還記得韓國災(zāi)難片《潘多拉》嗎？

韓半島6.1級地震之后，引發(fā)了位于釜山地區(qū)的1號原子能發(fā)電站爆炸，核電站陷入了危機(jī)。大規(guī)模強(qiáng)震引發(fā)的爆炸導(dǎo)致核電站出現(xiàn)裂縫，放射性物質(zhì)泄漏事故發(fā)生，然而下一輪爆炸的威脅已經(jīng)襲來……

對于普通群眾來說，“核”猶如傳說中的潘多拉魔盒，魔盒的相關(guān)信息被層層加固，保護(hù)的嚴(yán)嚴(yán)實(shí)實(shí)。但總有些別有用心之人試圖對這個神秘又強(qiáng)大的武器了解更多，并為此做出種種努力，比如最近被披露的高級攻擊組織藍(lán)寶菇。

雖然名字有點(diǎn)可愛，但這個APT組織很“虎”，先來看一波他們的“戰(zhàn)績”：

2011年3月，與該組織相關(guān)的木馬首次被發(fā)現(xiàn)針對政府相關(guān)機(jī)構(gòu)進(jìn)行攻擊。

2011年11月，對某核工業(yè)研究機(jī)構(gòu)進(jìn)行攻擊。

2012年1月，對某大型科研機(jī)構(gòu)進(jìn)行攻擊。

2012年3月，對某軍事機(jī)構(gòu)進(jìn)行攻擊。

2012年6月，對國內(nèi)多所頂尖大學(xué)進(jìn)行攻擊。

2013年6月，對某中央直屬機(jī)構(gòu)進(jìn)行攻擊，同時開始使用新類型的RAT。

2014年8月，該組織使用5種以上的橫向移動惡意代碼針對重點(diǎn)目標(biāo)機(jī)構(gòu)進(jìn)行大量橫向移動攻擊。

2014年12月，被發(fā)現(xiàn)新的RAT，該后門具備竊取指定擴(kuò)展名文檔等重要功能。

2015年9月，針對多個國家的華僑辦事機(jī)構(gòu)進(jìn)行攻擊。

2018年4月，針對國內(nèi)某重要敏感金融機(jī)構(gòu)發(fā)動魚叉郵件攻擊。

當(dāng)然這僅僅是目前已經(jīng)了解掌握的情況，不代表已經(jīng)掌握了該組織的全部攻擊事件和行為。

向雷鋒網(wǎng)宅客頻道透露這個大秘密的是360行業(yè)安全研究中心主任裴智勇，據(jù)說藍(lán)寶菇的攻擊目標(biāo)主要集中在中國大陸境內(nèi)，主要關(guān)注核工業(yè)和科研等相關(guān)信息，從2011年持續(xù)至今對我國政府、軍工、科研、金融等重點(diǎn)單位和部門進(jìn)行了持續(xù)的網(wǎng)絡(luò)間諜活動，可以說非常執(zhí)著了。

談起藍(lán)寶菇命名緣由，搭著汗巾，趿著拖鞋的裴智勇哈哈一笑，“我們團(tuán)隊(duì)專門有研究過命名的藝術(shù)?！?/p>

事實(shí)上，APT組織的命名并沒有統(tǒng)一的規(guī)則或規(guī)范，但相關(guān)機(jī)構(gòu)在命名過程一般會參考三個原則：

誰發(fā)現(xiàn)，誰命名；

APT組織攻擊方式或C&C服務(wù)器的特點(diǎn)；

APT攻擊組織可能的政治及地緣背景猜測。

據(jù)裴智勇透露，他們在給APT組織命名時除了會參考上述三個原則，也會帶上自己的“設(shè)計(jì)”。

比如根據(jù)組織與目標(biāo)配對原則，將APT組織分為三類：攻擊境外目標(biāo)的境外組織，攻擊境內(nèi)目標(biāo)的境外組織，以及攻擊境內(nèi)目標(biāo)的境內(nèi)組織（第四類此處省略）；

又根據(jù)現(xiàn)實(shí)世界不存在原則多使用虛擬的，傳說的，甚至是神話中的事物來命名APT組織，不僅顯得炫酷神秘還能體現(xiàn)虛擬空間戰(zhàn)爭的主題；

另外根據(jù)地緣與領(lǐng)域兼顧原則即會考慮攻擊者及攻擊目標(biāo)的地緣特征，也會考慮攻擊者所攻擊的特定領(lǐng)域特征。舉個栗子，披露的第一個APT組織“海蓮花”，“蓮花”就是表現(xiàn)了該組織的地緣及文化特征，同時，“?！眲t主要表現(xiàn)了該組織以海洋領(lǐng)域?yàn)橹饕裟繕?biāo)的活動特征。再比如，APT組織黃金眼，“黃金”代表的就是攻擊者以金融機(jī)構(gòu)為目標(biāo)這一特征。

