“2018難過嗎？不好意思，2019你還得照樣過！”上班第一天，小趙的這句問候語算是真真切切地扎了心。這種感覺，就像是你花了三天時間灌的雞湯付之東流，2018年那些糟心回憶似乎又回來了。

在網(wǎng)絡(luò)安全領(lǐng)域2018年的糟心事兒的確也不少，這其中最屬APT攻擊讓人印象深刻。而最新發(fā)現(xiàn)的APT組織以及與之匹配的隱蔽攻擊手段似乎也在向各家網(wǎng)絡(luò)安全公司宣誓——我們2019再見！

APT高持續(xù)性威脅這個專業(yè)名詞源于2010年Google退華一事中的“極光攻擊”這起安全事件，各國安全專家對這類攻擊持續(xù)熱議后總結(jié)而得。在此之后APT攻擊與防護戰(zhàn)拉開帷幕，這一斗就是10年。顯然，這是場打不完的硬仗。

俗話說知己知彼才能百戰(zhàn)不殆，面對充滿挑戰(zhàn)的2019年，我們似乎應(yīng)該先從前一年的APT攻防戰(zhàn)中汲取經(jīng)驗。對此，宅客頻道在騰訊安全近日發(fā)布的《騰訊安全2018年高級持續(xù)性威脅（APT）研究報告》中扒了扒，并對2018年APT攻擊的詳細情況做了整理。

▲相關(guān)攻擊報告最多的幾個APT組織（只選取報告中有明確組織信息的）

APT攻擊集中在東亞、東南亞

隨著中國國際地位的不斷崛起，各種與中國有關(guān)的政治、經(jīng)濟、軍事、科技情報搜集對專業(yè)黑客組織有極大的吸引力，使中國成為全球APT攻擊的主要受害國之一，針對中國境內(nèi)的攻擊活動異常頻繁。針對被攻擊地區(qū)分布，相關(guān)的安全報告的統(tǒng)計如下（之選取報告中有明確的攻擊組織和對象）：

 

由此可以看出，無論是攻擊組織和攻擊報告數(shù)量，東亞和東南亞都遙遙領(lǐng)先于世界其他地區(qū)，是專業(yè)APT組織特別關(guān)注的敏感地域。而由于中東局勢的混亂，針對中東地區(qū)的APT攻擊和組織也相對較多。歐洲和北美則保持精英化的狀態(tài)，雖然攻擊組織不多，但是都是實力雄厚的攻擊組織。

隨著中國在全球化進程中影響力的不斷增長，中國政府、企業(yè)及民間機構(gòu)與世界各國聯(lián)系的不斷增強，中國已成為跨國APT組織的重點攻擊目標。中國也是世界上受APT攻擊最嚴重的國家的之一。

至2018年12月底，針對中國境內(nèi)目標發(fā)動攻擊的境內(nèi)外APT組織至少有7個，且均處于高度活躍狀態(tài)。下表列出部分攻擊組織的相關(guān)活動情況：

 

據(jù)統(tǒng)計，2018年，中國大陸受APT攻擊最多的地區(qū)是遼寧、北京和廣東，其次是湖南、四川、云南、江蘇、上海、浙江、福建等地（不含港澳臺地區(qū)））。

 

而從行業(yè)上的分布，政府部門依然是APT組織最為關(guān)注的目標，其次能源、通信、航空、軍工、核等基礎(chǔ)設(shè)施也是重要的攻擊目標。

 

近些年來，金融、貿(mào)易、科研機構(gòu)、媒體等行業(yè)也逐漸的被一些APT組織列為了攻擊目標。

5起重點攻擊矛頭直指中國

從上面可以看出，針對中國發(fā)起的APT攻擊最多，其采用的手段更是花樣繁多。在這里，我們整理了5起針對中國發(fā)起的重大APT攻擊事件，并對其進行了簡單分析。

1）海蓮花（OceanLotus、APT32）

海蓮花APT組織是一個長期針對中國及其他東亞、東南亞國家（地區(qū)）政府、科研機構(gòu)、海運企業(yè)等領(lǐng)域進行攻擊的APT組織。該組織也是針對中國境內(nèi)的最活躍的APT組織之一。2018年該組織多次對中國境內(nèi)的目標進行了攻擊。

海蓮花攻擊組織擅長使用魚叉攻擊和水坑攻擊，NSA的武器庫曝光后，同樣還使用了永恒系列漏洞進行了攻擊。除此，投遞的攻擊武器也是種類繁多，RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

·白加黑攻擊

白加黑攻擊是海蓮花組織常用的攻擊方式之一，該組織在今年的攻擊活動中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

 ·腳本攻擊

使用bat生成加密的js：

 

最終在內(nèi)存中調(diào)用loader類，加載最終的由CobaltStrike生成的beacon.dll木馬：

2）DarkHotel（黑店）

DarkHotel（黑店）是一個被認為來自韓國的APT組織（亦有研究團隊認為與朝鮮有關(guān)），該組織是近幾年來最活躍的APT組織之一，主要攻擊目標為電子行業(yè)、通信行業(yè)的企業(yè)高管及有關(guān)國家政要人物，其攻擊范圍遍布中國、朝鮮、日本、緬甸、俄羅斯等多個國家。

