2018全球APT年度报告：79个国家和地区受影响

近日，360威胁情报中心发布了《全球高级持续性威胁（APT）2018年报告》（以下简称报告），揭示了过去一年全球APT发展态势。
在所有网络攻击活动中，APT攻击能够对行业、企业和机构造成更严重的影响，并且更加难于发现和防御，APT攻击的背后是APT组织和网络犯罪组织。
2018年1- 12月，360威胁情报中心共监测到全球99个专业机构（含媒体）发布的各类APT研究报告478份，涉及相关威胁来源109个，其中APT组织53个（只统计了有明确编号或名称的APT组织），涉及被攻击目标国家和地区79个。
报告显示，政府、外交、军队、国防依然是 APT 攻击者的主要目标，能源、电力、医疗、工业等国家基础设施性行业也正面临着APT攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁，如MageCart、Cobalt Group等等，其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击，这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外，电子商务、在线零售等也是其攻击目标。

高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公开报告中提到的受害目标所属国家或地域），可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称，并对同一背景来源进行归类处理后的统计情况如下，总共涉及109个命名的威胁来源命名。基于全年公开披露报告的数量统计，一定程度可以反映威胁攻击的活跃程度。

从上述威胁来源命名中，我们认为明确的APT组织数量有53个。
其中，明确的针对中国境内实施攻击活动的，并且依旧活跃的公开APT 组织，包括海莲花，摩诃草，蔓灵花，Darkhotel，Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的APT组织。
APT攻防的现状和趋势
2018年，APT威胁的攻防双方处于白热化的博弈当中。作为APT防御的安全厂商比往年更加频繁的跟踪和曝光APT组织的攻击活动，其中包括新的APT组织或APT行动，更新的APT攻击武器和在野漏洞的利用。而APT威胁组织也不再局限于其过去固有的攻击模式和武器，APT组织不仅需要达到最终的攻击效果，还刻意避免被防御方根据留下的痕迹和特征追溯到其组织身份。
一、多样化的攻击投放方式
（一）  文档投放的形式多样化
在过去的APT威胁或者网络攻击活动中，利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式，通常投放的文档大多为Office文档类型，如doc、docx，xls，xlsx。
针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷，例如针对韩国人员投放HWP文档，针对巴基斯坦地区投放InPage文档，或者针对工程建筑行业人员投放恶意的AutoCAD文档等等。
（二）  利用文件格式的限制
APT攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以LNK文件为例，LNK文件显示的目标执行路径仅260个字节，多余的字符将被截断，可以直接查看LNK文件执行的命令。
而在跟踪蓝宝菇的攻击活动中，该组织投放的LNK文件在目标路径字符串前面填充了大量的空字符，直接查看无法明确其执行的内容，需要解析LNK文件结构获取。

（三） 利用新的系统文件格式特性
2018年6月，国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧，并公开了POC。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击，并衍生出各种利用方式：诱导执行、利用Office文档执行、利用PDF文档执行。
2018年8月14日，微软发布了针对该缺陷的系统补丁，对应的漏洞编号为CVE-2018-8414。360威胁情报中心随后发布了利用该攻击技术的相关报告，并发现疑似摩诃草和Darkhydrus组织使用该技术的攻击样本。
（四）  利用旧的技术实现攻击
一些被认为陈旧而古老的文档特性可以被实现并用于攻击，360威胁情报中心在下半年就针对利用Excel 4.0宏传播商业远控木马的在野攻击样本进行了分析。
该技术最早是于2018年10月6日由国外安全厂商Outflank的安全研究人员首次公开，并展示了使用Excel 4.0宏执行ShellCode的利用代码。Excel 4.0宏是一个很古老的宏技术，微软在后续使用VBA替换了该特性，但从利用效果和隐蔽性上依然能够达到不错的效果。
从上述总结的多样化的攻击投放方式来看，攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节，从而逃避或绕过检测。
二、0day 漏洞和在野利用攻击
0day漏洞一直是作为APT组织实施攻击所依赖的技术制高点，在这里我们回顾下2018年下半年主要的0day漏洞和相关APT组织使用0day漏洞实施的在野利用攻击活动。
所谓0day漏洞的在野利用，一般是攻击活动被捕获时，发现其利用了某些0day漏洞（攻击活动与攻击样本分析本身也是0day漏洞发现的重要方法之一）。而在有能力挖掘和利用0day漏洞的组织中，APT组织首当其冲。
在2018年全球各安全机构发布的APT研究报告中，0day漏洞的在野利用成为安全圈最为关注的焦点之一。其中，仅2018年下半年，被安全机构披露的，被APT组织利用的0day漏洞就不少于8个。而在2018全年，360的各个安全团队也先后通过在野利用研究，向微软、Adobe等公司报告了5个 0day漏洞。

