下一代威胁与APT攻击

一、什么是下一代威胁

下一代威胁主要是指攻击者采取了现有检测体系难以检测的方式(未知漏洞利用、已知漏洞变形、特种木马等)，组合各种其他手段(社会工程、钓鱼、供应链植入等)，有针对性的针对目标发起的攻击。这种攻击能有效穿透大多数的公司的内网防御体系，攻击者成功控制了内网主机之后，再进行内部渗透或收集信息的攻击模式。

0DAY漏洞威胁：0DAY漏洞由于系统还未修补，而大多数用户、厂商也不知道漏洞的存在，因此是攻击者入侵系统的利器。也有很多利用已修复的漏洞，但由于补丁修复不普遍(如第三方软件)，通过变形绕过现有基于签名的检测体系而发起攻击的案例。

多态病毒木马威胁：已有病毒木马通过修改变形就可以形成一个新的未知的病毒和木马，而恶意代码开发者也还在不断开发新的功能更强大的病毒和木马，他们可以绕过现有基于签名的检测体系发起攻击。

混合性威胁：攻击者混合多种路径、手段和目标来发起攻击，如果防御体系中存在着一个薄弱点就会被攻破，而现有安全防御体系之间缺乏关联而是独立防御，及时一个路径上检测到威胁也无法将信息共享给其他的检测路径。

定向攻击威胁：攻击者发起针对具体目标的攻击，大多数情况下是从邮件、IM、SNS发起，因为这些系统账户背后标记的都是一个真实固定的一个人，而定向到人与他周边的关系，是可以在和攻击者目标相关的人与系统建立一个路径关系。定向攻击如果是小范围发起，并和多种渗透手段组合起来，就是一种APT攻击，不过定向攻击也有大范围发起的，这种情况下攻击者处于成本和曝光风险考虑，攻击者往往使用已知的安全漏洞来大规模发起，用于撒网和捞鱼(攻击一大片潜在受害者，再从成功攻击中查找有价值目标或作为APT攻击的渗透路径点)。

APT威胁： APT威胁是以上各种手段(甚至包括传统间谍等非IT技术手段)的组合，威胁最大的威胁。他是有组织黑客团队精心策划，为了攻击者认定的目标，长期持续的攻击行为。攻击者一旦攻入系统，会给受害者带来重大的损失(但受害者可能感受不到)，而且会长期持续的控制、窃取系统信息，关键时也可能大范围破坏系统。APT攻击，其实是一种网络情报、间谍和军事行为。很多时候，APT都具备着国家和有政治目的组织的背景，但为了商业、知识产权和经济目的的APT攻击，也不少见。#p#

二、APT(高级持续性威胁)

APT攻击，特别是具有国家和组织背景的APT攻击，无疑将是伴随信息IT化和网络化深入到人类生活每个领域之后，将要遇到的最具威胁的挑战。

APT攻击是指融合情报、黑客技术、社会工程等各种手段，针对有价值的信息资产或通过IT系统控制的重要控制系统，发起的复杂而专业攻击。由于IT系统复杂性，目前还没有很好的检测措施完全发现IT产品中的后门、漏洞以及应用运行时的可信性，利用IT发起的攻击已经有很长的历史了，如美国在天然气系统中植入木马引发1985年前苏联西伯利亚天然气大爆炸、在海湾战争中通过打印机芯片植入定位系统指导轰炸伊拉克重要目标，都成为重要的国家级作战手段。

随着IT深入发展，各种行业、各个企业都不可避免越来越深入的依赖于IT系统。利用攻入IT系统窃取情报与知识产权、篡改数据获取收益、监控和获取个人隐私、控制重要系统获得战略控制或大面积破坏，已经成为国家、组织和个人可以看得到的重大利益。于是APT在21世纪开始蓬勃发展起来，除了国家级的军事政治目标外，能源、公共服务、科研、大型企业、金融、大型站点等有重要信息资产的部门，都成为APT指向的目标，而大量IT系统和应用的安全漏洞与缺陷、安全意识的薄弱和攻击技术普通人难以理解、加之缺乏恶意客户判定的标准、程序的黑盒性，为APT攻击提供着无穷尽的弹药和成功保证，而无须非得象以前需要通过供应链来植入木马和后门。而IT系统的损失难以感知的特性(信息资产的可拷贝性让很多损失者不知损失，即使感知到损失，由于缺乏关联性，受害者也不一定清楚是IT安全问题导致的)又让受害者一直活在安全的假象中难以察觉，于是APT攻击愈演愈烈，美国2013年国会听证会上的评估，美国因为网络攻击导致的知识产权的损失(这大部分是通过APT攻击来获取的)每年高达3000亿美金(注1)。

