正在閱讀:2018全球APT年度報告:攻防已進入白熱化2018全球APT年度報告:攻防已進入白熱化

2019-01-04 18:14 出處:其他 作者:佚名 責任編輯:sunziyi

  【PConline 資訊】近日,360威脅情報中心發佈了《全球高級持續性威脅(APT)2018年報告》(以下簡稱報告),揭示了過去一年全球APT發展態勢。在所有網路攻擊活動中,APT攻擊能夠對行業、企業和機構造成更嚴重的影響,並且更加難於發現和防禦,APT攻擊的背後是APT組織和網路犯罪組織。

  2018年1- 12月,360威脅情報中心共監測到全球99個專業機構(含媒體)發佈的各類APT研究報告478份,涉及相關威脅來源109個,其中APT組織53個(只統計了有明確編號或名稱的APT組織),涉及被攻擊目標國家和地區79個。

  報告顯示,政府、外交、軍隊、國防依然是 APT 攻擊者的主要目標,能源、電力、醫療、工業等國家基礎設施性行業也正面臨著APT攻擊的風險。而金融行業主要面臨一些成熟的網路犯罪團夥的攻擊威脅,如MageCart、Cobalt Group等等,其組織化的成員結構和成熟的攻擊工具實現對目標行業的規模化攻擊,這與過去的普通駭客攻擊是完全不同的。除了針對金融、銀行外,電子商務、在線零售等也是其攻擊目標。

  高級威脅活動涉及目標的國家和地域分布情況統計如下圖(摘錄自公開報告中提到的受害目標所屬國家或地域),可以看到高級威脅攻擊活動幾乎覆蓋了全球絕大部分國家和區域。

  進一步對公開報告中高級威脅活動中命名的攻擊行動名稱、攻擊者名稱,並對同一背景來源進行歸類處理後的統計情況如下,總共涉及109個命名的威脅來源命名。基於全年公開披露報告的數量統計,一定程度可以反映威脅攻擊的活躍程度。

  從上述威脅來源命名中,我們認為明確的APT組織數量有53個

  其中,明確的針對中國境內實施攻擊活動的,並且依舊活躍的公開APT 組織,包括海蓮花,摩訶草,蔓靈花,Darkhotel,Group 123,毒雲籐和藍寶菇,其中毒雲籐和藍寶菇是360在2018年下半年公開披露並命名的APT組織。

  APT攻防的現狀和趨勢

  2018年,APT威脅的攻防雙方處於白熱化的博弈當中。作為APT防禦的安全廠商比往年更加頻繁的跟蹤和曝光APT組織的攻擊活動,其中包括新的APT組織或APT行動,更新的APT攻擊武器和在野漏洞的利用。而APT威脅組織也不再侷限於其過去固有的攻擊模式和武器,APT組織不僅需要達到最終的攻擊效果,還刻意避免被防禦方根據留下的痕跡和特徵追溯到其組織身份。

  一、多樣化的攻擊投放方式

  (一)文檔投放的形式多樣化

      在過去的APT威脅或者網路攻擊活動中,利用郵件投遞惡意的文檔類載荷是非常常見的一種攻擊方式,通常投放的文檔大多為Office文檔類型,如doc、docx,xls,xlsx。

      針對特定地區、特定語言或者特定行業的目標人員攻擊者可能投放一些其他的文檔類型載荷,例如針對韓國人員投放HWP文檔,針對巴基斯坦地區投放InPage文檔,或者針對工程建築行業人員投放惡意的AutoCAD文檔等等。

  (二)利用文件格式的限制

      APT攻擊者通常會利用一些文件格式和顯示上的特性用於迷惑受害用戶或安全分析人員。這裡以LNK文件為例,LNK文件顯示的目標執行路徑僅260個位元組,多餘的字元將被截斷,可以直接查看LNK文件執行的命令。

  而在跟蹤藍寶菇的攻擊活動中,該組織投放的LNK文件在目標路徑字元串前面填充了大量的空字元,直接查看無法明確其執行的內容,需要解析LNK文件結構穫取。

  (三)利用新的系統文件格式特性

  2018年6月,國外安全研究人員公開了利用Windows 10下才被引入的新文件類型“.SettingContent-ms”執行任意命令的攻擊技巧,並公開了POC。而該新型攻擊方式被公開後就立刻被駭客和APT組織納入攻擊武器庫用於針對性攻擊,並衍生出各種利用方式:誘導執行、利用Office文檔執行、利用PDF文檔執行。

  2018年8月14日,微軟發佈了針對該缺陷的系統補丁,對應的漏洞編號為CVE-2018-8414。360威脅情報中心隨後發佈了利用該攻擊技術的相關報告,並發現疑似摩訶草和Darkhydrus組織使用該技術的攻擊樣本。

  (四)利用舊的技術實現攻擊

  一些被認為陳舊而古老的文檔特性可以被實現並用於攻擊,360威脅情報中心在下半年就針對利用Excel 4.0宏傳播商業遠控木馬的在野攻擊樣本進行了分析。

  該技術最早是於2018年10月6日由國外安全廠商Outflank的安全研究人員首次公開,並展示了使用Excel 4.0宏執行ShellCode的利用代碼。Excel 4.0宏是一個很古老的宏技術,微軟在後續使用VBA替換了該特性,但從利用效果和隱蔽性上依然能夠達到不錯的效果。

