APT，即Advanced Persistent Threat，又稱(chēng)高級(jí)威脅，從誕生之初，APT就具有明顯的政治意圖——攻擊者通過(guò)一系列高級(jí)程序、復(fù)雜手段，對(duì)政府組織或重要部門(mén)等進(jìn)行長(zhǎng)期、隱藏監(jiān)測(cè)，以竊取敏感信息，擾亂國(guó)家或行業(yè)秩序，使其在長(zhǎng)期發(fā)展、重大國(guó)家性活動(dòng)中失利等。通常，APT不直接針對(duì)普通公民，但并不是說(shuō)它不會(huì)對(duì)我們?cè)斐晌：?。卡巴斯基全球研究和分析團(tuán)隊(duì)（GReAT）日前為我們總結(jié)了普通人遭遇APT攻擊的三種場(chǎng)景。

　　場(chǎng)景1：在錯(cuò)誤的時(shí)間訪問(wèn)了錯(cuò)誤的網(wǎng)站

　　與小型惡意行為者相比，APT組織有足夠的資金來(lái)進(jìn)行一系列0day漏洞利用，包括有能力組織遠(yuǎn)程水坑攻擊。谷歌Project Zero團(tuán)隊(duì)在2019年的研究中發(fā)現(xiàn)，一名惡意行為者為了用間諜軟件感染目標(biāo)，在5個(gè)不同的漏洞利用鏈中使用了多達(dá)14個(gè)不同的漏洞。

　　其中一些漏洞被用來(lái)遠(yuǎn)程感染訪問(wèn)特定政治相關(guān)網(wǎng)站的iOS用戶，并在他們的手機(jī)上安裝間諜軟件。問(wèn)題是，攻擊者并沒(méi)有區(qū)分網(wǎng)站訪客，這就意味著訪問(wèn)該網(wǎng)站的所有iOS用戶都會(huì)被感染，不管他們是不是攻擊目標(biāo)。

　　而這并非APT組織唯一一次采取水坑攻擊。例如，在NotPetya（又名ExPetr）的攻擊媒介中，就選擇以感染政府網(wǎng)站作為起點(diǎn)，當(dāng)用戶訪問(wèn)網(wǎng)站時(shí)，就會(huì)自動(dòng)下載惡意軟件并在受害者電腦上執(zhí)行。

　　因此，對(duì)于普通人來(lái)說(shuō)，APT的問(wèn)題在于，哪怕攻擊者無(wú)意專(zhuān)門(mén)針對(duì)你，但只要碰巧訪問(wèn)了被攻擊的網(wǎng)站或下載了被攻擊的應(yīng)用程序，普通人就會(huì)被感染。而且，在與APT組織相關(guān)的勒索軟件案例中（例如NotPetya），他們還能夠完全掌握普通人設(shè)備上的隱私數(shù)據(jù)，并肆意破壞。

　　場(chǎng)景2：網(wǎng)絡(luò)犯罪分子手中的“危險(xiǎn)玩具”

　　除了對(duì)外攻擊，APT組織間也經(jīng)常窺探彼此的秘密，他們會(huì)互相攻擊，有時(shí)還會(huì)泄漏對(duì)方使用的工具。其他更小型或技術(shù)略遜的惡意行為者就會(huì)順勢(shì)“撿工具”，并利用它們來(lái)創(chuàng)建自己的惡意軟件，導(dǎo)致事情走向失控的局面。例如，WannaCry就是攻擊者使用EternalBlue（永恒之藍(lán)）創(chuàng)建的，而后者正是ShadowBrokers在決定公開(kāi)方程式組織的網(wǎng)絡(luò)武器庫(kù)時(shí)泄漏的一個(gè)漏洞。

　　除此之外，NotPetya/ExPetr、Bad Rabbit（壞兔子）、EternalRocks（永恒之石）等很多威脅，也都是依賴(lài)“永恒之藍(lán)”漏洞創(chuàng)建的。

　　泄露一個(gè)漏洞往往會(huì)導(dǎo)致一系列大大小小的連鎖反應(yīng)，最終影響數(shù)千萬(wàn)臺(tái)電腦，擾亂世界各地企業(yè)和政府機(jī)構(gòu)的正常運(yùn)行。對(duì)于普通人來(lái)說(shuō)，APT所帶來(lái)的第二種間接傷害是，攻擊者創(chuàng)建了非常危險(xiǎn)的工具，但有時(shí)又無(wú)法遏制它們被肆意濫用。結(jié)果，這些危險(xiǎn)工具落入網(wǎng)絡(luò)犯罪分子手中，他們肆無(wú)忌憚地使用這些工具時(shí)，會(huì)傷及許多無(wú)辜的人。

　　場(chǎng)景3：收集的數(shù)據(jù)發(fā)生泄露

　　正如上文所述，APT背后惡意行為者有互相攻擊的傾向，有時(shí)他們不僅會(huì)公開(kāi)自己掠奪來(lái)的工具，還會(huì)公布對(duì)方使用這些工具所獲取的任何信息。例如，網(wǎng)絡(luò)間諜工具ZooPark所收集數(shù)據(jù)就是這樣被公開(kāi)的。

　　在過(guò)去兩年中，多達(dá)13家跟蹤軟件供應(yīng)商要么遭到黑客攻擊，要么將他們收集的信息在線暴露于未受保護(hù)、公開(kāi)可用的Web服務(wù)器上。就算是再厲害的威脅行為者，也無(wú)法免受數(shù)據(jù)泄漏的影響。例如，F(xiàn)inFisher開(kāi)發(fā)者曾遭黑客入侵，開(kāi)發(fā)監(jiān)視工具的Hacking Team也同樣被黑過(guò)等。

　　所以，APT影響普通人的第三種場(chǎng)景是，即便APT與普通用戶毫無(wú)瓜葛，即便他們只是收集普通用戶信息，從未考慮過(guò)使用這些信息來(lái)攻擊普通用戶，只要APT數(shù)據(jù)被泄漏，“小魚(yú)小蝦們”就會(huì)利用泄露信息，搜尋個(gè)人隱私數(shù)據(jù)，例如信用卡號(hào)、工作文檔、聯(lián)系人和照片等信息，并對(duì)普通用戶進(jìn)行敲詐勒索。

　　如何免遭APT誤傷

　　雖然APT比普通惡意軟件要復(fù)雜得多，但用于常見(jiàn)威脅的防護(hù)技巧同樣適用APT防范。

　　例如：

　　禁止安裝來(lái)自第三方的應(yīng)用程序，即使因某種需要不得不安裝應(yīng)用程序，也請(qǐng)?jiān)凇皟H允許本次”之后，立即恢復(fù)原本的禁止設(shè)置；

　　定期檢查設(shè)備上安裝的應(yīng)用程序權(quán)限，并及時(shí)撤銷(xiāo)對(duì)該應(yīng)用程序來(lái)說(shuō)不必要的權(quán)限。最好在安裝應(yīng)用程序之前，就檢查它的權(quán)限列表；

　　避免訪問(wèn)任何可疑的網(wǎng)站和點(diǎn)擊無(wú)法完全信任來(lái)源的鏈接，陌生人通常不會(huì)出于好意發(fā)送鏈接或應(yīng)用程序；

　　使用可靠的安全解決方案，掃描設(shè)備上即將下載或安裝的所有程序，并檢測(cè)所有鏈接和安裝包。請(qǐng)務(wù)必將其視為最后一道防線，因?yàn)榧词共环ǚ肿永寐┒辞秩肫胀ㄈ说脑O(shè)備，安全解決方案依然能夠起到保護(hù)作用。