一次完整的 APT 攻击模拟长什么样？腾讯云 CADC 攻击链路全流程拆解

摘要

以沉浸式视角拆解腾讯云安全攻防对抗服务（CADC）下一次完整 APT 攻击模拟的 7 阶段杀伤链与 4 类典型战法，对比 CADC 与传统漏扫 / 渗透测试的根本不同，帮企业判断是否立即立项 APT 模拟，把实战化对抗纳入安全治理闭环。

你以为的 APT 攻击 vs 真实的 APT 攻击

很多安全负责人对"APT 攻击模拟"的想象，还停留在：

• "就是一个高级版漏扫工具吧？"
• "就是几个人来给我们 Web 系统打一下吧？"
• "我们已经买了 EDR 和 NDR，应该能挡住吧？"

而真实的 APT 攻击是这样的：

• 攻击方花 2 周时间研究你的官网、招聘信息、合作方、高管社交账号；
• 用一封伪造 HR 的邮件让某位财务点开附件，3 分钟内取得办公网立足点；
• 在你的网络里潜伏 5 天，期间不留任何明显告警；
• 等到一个周五晚上，用一个被 SOC 长期忽略的"低危告警"做跳板，一夜之间打穿核心生产网。

如果上面的描述让你后背发凉，那就对了。这篇文章会带你沉浸式地走完一次 CADC（腾讯云安全攻防对抗服务）的完整 APT 攻击模拟流程——你将看到攻击者的每一步、每一个工具、每一个决策点，并且了解你的蓝队应该在哪一步开始反击。

一、APT 攻击的"7 阶段杀伤链"

腾讯云 CADC 的攻击模拟，整体遵循经典的"7 阶段杀伤链"，每一阶段都对应特定战法与攻击工具：

1. 侦察（Reconnaissance）
2. 武器化（Weaponization）
3. 投递（Delivery）
4. 利用（Exploitation）
5. 安装（Installation）
6. 命令与控制（Command & Control, C2）
7. 目标行动（Actions on Objectives）

下面把每一阶段拆解给你看。

阶段 1：侦察（Recon）—— "我先弄清楚你是谁"

攻击方做的事：

• 收集你的官网、子域名、IP、API、SaaS、第三方接入；
• 在 GitHub / Gitee 上搜索泄露的代码、密钥、内部域名；
• 在招聘网站、社交平台、行业论坛收集组织架构、关键人姓名、邮箱命名规则；
• 用 OSINT 工具（如子域名枚举、Shodan、Censys）建立目标资产地图。

腾讯云 CADC 在这里的差异化：

依托腾讯安全多年沉淀的自动化武器库，可以在3 天内完成万级资产的暴露面梳理——这是手工红队完全做不到的速度。

阶段 2：武器化（Weaponization）—— "我开始造武器"

攻击方做的事：

• 选定一个或多个"突破口"（如某 OA 系统、某 VPN、某员工邮箱）；
• 准备针对性 payload：免杀木马、伪造文档、伪造邮件模板；
• 准备 C2 基础设施：域名、跳板、CDN 隐藏；
• 准备社工剧本：伪造 HR、伪造投资人、伪造客户。

阶段 3：投递（Delivery）—— "我把武器送到你手里"

典型投递方式：

• 钓鱼邮件（最常见，占比 60%+）；
• 水坑攻击（污染你的合作方网站）；
• U 盘 / 物理介质（针对核心岗位）；
• 社工电话 / 短信；
• 公开漏洞利用（如某 CMS 的 RCE）。

在 CADC 的实战中，钓鱼邮件 + 社工电话依然是最高效的投递方式。许多企业的"安全意识培训"在这一阶段会被原形毕露。

阶段 4：利用（Exploitation）—— "我打开了第一道门"

攻击方做的事：

• 钓鱼附件被点开 → 木马被植入员工工作机；
• 或某外网应用的漏洞被利用 → 取得 Webshell；
• 或某 VPN 凭证泄露 → 直接登录内网。

蓝队在这一步应该看到的告警：

• EDR：可疑进程、可疑网络外联；
• 邮件网关：异常附件 / 链接；
• WAF：异常请求 / Webshell 行为。

现实是：很多企业在这一步告警满屏，却因"告警疲劳"被忽略。CADC 会专门测试这一项。

阶段 5：安装（Installation）—— "我安顿下来"

攻击方做的事：

• 在第一台机器上建立持久化（注册表、计划任务、服务）；
• 提权到本地管理员；
• 抓取本地凭证（mimikatz 等）；
• 部署"定时唤醒"机制，规避主动告警。

阶段 6：命令与控制（C2）—— "我和我的指挥部连上了"