但是伴随着APT攻击造成的重大损失的同时，是传统安全检测与防御手段针对APT攻击的无能为力。从国家级的核设施网络到美国NASA，从世界互联网巨头GOOGLE到安全公司翘楚RSA，无一不是APT攻击的受害者。如果说他们的安全做的不好，那世界上又有几家能说比他们的安全做的更好呢?APT剑指之下，没有那个部门能幸免，美国前国土安全部部长Michael Chertoff说："There are two types of people: those who've been hacked and those who don't know they've been hacked" (注2)，就是这一现实的写照。试想一下，当攻击者可以肆意进出和控制军事指挥系统、核系统、能源系统、交通指挥系统、金融系统，除了信息的安全，我们实体的财产与生命安全，也变得无比脆弱。#p#

三、APT攻击环节与技术手段

APT攻击可以分为大的三个环节，每个环节又会干一些具体的工作内容，如下图：

三个环节其实是混杂互相交织在一起的，并没有严格的分界线的，这里分开，主要是为了从技术环节做更好的分析。另外每个环节，攻击者都可能发起多次甚至持续多年而并非单独一次，这取决于攻击者意愿、被攻击的目标价值、攻击者已经得手的情况而定。

在攻击前奏环节，攻击者主要是做入侵前的准备工作。主要是：

收集信息：了解被攻击目标的IT环境、保护体系、人际关系、可能的重要资产等信息，用于指导制定入侵方案，开发特定的攻击工具。在收集信息时，攻击者可以利用多种方式来收集信息，主要有：

◆网络公开信息收集，如通过搜索引擎、企业站点、社交网站等公开的信息来收集分析攻击者需要的信息

◆通过地下售卖的大型站点的用户数据获取信息，由于各种站点自身的安全性比较薄弱，一些入侵站点为主的黑客会入侵获得他们的用户资料库然后地下售卖，如CSDN用户注册资料泄露事件(注3)，其实就是黑客早已窃取并售卖多次的数据库，失去价值后公开的，攻击者可以通过获取这些数据库获得需要的数据。

◆钓鱼收集：攻击者通过邮件和IM，发送一个正常的URL并吸引对方(如针对技术人员提供技术资料站点，高端人才招聘站点)，用户打开后也是一个正常有价值的站点，但是利用URL参数，攻击者可以标记邮件关联的人，再利用浏览器本身支持的功能可以收集用户使用的操作系统、浏览器和版本的信息。高级一些的，还可以利用ACTIVEX创建对象和路径加载探测技术，准确判定用户安装的各种应用环境，特别是客户端安全防护软件和一些常见的本地应用，这些都是可以用来指导攻击者精确攻击和绕开常规检测的信息。

◆人肉搜集：通过伪冒、套话，通过IM、邮件、电话甚至人身接近，配合社工获得更多的信息。

◆嗅探：如果攻击者可以解除到被攻击目标的网络(如托管WEB站点，攻击者可以入侵甚至自己也托管一台同网段主机进行嗅探获得信息，如无线网络，攻击者可以在附近嗅探获得信息)。

◆扫描：利用扫描技术，攻击者可以获得网络和开放服务的一些信息。

◆信息收集是贯穿全攻击生命周期的，攻击者在攻击计划中每获得一个新的控制点，就能掌握更多的信息，指导后续的攻击。#p#

技术准备：根据获取的信息，攻击者做相应的技术凑合，主要有：

◆入侵路径设计并选定初始目标：攻击者设计一个攻击路径，通过多层的渗透，逐步达到攻击者希望获取的资产上。当然这个路径会随实施情形变化或更多信息产生改变。

◆漏洞和利用代码：攻击者发送直接木马过去成功率比较低，被发现率比较高，所以攻击者一般会借助应用的漏洞来发起攻击。当然，利用漏洞入侵受害者可信的服务器再通过篡改可信服务器上的可信程序植入或推送木马也是常见的手段，也有直接发送木马或绑定木马的文档再利用社工欺骗用户打开的案例。但整体来说，利用漏洞的欺骗性更强一些，安全意识高的用户也容易中招而难以察觉，安全防御软件也难以检测，特别是利用攻击者自己挖掘的0DAY漏洞。所以攻击者会根据受害者的应用环境，选择攻击者手上掌握的漏洞和利用代码，构造成看起来无害的东西如WORD文档、WEB页面。