該組織技術(shù)實力深厚，在多次攻擊行動中都使用了0day進行攻擊，比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實力雄厚，為達目標，不惜代價。在2018年，該組織也多次針對中國的目標進行了攻擊活動，如針對中朝貿(mào)易公司的高管、香港某貿(mào)易公司高管等。

該組織的一大特色是喜歡把木馬隱藏在開源的代碼中進行偽裝，如putty、openssl、zlib等，把少量木馬代碼隱藏在大量的開源代碼中，從而實現(xiàn)躲避檢測的目的，因此將被稱為“寄生獸”。

注：2018年12月，大量機構(gòu)（其中不乏國家要害機構(gòu)）的內(nèi)部系統(tǒng)因采用的某開源代碼設(shè)計了一個界面彩蛋而引發(fā)嚴重風波，也證實許多機構(gòu)在使用開源代碼時，并未仔細進行代碼審計，從而有可能在引入的開源系統(tǒng)中，混入的有害代碼不被察覺。

針對幾次攻擊活動，披露詳情如下：

如使用msfte.dll和msTracer.dll，來進行持久性攻擊，并把下發(fā)的shellcode隱藏在圖片文件中：

 ▲DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之一

 ▲DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之二

同時通過下發(fā)插件的方式，完成相關(guān)的任務(wù)：

3）白象（摩訶草、Patchwork）

白象是一個來自于南亞地區(qū)的境外APT組織，組織主要針對中國、巴基斯坦等亞洲地區(qū)和國家的政府機構(gòu)、科研教育領(lǐng)域進行攻擊。部分基礎(chǔ)設(shè)施和代碼和蔓靈花、孔子重合，這幾個組織間疑似有千絲萬縷的關(guān)系。

該組織在2018年同樣多次對中國的多個目標進行了攻擊活動。該組織同樣使用魚叉攻擊，誘餌文檔帶有強烈的政治意味：

 ▲白象APT組織使用的誘餌文檔之一

 ▲白象APT組織使用的誘餌文檔之二

最終釋放的特馬為開源的Quasar RAT：

4）蔓靈花（BITTER）

蔓靈花APT組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織，該組織主要針對政府、軍工業(yè)、電力、核等單位進行攻擊，竊取敏感資料，具有強烈的政治背景。

2018年，該組織針對中國境內(nèi)多個目標的攻擊活動。該組織主要使用魚叉釣魚進行攻擊，投遞偽裝成word圖標的自解壓文件：

  

運行后，除了會執(zhí)行惡意文件外，還會打開一個doc文檔，用于迷惑用戶，讓用戶以為打開的文件就是一個doc文檔。誘餌文檔內(nèi)容極盡誘惑力：

 

最終會下發(fā)鍵盤記錄、上傳文件、遠控等插件，完成資料的竊取工作。

同時經(jīng)過關(guān)聯(lián)分析，我們還發(fā)現(xiàn)該組織疑似和白象、孔子（confucius）等組織也有千絲萬縷的關(guān)系。該組織的圖譜如下：

 

5）窮奇&藍寶菇

窮奇和藍寶菇疑似來自東亞某地區(qū)的攻擊組織，主要針對中國大陸的政府、軍事、核工業(yè)、科研等敏感機構(gòu)進行攻擊活動。該兩個組織之間使用的攻擊武器庫有部分重疊，以至于很長一段時間我們都認為是同一個組織。因此我們猜測，這兩個組織為同一攻擊團隊的兩個小組。

藍寶菇在2018年多次對中國大陸的目標進行了攻擊，包括上海進博會期間的攻擊。

 ▲藍寶菇APT組織使用的誘餌文檔之一

 ▲藍寶菇APT組織使用的誘餌文檔之二

最終的攻擊武器包括bfnet遠控、竊取文件的powershell腳本等。

披露新APT組織，2019攻防戰(zhàn)難度升級

2018年，各大網(wǎng)絡(luò)安全廠商不斷披露各類APT攻擊。其中，一些從未見過的新APT組織也逐漸浮出水面被大眾所熟知。這些APT組織輪番對中國境內(nèi)的政府、軍事、能源、科研、貿(mào)易、金融等機構(gòu)進行了攻擊。毫無疑問，這些“后起之秀”將成為各家網(wǎng)絡(luò)安全廠商在2019年的重點關(guān)注對象。

1）響尾蛇（SideWinder）

響尾蛇（SideWinder）APT攻擊組織是一個疑似來自印度的攻擊組織，主要針對巴基斯坦等南亞國家的軍事目標進行攻擊，該組織的攻擊活多最早可追溯到2012年。

某次攻擊活動的攻擊流程圖：

 

 

最終會收集相關(guān)計算機信息，發(fā)送給C&C服務(wù)器：

 

