极光行动

背景：  

   Google的一名雇员点击即时消息中的一条恶意链接，最后引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。

   这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。

病毒模板分析：

第一步：研究目标

   APT行动开始于刺探工作，hacker首先选定特定的Google员工（该员工具有访问google服务器的权限）作为第一目标主机。攻击者尽可能地在Facebook、Twitter、LinkedIn和其它社交网站收集，搜集该员工发布的信息。

第二步：选定并拿下第一目标主机，从而打开局面

攻击者利用一个动态DNS供应商建立托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。由于该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行

第三步：拿下具有高级权限的敏感主机

极光行动的黑客将第二步与第三步融合，第一目标主机就是具有高级权限（访问google服务器权限）的主机。

第四步：攻击者通过SSL安全隧道与受害人机器建立了连接(VPN技术)。

第五步：利用到手的高级权限，进入存有目标信息的数据库，打包需要的数据。使用加密加压的数据外传策略，致使基于特征检测时系统失效。

攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。并通过虚拟隧道传出。

评价：

1.极光行动融合了第二步和第三步，即第一目标主机就是敏感主机

2.第二步中，hack使用的是计谋攻的第一招，钓鱼网站：使公司员工上钩。

3.第四步创建安全隧道，也是很关键的一步，也许同样也是apt攻击的薄弱环节。因为，通过隧道技术建立VPN的手段可能还是比较单一的。而要想将目标源代码运输出来，又必须建立一个隧道。所以，这一点也许可以成为检测apt攻击的关键点之一！