“2018難過(guò)嗎？不好意思，2019你還得照樣過(guò)！”上班第一天，小趙的這句問(wèn)候語(yǔ)算是真真切切地扎了心。這種感覺，就像是你花了三天時(shí)間灌的雞湯付之東流，2018年那些糟心回憶似乎又回來(lái)了。

在網(wǎng)絡(luò)安全領(lǐng)域2018年的糟心事兒的確也不少，這其中最屬APT攻擊讓人印象深刻。而最新發(fā)現(xiàn)的APT組織以及與之匹配的隱蔽攻擊手段似乎也在向各家網(wǎng)絡(luò)安全公司宣誓——我們2019再見！

APT高持續(xù)性威脅這個(gè)專業(yè)名詞源于2010年Google退華一事中的“極光攻擊”這起安全事件，各國(guó)安全專家對(duì)這類攻擊持續(xù)熱議后總結(jié)而得。在此之后APT攻擊與防護(hù)戰(zhàn)拉開帷幕，這一斗就是10年。顯然，這是場(chǎng)打不完的硬仗。

俗話說(shuō)知己知彼才能百戰(zhàn)不殆，面對(duì)充滿挑戰(zhàn)的2019年，我們似乎應(yīng)該先從前一年的APT攻防戰(zhàn)中汲取經(jīng)驗(yàn)。對(duì)此，宅客頻道在騰訊安全近日發(fā)布的《騰訊安全2018年高級(jí)持續(xù)性威脅（APT）研究報(bào)告》中扒了扒，并對(duì)2018年APT攻擊的詳細(xì)情況做了整理。

▲相關(guān)攻擊報(bào)告最多的幾個(gè)APT組織（只選取報(bào)告中有明確組織信息的）

APT攻擊集中在東亞、東南亞

隨著中國(guó)國(guó)際地位的不斷崛起，各種與中國(guó)有關(guān)的政治、經(jīng)濟(jì)、軍事、科技情報(bào)搜集對(duì)專業(yè)黑客組織有極大的吸引力，使中國(guó)成為全球APT攻擊的主要受害國(guó)之一，針對(duì)中國(guó)境內(nèi)的攻擊活動(dòng)異常頻繁。針對(duì)被攻擊地區(qū)分布，相關(guān)的安全報(bào)告的統(tǒng)計(jì)如下（之選取報(bào)告中有明確的攻擊組織和對(duì)象）：

 

由此可以看出，無(wú)論是攻擊組織和攻擊報(bào)告數(shù)量，東亞和東南亞都遙遙領(lǐng)先于世界其他地區(qū)，是專業(yè)APT組織特別關(guān)注的敏感地域。而由于中東局勢(shì)的混亂，針對(duì)中東地區(qū)的APT攻擊和組織也相對(duì)較多。歐洲和北美則保持精英化的狀態(tài)，雖然攻擊組織不多，但是都是實(shí)力雄厚的攻擊組織。

隨著中國(guó)在全球化進(jìn)程中影響力的不斷增長(zhǎng)，中國(guó)政府、企業(yè)及民間機(jī)構(gòu)與世界各國(guó)聯(lián)系的不斷增強(qiáng)，中國(guó)已成為跨國(guó)APT組織的重點(diǎn)攻擊目標(biāo)。中國(guó)也是世界上受APT攻擊最嚴(yán)重的國(guó)家的之一。

至2018年12月底，針對(duì)中國(guó)境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的境內(nèi)外APT組織至少有7個(gè)，且均處于高度活躍狀態(tài)。下表列出部分攻擊組織的相關(guān)活動(dòng)情況：

 

據(jù)統(tǒng)計(jì)，2018年，中國(guó)大陸受APT攻擊最多的地區(qū)是遼寧、北京和廣東，其次是湖南、四川、云南、江蘇、上海、浙江、福建等地（不含港澳臺(tái)地區(qū)））。

 

而從行業(yè)上的分布，政府部門依然是APT組織最為關(guān)注的目標(biāo)，其次能源、通信、航空、軍工、核等基礎(chǔ)設(shè)施也是重要的攻擊目標(biāo)。

 

近些年來(lái)，金融、貿(mào)易、科研機(jī)構(gòu)、媒體等行業(yè)也逐漸的被一些APT組織列為了攻擊目標(biāo)。

5起重點(diǎn)攻擊矛頭直指中國(guó)

從上面可以看出，針對(duì)中國(guó)發(fā)起的APT攻擊最多，其采用的手段更是花樣繁多。在這里，我們整理了5起針對(duì)中國(guó)發(fā)起的重大APT攻擊事件，并對(duì)其進(jìn)行了簡(jiǎn)單分析。

