，主要環節有：

價值信息收集：攻擊者利用掌握到的權限和資源，從中分析和收集對攻擊者有價值的信息。

傳送與控制：獲取到的信息，攻擊者將其傳回攻擊者控制的外部服務器。為了逃逸檢測和審計，一般會模擬網絡上一些常見公開的協議，并將數據進行加密。一些木馬還有長期控制并和外部服務器進行通訊，按外部服務器下發的指令進行操作、升級的能力。另外針對隔離的網絡，攻擊者一般使用移動介質擺渡的方式，進行數據的傳送。

等待與破壞：一些破壞性木馬，不需要傳送和控制，就可以進行長期潛伏和等待，并按照事先確定的邏輯條件，觸發破壞流程：如震網，檢測到可能是伊朗核電站的環境就修改離心機轉速進行破壞。

深度滲透：攻擊者為了長期控制，保證再被受害者發現后還能復活，攻擊者會滲透周邊的一些機器，然后植入木馬。但該木馬可能處于非激活狀態，檢測和判斷網絡上是否有存活的木馬，如果有則繼續潛伏避免被檢測到，如果沒有了，則啟動工作。2011年4月韓國農協銀行被黑客入侵大規模破壞，之后韓國農協銀行進行了處置，但2013年320事件，攻擊者依然使用韓國農協銀行的內部主機做攻擊其他機構的控制端，很有可能就是攻擊者通過深度滲透潛伏下來，在11年事件大面積處置后還能復活繼續控制韓國農協銀行的內部網絡。

痕跡抹除：為了避免被發現，攻擊者需要做很多痕跡抹除的工作，主要是去掉一些日志，躲避一些常規的檢測手段等。#p#

四、APT的特點

巨大利益驅動：隨著IT深入的發展和互聯網經濟模式，入侵IT信息資產可以獲得巨大的政治經濟軍事利益，而IT系統本身的脆弱性使得入侵不僅成為可能而且成本也相對其他傳統間諜等手段有優勢。傳統的威脅更多以炫耀、惡作劇為主，即使有經濟利益驅動，也大多是針對個人資產為主的威脅，而下一代威脅，則是在直接針對國家、組織、企業當中最核心的信息資產而發起，一旦得手，攻擊者獲取的收益和受害者遭受到的損失，都是傳統威脅難以比肩的。

專業性與隱蔽性：攻擊者為了對抗現有的安全防御體系，需要有專業分工的人員來實施攻擊，在情報收集與分析、漏洞挖掘、漏洞利用、木馬編寫與對抗、攻擊發起與痕跡抹除、敏感信息收集分析與竊取等方面，都會有專業的人員。而為了長期獲得收益并避免被發現，攻擊者選擇精確受控的目標發起，減少受害者和防御者通過大規模異常現象發現的可能，進入系統后都會實施專業的痕跡抹除工作，讓發現和取證變得更困難。因此很多時候用戶對這些攻擊是難以感知的(包括行為和危害)，即使感知到了危害也并不一定知道是自己IT系統被入侵導致的危害。

廣泛覆蓋性：攻擊者雖然針對高價值資產，但是并非只有特定的幾個行業才是受害目標，除了軍事政治相關的領域，科研、醫療、金融、能源等相關領域也是重災區，大中型企業遭受APT攻擊也不鮮見，針對小企業和個人，出于APT攻擊路徑的考慮，也經常成為APT的跳板目標。而隨著APT技術的普及，也有一些直接以小企業為最終攻擊目標的案例(如已經發生過多起的通過控制外貿企業的郵箱后通知客戶的賬戶變更到攻擊者控制的賬戶上去)#p#

五、APT可能演化的一些技術方向

APT攻擊無疑會成為未來長期存在的威脅，并且會隨著IT環境的演化和攻擊對抗的現實而不斷演化：

云惡意下發模式：攻擊者下載的木馬本身并不含惡意行為，而是一個有簽名有正常功能的程序(甚至可能獲得了可信認證)，利用這個程序，定期和攻擊者控制的服務器(展現給用戶可以是一個升級服務器)通訊，下載策略與代碼數據(也可以使用已有程序的合法功能模塊拼接而成)，在內存中組合成實際的惡意代碼并執行，執行完后刪除。這種方式由于不存在惡意文件實體，難以靜態或虛擬機動態檢測。我們已經檢測到一些惡意移動應用采用了這樣的手法，其實用于APT攻擊者，也是非常有力的手段。

移動結合：移動目前已經深入大眾生活和企業環境，而移動的安全性又更加脆弱，攻擊者可以通過移動設備跳入到內網主機上，也可以通過內網主機跳入到移動設備上。由于移動設備的隱私和人際身份的認同，控制了移動設備后可以獲得比較敏感的隱私信息，另外可以通過移動設備發起社工也更加有效。因此APT攻擊和移動結合起來，應該是一個趨勢。

網絡設備：網絡設備是更基礎的信息點，通過網絡設備可以長期大范圍的獲取信息、劫持用戶數據和行為，因此未來APT攻擊會更多針對網絡設備發起，一種方式是通過供應鏈植入木馬或后門(如這次棱鏡曝光的思科路由器)，一種方式是通過漏洞植入木馬或后門。控制了網絡設備后，可以做的如：流量路徑修改、DNS劫持、下載木馬替換植入、修改安全策略等。

基礎安全設施：其實這個不是方向了而是有很多案例了，但是未來這個可能是APT攻擊更關注的方面。通過入侵基礎安全設施獲得的東西，可以大量發起攻擊且很難檢測，比如竊取到站點的次根級證書，可以無感監聽加密流量，竊取到數字簽名，可以以大廠商軟件和補丁身份植入而且逃逸檢測，竊取到RSA令牌的種子，可以輕易破解RSA令牌的身份認證等。

WEB組合：針對WEB的攻擊手段，其實也是APT攻擊組合的手段。一是入侵了受害者可信的WEB站點，可以通過這個站點掛馬、篡改下載程序、收集敏感信息等方式更容易針對內網發起攻擊。二是通過XSS、CSRF可以獲得外部WEB站點(如郵箱服務)可信的賬號身份和敏感信息。三是通過XSS、CSRF攻擊也可以攻擊內網有WEB管理接口的內網網絡、安全、管理設備，如最近曝光的攻擊者利用路由器的默認密碼和CSRF漏洞，攻擊了國內上百萬的家庭路由器并修改其DNS配置指向攻擊者控制的DNS服務器(注13)，這樣攻擊者就可以發起DNS劫持攻擊，進一步獲得用戶的數據，篡改數據和行為，以及欺騙用戶下載惡意程序等。

傳統手段組合：我們把APT行為定性為基于網絡攻擊技術的網絡情報和間諜行為，傳統的情報和間諜，如收買、近身接觸、實體竊取等，和APT手段組合起來，可能會產生更大的威力。