◆木马：最终攻击者需要植入木马到被控制者机器中，但已知广泛传播的木马被检测率比较高，所以攻击者需要根据掌握的信息，定制开发木马并确保不被受害者主机上安装的安全软件查杀出来。攻击者可以在漏洞和利用代码那一层就做对抗如关闭这些软件，也可以在木马本身这一层做对抗绕过查杀。

◆漏洞和利用代码和木马，我们统称为攻击负载。

◆控制服务器和跳板：除了对系统做纯破坏类的入侵，大多数的攻击，攻击者都会将窃取信息回传回来，所以需要开发特定的控制服务器，与木马进行通讯，来下发指令、实施内部渗透、获得窃取的信息，为了绕过检测，还会模拟内网常见协议如DNS、HTTP、HTTPS并进行加密。另外为了躲避追查，无论是攻击和控制，攻击者都需要利用1，2个不同国家已被攻击者控制的受害机器(俗称肉鸡)做跳板(当然越多越不易追查到攻击者源IP地址，但越多性能越差)。#p#

外围渗透准备：攻击者会入侵一些外围目标，这些受害者本身不是攻击者攻击的目标，但因为可以被攻击者用来做跳板、社工跳板、大规模拒绝服务机器、相关信息获取等而被入侵：

◆入侵实际攻击目标可信的外部用户主机：这样攻击者可以以可信的身份(如QQ、MSN)向攻击目标发送攻击负载或可以物理接近被攻击者设施实体(如震网攻击中一种入侵方式就是入侵核电站工作人员家庭主机，当工作人员将工作U盘接入家庭主机时，震网将利用漏洞可以攻击核电站系统的攻击负载传递到U盘上)。

◆入侵实际攻击目标可信的外部用户的各种系统账户：这样攻击者可以以可信的身份(如邮件地址，SNS的账户)向攻击目标发送攻击负载。

◆入侵实际攻击目标可信的外部服务器：这样攻击者可以利用可信下载、可信自动推送向攻击目标发送攻击负载。

◆入侵实际攻击目标可信的外部基础设施：攻击者可以获得可信的外部基础的身份和认证，特别是数字签名和加密种子。一个可以将自己的攻击负载打上可信任的标签绕过检测，一个可以直接破解身份认证系统和加密数据。据估计，最近几年，APT攻击已经获取了大量的外部基础设施的证书和加密种子(暴露出来的如RSA种子失窃(注4)，赛门铁克证书失窃(注5)，荷兰证书公司证书失窃(注6))，这让APT检测更加困难。#p#

在入侵实施环节，攻击者针对实际的攻击目标，展开攻击，主要内容有：

利用常规手段入侵：攻击者利用常规的手段，将恶意代码植入到系统中，常见的做法有：

◆通过病毒传播感染目标

◆通过薄弱安全意识和薄弱的安全管理控制目标

◆通过社会工程：利用人性的弱点发送恶意代码，欺骗用户打开执行恶意代码。

◆通过供应链植入：攻击者控制了供应链某一环节，通过这一环节植入恶意代码进系统，当系统交付给最终用户后，攻击者就可以通过恶意代码控制最终用户的系统。这是掌握一定资源的国家和组织经常会采取的手法，最近也出现了一些新的方式，如购买手机植入木马后赠送或意外留给目标，发行盗版光盘或免费应用植入到目标中，甚至某些国家的部门或组织出现了派遣员工去有名的厂商那里卧底(注7)，然后植入后门、木马或漏洞，然后控制最终用户系统的事件。

利用缺陷入侵：缺陷是指IT系统中广泛事实存在且已知，但由于修复成本很高或短期内难以替代的问题，如

◆默认密码：大多数系统都提供默认用户和默认密码，很多用户并不会去更新密码，导致攻击者可以直接使用。

◆弱密码：大多数用户使用位数不多、没有字符集变化、自身相关信息的密码，很容易被攻击者猜解。

◆默认配置和错误配置：大多数系统默认配置会暴露很多信息并增大攻击面，用户也不清楚一些功能会带来的潜在风险，攻击者会利用这些缺陷发起攻击。

◆脆弱计算机和网络环境和协议：我们的网络环境、认证协议、常见的加密算法强度本身存在很多问题，如ARP、DHCP都可以被同网主机轻易劫持，大多数的认证协议都可以被中间人劫持，很多协议算法强度不够，利用这些问题，攻击者可以发起攻击。#p#