2）White Company

該組織針對巴基斯坦的空軍進行了代號為"沙欣行動"的APT攻擊活動，該行動和組織最早在2018年11月被cylance公司進行了披露。

該組織有極強的技術(shù)能力，還有完善的攻擊武器利用平臺，可以根據(jù)目標環(huán)境不同隨時研發(fā)客制化工具。

該組織所使用的惡意代碼能夠規(guī)避大多數(shù)主流殺毒軟件的檢測，包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外，在這場間諜活動中被使用的惡意軟件實現(xiàn)了至少五種不同的打包技術(shù)，為最終的有效載荷提供了極有效的保護。

3）WindShift

WindShift組織是一個針對中東地區(qū)的政府部門和關(guān)鍵基礎(chǔ)設(shè)施部門的特定工作人員進行攻擊的APT組織，該組織可利用自定義URL Scheme來遠程感染macOS目標。該組織最早在2018年8月的新加坡HITB GSEC會議上由Dark Matter LLC公司的安全研究員進行了披露。

該組織攻擊目標均位于所謂的海灣合作委員會（GCC）地區(qū)，即沙特阿拉伯，科威特，阿聯(lián)酋，卡塔爾，巴林和阿曼。這些目標被發(fā)送包含黑客運行的網(wǎng)站的鏈接的郵件。一旦目標點擊鏈接，且受害者進行了交互，則會下載被稱為 WindTale 和 WindTape 的惡意軟件并進行感染。

4）Gallmaker

Gallmaker組織是一個以政府、軍事、國防部門及東歐國家的海外使館為攻擊目標的APT組織，該組織至少自2017年12月開始運營，最近一次的活動在2018年6月。該組織在在2018年10月由賽門鐵克進行了曝光。

該組織最大的特點是使用公開的工具進行攻擊，因此來隱藏自己的身份。

如某次攻擊活動：

攻擊成功后，他們就會使用下列公開的攻擊工具：

WindowsRoamingToolsTask：用于調(diào)度PowerShell腳本和任務(wù)
Metasploit的“reverse_tcp”：通過PowerShell來下載該反向shell
WinZip控制臺的合法版本：創(chuàng)建一個任務(wù)來執(zhí)行命令并與C&C通信，它也可能用于存檔數(shù)據(jù)或者過濾新
Rex PowerShell庫：github上開源的庫，該庫幫助創(chuàng)建和操作PowerShell腳本，以便于Metasploit漏洞一起運行

5）Donot Team

Donot Team是針對巴基斯坦等南亞國家進行攻擊的APT組織，該組織最早在2018年3月由NetScout公司的ASERT團隊進行了披露。

該組織采用魚叉攻擊進行攻擊，并且該組織有成熟的惡意代碼框架EHDevel和yty，目前已經(jīng)至少已經(jīng)更新到了4.0版本：

6）Gorgon Group

Gorgon Group是一個被認為來自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團隊進行了披露。和其他組織不同的是，該組織最常見的攻擊是針對全球的外貿(mào)人士進行攻擊，該組織還發(fā)現(xiàn)針對英國、西班牙、俄羅斯、美國等政府目標發(fā)起了攻擊。

針對撒網(wǎng)式的外貿(mào)目標，主要的文件名包括：

SWIFT {日期}.doc
SWIFT COPY.doc
PURCHASE ORDER {隨機數(shù)}.doc
DHL_RECEIPT {隨機數(shù)}.doc
SHIPPING RECEIPT {日期}.doc
Payment Detail.doc 等

而所用的武器庫均為一些商用的RAT，包括：

Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT等

而針對政府的定向攻擊，主要使用一些政治意味強的文件名，如

Rigging in Pakistan Senate.doc
Raw Sect Vikram report on Pak Army Confidential.doc
Afghan Terrorist group report.doc等

 

正所謂道高一尺魔高一丈，2018年針對中國的APT攻擊事件層出不窮，2019年國內(nèi)網(wǎng)絡(luò)安全廠商即將面臨的更是新APT組織以及更為隱蔽的APT攻擊手段。那么，身為普通人的我們要如何盡可能避免遭受到APT攻擊呢？

這里有四條建議可以參考：

1、各大機關(guān)和企業(yè)，以及個人用戶，及時修補系統(tǒng)補丁和重要軟件的補丁；

2、提升安全意識，不要打開來歷不明的郵件的附件；除非文檔來源可靠，用途明確，否則不要輕易啟用Office的宏代碼。

3、使用殺毒軟件防御可能得病毒木馬攻擊，對于企業(yè)用戶，使用內(nèi)置全網(wǎng)漏洞修復和病毒防御功能的終端安全管理系統(tǒng)；

4、使用高級威脅檢測系統(tǒng)及時發(fā)現(xiàn)相關(guān)APT攻擊，盡早采取措施。

文章來自《騰訊安全2018年高級持續(xù)性威脅（APT）研究報告》，雷鋒網(wǎng)宅客頻道編輯。雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。