警惕！普通人遭遇APT误伤的三种场景

APT，即Advanced Persistent Threat，又称高级威胁，从诞生之初，APT就具有明显的政治意图——攻击者通过一系列高级程序、复杂手段，对政府组织或重要部门等进行长期、隐藏监测，以窃取敏感信息，扰乱国家或行业秩序，使其在长期发展、重大国家性活动中失利等。通常，APT不直接针对普通公民，但并不是说它不会对我们造成危害。卡巴斯基全球研究和分析团队（GReAT）日前为我们总结了普通人遭遇APT攻击的三种场景。 

场景1：在错误的时间访问了错误的网站

与小型恶意行为者相比，APT组织有足够的资金来进行一系列0day漏洞利用，包括有能力组织远程水坑攻击。谷歌Project Zero团队在2019年的研究中发现，一名恶意行为者为了用间谍软件感染目标，在5个不同的漏洞利用链中使用了多达14个不同的漏洞。

其中一些漏洞被用来远程感染访问特定政治相关网站的iOS用户，并在他们的手机上安装间谍软件。问题是，攻击者并没有区分网站访客，这就意味着访问该网站的所有iOS用户都会被感染，不管他们是不是攻击目标。

而这并非APT组织唯一一次采取水坑攻击。例如，在NotPetya（又名ExPetr）的攻击媒介中，就选择以感染政府网站作为起点，当用户访问网站时，就会自动下载恶意软件并在受害者电脑上执行。

因此，对于普通人来说，APT的问题在于，哪怕攻击者无意专门针对你，但只要碰巧访问了被攻击的网站或下载了被攻击的应用程序，普通人就会被感染。而且，在与APT组织相关的勒索软件案例中（例如NotPetya），他们还能够完全掌握普通人设备上的隐私数据，并肆意破坏。

场景2：网络犯罪分子手中的“危险玩具”

除了对外攻击，APT组织间也经常窥探彼此的秘密，他们会互相攻击，有时还会泄漏对方使用的工具。其他更小型或技术略逊的恶意行为者就会顺势“捡工具”，并利用它们来创建自己的恶意软件，导致事情走向失控的局面。例如，WannaCry就是攻击者使用EternalBlue（永恒之蓝）创建的，而后者正是ShadowBrokers在决定公开方程式组织的网络武器库时泄漏的一个漏洞。

除此之外，NotPetya/ExPetr、Bad Rabbit（坏兔子）、EternalRocks（永恒之石）等很多威胁，也都是依赖“永恒之蓝”漏洞创建的。

泄露一个漏洞往往会导致一系列大大小小的连锁反应，最终影响数千万台电脑，扰乱世界各地企业和政府机构的正常运行。对于普通人来说，APT所带来的第二种间接伤害是，攻击者创建了非常危险的工具，但有时又无法遏制它们被肆意滥用。结果，这些危险工具落入网络犯罪分子手中，他们肆无忌惮地使用这些工具时，会伤及许多无辜的人。

场景3：收集的数据发生泄露

正如上文所述，APT背后恶意行为者有互相攻击的倾向，有时他们不仅会公开自己掠夺来的工具，还会公布对方使用这些工具所获取的任何信息。例如，网络间谍工具ZooPark所收集数据就是这样被公开的。

在过去两年中，多达13家跟踪软件供应商要么遭到黑客攻击，要么将他们收集的信息在线暴露于未受保护、公开可用的Web服务器上。就算是再厉害的威胁行为者，也无法免受数据泄漏的影响。例如，FinFisher开发者曾遭黑客入侵，开发监视工具的Hacking Team也同样被黑过等。

所以，APT影响普通人的第三种场景是，即便APT与普通用户毫无瓜葛，即便他们只是收集普通用户信息，从未考虑过使用这些信息来攻击普通用户，只要APT数据被泄漏，“小鱼小虾们”就会利用泄露信息，搜寻个人隐私数据，例如信用卡号、工作文档、联系人和照片等信息，并对普通用户进行敲诈勒索。

如何免遭APT误伤

虽然APT比普通恶意软件要复杂得多，但用于常见威胁的防护技巧同样适用APT防范。

例如：

禁止安装来自第三方的应用程序，即使因某种需要不得不安装应用程序，也请在“仅允许本次”之后，立即恢复原本的禁止设置；

定期检查设备上安装的应用程序权限，并及时撤销对该应用程序来说不必要的权限。最好在安装应用程序之前，就检查它的权限列表；

避免访问任何可疑的网站和点击无法完全信任来源的链接，陌生人通常不会出于好意发送链接或应用程序；

使用可靠的安全解决方案，扫描设备上即将下载或安装的所有程序，并检测所有链接和安装包。请务必将其视为最后一道防线，因为即使不法分子利用漏洞侵入普通人的设备，安全解决方案依然能够起到保护作用。