利用漏洞入侵：这是专业黑客对付重点目标常用的方式，重点目标的安全防护意识和意识，以及管理制度都比较完善，单靠前面的方式不容易凑效，攻击者会利用系统中存在的安全漏洞，特别是攻击者自己通过研究发现而其他人不知道的安全漏洞(0DAY漏洞)发起攻击，由于这类攻击使用看起来合法的业务数据为载体(如DOC文档)，受害者难以察觉攻击者的攻击，从业务管理规范上也很难避免不打开使用，因此成为APT入侵的主要载体。主要有：

◆桌面文件处理类漏洞：利用常见数据文件处理(如DOC、PPT、PDF、FLASH、XLS、音频、视频)等应用的安全漏洞，攻击者发送数据文件(通过邮件、IM、下载等)吸引用户打开，以此来发起攻击。这是最常见入侵目标内网主机的手段，如RSA的令牌种子被窃取事件就是攻击者利用了XLS文件里包含一个FLASH的0DAY漏洞发起的(注8)。

◆浏览器类漏洞：利用浏览器处理HTML的安全漏洞或常见ACTIVEX控件安全漏洞、浏览器直接支持打开的数据文件应用的安全漏洞，攻击者发送URL(通过邮件、IM)或入侵特定站点(如大型公开站点、目标是用的内部站点)上挂马，以此来发起攻击。这也是一种常见入侵目标内网主机的手段，如GOOGLE被极光攻击入侵内容窃取了GMAIL多个邮箱敏感信息的事件就是攻击者利用了IE7 CSS 0DAY漏洞发起的(注9)。

◆桌面网络应用漏洞：利用IM、P2P等常见网络客户端的安全漏洞，攻击者发送相关的功能、报文，以此来发起攻击。

◆网络服务类漏洞：利用网络服务端的安全漏洞，攻击者发送相关的功能、报文，以此来发起攻击。

◆系统逻辑类漏洞：利用系统逻辑处理相关的安全漏洞，攻击者构造相应的触发环境，以此来发起攻击。如入侵伊朗核电站的震网攻击事件就是攻击者利用了WINDOWS DLL加载次序的逻辑漏洞发起的(注10)。

◆对抗类漏洞：利用安全防护和检测软件的安全漏洞，攻击者可以绕过、逃逸、关闭掉相应的安全防护和检测软件。

◆本地提权漏洞：利用主机高权限组件或逻辑检测的安全漏洞，攻击者可以获取更高的权限。此类攻击一般是攻击者已经通过前述手段获得了一个初步的权限之后发起的。

除了以上几类针对内容主机的入侵漏洞，也有如下一些漏洞类型来发起周边一些的攻击。

◆WEB类攻击漏洞：分2类，一类是针对WEB站点自身的安全漏洞，如SQL注射、包含等漏洞，攻击者以此入侵WEB站点，通过对WEB站点上的资源进行篡改(在下载程序里绑木马、在页面上挂触发浏览器漏洞的HTML内容等)，再发起针对内网主机的攻击。一类是针对WEB站点自身有敏感信息发起，利用XSS、CSRF漏洞，攻击者可以获取受害者在WEB站点上的身份或修改其配置以访问这些敏感信息，之后再发起攻击。

◆网络设备安全漏洞：还有针对网络设备发起的安全漏洞，如网络设备的管理端使用了WEB管理方式，利用WEB漏洞可以发起攻击，网络设备自身协议、数据处理、功能设计、配置弱点等，也可以让攻击者直接控制网络设备。攻击者控制了网络设备后，可以修改如DNS，路由表控制，可以劫持流量到攻击者控制的中间设备上以获得敏感信息，一些高端的路由设备，攻击者也可以完全控制以运行木马实现更特定的功能。

以上三个环节，并非是必须的，攻击者可以只用其中一个两个就达成了入侵，也可能多个复杂的手段组合起来(多个攻击行为依次组合和一个攻击行为复合组合都有可能，前者如利用缺陷猜解出云备份帐号后将备份程序篡改植入木马，后者如利用默认密码配合CSRF漏洞劫持被害目标路由器DNS服务器配置)实施入侵，这取决于被攻击目标的防护能力与安全意识。

