APT攻击在入侵实施环节包括哪些方面

在入侵实施环节，攻击者针对实际的攻击目标逐步展开攻击，主要包括以下几个方面：

• 常规手段：常规手段是指攻击者利用常规的网络攻击手段，将恶意代码植入到系统中。常见的方法有通过病毒传播感染目标、通过薄弱安全意识和薄弱的安全管理控制目标、通过社会工程学进行诱导、通过供应链植入等。

• 缺陷和漏洞利用：缺陷是指信息系统中广泛存在且事实上已知的欠缺或不够完善的地方。系统中的缺陷主要包括默认密码、弱密码、默认配置和错误配置、计算机和网络的脆弱性等。这些缺陷在成本、时间和可替代等方面有时是无法按需修复的，在未修复之前就可能会被利用。利用漏洞入侵是专业黑客入侵重点目标常用的方式。当重点目标的安全防范意识和管理制度都比较健全时，单靠缺陷利用是不容易实现入侵的，这时攻击者会利用系统中存在的安全漏洞，特别是攻击者自己通过研究发现而其他人尚未知道的安全漏洞（0day漏洞）发起攻击。这类攻击从表面上看是对系统的合法操作，所以受害者很难会发现。主要的漏洞包括桌面文件处理类漏洞、浏览器类漏洞、桌面网络应用漏洞、网络服务类漏洞、系统逻辑类漏洞、对抗类漏洞、本地提权漏洞等。

• 木马植入：在被攻击主机上植入事先准备的木马是ATP攻击过程中最为重要的一个环节。木马植入方式主要包括远程下载植入、绑定文档植入、绑定程序植入等。木马植入后，攻击者根据需要将会对木马进行激活和控制。

• 渗透提取：当攻击者获得了对内网中一台主机的控制权后，为了实现对攻击目标的进一步控制，还需要在内网中进行渗透和提取，主要包括确定立足点、渗透和特权获取3项。其中，攻击者在获得了内网中某一台主机的控制权后，相当于获得了一个内网的立足点，而内网一旦进入则突破了网络已有的安全边界。之后，针对内网的安全防御就失去了作用，攻击者可以组合如社会工程学、文件共享服务器篡改程序、本地嗅探、漏洞等手段，通过借助立足点，对内网中的其他主机进行渗透，以获得更多主机的控制权。攻击者通过对更多主机的控制，逐步渗透到目标主机上并获得对该主机的特权。至此，攻击者成功完成了入侵。

• 信息收集及外传：攻击者常常长期潜伏，并不断实行网络内部横向渗透，通过端口扫描等方式获取服务器或设备上有价值的信息，针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器，然后通过整理、压缩、加密、打包的方式，利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后，攻击者会对这些信息数据进行分析识别，并做出最终的判断，甚至实施网络攻击破坏。