透视APT：赛博空间的高级威胁

读网络安全科普书 看网络安全新鲜事

洞悉无处不在的威胁 掌握保护自己的武器

让网络更安全 让世界更美好

网络安全是一场无休止的攻防战。十几年前，网络安全工作者们普遍关注的是木马、病毒、挂马、钓鱼等纯粹的民用安全问题。之后是移动互联网、商业网站、商业系统的安全性问题(入侵、篡改、拖库、撞库、个人信息泄露、DDoS攻击等)。而到了2015年，网络安全工作者们*爱谈论的前沿话题是“APT(高级持续性威胁)攻击”。这是一种针对性和隐蔽性极强的网络攻击行为。本书首先从震网病毒讲起，然后介绍什么是APT攻击，以及全球发现的攻击态势、典型的攻击事件和影响，带领读者深入浅出地了解APT攻击；再从攻击的技术(包括APT 攻击的目标与平台、武器搭载系统、软件工具、使用的服务器等)，战术布阵思路，以及攻防的未来发展趋势等方面，进一步地介绍APT攻击；*后详细分析了摩诃草、双尾蝎、美人鱼等APT组织的攻击全过程。本书可供政企机构管理人员，安全部门工作者，网络与信息安全相关研究机构研究人员，高等院校相关专业教师、学生，以及其他对网络空间安全感兴趣的读者学习参考。

奇安信威胁情报中心是奇安信集团旗下的，专门从事威胁情报研究、产出及相关产品开发的机构。奇安信威胁情报中心基于奇安信全系列的安全产品，以及开源商业数据源中的海量多维度安全大数据，利用机器学习的自动化流程，结合安全专家在威胁对抗方面丰富的实践经验，形成全方位、全链条的威胁情报能力。奇安信威胁情报中心的输出内容包括：战术情报、作战情报和战略情报，赋能安全产品、安全运营/事件响应团队、安全管理者，提升对多种威胁的预防、检测、分析、响应和处置能力。截至目前，奇安信威胁情报中心已累计截获境内外APT组织39个，率先披露并独立命名APT组织13个，处于国际APT研究前列。

　　本书系统阐述APT组织的攻击方法、技术手段、战术布阵等，辅以生动、丰富的案例，读来浅显易懂。有兴趣了解并希望防御特定目标高强度持续性攻击的读者，可以细读本书。

　　　　——严明/公安部一所、三所原所长、研究员，一级警监，CCF计算机安全专业委员会主任

　　网络空间“矛”与“盾”并存。APT攻击是网络空间存在的威胁隐患，是全球各国面临的重要风险，是网络空间中的“矛”。本书通过APT事件及组织的深入解读，可让更多关注网络安全，关注网络社会发展的读者全面地认识、理解网络空间的大背景、大形势，同时找到网络空间防御用的“盾”。

　　　　——吕本富/中国科学院大学经济与管理学院教授

　　近年来，网络空间已成为国家间博弈的新战场，具有国家或政治背景的网空行为体发起一系列触目惊心的网络攻击，上演了看不见硝烟的战争。安全行业的从业者不仅要了解常规的安全威胁，还需要关注网空行为体所展现的高级攻防能力。本书梳理了高级持续性威胁的概貌，可帮助读者深入理解网络空间对抗的本质。

　　　　——陈晓桦 /中国网络空间研究院原副院长

　　本书介绍了近年来国内影响较大的APT攻击事件，并对APT手段和工具进行详细解读，适合作为安全人员的参考学习手册。

　　　　——李少鹏/谷安天下副总裁，安全牛主编

　　网络空间已成为海、陆、空、天之外的第五空间。其他空间存在的攻击、对抗在网络空间中同样存在。而APT攻击正是网络空间面临的严重威胁。本书结合我国APT对抗的实际情况，深入浅出地对APT攻击进行介绍，适合国内网络安全从业人员阅读学习。

　　　　——金湘宇（NUKE）/安全村创始人

第一部分 网络空间中的对抗
第1章 开篇故事：震网病毒
1．1 首个国家级网络武器
1．2 震网病毒的潜伏渗透
1．3 震网病毒的身世之谜
1．4 关于震网病毒的思考
第2章 什么是APT攻击
2．1 APT的起源
2．2 APT的定义与定性
2．3 APT与威胁情报
2．4 网络空间对抗的新形态
第3章 关于APT的全球研究
3．1 概述
3．2 研究机构与研究报告
3．3 APT攻击目标的全球研究
第二部分 典型APT事件及其影响
第4章 针对工业控制系统的破坏
4．1 乌克兰圣诞大停电事件
4．2 沙特阿拉伯大赦之夜攻击事件
4．3 美国电网承包商攻击事件
第5章 针对金融系统的犯罪
5．1 多国银行被盗事件
5．2 ATM机盗窃事件
5．3 黄金眼行动事件
第6章 针对地缘政治的影响
6．1 DNC邮件泄露与美国总统大选
6．2 法国总统大选
第三部分 APT组织的技术实战
第7章 APT攻击的目标与平台
7．1 战术目标：敏感情报信息与文件
7．2 攻击目标的系统平台选择
第8章 APT攻击的武器搭载系统
8．1 综述
8．2 导弹：鱼叉攻击
8．3 轰炸机：水坑攻击
8．4 登陆艇：PC跳板
8．5 海外基地：第三方平台
8．6 特殊武器：恶意硬件的中间人劫持
第9章 APT军火库中的武器装备
9．1 常规武器：专用木马
9．2 生化武器：1day、Nday漏洞的利用
9．3 核武器：0day漏洞的在野利用
9．4 APT组织武器使用的成本原则
9．5 APT攻击武器研发的趋势
第10章 APT攻击的前线指挥部C＆C
10．1 C＆C服务器的地域分布
10．2 C＆C服务器域名注册机构
10．3 C＆C服务器域名注册偏好
第四部分 APT组织的战术布阵
第11章 APT组织的战术
11．1 情报收集
11．2 火力侦察
11．3 供应链攻击
11．4 假旗行动
11．5 周期性袭扰
11．6 横向移动
11．7 伪装术
11．8 反侦察术
第五部分 APT攻击与防御技术趋势
第12章 APT攻击的特点与趋势
12．1 APT组织的发展越来越成熟
12．2 APT攻击技术越发高超
12．3 国际冲突地区的APT攻击更加活跃
12．4 网络空间已经成为大国博弈的新战场
12．5 针对基础设施的破坏性攻击日益活跃
12．6 针对特定个人的移动端攻击显著增加
第13章 APT攻击的监测与防御
13．1 如何发现APT攻击
13．2 如何分析APT攻击
13．3 协同联动的纵深防御体系
第六部分 典型的APT组织概述
第14章 全球知名的APT组织
14．1 方程式
14．2 索伦之眼
14．3 APT28
14．4 Lazarus
14．5 Group123
第15章 国内安全厂商独立发现的APT组织
15．1 海莲花
15．2 摩诃草
15．3 黄金眼
15．4 蔓灵花
15．5 美人鱼
15．6 黄金鼠
15．7 人面狮
15．8 双尾蝎
15．9 蓝宝菇
15．10 肚脑虫
15．11 毒云藤
15．12 盲眼鹰
15．13 拍拍熊
附录A APT组织的人员构成
附录B APT组织的命名规则

