作為壹種有目標、有組織的攻擊方式,APT在流程上同普通攻擊行為並無明顯區別,但在具體攻擊步驟上,APT體現出以下特點,使其具備更強的破壞性:
(1) 攻擊行為特征難以提取:APT普遍采用0 day漏洞獲取權限、通過未知木馬進行遠程控制,而傳統基於特征匹配的檢測設備總是要先捕獲惡意代碼樣本,才能提取特征並基於特征進行攻擊識別,這就存在先天的滯後性。
(2) 單點隱蔽能力強:為了躲避傳統檢測設備,APT更加註重動態行為和靜態文件的隱蔽性。例如通過隱蔽通道、加密通道避免網絡行為被檢測,或者通過偽造合法簽名的方式避免惡意代碼文件本身被識別,這就給傳統基於簽名的檢測帶來很大困難。
(3) 攻擊渠道多樣化:目前被曝光的知名APT事件中,社交攻擊、0day漏洞利用、物理擺渡等方式層出不窮,而傳統的檢測往往只註重邊界防禦,系統邊界壹旦被繞過,後續的攻擊步驟實施的難度將大大降低。
(4) 攻擊持續時間長:APT攻擊分為多個步驟,從最初的信息搜集,到信息竊取並外傳往往要經歷幾個月甚至更長的時間。而傳統的檢測方式是基於單個時間點的實時檢測,難以對跨度如此長的攻擊進行有效跟蹤。