為了提供縝密執行之進階的持續性威脅範例，下方將快速說明 APT10 的概觀，這項攻擊活動最早可回溯至 2009 年。APT10 為史上最長壽的網路安全性威脅之一，近期曾透過世界各地、各行各業的代管服務供應商發動攻擊，藉由竊取大量的資料造成難以估計的龐大損害，許多公司 (包括部分日本公司在內) 皆深受其害。

PwC UK 公司和 BAE Systems 公司成功揭發了這些自 2016 年下半年開始盛行的攻擊。聚焦於此一惡行雲端跳躍行動 (Operation Cloud Hopper) 的聯合報告指出，受害企業皆同意 APT10 所造成的整體損害程度，或許永遠無從得知。

該報告列出了受害企業自 APT10 汲取的心得，當中的幾項關鍵焦點包括：

• 攻擊活動的幕後黑手，極有可能是位於中國的威脅者。
• 這項威脅始於 2009 年或更早，且長期使用各種惡意軟體來取得史無前例的存取權限。
• APT10 攻擊者持續提升攻擊手法，透過最新開發的進階工具擴大其攻擊規模和攻擊能力。
• 如同多數進階的持續性威脅攻擊一樣，APT10 也以智慧財產和敏感資料為目標。
• PwC UK 公司和 BAE 公司深信，威脅者正大舉擴充人手和資源，可能設有多個技術高明的攻擊者團隊，以持續進行作業。

* 顯示您正遭受進階的持續性威脅 (APT) 攻擊的五大跡象

隨著越來越多的進階的持續性威脅遭到揭發，資安企業也越來越擅於揪出這些難以察覺的威脅。搜尋威脅便是其中一項與時俱進的防堵手法，旨在結合創新技術和人為智慧，以打造主動的疊代方法，藉此識別無法透過標準的端點安全性找出的攻擊。

探索漏洞平均需花費 150 天的時間。然而，只要使用搜尋威脅，企業就能透過觀察過往的未篩選端點資料，找出不尋常的行為，及其與異常活動之間的關係，以利及早揪出進階的持續性威脅等攻擊。

首先，威脅搜尋人員會使用一系列的創新工具、威脅情報和人為洞悉，藉此展開搜尋。隨後，則會透過可探索根本原因的疊代搜尋，著手縮小搜尋流程的範圍。接著，他們將做出回應，出手阻斷威脅，並運用從中汲取的洞悉和情報來保護後續的環境。

• 一開始，威脅搜尋人員可使用特定威脅的已知特徵，並搭配與潛在攻擊序列相關的人為洞悉。搜尋人員可在環境中使用多項工具，以展開一系列的疊代搜尋，同時監控、記錄和儲存所有端點活動。
• 舉例來說，PwC UK 公司和 BAE Systems 公司便觀察到，攻擊者會利用以 Outlook 電子郵件網路釣魚活動交付的惡意 Excel 檔案。研究人員也發現，只要開啟這些檔案，就會將多個新的檔案放入一個暫存資料夾中，以做為 C2 監聽工具，並透過連接埠 8080 與外界聯繫。
• 初步搜尋可能會傳回大量的資料，因此，威脅搜尋人員通常需要縮小搜尋範圍。以 APT10 威脅為例，人力資源部門的電腦可能會視為搜尋條件之一，畢竟，當中往往存放著關鍵的敏感資料。接著，威脅搜尋人員可使用已知的情報進一步縮小搜尋範圍，僅查看透過 Outlook 電子郵件附件傳送的 Excel 檔案。下一個合乎邏輯的搜尋條件，則是指令和控制連線，只要搜尋連線次數超過一次的網路連線，即可找出這項資訊。
• 這將縮小資料集的涵蓋範圍，以利透過流程分析樹狀圖來加以檢視，從而揪出惡意的暫存檔案。一旦找出該檔案，就能進一步追蹤，以瞭解該檔案是否嘗試以連接埠 8080 建立網路連線。
• 上述活動序列可用來確認此環境是否存在著作用中的 APT10 攻擊。使用搜尋威脅和先進的新一代防毒軟體，即可將攻擊隔離在主機電腦內，並切斷其網路連線。另一個選項，則是進用該雜湊值，好讓其無法執行。
• 威脅搜尋人員的最後一個步驟，就是防止環境遭受後續的攻擊。只要歸納並擴大先前提及的查詢序列，以建立監視清單，即可達到此一目的。安全性工具可找出這類型的任何活動，並自動傳送電子郵件警示，以利即刻採取修復行動。