APT事件

此類事件本人接觸的并不多，實際遭遇目前差不多就兩三次的樣子。首先明確一下什么樣的事件可以被歸類為APT事件，借鑒一下百度百科的說明，APT攻擊的主要特征有

針對性強、組織嚴密、持續時間長、高隱蔽性和間接攻擊

詳細可以參考百度百科

高級長期威脅（英語：Advanced Persistent Threat，縮寫：APT），又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業或政治動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，并從其獲取數據。威脅則指人為參與策劃的攻擊。

簡單講述一下本人遭遇過的一個事件為例，接到應急通知，某軍工相關單位，更新了軟件后安全設備一直告警。

到現場查看，殺軟當前更新到最新版本，掃描到的木馬日期在兩年之前，此前一直沒有發現（環境為內網環境，無法連接外網，近期才更新了殺軟病毒庫）（持續性），說明木馬具有一定的免殺性（隱蔽性），考慮到目標系統在內網（間接攻擊）并且為敏感單位（針對性），基本確認為APT事件。

由于時間太久遠，網站沒有日志記錄，通過溝通確認網站使用了某知名OA系統，查看webshell時間與當年該OA系統爆出RCE漏洞時間基本吻合，大致確認是由于該漏洞導致的入侵，由此得出結論，鑒于事件性質，后續工作移交了對應部門進行處理。

總得來說，如果真懷疑遇到了APT，還是建議找專業公司來進行解決。