文章总结： 本文档详细阐述APT攻击的完整流程，涵盖目标侦察、木马制作与投递等关键阶段。目标侦察通过OSINT开源情报、人员与技术信息收集全面了解目标；木马制作涉及多种类型选择与伪装技术；木马投递则根据目标环境选择合适攻击向量。文档提供了具体的技术细节与工具，对理解APT攻击全貌具有重要参考价值。 综合评分： 78 文章分类： 威胁情报,渗透测试,恶意软件,社会工程学,红队

APT攻击完整流程

原创

pandazhengzheng pandazhengzheng

安全分析与研究

2026年3月28日 20:00 广东

APT攻击完整流程

概述

APT（Advanced Persistent Threat，高级持续性威胁）攻击是一种针对特定目标进行的长期、隐蔽、复杂的网络攻击。

APT攻击通常由有组织的攻击团队实施，具有明确的政治、经济或军事目的。本文档详细描述APT攻击的完整流程，包括目标侦察、木马制作、木马投递、控制后渗透、数据回传等关键阶段。

一、目标侦察阶段

目标侦察是APT攻击的起点，情报收集的广度决定了攻击的深度。攻击者通过多种手段全面了解目标组织的信息。

1.1 OSINT开源情报收集

• • 组织公开信息收集：收集目标组织的公开业务、产品文档
• • 网络拓扑、业务架构收集：分析目标的网络结构和业务系统
• • 域名、IP空间确定：识别目标拥有的域名和IP地址范围
• • 组织物理位置、办公场所信息收集：了解目标的地理位置分布

1.2 人员信息收集

• • 邮箱、用户名、社交账号收集：通过社交媒体、公开数据库收集关键人员信息
• • 职务、组织角色、人物关系收集：绘制组织架构图，识别关键决策者
• • 第三方人员信息收集：收集供应商、合作伙伴等第三方人员信息
• • 社保、家庭成员、家庭住址、债务情况收集：深度挖掘个人背景信息

1.3 技术信息收集

• • 网站、博客、业务地址收集：识别目标的在线资产
• • 供应链技术信息收集：分析目标使用的第三方技术和供应商
• • 法人、股东结构、组织架构收集：了解企业的法律和治理结构
• • 第三方供应商合作业务识别：识别可能的供应链攻击入口

1.4 工具与技术

• • 防欺骗能力检测：SpoofCheck
• • 发件人伪造：swaks、代发API
• • 弱口令攻击：针对各类服务的暴力破解

二、木马制作阶段

木马制作阶段是将攻击意图转化为实际攻击载荷的关键环节，攻击者需要根据目标环境定制恶意代码。

2.1 木马类型选择

• • RLO文件名伪装：利用Right-to-Left Override技术伪装文件名

• • Office文档嵌入马：

• • DDE（动态数据交换）

• • OLE（对象链接与嵌入）

• • 公式编辑器漏洞

• • EPS（Encapsulated PostScript）漏洞

• • VBA宏病毒

• • 其他Office漏洞利用

• • Flash漏洞利用：利用Flash Player的已知或零日漏洞

• • HTA文件：HTML应用程序格式的恶意代码

• • PDF文件嵌入马：利用PDF阅读器漏洞

• • CHM文件：编译的HTML帮助文件格式

• • LNK快捷方式伪装：伪装成快捷方式的恶意文件

2.2 伪装技术

• • PE捆绑：将恶意代码与合法程序绑定

• • 数字签名伪造：

• • SigThief

• • signtools

• • Digital-Signature-Hijack

• • APK混淆：AVPass（针对Android应用）

2.3 木马选择策略

根据目标环境、安全防护水平、攻击目的选择合适的木马类型和攻击向量。

三、木马投递阶段

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全分析与研究 pandazhengzheng pandazhengzheng《APT攻击完整流程》