高级持续性攻击的“高级”是指，这种攻击形式的攻击者有一个基于特定战略的缜密的计划，即使他们使用的是相对简单的机制来实施。换句话说，APT攻击者不一定是娴熟的黑客，他们可以利用互联网上现成的脚本，和修改别人的恶意软件，或者他们可以创建自定义恶意软件来攻击特定目标。通常，他们使用许多不同攻击类型来攻击同一目标，并且不断来回攻击，也就是所谓的“持续性”。并且，这种攻击通常是以隐形且低调的方式进行的，APT攻击者都是隐形专家，他们采取措施来掩盖他们的踪迹，避免在日志中留下入侵的证据。

APT攻击者也使用社会工程技术和/或招募内部人员来获取有效登录凭证。分支机构通常没有总部那么严格的安全防范措施，因此有时会被利用来通过远程访问向目标系统植入恶意软件。一旦安装了恶意软件，攻击者就能够从任何地方访问和控制你的系统，或者采用自动化程序，这样恶意软件就会将你的重要数据发送给攻击者。

APT攻击者选择使用何种工具主要取决于他们的攻击目标是什么以及其网络配置和安全状况。这里有个简单的比喻：窃贼可能可以使用信用卡打开简单锁的房门，但是如果所有门都是呆锁，他就要找不同的工具来进去了。同样的，APT攻击者通常会尽可能使用最简单的工具来进行攻击。为什么要浪费一个定制的先进工具在不必要的工作上呢？而且这种工具只会给APT攻击者留下马脚。

APT攻击者经常利用僵尸网络，僵尸网络能够给他们提供更多资源来发动攻击，并且很难追踪到攻击的源头。虽然僵尸网络经常与垃圾邮件联系在一起，但它们可以用于多种类型的攻击。一个简单的命令和控制服务器就可以控制位于数百个不同公司的电脑，这些电脑上的恶意软件可以不断更新，一直“领先于”你的检测工具。即使你的公司不是APT攻击的目标，你的网络也可能在你不知情的情况下被用来作为犯罪工具：作为僵尸网络的一部分，用来攻击其他网络。

(责任编辑：闫小琪)