APT(Advanced Persistent Threat，高级持续性威胁)攻击堪称网络空间中的军事对抗。攻击者会长期、持续地对特定目标进行精准打击。中国也是APT攻击的主要受害国之一。绝大多数的APT组织具有一定的政府背景，其攻击的战略目标也是以政府、军队、科研机构和大型商业机构为主，而目的则是窃取被攻击组织网络中的敏感情报信息。

事实上，APT攻击就是一场发生在互联网上的情报战争，而攻防双方的焦点则是情报和信息。当然，在某些特定的情况下，APT攻击也会瞄准金融机构、工业系统和地缘政治，某些APT攻击的影响甚至是世界性的。

2015年5月以来，奇安信威胁情报中心就开始对全球范围内的APT组织及其活动展开了持续的监测和深入的研究。本书基于公开威胁情报和自有安全监测分析结果编写，是一本面向政企机构管理人员，安全部门工作者，网络与信息安全相关研究机构研究人员，高等院校相关专业教师、学生，以及其他对网络空间安全感兴趣的读者的科普类读物。全书包括网络空间中的对抗、典型APT事件及其影响、APT组织的技术实践、APT组织的战术布阵、APT攻击与防御技术趋势、典型的APT组织概述六个部分，从APT攻击的发展历史、事件和影响、技术战术等多个方面，系统地介绍了APT攻击的基础知识，希望能够帮助读者全面认识APT攻击。

虽然APT攻击的手法高深，但本书内容不涉及任何专业的、复杂的技术细节描述，重点介绍主要现象、基本原理和最终结果。作为一本科普读物，读者不需要具备通信、计算机或网络安全方面的专业知识，即可畅读本书绝大部分内容。并且本书用详细生动的内容介绍典型APT攻击的事件，通过巧妙的写作手法让一些黑客技术、工具变得有趣、形象，更增加了本书的阅读趣味性，同时也希望能够激发读者对网络安全的兴趣爱好，未来成为网络安全工作者中的一员。

在第一部分，通过震网病毒开篇，介绍了整个攻击的前因后果，让读者快速感知到APT攻击的严重后果，再通过系统地阐述APT攻击的定义、特点、形式，以及当前国际上对APT的研究情况，带领读者初步建立对APT攻击的认知。

在第二部分，列举了工业、金融、政治等领域知名的APT事件，加深读者对于APT攻击破坏性的认知。

在第三部分，从攻击者使用的攻击方法、平台、木马、漏洞、C＆C服务器等角度，进行了全方位的介绍，让读者近距离看清APT攻击的特点。

在第四部分，就APT组织在实际攻击中所采用的各种战略战术方法展开分析，包括攻击初期的情报收集、火力侦察、假旗行动，攻击过程中的供应链攻击、周期性骚扰，攻击成功后为扩大战果进行的横向移动，以及多种复杂的伪装术、反侦察术等，使读者了解一次APT攻击的全过程。

在第五部分，介绍了当前APT攻击技术的特点和发展趋势，并针对这些特点和趋势，重点阐述了发现、分析和防御APT攻击的技术和方法，以便让读者了解APT攻击是可以及时发现和防御的。

在第六部分，详细介绍了全球知名APT组织（如方程式、索伦之眼、APT28等）和国内安全厂商独立发现的APT组织（如海莲花、摩诃草、蔓灵花等）的攻击特点及行为特征，帮助读者更加深入地了解APT组织及其活动的典型特征。

此外，本书还在附录中总结了APT组织的人员构成和命名规则，并揭秘了奇安信威胁情报中心参与命名APT组织时的思路，以飨读者。

最后，特别感谢奇安信集团裴智勇、汪列军、刘洋、潘博文积极组织本书的出版。同时，本书的顺利出版还离不开电子工业出版社戴晨辰编辑的大力支持，以及其他工作人员的辛勤付出，在此向他们一并表示感谢。由于作者水平有限，不妥之处在所难免，恳请网络安全业界专家、广大读者朋友批评指正，共同为我国网络空间安全科普与教育事业贡献力量！

编 者