2019年01月07日 | 2018全球APT年度报告：攻防已进入白热化

近日，360威胁情报中心发布了《全球高级持续性威胁（APT）2018年报告》（以下简称报告），揭示了过去一年全球APT发展态势。在所有网络攻击活动中，APT攻击能够对行业、企业和机构造成更严重的影响，并且更加难于发现和防御，APT攻击的背后是APT组织和网络犯罪组织。

2018年1－ 12月，360威胁情报中心共监测到全球99个专业机构（含媒体）发布的各类APT研究报告478份，涉及相关威胁来源109个，其中APT组织53个（只统计了有明确编号或名称的APT组织），涉及被攻击目标国家和地区79个。

报告显示，政府、外交、军队、国防依然是 APT 攻击者的主要目标，能源、电力、医疗、工业等国家基础设施性行业也正面临着APT攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁，如MageCart、Cobalt Group等等，其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击，这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外，电子商务、在线零售等也是其攻击目标。

高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公开报告中提到的受害目标所属国家或地域），可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称，并对同一背景来源进行归类处理后的统计情况如下，总共涉及109个命名的威胁来源命名。基于全年公开披露报告的数量统计，一定程度可以反映威胁攻击的活跃程度。

从上述威胁来源命名中，我们认为明确的APT组织数量有53个。

其中，明确的针对中国境内实施攻击活动的，并且依旧活跃的公开APT 组织，包括海莲花，摩诃草，蔓灵花，Darkhotel，Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的APT组织。

APT攻防的现状和趋势

2018年，APT威胁的攻防双方处于白热化的博弈当中。作为APT防御的安全厂商比往年更加频繁的跟踪和曝光APT组织的攻击活动，其中包括新的APT组织或APT行动，更新的APT攻击武器和在野漏洞的利用。而APT威胁组织也不再局限于其过去固有的攻击模式和武器，APT组织不仅需要达到最终的攻击效果，还刻意避免被防御方根据留下的痕迹和特征追溯到其组织身份。

一、多样化的攻击投放方式

（一）文档投放的形式多样化

在过去的APT威胁或者网络攻击活动中，利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式，通常投放的文档大多为Office文档类型，如doc、docx，xls，xlsx。

针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷，例如针对韩国人员投放HWP文档，针对巴基斯坦地区投放InPage文档，或者针对工程建筑行业人员投放恶意的AutoCAD文档等等。

（二）利用文件格式的限制

APT攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以LNK文件为例，LNK文件显示的目标执行路径仅260个字节，多余的字符将被截断，可以直接查看LNK文件执行的命令。

而在跟踪蓝宝菇的攻击活动中，该组织投放的LNK文件在目标路径字符串前面填充了大量的空字符，直接查看无法明确其执行的内容，需要解析LNK文件结构获取。

（三）利用新的系统文件格式特性

2018年6月，国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“．SettingContent－ms”执行任意命令的攻击技巧，并公开了POC。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击，并衍生出各种利用方式：诱导执行、利用Office文档执行、利用PDF文档执行。

2018年8月14日，微软发布了针对该缺陷的系统补丁，对应的漏洞编号为CVE－2018－8414。360威胁情报中心随后发布了利用该攻击技术的相关报告，并发现疑似摩诃草和Darkhydrus组织使用该技术的攻击样本。

（四）利用旧的技术实现攻击

一些被认为陈旧而古老的文档特性可以被实现并用于攻击，360威胁情报中心在下半年就针对利用Excel 4．0宏传播商业远控木马的在野攻击样本进行了分析。

该技术最早是于2018年10月6日由国外安全厂商Outflank的安全研究人员首次公开，并展示了使用Excel 4．0宏执行ShellCode的利用代码。Excel 4．0宏是一个很古老的宏技术，微软在后续使用VBA替换了该特性，但从利用效果和隐蔽性上依然能够达到不错的效果。

从上述总结的多样化的攻击投放方式来看，攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节，从而逃避或绕过检测。

二、0day 漏洞和在野利用攻击

0day漏洞一直是作为APT组织实施攻击所依赖的技术制高点，在这里我们回顾下2018年下半年主要的0day漏洞和相关APT组织使用0day漏洞实施的在野利用攻击活动。

所谓0day漏洞的在野利用，一般是攻击活动被捕获时，发现其利用了某些0day漏洞（攻击活动与攻击样本分析本身也是0day漏洞发现的重要方法之一）。而在有能力挖掘和利用0day漏洞的组织中，APT组织首当其冲。

在2018年全球各安全机构发布的APT研究报告中，0day漏洞的在野利用成为安全圈最为关注的焦点之一。其中，仅2018年下半年，被安全机构披露的，被APT组织利用的0day漏洞就不少于8个。而在2018全年，360的各个安全团队也先后通过在野利用研究，向微软、Adobe等公司报告了5个 0day漏洞。

360多个安全团队在下半年再一次发现Flash 0day漏洞的在野攻击样本并获得Adobe致谢，这是360今年第二次首先捕获到Flash 0day漏洞的在野样本并获得致谢。

三、APT 威胁活动归属面临的挑战

APT威胁活动的归属分析一直是APT威胁分析中最为重要的一个环节，目前APT活动的归属分析，主要的判断依据包括以下几点：

1）APT组织使用的恶意代码特征的相似度，如包含特有的元数据，互斥量，加密算法，签名等等。

2）APT组织历史使用控制基础设施的重叠，本质即pDNS和whois数据的重叠。

3）APT组织使用的攻击TTP。

4）结合攻击留下的线索中的地域和语言特征，或攻击针对的目标和意图，推测其攻击归属的APT组织。

5）公开情报中涉及的归属判断依据。

但APT攻击者会尝试规避和隐藏攻击活动中留下的与其角色相关的线索，或者通过false flag和模仿其他组织的特征来迷惑分析人员。针对韩国平昌奥运会的攻击组织Hades就是一个最好的说明。

360威胁情报中心在下半年的两篇分析报告中，就对活跃在南亚地区的多个APT组织间使用的TTP存在重叠。

四、APT检测及防御

随着APT攻击的日益猖獗，现有的APT防御技术也面临着非常大的挑战。传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关APT学习经验，而且攻击者的逃逸水平也在不断的进步发展，本地设备会经常性的出现误报和漏报现象，经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性，仅依赖于单一企业的数据经常无法有效的发现APT攻击背景，难以做到真正的追踪溯源。360天眼则创新性的从互联网数据进行发掘和分析，由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到，所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率，而且由于数据的覆盖面更大，可以做到攻击的更精准溯源。

360天眼系统帮助客户发现和处置超过百余起APT攻击事件，包括海莲花事件、摩诃草事件、蔓灵花事件、黄金鼠等APT安全事件，天眼系统服务的客户超过300家，遍及20多个省份和直辖市，在公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等行业都具有成功案例。

五、APT 威胁的演变趋势

从2018年的APT威胁态势来看，我们推测APT威胁活动的演变趋势可能包括如下：

1）APT组织可能发展成更加明确的组织化特点，例如小组化，各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的，但其整体可能共享部分攻击代码或资源。

2）APT组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具，对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

3）APT组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构，随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点，以及其可能面临的供应链攻击。

4）APT组织进一步加强0day漏洞能力的储备，并且可能覆盖多个平台，包括PC，服务器，移动终端，路由器，甚至工控设备等。