1）海蓮花（OceanLotus、APT32）

海蓮花APT組織是一個(gè)長(zhǎng)期針對(duì)中國(guó)及其他東亞、東南亞國(guó)家（地區(qū)）政府、科研機(jī)構(gòu)、海運(yùn)企業(yè)等領(lǐng)域進(jìn)行攻擊的APT組織。該組織也是針對(duì)中國(guó)境內(nèi)的最活躍的APT組織之一。2018年該組織多次對(duì)中國(guó)境內(nèi)的目標(biāo)進(jìn)行了攻擊。

海蓮花攻擊組織擅長(zhǎng)使用魚叉攻擊和水坑攻擊，NSA的武器庫(kù)曝光后，同樣還使用了永恒系列漏洞進(jìn)行了攻擊。除此，投遞的攻擊武器也是種類繁多，RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

·白加黑攻擊

白加黑攻擊是海蓮花組織常用的攻擊方式之一，該組織在今年的攻擊活動(dòng)中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

 ·腳本攻擊

使用bat生成加密的js：

 

最終在內(nèi)存中調(diào)用loader類，加載最終的由CobaltStrike生成的beacon.dll木馬：

2）DarkHotel（黑店）

DarkHotel（黑店）是一個(gè)被認(rèn)為來(lái)自韓國(guó)的APT組織（亦有研究團(tuán)隊(duì)認(rèn)為與朝鮮有關(guān)），該組織是近幾年來(lái)最活躍的APT組織之一，主要攻擊目標(biāo)為電子行業(yè)、通信行業(yè)的企業(yè)高管及有關(guān)國(guó)家政要人物，其攻擊范圍遍布中國(guó)、朝鮮、日本、緬甸、俄羅斯等多個(gè)國(guó)家。

該組織技術(shù)實(shí)力深厚，在多次攻擊行動(dòng)中都使用了0day進(jìn)行攻擊，比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實(shí)力雄厚，為達(dá)目標(biāo)，不惜代價(jià)。在2018年，該組織也多次針對(duì)中國(guó)的目標(biāo)進(jìn)行了攻擊活動(dòng)，如針對(duì)中朝貿(mào)易公司的高管、香港某貿(mào)易公司高管等。

該組織的一大特色是喜歡把木馬隱藏在開源的代碼中進(jìn)行偽裝，如putty、openssl、zlib等，把少量木馬代碼隱藏在大量的開源代碼中，從而實(shí)現(xiàn)躲避檢測(cè)的目的，因此將被稱為“寄生獸”。

注：2018年12月，大量機(jī)構(gòu)（其中不乏國(guó)家要害機(jī)構(gòu)）的內(nèi)部系統(tǒng)因采用的某開源代碼設(shè)計(jì)了一個(gè)界面彩蛋而引發(fā)嚴(yán)重風(fēng)波，也證實(shí)許多機(jī)構(gòu)在使用開源代碼時(shí)，并未仔細(xì)進(jìn)行代碼審計(jì)，從而有可能在引入的開源系統(tǒng)中，混入的有害代碼不被察覺。

針對(duì)幾次攻擊活動(dòng)，披露詳情如下：

如使用msfte.dll和msTracer.dll，來(lái)進(jìn)行持久性攻擊，并把下發(fā)的shellcode隱藏在圖片文件中：

 ▲DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之一

 ▲DarkHotel（黑店）APT組織用于隱藏惡意代碼的圖片之二

同時(shí)通過(guò)下發(fā)插件的方式，完成相關(guān)的任務(wù)：

3）白象（摩訶草、Patchwork）

白象是一個(gè)來(lái)自于南亞地區(qū)的境外APT組織，組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)和國(guó)家的政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊。部分基礎(chǔ)設(shè)施和代碼和蔓靈花、孔子重合，這幾個(gè)組織間疑似有千絲萬(wàn)縷的關(guān)系。

該組織在2018年同樣多次對(duì)中國(guó)的多個(gè)目標(biāo)進(jìn)行了攻擊活動(dòng)。該組織同樣使用魚叉攻擊，誘餌文檔帶有強(qiáng)烈的政治意味：

 ▲白象APT組織使用的誘餌文檔之一

 ▲白象APT組織使用的誘餌文檔之二

最終釋放的特馬為開源的Quasar RAT：

4）蔓靈花（BITTER）

蔓靈花APT組織是一個(gè)長(zhǎng)期針對(duì)中國(guó)、巴基斯坦等國(guó)家進(jìn)行攻擊活動(dòng)的APT組織，該組織主要針對(duì)政府、軍工業(yè)、電力、核等單位進(jìn)行攻擊，竊取敏感資料，具有強(qiáng)烈的政治背景。