[1] [2]  下一页

近日，360威胁情报中心发布了《全球高级持续性威胁（APT）2018年报告》（以下简称报告），揭示了过去一年全球APT发展态势。
在所有网络攻击活动中，APT攻击能够对行业、企业和机构造成更严重的影响，并且更加难于发现和防御，APT攻击的背后是APT组织和网络犯罪组织。
2018年1- 12月，360威胁情报中心共监测到全球99个专业机构（含媒体）发布的各类APT研究报告478份，涉及相关威胁来源109个，其中APT组织53个（只统计了有明确编号或名称的APT组织），涉及被攻击目标国家和地区79个。
报告显示，政府、外交、军队、国防依然是 APT 攻击者的主要目标，能源、电力、医疗、工业等国家基础设施性行业也正面临着APT攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁，如MageCart、Cobalt Group等等，其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击，这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外，电子商务、在线零售等也是其攻击目标。

高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公开报告中提到的受害目标所属国家或地域），可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称，并对同一背景来源进行归类处理后的统计情况如下，总共涉及109个命名的威胁来源命名。基于全年公开披露报告的数量统计，一定程度可以反映威胁攻击的活跃程度。

从上述威胁来源命名中，我们认为明确的APT组织数量有53个。
其中，明确的针对中国境内实施攻击活动的，并且依旧活跃的公开APT 组织，包括海莲花，摩诃草，蔓灵花，Darkhotel，Group 123，毒云藤和蓝宝菇，其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的APT组织。
APT攻防的现状和趋势
2018年，APT威胁的攻防双方处于白热化的博弈当中。作为APT防御的安全厂商比往年更加频繁的跟踪和曝光APT组织的攻击活动，其中包括新的APT组织或APT行动，更新的APT攻击武器和在野漏洞的利用。而APT威胁组织也不再局限于其过去固有的攻击模式和武器，APT组织不仅需要达到最终的攻击效果，还刻意避免被防御方根据留下的痕迹和特征追溯到其组织身份。
一、多样化的攻击投放方式
（一）  文档投放的形式多样化
在过去的APT威胁或者网络攻击活动中，利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式，通常投放的文档大多为Office文档类型，如doc、docx，xls，xlsx。
针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷，例如针对韩国人员投放HWP文档，针对巴基斯坦地区投放InPage文档，或者针对工程建筑行业人员投放恶意的AutoCAD文档等等。
（二）  利用文件格式的限制
APT攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以LNK文件为例，LNK文件显示的目标执行路径仅260个字节，多余的字符将被截断，可以直接查看LNK文件执行的命令。
而在跟踪蓝宝菇的攻击活动中，该组织投放的LNK文件在目标路径字符串前面填充了大量的空字符，直接查看无法明确其执行的内容，需要解析LNK文件结构获取。 内容来自无奈安全网

（三） 利用新的系统文件格式特性
2018年6月，国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧，并公开了POC。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击，并衍生出各种利用方式：诱导执行、利用Office文档执行、利用PDF文档执行。
2018年8月14日，微软发布了针对该缺陷的系统补丁，对应的漏洞编号为CVE-2018-8414。360威胁情报中心随后发布了利用该攻击技术的相关报告，并发现疑似摩诃草和Darkhydrus组织使用该技术的攻击样本。
（四）  利用旧的技术实现攻击
一些被认为陈旧而古老的文档特性可以被实现并用于攻击，360威胁情报中心在下半年就针对利用Excel 4.0宏传播商业远控木马的在野攻击样本进行了分析。
该技术最早是于2018年10月6日由国外安全厂商Outflank的安全研究人员首次公开，并展示了使用Excel 4.0宏执行ShellCode的利用代码。Excel 4.0宏是一个很古老的宏技术，微软在后续使用VBA替换了该特性，但从利用效果和隐蔽性上依然能够达到不错的效果。
从上述总结的多样化的攻击投放方式来看，攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节，从而逃避或绕过检测。
二、0day 漏洞和在野利用攻击
0day漏洞一直是作为APT组织实施攻击所依赖的技术制高点，在这里我们回顾下2018年下半年主要的0day漏洞和相关APT组织使用0day漏洞实施的在野利用攻击活动。
所谓0day漏洞的在野利用，一般是攻击活动被捕获时，发现其利用了某些0day漏洞（攻击活动与攻击样本分析本身也是0day漏洞发现的重要方法之一）。而在有能力挖掘和利用0day漏洞的组织中，APT组织首当其冲。
在2018年全球各安全机构发布的APT研究报告中，0day漏洞的在野利用成为安全圈最为关注的焦点之一。其中，仅2018年下半年，被安全机构披露的，被APT组织利用的0day漏洞就不少于8个。而在2018全年，360的各个安全团队也先后通过在野利用研究，向微软、Adobe等公司报告了5个 0day漏洞。

copyright 无奈人生

[1] [2]  下一页 内容来自无奈安全网

。 (责任编辑：admin)