  從上述總結的多樣化的攻擊投放方式來看,攻擊者似乎在不斷嘗試發現在郵件或終端側偵測所覆蓋的文件類型下的薄弱環節,從而逃避或繞過偵測。

  二、0day 漏洞和在野利用攻擊

  0day漏洞一直是作為APT組織實施攻擊所依賴的技術制高點,在這裡我們回顧下2018年下半年主要的0day漏洞和相關APT組織使用0day漏洞實施的在野利用攻擊活動。

  所謂0day漏洞的在野利用,一般是攻擊活動被捕穫時,發現其利用了某些0day漏洞(攻擊活動與攻擊樣本分析本身也是0day漏洞發現的重要方法之一)。而在有能力挖掘和利用0day漏洞的組織中,APT組織首當其衝。

  在2018年全球各安全機構發佈的APT研究報告中,0day漏洞的在野利用成為安全圈最為關注的焦點之一。其中,僅2018年下半年,被安全機構披露的,被APT組織利用的0day漏洞就不少於8個。而在2018全年,360的各個安全團隊也先後透過在野利用研究,向微軟、Adobe等公司報告了5個 0day漏洞。

  360多個安全團隊在下半年再一次發現Flash 0day漏洞的在野攻擊樣本並穫得Adobe致謝,這是360今年第二次首先捕穫到Flash 0day漏洞的在野樣本並穫得致謝。

  三、APT 威脅活動歸屬面臨的挑戰

  APT威脅活動的歸屬分析一直是APT威脅分析中最為重要的一個環節,目前APT活動的歸屬分析,主要的判斷依據包括以下幾點:

  1)APT組織使用的惡意代碼特徵的相似度,如包含特有的元數據,互斥量,加密算法,簽名等等。

  2)APT組織歷史使用控制基礎設施的重疊,本質即pDNS和whois數據的重疊。

  3)APT組織使用的攻擊TTP。

  4)結合攻擊留下的線索中的地域和語言特徵,或攻擊針對的目標和意圖,推測其攻擊歸屬的APT組織。

  5)公開情報中涉及的歸屬判斷依據。

  但APT攻擊者會嘗試規避和隱藏攻擊活動中留下的與其角色相關的線索,或者透過false flag和模倣其他組織的特徵來迷惑分析人員。針對韓國平昌奧運會的攻擊組織Hades就是一個最好的說明。

  360威脅情報中心在下半年的兩篇分析報告中,就對活躍在南亞地區的多個APT組織間使用的TTP存在重疊。

  四、APT偵測及防禦

  隨著APT攻擊的日益猖獗,現有的APT防禦技術也面臨著非常大的挑戰。傳統的APT防護技術專注於從企業用戶自身流量和數據中透過沙箱或關聯分析等手段發現威脅。而由於企業網路防護系統缺少相關APT學習經驗,而且攻擊者的逃逸水平也在不斷的進步發展,本地設備會經常性的出現誤報和漏報現象,經常需要人工的二次分析進行篩選。而且由於APT攻擊的複雜性和背景的特殊性,僅依賴於單一企業的數據經常無法有效的發現APT攻擊背景,難以做到真正的追蹤溯源。360天眼則創新性的從互聯網數據進行發掘和分析,由於任何攻擊線索都會有相關聯的其他資訊被互聯網數據捕捉到,所以從互聯網進行挖掘可極大提升未知威脅和APT攻擊的檢出效率,而且由於數據的覆蓋面更大,可以做到攻擊的更精準溯源。

  360天眼系統幫助用戶發現和處置超過百餘起APT攻擊事件,包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠等APT安全事件,天眼系統服務的用戶超過300家,遍及20多個省份和直轄市,在公檢法、金融、政府部委、運營商、石油石化、電力、教育、醫療等行業都具有成功案例。

  五、APT 威脅的演變趨勢

  從2018年的APT威脅態勢來看,我們推測APT威脅活動的演變趨勢可能包括如下:

  1)APT組織可能發展成更加明確的組織化特點,例如小組化,各個攻擊小組可能針對特定行業實施攻擊並達到特定的攻擊目的,但其整體可能共享部分攻擊代碼或資源。

  2)APT組織在初期的攻擊嘗試和穫得初步控制權階段可能更傾向於使用開源或公開的攻擊工具或系統工具,對於高價值目標或維持長久性的控制才使用其自身特有的成熟的攻擊代碼。

  3)APT組織針對的目標行業可能進一步延伸到一些傳統行業或者和國家基礎建設相關的行業和機構,隨著這些行業逐漸的互聯化和智能化可能帶來的安全防禦上的弱點,以及其可能面臨的供應鏈攻擊。

  4)APT組織進一步加強0day漏洞能力的儲備,並且可能覆蓋多個平台,包括PC,伺服器,移動終端,路由器,甚至工控設備等。

 
新一代人臉識別技術即將問世 比Face ID還準? 並沒有放棄?沒有0元購傍身的斐訊現在如何了? PConline年度臻選“駭客級”路由 測360安全路由2 V4 手機丟了微信可怎麼辦?別怕官方給你出招了 好品質選得力?得力辦公真的“給力”嗎?

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品