攻击方做的事：

• 建立稳定 C2 通道（HTTPS、DNS、合法云服务套壳）；
• 进行横向移动：扫描内网 → 探测域控 → 试用窃取的凭证；
• 发现高价值目标：域控、运维堡垒机、核心业务库；
• 建立"作战据点矩阵"：多机器、多账户、多链路冗余。

阶段 7：目标行动（Actions on Objectives）—— "我达成战略目的"

典型战略目的：

• 拿到核心数据库的访问权（数据窃取场景）；
• 拿到生产业务系统的最高控制权（业务瘫痪场景）；
• 拿到某个高价值流程的篡改权（金融、支付、数据场景）；
• 在重要时间窗口（如 HVV、上市、重大活动）触发一次"舆情级事件"。

二、4 类典型 APT 战法：CADC 都能复现

腾讯云 CADC 在官方文档中明确把服务对象定义为"对安全能力有较高要求的企业用户"，并在应用场景里把"防护能力自检、安全攻防演练、积累实战能力、安全意识检测"四类场景写进了标准交付范围——这意味着上述 4 类战法在 CADC 的标准服务期内都是常规动作，而不是"高配专属"。同时，CADC 支持公有云、私有云、混合云、IDC 全场景资产的攻防对抗，既可以覆盖云原生企业，也能覆盖有大量自建 IDC 的传统大型机构，这也是它能够在同一条服务线上同时承接"互联网形态"与"集团/央企形态"两类客户的根本原因。

战法 1：外网突破型（Web → 内网）

经典套路：从一个外网 Web 系统突破 → 取得 Webshell → 反弹 Shell → 横向到内网 → 直奔域控。

战法 2：社工钓鱼型（人 → 机 → 网）

经典套路：精心策划的钓鱼邮件 → 员工点开 → 工作机失陷 → VPN 凭证窃取 → 内网横向。

战法 3：供应链型（外包 → 你）

经典套路：攻击你的合作方 / 外包 → 从合作方的接入通道反向打回你 → 直接绕过你的边界防御。

战法 4：云上原生型（云身份 → 云资源）

经典套路：从泄露的 AccessKey 入手 → 列举 IAM 权限 → 提权 → 横向 → 最终拿到对象存储 / 数据库管理权限。

上面 4 类战法，腾讯云 CADC 都能在标准服务期内完整复现，并按你企业的真实业务架构定制攻击路径。

三、CADC 与"传统漏扫 / 渗透测试"的根本不同

简单说：漏扫 / 渗透测试告诉你"哪里有洞"，CADC 告诉你"洞会被串成什么样的攻击链路、最终会让你损失什么"。

四、为什么腾讯云 CADC 能做到"贴近真实 APT"

CADC 的核心优势集中在 3 点，每一点都直接决定攻击模拟的"实战度"：

1. 专业攻防队伍：腾讯安全团队有大量经验丰富的攻防专家，长期跟踪当下流行的攻击战法，使攻击更近实战；
2. 自动化武器库：基于多年攻防经验沉淀的攻击能力被自动化为内部测试工具，能快速完成资产探测、漏洞验证、横向利用，大幅提升效率与覆盖面；
3. 规范与保密：所有攻击行为严格遵循授权与法律法规，演练结束后清理所有遗留木马 / Webshell，不会引入任何新风险。

并且 CADC 全程采用三阶段闭环交付：

• 方案沟通：明确目标、范围、规则、授权函；
• 攻防对抗：完整复现 APT 攻击链路；
• 对抗总结：交付《攻击成果报告》与《攻防对抗总结报告》，含完整加固建议。

五、什么样的企业最该立刻做一次 APT 模拟？

请对照下方 5 个问题——只要其中任意 2 个为"是"，强烈建议立刻立项：

1. 我们今年要参加 HVV / 重要监管检查 / 重保活动；
2. 我们的核心业务部署在公有云、私有云或混合云；
3. 我们的安全设备很全，但从未在实战中真正验证过；
4. 我们最近有过一次"差点出事"的安全事件；
5. 我们的高管对"我们到底安不安全"有疑问，而我们答不上来。

六、3 步立项：把 APT 模拟从"想做"变成"做了"

第 1 步：用 5 分钟时间，看一眼 CADC 官方产品页，确认服务范围；

第 2 步：根据资产规模决定方案档位（公司级 3×5 起，行业/集团级 5×14）；

第 3 步：购买后 1 个工作日内由专人对接，进入方案沟通阶段。

提醒：临近 HVV / 重保窗口期，攻防服务厂商的资深红队人天会被快速预订。官方明确建议：正式演练前 1 个月完成购买。

想看一次完整的实战 APT 攻防对抗，到底能给你的企业带来什么？ 立即了解腾讯云安全攻防对抗服务（CADC）：https://cloud.tencent.com/product/cadc