1.1　APT及MAPT基本概念

APT的含义是高级持续性威胁，指特定组织对特定目标进行的长期性、持续性攻击。

APT是一种以窃取高价值资产或者破坏信息系统为主要目的，针对特定目标进行有组织、有计划的网络攻击和破坏行为，具有高级性、持续性和危害性。

APT的高级性主要体现在情报收集和漏洞使用等方面。据调查，攻击者一般具有较强的情报收集能力和恶意代码编写能力。他们能够充分调用资源，全面掌控整个过程，不管是前期收集信息、踩点，还是后期使用包含0day、Nday或者其他泄露工具（如NSA、Hacking Team等组织泄露或流出的高级网络武器）进行投放。业界不少分析人员经常认为APT中的高级性主要体现在漏洞的使用上，这其实是陷入了一种思维定式。殊不知，情报收集也是一项极其重要的工作，这一点在“蓝宝菇（APT-C-12）核危机行动揭露”中有着充分体现，攻击者对攻击目标的了解程度已经达到了令人惊讶的地步。情报的丰富情况很大程度上决定了攻击手段的逼真程度，逼真的攻击手段能够使目标群体放下防备心理，从而加大攻击行为的成功概率。

APT的持续性主要体现在攻击者注重特定的任务。为了达到目的，对目标群体进行长期监控并做出反应，但是这并不表示攻击会一直进行，攻击也需要一定的条件（如热点事件或者利益方授意）。但是无论如何，攻击者的目光从未离开过目标群体，相关情报的收集也一直在进行，只是在等待一个合适的时机。另外，持续性还体现在对目标的控制上，攻击者一般会采用多种技术进行长期潜伏和控制，不会因为某一次失败而放弃对目标的攻击。

APT的威胁性主要体现在能力和意图上。APT是一种团队协作活动，而不是一种仅依赖无意识传播和自动化代码的攻击。一般地，APT都具有明确的目的性，且多种因素会直接影响其威胁的严重程度，包括但不限于多方式和多方法的使用、充足的资金（购买商业工具）、良好的技术储备（持续更新技术）、健全的组织，故大多数APT攻击是具备特定背景的网络攻击，是活跃在网络空间的间谍行为。

2006年，美国空军信息战作战中心业务组指挥官Greg Rattray上校提出了APT一词，用于概括美国在网络空间安全上对所谓“战略对手”进行的网络作业。从这个概念来看，APT从来就不仅仅是一个技术词汇，也是一个政治词汇，是各个国家在网络空间博弈的一个折射而已。

从最初提出APT概念到现在，已经过去了十多年，APT已经不那么晦涩难懂，各大安全厂商也纷纷跟进，发布相应的防御产品。特别是FireEye，在合适的发布时机精心安排了多篇APT技术报告，这不仅使其股价高涨，也让其背后利益方获取了更多的舆论支持。

在新技术不断涌现的今天，移动互联网也在迅猛发展，移动智能终端的攻击价值日益凸显。移动智能终端不仅天然带有个人属性，也拥有较高的社会价值，尤其表现在其社会属性上，一旦目标群体的移动智能终端被攻击者攻击成功并植入木马，其机构的组织架构将很容易暴露，由此带来的社会工程风险不可小觑，后期鱼叉攻击的内容描述也将更加准确可信。另外，移动智能终端本身也是一台网络设备，在植入木马后，不仅可以变身为一台录音机、照相机、跟踪器，还会转变为扫描内部网络的跳板，攻击者可以利用移动智能终端接入办公网络的Wi-Fi进行网络空间测绘，使得网络拓扑暴露，导致传统的网络边界失效。相关攻击事件及详细内容如表1-1所示。

表 1-1　攻击事件

以上攻击事件也可称为MAPT（Mobile Advanced Persistent Threat，移动高级持续性威胁）事件，是APT事件在移动端的延伸，它在技术手段和表现手法上既包含了APT的特点，也具有更多的特殊性，这也是本书讨论的重点。我们将在后面的章节中陆续进行分析，以期能够最大程度地还原攻击链条，重现MAPT的攻击场景。