2018年，該組織針對(duì)中國(guó)境內(nèi)多個(gè)目標(biāo)的攻擊活動(dòng)。該組織主要使用魚叉釣魚進(jìn)行攻擊，投遞偽裝成word圖標(biāo)的自解壓文件：

  

運(yùn)行后，除了會(huì)執(zhí)行惡意文件外，還會(huì)打開一個(gè)doc文檔，用于迷惑用戶，讓用戶以為打開的文件就是一個(gè)doc文檔。誘餌文檔內(nèi)容極盡誘惑力：

 

最終會(huì)下發(fā)鍵盤記錄、上傳文件、遠(yuǎn)控等插件，完成資料的竊取工作。

同時(shí)經(jīng)過(guò)關(guān)聯(lián)分析，我們還發(fā)現(xiàn)該組織疑似和白象、孔子（confucius）等組織也有千絲萬(wàn)縷的關(guān)系。該組織的圖譜如下：

 

5）窮奇&藍(lán)寶菇

窮奇和藍(lán)寶菇疑似來(lái)自東亞某地區(qū)的攻擊組織，主要針對(duì)中國(guó)大陸的政府、軍事、核工業(yè)、科研等敏感機(jī)構(gòu)進(jìn)行攻擊活動(dòng)。該兩個(gè)組織之間使用的攻擊武器庫(kù)有部分重疊，以至于很長(zhǎng)一段時(shí)間我們都認(rèn)為是同一個(gè)組織。因此我們猜測(cè)，這兩個(gè)組織為同一攻擊團(tuán)隊(duì)的兩個(gè)小組。

藍(lán)寶菇在2018年多次對(duì)中國(guó)大陸的目標(biāo)進(jìn)行了攻擊，包括上海進(jìn)博會(huì)期間的攻擊。

 ▲藍(lán)寶菇APT組織使用的誘餌文檔之一

 ▲藍(lán)寶菇APT組織使用的誘餌文檔之二

最終的攻擊武器包括bfnet遠(yuǎn)控、竊取文件的powershell腳本等。

披露新APT組織，2019攻防戰(zhàn)難度升級(jí)

2018年，各大網(wǎng)絡(luò)安全廠商不斷披露各類APT攻擊。其中，一些從未見過(guò)的新APT組織也逐漸浮出水面被大眾所熟知。這些APT組織輪番對(duì)中國(guó)境內(nèi)的政府、軍事、能源、科研、貿(mào)易、金融等機(jī)構(gòu)進(jìn)行了攻擊。毫無(wú)疑問(wèn)，這些“后起之秀”將成為各家網(wǎng)絡(luò)安全廠商在2019年的重點(diǎn)關(guān)注對(duì)象。

1）響尾蛇（SideWinder）

響尾蛇（SideWinder）APT攻擊組織是一個(gè)疑似來(lái)自印度的攻擊組織，主要針對(duì)巴基斯坦等南亞國(guó)家的軍事目標(biāo)進(jìn)行攻擊，該組織的攻擊活多最早可追溯到2012年。

某次攻擊活動(dòng)的攻擊流程圖：

 

 

最終會(huì)收集相關(guān)計(jì)算機(jī)信息，發(fā)送給C&C服務(wù)器：

 

2）White Company

該組織針對(duì)巴基斯坦的空軍進(jìn)行了代號(hào)為"沙欣行動(dòng)"的APT攻擊活動(dòng)，該行動(dòng)和組織最早在2018年11月被cylance公司進(jìn)行了披露。

該組織有極強(qiáng)的技術(shù)能力，還有完善的攻擊武器利用平臺(tái)，可以根據(jù)目標(biāo)環(huán)境不同隨時(shí)研發(fā)客制化工具。

該組織所使用的惡意代碼能夠規(guī)避大多數(shù)主流殺毒軟件的檢測(cè)，包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外，在這場(chǎng)間諜活動(dòng)中被使用的惡意軟件實(shí)現(xiàn)了至少五種不同的打包技術(shù)，為最終的有效載荷提供了極有效的保護(hù)。

3）WindShift

WindShift組織是一個(gè)針對(duì)中東地區(qū)的政府部門和關(guān)鍵基礎(chǔ)設(shè)施部門的特定工作人員進(jìn)行攻擊的APT組織，該組織可利用自定義URL Scheme來(lái)遠(yuǎn)程感染macOS目標(biāo)。該組織最早在2018年8月的新加坡HITB GSEC會(huì)議上由Dark Matter LLC公司的安全研究員進(jìn)行了披露。

