APT，即Advanced Persistent Threat，又稱高級威脅，從誕生之初，APT就具有明顯的政治意圖——攻擊者通過一系列高級程序、復(fù)雜手段，對政府組織或重要部門等進(jìn)行長期、隱藏監(jiān)測，以竊取敏感信息，擾亂國家或行業(yè)秩序，使其在長期發(fā)展、重大國家性活動中失利等。通常，APT不直接針對普通公民，但并不是說它不會對我們造成危害。卡巴斯基全球研究和分析團(tuán)隊(duì)（GReAT）日前為我們總結(jié)了普通人遭遇APT攻擊的三種場景。

　　場景1：在錯誤的時間訪問了錯誤的網(wǎng)站

　　與小型惡意行為者相比，APT組織有足夠的資金來進(jìn)行一系列0day漏洞利用，包括有能力組織遠(yuǎn)程水坑攻擊。谷歌Project Zero團(tuán)隊(duì)在2019年的研究中發(fā)現(xiàn)，一名惡意行為者為了用間諜軟件感染目標(biāo)，在5個不同的漏洞利用鏈中使用了多達(dá)14個不同的漏洞。

　　其中一些漏洞被用來遠(yuǎn)程感染訪問特定政治相關(guān)網(wǎng)站的iOS用戶，并在他們的手機(jī)上安裝間諜軟件。問題是，攻擊者并沒有區(qū)分網(wǎng)站訪客，這就意味著訪問該網(wǎng)站的所有iOS用戶都會被感染，不管他們是不是攻擊目標(biāo)。

　　而這并非APT組織唯一一次采取水坑攻擊。例如，在NotPetya（又名ExPetr）的攻擊媒介中，就選擇以感染政府網(wǎng)站作為起點(diǎn)，當(dāng)用戶訪問網(wǎng)站時，就會自動下載惡意軟件并在受害者電腦上執(zhí)行。

　　因此，對于普通人來說，APT的問題在于，哪怕攻擊者無意專門針對你，但只要碰巧訪問了被攻擊的網(wǎng)站或下載了被攻擊的應(yīng)用程序，普通人就會被感染。而且，在與APT組織相關(guān)的勒索軟件案例中（例如NotPetya），他們還能夠完全掌握普通人設(shè)備上的隱私數(shù)據(jù)，并肆意破壞。

　　場景2：網(wǎng)絡(luò)犯罪分子手中的“危險(xiǎn)玩具”

　　除了對外攻擊，APT組織間也經(jīng)常窺探彼此的秘密，他們會互相攻擊，有時還會泄漏對方使用的工具。其他更小型或技術(shù)略遜的惡意行為者就會順勢“撿工具”，并利用它們來創(chuàng)建自己的惡意軟件，導(dǎo)致事情走向失控的局面。例如，WannaCry就是攻擊者使用EternalBlue（永恒之藍(lán)）創(chuàng)建的，而后者正是ShadowBrokers在決定公開方程式組織的網(wǎng)絡(luò)武器庫時泄漏的一個漏洞。

　　除此之外，NotPetya/ExPetr、Bad Rabbit（壞兔子）、EternalRocks（永恒之石）等很多威脅，也都是依賴“永恒之藍(lán)”漏洞創(chuàng)建的。

　　泄露一個漏洞往往會導(dǎo)致一系列大大小小的連鎖反應(yīng)，最終影響數(shù)千萬臺電腦，擾亂世界各地企業(yè)和政府機(jī)構(gòu)的正常運(yùn)行。對于普通人來說，APT所帶來的第二種間接傷害是，攻擊者創(chuàng)建了非常危險(xiǎn)的工具，但有時又無法遏制它們被肆意濫用。結(jié)果，這些危險(xiǎn)工具落入網(wǎng)絡(luò)犯罪分子手中，他們肆無忌憚地使用這些工具時，會傷及許多無辜的人。

　　場景3：收集的數(shù)據(jù)發(fā)生泄露

　　正如上文所述，APT背后惡意行為者有互相攻擊的傾向，有時他們不僅會公開自己掠奪來的工具，還會公布對方使用這些工具所獲取的任何信息。例如，網(wǎng)絡(luò)間諜工具ZooPark所收集數(shù)據(jù)就是這樣被公開的。

　　在過去兩年中，多達(dá)13家跟蹤軟件供應(yīng)商要么遭到黑客攻擊，要么將他們收集的信息在線暴露于未受保護(hù)、公開可用的Web服務(wù)器上。就算是再厲害的威脅行為者，也無法免受數(shù)據(jù)泄漏的影響。例如，F(xiàn)inFisher開發(fā)者曾遭黑客入侵，開發(fā)監(jiān)視工具的Hacking Team也同樣被黑過等。

　　所以，APT影響普通人的第三種場景是，即便APT與普通用戶毫無瓜葛，即便他們只是收集普通用戶信息，從未考慮過使用這些信息來攻擊普通用戶，只要APT數(shù)據(jù)被泄漏，“小魚小蝦們”就會利用泄露信息，搜尋個人隱私數(shù)據(jù)，例如信用卡號、工作文檔、聯(lián)系人和照片等信息，并對普通用戶進(jìn)行敲詐勒索。

　　如何免遭APT誤傷

　　雖然APT比普通惡意軟件要復(fù)雜得多，但用于常見威脅的防護(hù)技巧同樣適用APT防范。

　　例如：

　　禁止安裝來自第三方的應(yīng)用程序，即使因某種需要不得不安裝應(yīng)用程序，也請?jiān)凇皟H允許本次”之后，立即恢復(fù)原本的禁止設(shè)置；

　　定期檢查設(shè)備上安裝的應(yīng)用程序權(quán)限，并及時撤銷對該應(yīng)用程序來說不必要的權(quán)限。最好在安裝應(yīng)用程序之前，就檢查它的權(quán)限列表；

　　避免訪問任何可疑的網(wǎng)站和點(diǎn)擊無法完全信任來源的鏈接，陌生人通常不會出于好意發(fā)送鏈接或應(yīng)用程序；

　　使用可靠的安全解決方案，掃描設(shè)備上即將下載或安裝的所有程序，并檢測所有鏈接和安裝包。請務(wù)必將其視為最后一道防線，因?yàn)榧词共环ǚ肿永寐┒辞秩肫胀ㄈ说脑O(shè)備，安全解決方案依然能夠起到保護(hù)作用。