警惕！普通人遭遇APT誤傷的三種場景

APT，即Advanced Persistent Threat，又稱高級威脅，從誕生之初，APT就具有明顯的政治意圖——攻擊者通過一系列高級程序、復雜手段，對政府組織或重要部門等進行長期、隱藏監測，以竊取敏感信息，擾亂國家或行業秩序，使其在長期發展、重大國家性活動中失利等。通常，APT不直接針對普通公民，但并不是說它不會對我們造成危害。卡巴斯基全球研究和分析團隊（GReAT）日前為我們總結了普通人遭遇APT攻擊的三種場景。 

場景1：在錯誤的時間訪問了錯誤的網站

與小型惡意行為者相比，APT組織有足夠的資金來進行一系列0day漏洞利用，包括有能力組織遠程水坑攻擊。谷歌Project Zero團隊在2019年的研究中發現，一名惡意行為者為了用間諜軟件感染目標，在5個不同的漏洞利用鏈中使用了多達14個不同的漏洞。

其中一些漏洞被用來遠程感染訪問特定政治相關網站的iOS用戶，并在他們的手機上安裝間諜軟件。問題是，攻擊者并沒有區分網站訪客，這就意味著訪問該網站的所有iOS用戶都會被感染，不管他們是不是攻擊目標。

而這并非APT組織唯一一次采取水坑攻擊。例如，在NotPetya（又名ExPetr）的攻擊媒介中，就選擇以感染政府網站作為起點，當用戶訪問網站時，就會自動下載惡意軟件并在受害者電腦上執行。

因此，對于普通人來說，APT的問題在于，哪怕攻擊者無意專門針對你，但只要碰巧訪問了被攻擊的網站或下載了被攻擊的應用程序，普通人就會被感染。而且，在與APT組織相關的勒索軟件案例中（例如NotPetya），他們還能夠完全掌握普通人設備上的隱私數據，并肆意破壞。

場景2：網絡犯罪分子手中的“危險玩具”

除了對外攻擊，APT組織間也經常窺探彼此的秘密，他們會互相攻擊，有時還會泄漏對方使用的工具。其他更小型或技術略遜的惡意行為者就會順勢“撿工具”，并利用它們來創建自己的惡意軟件，導致事情走向失控的局面。例如，WannaCry就是攻擊者使用EternalBlue（永恒之藍）創建的，而后者正是ShadowBrokers在決定公開方程式組織的網絡武器庫時泄漏的一個漏洞。

除此之外，NotPetya/ExPetr、Bad Rabbit（壞兔子）、EternalRocks（永恒之石）等很多威脅，也都是依賴“永恒之藍”漏洞創建的。

泄露一個漏洞往往會導致一系列大大小小的連鎖反應，最終影響數千萬臺電腦，擾亂世界各地企業和政府機構的正常運行。對于普通人來說，APT所帶來的第二種間接傷害是，攻擊者創建了非常危險的工具，但有時又無法遏制它們被肆意濫用。結果，這些危險工具落入網絡犯罪分子手中，他們肆無忌憚地使用這些工具時，會傷及許多無辜的人。

場景3：收集的數據發生泄露

正如上文所述，APT背后惡意行為者有互相攻擊的傾向，有時他們不僅會公開自己掠奪來的工具，還會公布對方使用這些工具所獲取的任何信息。例如，網絡間諜工具ZooPark所收集數據就是這樣被公開的。

在過去兩年中，多達13家跟蹤軟件供應商要么遭到黑客攻擊，要么將他們收集的信息在線暴露于未受保護、公開可用的Web服務器上。就算是再厲害的威脅行為者，也無法免受數據泄漏的影響。例如，FinFisher開發者曾遭黑客入侵，開發監視工具的Hacking Team也同樣被黑過等。

所以，APT影響普通人的第三種場景是，即便APT與普通用戶毫無瓜葛，即便他們只是收集普通用戶信息，從未考慮過使用這些信息來攻擊普通用戶，只要APT數據被泄漏，“小魚小蝦們”就會利用泄露信息，搜尋個人隱私數據，例如信用卡號、工作文檔、聯系人和照片等信息，并對普通用戶進行敲詐勒索。

如何免遭APT誤傷

雖然APT比普通惡意軟件要復雜得多，但用于常見威脅的防護技巧同樣適用APT防范。

例如：

• 禁止安裝來自第三方的應用程序，即使因某種需要不得不安裝應用程序，也請在“僅允許本次”之后，立即恢復原本的禁止設置；
• 定期檢查設備上安裝的應用程序權限，并及時撤銷對該應用程序來說不必要的權限。最好在安裝應用程序之前，就檢查它的權限列表；
• 避免訪問任何可疑的網站和點擊無法完全信任來源的鏈接，陌生人通常不會出于好意發送鏈接或應用程序；
• 使用可靠的安全解決方案，掃描設備上即將下載或安裝的所有程序，并檢測所有鏈接和安裝包。請務必將其視為最后一道防線，因為即使不法分子利用漏洞侵入普通人的設備，安全解決方案依然能夠起到保護作用。