1月5日，雷鋒網(wǎng)報(bào)道，一波黑客干了一票大的，直接將德國(guó)政界人士、記者和大批名人一鍋端，這些有頭有臉人物的個(gè)人信息被放在 Twitter 上供眾人“欣賞”，其中就包括德國(guó)總理默克爾。

你以為這些黑客已經(jīng)足夠大膽，敢正面剛上政界人員和知名人士？

不，他們可能還是小兒科，有一些更加膽大包天的黑客在過(guò)去一年中沖擊著79個(gè)國(guó)家核地區(qū)的   政府、外交、軍隊(duì)和國(guó)防，對(duì)，編輯說(shuō)的就是高級(jí)持續(xù)性威脅（APT）。

除了這些傳統(tǒng)目標(biāo)，雷鋒網(wǎng)還了解到，能源、電力、醫(yī)療、工業(yè)等國(guó)家基礎(chǔ)設(shè)施性行業(yè)也正面臨著APT攻擊的風(fēng)險(xiǎn)。而金融行業(yè)主要面臨一些成熟的網(wǎng)絡(luò)犯罪團(tuán)伙的攻擊威脅，如MageCart、Cobalt Group等等，其組織化的成員結(jié)構(gòu)和成熟的攻擊工具實(shí)現(xiàn)對(duì)目標(biāo)行業(yè)的規(guī)模化攻擊，這與過(guò)去的普通黑客攻擊是完全不同的。除了針對(duì)金融、銀行外，電子商務(wù)、在線零售等也是其攻擊目標(biāo)。

最近，雷鋒網(wǎng)從360威脅情報(bào)中心發(fā)布的《全球高級(jí)持續(xù)性威脅（APT）2018年報(bào)告》（以下簡(jiǎn)稱報(bào)告）中，還發(fā)現(xiàn)了更多的料。

1.高級(jí)威脅攻擊活動(dòng)幾乎覆蓋了全球絕大部分國(guó)家和區(qū)域

中國(guó)并不是這些黑客的唯一目標(biāo)，你可以看到，韓國(guó)、中東、美國(guó)等兄弟的日子也不好過(guò)。

2.膽大包天的黑客組織還挺多，有名有姓的就有53個(gè)

進(jìn)一步對(duì)公開報(bào)告中高級(jí)威脅活動(dòng)中命名的攻擊行動(dòng)名稱、攻擊者名稱，并對(duì)同一背景來(lái)源進(jìn)行歸類處理后的統(tǒng)計(jì)情況如下，總共涉及109個(gè)命名的威脅來(lái)源命名?；谌旯_披露報(bào)告的數(shù)量統(tǒng)計(jì)，一定程度可以反映威脅攻擊的活躍程度。

從上述威脅來(lái)源命名中，360威脅情報(bào)中心認(rèn)為，明確的APT組織數(shù)量有53個(gè)。

其中，明確的針對(duì)中國(guó)境內(nèi)實(shí)施攻擊活動(dòng)的，并且依舊活躍的公開APT 組織，包括海蓮花、摩訶草、蔓靈花、Darkhotel、Group 123、毒云藤和藍(lán)寶菇。

3.手段更多樣，喪心病狂地利用在野漏洞

• 文檔投放的形式多樣化

在過(guò)去的APT威脅或者網(wǎng)絡(luò)攻擊活動(dòng)中，利用郵件投遞惡意的文檔類載荷是非常常見的一種攻擊方式，通常投放的文檔大多為Office文檔類型，如doc、docx，xls，xlsx。

針對(duì)特定地區(qū)、特定語(yǔ)言或者特定行業(yè)的目標(biāo)人員攻擊者可能投放一些其他的文檔類型載荷，例如針對(duì)韓國(guó)人員投放HWP文檔，針對(duì)巴基斯坦地區(qū)投放InPage文檔，或者針對(duì)工程建筑行業(yè)人員投放惡意的AutoCAD文檔等等。

• 利用文件格式的限制

APT攻擊者通常會(huì)利用一些文件格式和顯示上的特性用于迷惑受害用戶或安全分析人員。這里以LNK文件為例，LNK文件顯示的目標(biāo)執(zhí)行路徑僅260個(gè)字節(jié)，多余的字符將被截?cái)?，可以直接查看LNK文件執(zhí)行的命令。

