接下来，我们简要介绍一下 APT10，它是成功 APT 的典型代表，其攻击活动可能早在 2009 年就开始了。作为可能是历史上持续时间最长的网络安全威胁之一，APT10 最近通过许多国家/地区的多个行业的代管服务提供商以及一些日本公司，对相关公司进行了攻击，通过窃取大量数据造成了难以估量的损失。

这些攻击自 2016 年底以来一直很活跃，由 PwC UK 和 BAE Systems 发现。在关于本次攻击活动的联合报告 Operation Cloud Hopper 中，这些企业承认，可能永远无法知晓 APT10 所造成的全部损失。

根据这些企业在报告中的陈述，他们对 APT10 的了解有如下要点：

• 该攻击活动很可能由位于中国的威胁攻击者策划。
• 该攻击活动始于 2009 年或更早，并且随着时间的推移，使用各种类型的恶意软件来获得前所未有的访问权限。
• PT10 攻击者使用新开发的高级工具不断改进其攻击方法，这些工具帮助提高了攻击的规模和能力。
• 与大多数 APT 攻击一样，APT10 会窃取知识产权和敏感数据。
• PwC UK 和 BAE 认为，威胁攻击者拥有越来越庞大的人员数量和资源量，可能由技术娴熟的攻击者构成的多个团队持续不断地工作。

* 表明您已遭受高级持续性威胁 (APT) 攻击的 5 个迹象

随着越来越多的 APT 被发现，安全组织能够越来越熟练地发现这些隐蔽的威胁。其中不断发展的一种方法就是威胁追踪，此方法将创新技术和人类智慧相结合而形成一种主动、迭代的方法，可识别仅依赖标准端点安全机制将会遗漏的攻击。

发现泄露事件平均需要 150 天。但是，借助威胁追踪，企业可以通过观察未经筛选的历史端点数据来发现异常行为以及异常活动之间的关系，从而在攻击序列的早期发现像 APT 这样的攻击。

威胁追踪者通过一系列创新性技术工具、威胁情报和人类洞察力开始追踪。然后，追踪者通过能够发现根本原因的迭代搜索来优化追踪过程。接下来，追踪者通过切断威胁来应对威胁，并利用所获得的洞察信息和情报来保护未来的环境。

• 首先，威胁追踪者可以使用特定威胁的已知特征以及对潜在攻击序列的人类洞察信息。追踪者可以使用在整个环境中执行搜索的工具启动一系列迭代搜索，同时监控、记录和存储所有端点活动。
• 例如，PwC UK 和 BAE Systems 发现攻击者使用恶意的 Excel 文件，这些文件通过 Outlook 以电子邮件网络钓鱼活动的形式进行投递。研究人员还发现，打开这些文件会导致新文件被放到一个临时文件夹中，而这些文件充当 C2 侦听器，通过端口 8080 传出。
• 初始搜索可能会返回大量数据，因此威胁追踪者通常需要缩小搜索范围。对于 APT10 威胁，一个搜索条件可能是 HR 计算机，因为这些计算机保存着关键的敏感数据。然后，使用已知的情报，威胁追踪者可以通过查找以 Outlook 电子邮件附件形式传入的 Excel 文件，来进一步缩小搜索范围。下一个逻辑搜索条件旨在找出指挥和控制连接，可以通过搜索具有多个连接的网络连接来发现。
• 此操作将生成一个较小的数据集，然后可按流程分析树形式进行查看，这样将发现恶意的临时文件。确定后，可以进一步跟踪此文件以查看其是否通过端口 8080 创建网络连接。
• 这一系列活动可确认此环境中存在活跃的 APT10 攻击。使用威胁追踪和先进的新一代防病毒工具，可以在主机上隔离攻击，将其从网络中消除。另一种选择是禁止哈希值，这样攻击便无法执行。
• 威胁追踪者的最后一项活动是保护环境，使其免受未来的攻击。可以通过概括和扩展上述查询序列以创建监视列表，来实现此目标。安全工具可识别任何此类活动，并自动发送电子邮件警报，以便可以立即采取修复措施。