鐵人賽今天繼續來看惡意軟體與漏洞如何影響身份安全，
惡意軟體(Malware)的種類繁多，有木馬程式(trojan)、
後門程式(backdoor)或勒索軟體(Ransoware)等等，
目的都希望能在網路攻擊鏈的早期，達到像是評估、維持、提權等目的。
而最常與身份安全威脅相關的攻擊，則是進階持續威脅(APT)種類。

APT攻擊與威脅

進階持續性威脅(Advanced Persistant Threat, APT)
「進階」意味著利用系統中的潛在漏洞；
「持久」則表示外部命令與控制（C&C）目標系統；
「威脅」則意味著會有人類參與整體行動或協調。

因此 APT 攻擊通常是高度複雜的攻擊模式，
藉由精心設計的惡意程式碼，以及一個或多個零時差漏洞，
進而取得對目標網路的存取權或敏感資訊。
也因此 APT 攻擊通常會針對有高價資訊的產業，
例如金融、製造、醫療或國防產業等等，進行精準式攻擊。

APT 生命週期

APT 的攻擊牽涉縝密與循環的生命週期過程，
包含：準備、初步入侵、擴張、持續、竊取與清除。

準備(Preparation)

一開始首要階段即是定義攻擊目標，以及對如何存取目標的背景研究，
過程中包含組織研究、工具整備、攻擊測試等，
因為攻擊者希望降低被目標網路偵測到的風險，
因此在實際發起攻擊前，通常需要對目標組織進行相對縝密的準備。

嘗試入侵(Initial intrusion)

常見嘗試入侵的技術通常可以透過網路釣魚郵件或公開的伺服器漏洞，
網路釣魚電子郵件通常看似合法，但其中包含惡意連結或包含惡意軟體附件，
藉此將目標重新導向到指定的 惡意 Web 網站或下載惡意軟體。

擴大(Expansion)

多數情況的攻擊者會希望藉由單一系統存取更多其他關鍵系統，
因此在這個階段的主要目標即是取得登入憑證或權限提升。
透過取得首要目標系統的管理權限後，擴大對網路其他系統的存取權限。

持續性(Persistence)

為了保持對目標系統的持續存取連線，
攻擊者會採用包括自訂的惡意軟體進行網路存取，
這些工具為了隱藏自身存在或規避目標網路的安全工具偵測，
來達到對目標連線的持續性存取。

竊取(Search and Exfiltration)

當攻擊者成功連接目標網路後，通常最後一步即是開始獲得重要資訊，
包括重要文件、電子郵件、共用系統磁碟或目標網路上類型的資料載體，
也可以使用網路嗅探器(Sniffer)等工具監聽與搜集資料等等，
此時APT攻擊已然完成最核心的任務目標。

清除(Cleanup)

在 APT 攻擊的最後階段，攻擊者通常會規避與防止自身足跡遭安全工具掌握，
或是更好的維持持續性系統存取等，
因此最後一個流程即包括偵測規避、消除自身存取稽核紀錄等，
讓系統在入侵前、後並無二致，也讓安全維運單位無從查知。

小結

APT 作為獲取目標網路或組織的核心攻擊能力，
透過各種社交工程、網路釣魚等機制讓受害者上當，
進而埋入可獲取系統身份資訊的誘餌，來成功獲取系統身份憑證。