APT 攻擊在入侵實施環節包括哪些方面

在入侵實施環節，攻擊者針對實際的攻擊目標逐步展開攻擊，主要包括以下幾個方面：

• 常規手段：常規手段是指攻擊者利用常規的網絡攻擊手段，將惡意代碼植入到系統中。常見的方法有通過病毒傳播感染目標、通過薄弱安全意識和薄弱的安全管理控制目標、通過社會工程學進行誘導、通過供應鏈植入等。

• 缺陷和漏洞利用：缺陷是指信息系統中廣泛存在且事實上已知的欠缺或不夠完善的地方。系統中的缺陷主要包括默認密碼、弱密碼、默認配置和錯誤配置、計算機和網絡的脆弱性等。這些缺陷在成本、時間和可替代等方面有時是無法按需修復的，在未修復之前就可能會被利用。利用漏洞入侵是專業黑客入侵重點目標常用的方式。當重點目標的安全防范意識和管理制度都比較健全時，單靠缺陷利用是不容易實現入侵的，這時攻擊者會利用系統中存在的安全漏洞，特別是攻擊者自己通過研究發現而其他人尚未知道的安全漏洞（0day漏洞）發起攻擊。這類攻擊從表面上看是對系統的合法操作，所以受害者很難會發現。主要的漏洞包括桌面文件處理類漏洞、瀏覽器類漏洞、桌面網絡應用漏洞、網絡服務類漏洞、系統邏輯類漏洞、對抗類漏洞、本地提權漏洞等。

• 木馬植入：在被攻擊主機上植入事先準備的木馬是ATP攻擊過程中最為重要的一個環節。木馬植入方式主要包括遠程下載植入、綁定文檔植入、綁定程序植入等。木馬植入后，攻擊者根據需要將會對木馬進行激活和控制。

• 滲透提取：當攻擊者獲得了對內網中一臺主機的控制權后，為了實現對攻擊目標的進一步控制，還需要在內網中進行滲透和提取，主要包括確定立足點、滲透和特權獲取3項。其中，攻擊者在獲得了內網中某一臺主機的控制權后，相當于獲得了一個內網的立足點，而內網一旦進入則突破了網絡已有的安全邊界。之后，針對內網的安全防御就失去了作用，攻擊者可以組合如社會工程學、文件共享服務器篡改程序、本地嗅探、漏洞等手段，通過借助立足點，對內網中的其他主機進行滲透，以獲得更多主機的控制權。攻擊者通過對更多主機的控制，逐步滲透到目標主機上并獲得對該主機的特權。至此，攻擊者成功完成了入侵。

• 信息收集及外傳：攻擊者常常長期潛伏，并不斷實行網絡內部橫向滲透，通過端口掃描等方式獲取服務器或設備上有價值的信息，針對個人電腦通過列表命令等方式獲取文檔列表信息等。攻擊者會將內部某個服務器作為資料暫存的服務器，然后通過整理、壓縮、加密、打包的方式，利用建立的隱蔽通信通道將信息進行外傳。在獲取這些信息后，攻擊者會對這些信息數據進行分析識別，并做出最終的判斷，甚至實施網絡攻擊破壞。

回答所涉及的環境：聯想天逸510S、Windows 10。