SHELLCODE执行：大多数情况攻击者利用漏洞触发成功后，攻击者可以在漏洞触发的应用母体内执行一段特定的代码(由于这段代码在受信应用空间内执行，很难被检测)，实现提权、桌面安全软件对抗之后，植入木马。

木马植入：从攻击者目标来说，APT攻击者最终是希望最终在受害主机上植入(但也有一些例外，如只针对WEB系统帐户攻击，攻击者以拿到身份可以访问WEB敏感资源为主要目的，如针对路由器攻击，攻击者以能修改配置和启用路由器特定功能，达到路由路径劫持进而拿到敏感数据为主要目的)

◆远程下载植入：攻击者可能远程下载一个木马，安装进受害者的系统。

◆绑定文档植入：攻击者可能在触发漏洞的文档或直接在文档中绑定一个木马，漏洞触发后释放或欺骗用户点击链接，安装进受害者的系统。

◆绑定程序植入：攻击者可能在一个合法程序中绑定一个木马，利用合法程序执行时，安装进受害者的系统。

◆激活后门和木马：利用供应链等方式，攻击者可能事先在受害者机器中已经植入了木马、后门，然后通过特定的方式激活他们。

渗透提权：攻击者控制了内网某个用户的一台主机控制权之后，对攻击者要获取的目标，还需要在内部进行渗透和提权。

◆立足点：攻击者控制了内网某个用户的一台主机控制权之后，相当于获得了一个内网的立足点，而内网一旦进入突破了安全边界之后后，内部安全防御就再难以检测和防御。

◆渗透：攻击者可以组合以上各种手段，如社会工程、文件共享服务器篡改程序、本地嗅探、SMB中继欺骗、漏洞等等，对内网内的其他主机发起攻击，获得更多主机的控制。

◆特权获取：攻击者通过更多主机的控制，逐步渗透到目标资产存放主机或有特权访问攻击者目标资产的主机上。那么到此攻击者已经成功完成了入侵。#p#

在后续攻击环节，攻击者窃取大量的信息资产或进行破坏，同时还在内部深度的渗透以保证发现后难以全部清除(典型案例如韩国农协银行，2011年4月被攻击者大规模破坏损失惨重(注11)，而这次320事件(注12)，他的服务器又成为攻击者控制服务器)，主要环节有：

价值信息收集：攻击者利用掌握到的权限和资源，从中分析和收集对攻击者有价值的信息。

传送与控制：获取到的信息，攻击者将其传回攻击者控制的外部服务器。为了逃逸检测和审计，一般会模拟网络上一些常见公开的协议，并将数据进行加密。一些木马还有长期控制并和外部服务器进行通讯，按外部服务器下发的指令进行操作、升级的能力。另外针对隔离的网络，攻击者一般使用移动介质摆渡的方式，进行数据的传送。

等待与破坏：一些破坏性木马，不需要传送和控制，就可以进行长期潜伏和等待，并按照事先确定的逻辑条件，触发破坏流程：如震网，检测到可能是伊朗核电站的环境就修改离心机转速进行破坏。

深度渗透：攻击者为了长期控制，保证再被受害者发现后还能复活，攻击者会渗透周边的一些机器，然后植入木马。但该木马可能处于非激活状态，检测和判断网络上是否有存活的木马，如果有则继续潜伏避免被检测到，如果没有了，则启动工作。2011年4月韩国农协银行被黑客入侵大规模破坏，之后韩国农协银行进行了处置，但2013年320事件，攻击者依然使用韩国农协银行的内部主机做攻击其他机构的控制端，很有可能就是攻击者通过深度渗透潜伏下来，在11年事件大面积处置后还能复活继续控制韩国农协银行的内部网络。

痕迹抹除：为了避免被发现，攻击者需要做很多痕迹抹除的工作，主要是去掉一些日志，躲避一些常规的检测手段等。#p#

四、APT的特点

巨大利益驱动：随着IT深入的发展和互联网经济模式，入侵IT信息资产可以获得巨大的政治经济军事利益，而IT系统本身的脆弱性使得入侵不仅成为可能而且成本也相对其他传统间谍等手段有优势。传统的威胁更多以炫耀、恶作剧为主，即使有经济利益驱动，也大多是针对个人资产为主的威胁，而下一代威胁，则是在直接针对国家、组织、企业当中最核心的信息资产而发起，一旦得手，攻击者获取的收益和受害者遭受到的损失，都是传统威胁难以比肩的。