而在跟蹤藍(lán)寶菇的攻擊活動(dòng)中，該組織投放的LNK文件在目標(biāo)路徑字符串前面填充了大量的空字符，直接查看無(wú)法明確其執(zhí)行的內(nèi)容，需要解析LNK文件結(jié)構(gòu)獲取。

• 利用新的系統(tǒng)文件格式特性

2018年6月，國(guó)外安全研究人員公開了利用Windows 10下才被引入的新文件類型“.SettingContent-ms”執(zhí)行任意命令的攻擊技巧，并公開了POC。而該新型攻擊方式被公開后就立刻被黑客和APT組織納入攻擊武器庫(kù)用于針對(duì)性攻擊，并衍生出各種利用方式：誘導(dǎo)執(zhí)行、利用Office文檔執(zhí)行、利用PDF文檔執(zhí)行。

• 利用舊的技術(shù)實(shí)現(xiàn)攻擊

一些被認(rèn)為陳舊而古老的文檔特性可以被實(shí)現(xiàn)并用于攻擊，360威脅情報(bào)中心在下半年就針對(duì)利用Excel 4.0宏傳播商業(yè)遠(yuǎn)控木馬的在野攻擊樣本進(jìn)行了分析。

該技術(shù)最早是于2018年10月6日由國(guó)外安全廠商Outflank的安全研究人員首次公開，并展示了使用Excel 4.0宏執(zhí)行ShellCode的利用代碼。Excel 4.0宏是一個(gè)很古老的宏技術(shù)，微軟在后續(xù)使用VBA替換了該特性，但從利用效果和隱蔽性上依然能夠達(dá)到不錯(cuò)的效果。

從上述總結(jié)的多樣化的攻擊投放方式來(lái)看，攻擊者似乎在不斷嘗試發(fā)現(xiàn)在郵件或終端側(cè)檢測(cè)所覆蓋的文件類型下的薄弱環(huán)節(jié)，從而逃避或繞過(guò)檢測(cè)。

• 0day 漏洞和在野利用攻擊

0day漏洞一直是作為APT組織實(shí)施攻擊所依賴的技術(shù)制高點(diǎn)，在這里我們回顧下2018年下半年主要的0day漏洞和相關(guān)APT組織使用0day漏洞實(shí)施的在野利用攻擊活動(dòng)。

所謂0day漏洞的在野利用，一般是攻擊活動(dòng)被捕獲時(shí)，發(fā)現(xiàn)其利用了某些0day漏洞（攻擊活動(dòng)與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一）。而在有能力挖掘和利用0day漏洞的組織中，APT組織首當(dāng)其沖。

在2018年全球各安全機(jī)構(gòu)發(fā)布的APT研究報(bào)告中，0day漏洞的在野利用成為安全圈最為關(guān)注的焦點(diǎn)之一。其中，僅2018年下半年，被安全機(jī)構(gòu)披露的，被APT組織利用的0day漏洞就不少于8個(gè)。

［2018下半年APT組織使用的0day漏洞］

4.新的一年，它們還可能演變成這樣：

從2018年的APT威脅態(tài)勢(shì)來(lái)看，360威脅情報(bào)中心推測(cè)，APT威脅活動(dòng)的演變趨勢(shì)可能包括如下：

1）   APT組織可能發(fā)展成更加明確的組織化特點(diǎn)，例如小組化，各個(gè)攻擊小組可能針對(duì)特定行業(yè)實(shí)施攻擊并達(dá)到特定的攻擊目的，但其整體可能共享部分攻擊代碼或資源。

2）   APT組織在初期的攻擊嘗試和獲得初步控制權(quán)階段可能更傾向于使用開源或公開的攻擊工具或系統(tǒng)工具，對(duì)于高價(jià)值目標(biāo)或維持長(zhǎng)久性的控制才使用其自身特有的成熟的攻擊代碼。

3）   APT組織針對(duì)的目標(biāo)行業(yè)可能進(jìn)一步延伸到一些傳統(tǒng)行業(yè)或者和國(guó)家基礎(chǔ)建設(shè)相關(guān)的行業(yè)和機(jī)構(gòu)，隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來(lái)的安全防御上的弱點(diǎn)，以及其可能面臨的供應(yīng)鏈攻擊。

4）   APT組織進(jìn)一步加強(qiáng)0day漏洞能力的儲(chǔ)備，并且可能覆蓋多個(gè)平臺(tái)，包括PC，服務(wù)器，移動(dòng)終端，路由器，甚至工控設(shè)備等。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。