該組織攻擊目標(biāo)均位于所謂的海灣合作委員會(huì)（GCC）地區(qū)，即沙特阿拉伯，科威特，阿聯(lián)酋，卡塔爾，巴林和阿曼。這些目標(biāo)被發(fā)送包含黑客運(yùn)行的網(wǎng)站的鏈接的郵件。一旦目標(biāo)點(diǎn)擊鏈接，且受害者進(jìn)行了交互，則會(huì)下載被稱為 WindTale 和 WindTape 的惡意軟件并進(jìn)行感染。

4）Gallmaker

Gallmaker組織是一個(gè)以政府、軍事、國(guó)防部門及東歐國(guó)家的海外使館為攻擊目標(biāo)的APT組織，該組織至少自2017年12月開始運(yùn)營(yíng)，最近一次的活動(dòng)在2018年6月。該組織在在2018年10月由賽門鐵克進(jìn)行了曝光。

該組織最大的特點(diǎn)是使用公開的工具進(jìn)行攻擊，因此來(lái)隱藏自己的身份。

如某次攻擊活動(dòng)：

攻擊成功后，他們就會(huì)使用下列公開的攻擊工具：

WindowsRoamingToolsTask：用于調(diào)度PowerShell腳本和任務(wù)
Metasploit的“reverse_tcp”：通過(guò)PowerShell來(lái)下載該反向shell
WinZip控制臺(tái)的合法版本：創(chuàng)建一個(gè)任務(wù)來(lái)執(zhí)行命令并與C&C通信，它也可能用于存檔數(shù)據(jù)或者過(guò)濾新
Rex PowerShell庫(kù)：github上開源的庫(kù)，該庫(kù)幫助創(chuàng)建和操作PowerShell腳本，以便于Metasploit漏洞一起運(yùn)行

5）Donot Team

Donot Team是針對(duì)巴基斯坦等南亞國(guó)家進(jìn)行攻擊的APT組織，該組織最早在2018年3月由NetScout公司的ASERT團(tuán)隊(duì)進(jìn)行了披露。

該組織采用魚叉攻擊進(jìn)行攻擊，并且該組織有成熟的惡意代碼框架EHDevel和yty，目前已經(jīng)至少已經(jīng)更新到了4.0版本：

6）Gorgon Group

Gorgon Group是一個(gè)被認(rèn)為來(lái)自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團(tuán)隊(duì)進(jìn)行了披露。和其他組織不同的是，該組織最常見的攻擊是針對(duì)全球的外貿(mào)人士進(jìn)行攻擊，該組織還發(fā)現(xiàn)針對(duì)英國(guó)、西班牙、俄羅斯、美國(guó)等政府目標(biāo)發(fā)起了攻擊。

針對(duì)撒網(wǎng)式的外貿(mào)目標(biāo)，主要的文件名包括：

SWIFT {日期}.doc
SWIFT COPY.doc
PURCHASE ORDER {隨機(jī)數(shù)}.doc
DHL_RECEIPT {隨機(jī)數(shù)}.doc
SHIPPING RECEIPT {日期}.doc
Payment Detail.doc 等

而所用的武器庫(kù)均為一些商用的RAT，包括：

Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT等

而針對(duì)政府的定向攻擊，主要使用一些政治意味強(qiáng)的文件名，如

Rigging in Pakistan Senate.doc
Raw Sect Vikram report on Pak Army Confidential.doc
Afghan Terrorist group report.doc等

 

正所謂道高一尺魔高一丈，2018年針對(duì)中國(guó)的APT攻擊事件層出不窮，2019年國(guó)內(nèi)網(wǎng)絡(luò)安全廠商即將面臨的更是新APT組織以及更為隱蔽的APT攻擊手段。那么，身為普通人的我們要如何盡可能避免遭受到APT攻擊呢？

這里有四條建議可以參考：

1、各大機(jī)關(guān)和企業(yè)，以及個(gè)人用戶，及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)??；

2、提升安全意識(shí)，不要打開來(lái)歷不明的郵件的附件；除非文檔來(lái)源可靠，用途明確，否則不要輕易啟用Office的宏代碼。

3、使用殺毒軟件防御可能得病毒木馬攻擊，對(duì)于企業(yè)用戶，使用內(nèi)置全網(wǎng)漏洞修復(fù)和病毒防御功能的終端安全管理系統(tǒng)；

4、使用高級(jí)威脅檢測(cè)系統(tǒng)及時(shí)發(fā)現(xiàn)相關(guān)APT攻擊，盡早采取措施。

文章來(lái)自《騰訊安全2018年高級(jí)持續(xù)性威脅（APT）研究報(bào)告》，雷鋒網(wǎng)宅客頻道編輯。雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome），專注先鋒科技，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。