专业性与隐蔽性：攻击者为了对抗现有的安全防御体系，需要有专业分工的人员来实施攻击，在情报收集与分析、漏洞挖掘、漏洞利用、木马编写与对抗、攻击发起与痕迹抹除、敏感信息收集分析与窃取等方面，都会有专业的人员。而为了长期获得收益并避免被发现，攻击者选择精确受控的目标发起，减少受害者和防御者通过大规模异常现象发现的可能，进入系统后都会实施专业的痕迹抹除工作，让发现和取证变得更困难。因此很多时候用户对这些攻击是难以感知的(包括行为和危害)，即使感知到了危害也并不一定知道是自己IT系统被入侵导致的危害。

广泛覆盖性：攻击者虽然针对高价值资产，但是并非只有特定的几个行业才是受害目标，除了军事政治相关的领域，科研、医疗、金融、能源等相关领域也是重灾区，大中型企业遭受APT攻击也不鲜见，针对小企业和个人，出于APT攻击路径的考虑，也经常成为APT的跳板目标。而随着APT技术的普及，也有一些直接以小企业为最终攻击目标的案例(如已经发生过多起的通过控制外贸企业的邮箱后通知客户的账户变更到攻击者控制的账户上去)#p#

五、APT可能演化的一些技术方向

APT攻击无疑会成为未来长期存在的威胁，并且会随着IT环境的演化和攻击对抗的现实而不断演化：

云恶意下发模式：攻击者下载的木马本身并不含恶意行为，而是一个有签名有正常功能的程序(甚至可能获得了可信认证)，利用这个程序，定期和攻击者控制的服务器(展现给用户可以是一个升级服务器)通讯，下载策略与代码数据(也可以使用已有程序的合法功能模块拼接而成)，在内存中组合成实际的恶意代码并执行，执行完后删除。这种方式由于不存在恶意文件实体，难以静态或虚拟机动态检测。我们已经检测到一些恶意移动应用采用了这样的手法，其实用于APT攻击者，也是非常有力的手段。

移动结合：移动目前已经深入大众生活和企业环境，而移动的安全性又更加脆弱，攻击者可以通过移动设备跳入到内网主机上，也可以通过内网主机跳入到移动设备上。由于移动设备的隐私和人际身份的认同，控制了移动设备后可以获得比较敏感的隐私信息，另外可以通过移动设备发起社工也更加有效。因此APT攻击和移动结合起来，应该是一个趋势。

网络设备：网络设备是更基础的信息点，通过网络设备可以长期大范围的获取信息、劫持用户数据和行为，因此未来APT攻击会更多针对网络设备发起，一种方式是通过供应链植入木马或后门(如这次棱镜曝光的思科路由器)，一种方式是通过漏洞植入木马或后门。控制了网络设备后，可以做的如：流量路径修改、DNS劫持、下载木马替换植入、修改安全策略等。

基础安全设施：其实这个不是方向了而是有很多案例了，但是未来这个可能是APT攻击更关注的方面。通过入侵基础安全设施获得的东西，可以大量发起攻击且很难检测，比如窃取到站点的次根级证书，可以无感监听加密流量，窃取到数字签名，可以以大厂商软件和补丁身份植入而且逃逸检测，窃取到RSA令牌的种子，可以轻易破解RSA令牌的身份认证等。

WEB组合：针对WEB的攻击手段，其实也是APT攻击组合的手段。一是入侵了受害者可信的WEB站点，可以通过这个站点挂马、篡改下载程序、收集敏感信息等方式更容易针对内网发起攻击。二是通过XSS、CSRF可以获得外部WEB站点(如邮箱服务)可信的账号身份和敏感信息。三是通过XSS、CSRF攻击也可以攻击内网有WEB管理接口的内网网络、安全、管理设备，如最近曝光的攻击者利用路由器的默认密码和CSRF漏洞，攻击了国内上百万的家庭路由器并修改其DNS配置指向攻击者控制的DNS服务器(注13)，这样攻击者就可以发起DNS劫持攻击，进一步获得用户的数据，篡改数据和行为，以及欺骗用户下载恶意程序等。

传统手段组合：我们把APT行为定性为基于网络攻击技术的网络情报和间谍行为，传统的情报和间谍，如收买、近身接触、实体窃取等，和APT手段组合起来，可能会产生更大的威力。