最終，360對APT組織及其行動的命名大致可分為三個系列：

幻獸系（攻擊境外目標(biāo)的境外組織，使用各種傳說中的，或者是虛擬的動物形象來命名，如美人魚、人面獅等。）

魔株系（攻擊境內(nèi)目標(biāo)的境外組織，使用各種傳說中的，或者是虛擬的植物形象來命名，如海蓮花、摩訶草、蔓靈花等。）

超人系（攻擊境內(nèi)目標(biāo)的境內(nèi)組織，使用各種虛擬的，具有超能力的人體器官來命名，如黃金眼。）

間諜組織整體情況

在多數(shù)人眼中，這些從事網(wǎng)絡(luò)間諜活動的黑客組織都是武力值滿級的SSR，隨便動動手指就能搞出個大新聞。當(dāng)然，各國APT組織的確數(shù)不勝數(shù)，SSR之間也會有能力大PK，雷鋒網(wǎng)特意給各位圍觀群眾寫了份武力排行榜，這就點(diǎn)擊查收吧。

NO1.美國&俄羅斯

毫無懸念，美國和俄羅斯的APT組織穩(wěn)坐第一梯隊(duì)，但這兩國APT組織的特點(diǎn)還真不一樣，甚至在某些地方截然相反。

首先是美國，美國APT組織用三個詞形容就是技術(shù)牛，武器多，還低調(diào)。目前業(yè)界認(rèn)為是滅霸級別的兩個APT組織：方程式和索倫之眼，其后臺都被普遍普遍認(rèn)為是NSA（美國國家安全局，NationalSecurityAgency）。裴智勇感慨道：“引起2017年512WannaVry災(zāi)難的永恒之藍(lán)漏洞利用工具，僅僅是影子經(jīng)紀(jì)人泄露的方程式組織武器庫中的一件武器而已。但永恒之藍(lán)曾經(jīng)被用于攻擊什么目標(biāo)，至今全球都沒有明確的結(jié)論?！边@就足見技術(shù)牛Ｘ的美國組織是多么的低調(diào)。如果不是斯諾登同學(xué)站出來說話，很多事情我們真的是“不知道”。

與之相反，俄羅斯的APT組織就有很多高調(diào)的，大手筆的作為了，而且往往政治目非常明顯，攻擊注重實(shí)效，不出手則已一出手或可改變世界格局。

此處不得不提的就是2014年被發(fā)現(xiàn)的APT28組織了，目前普遍認(rèn)為其身后的大佬是俄羅斯軍事情報(bào)機(jī)構(gòu)（GRU）。如果你對這個組織不那么熟悉，可以回想下直接改變世界歷史走向希拉里郵件門事件，這個牛X組織還曾幫助親俄分裂分子追蹤烏克蘭部隊(duì)，造成炮兵部隊(duì)損失一半以上武器，是迄今為止，對全球政治、歷史發(fā)展影響最大的網(wǎng)絡(luò)攻擊組織。

NO2.伊朗&以色列&朝鮮&韓國&一個不可說的國家

第二優(yōu)勝團(tuán)隊(duì)有五位成員：伊朗的APT組織攻擊活動頻繁，且長期針對以色列和巴基斯坦等國攻擊。而被針對的以色列也非常牛氣，雖然少有曝出其對某國發(fā)動攻擊，但他是全世界最大的網(wǎng)絡(luò)軍火商，日常操作就是賣漏洞，賣木馬。2016年曝出的蘋果IOS三叉戟漏洞事件，就被認(rèn)為與以色列的網(wǎng)絡(luò)軍火商N(yùn)SO有關(guān)。

另一位意想不到選手是朝鮮，朝鮮APT組織的攻擊水平其實(shí)也并沒有很高，重點(diǎn)在于膽子大，比如2016年發(fā)現(xiàn)的被普遍認(rèn)為來自朝鮮的黑客組織Lazarus，就曾經(jīng)黑進(jìn)索尼影視娛樂公司，搞癱韓國金融機(jī)構(gòu)和媒體公司的DarkSeoul，還從孟加拉央行盜走8100萬美元（此事也不排除是有人嫁禍）。總之朝鮮APT組織要么不動，一動就是大手筆，每次攻擊都是驚天動地。

有朝鮮的地方怎么可能沒有韓國，盡管韓國APT組織的攻擊行為不明顯，但和朝鮮這對冤家之間互有攻防是常見的。另外韓國有不少頂級人才，在網(wǎng)絡(luò)戰(zhàn)中人才意味著什么？實(shí)力。

至于最后一個出道名額，大家可以發(fā)動想象力猜一下，編輯就不多作提示了。

APT組織成長記

按理說這些SSR級別的APT組織非常不容易被發(fā)現(xiàn)，但任何事物都有成長過程，APT組織也是如此。

一般來說從S級修煉到SSR級有四個階段：

第一階段是初學(xué)乍練，在這個階段中APT組織大量使用民間代碼，不會隱藏容易暴露，經(jīng)常進(jìn)行沒有意義的攻擊；

第二階段為廣泛撒網(wǎng)，此時APT組織的攻擊手段日漸成熟，為尋找目標(biāo)大面積撒網(wǎng)，并開始使用漏洞攻擊。在這兩個階段APT組織較容易被發(fā)現(xiàn)。

第三階段為收縮攻擊，此時其攻擊隱秘不易發(fā)現(xiàn)，能夠找到目標(biāo)精準(zhǔn)攻擊，并開始使用0day漏洞 且攻擊代碼對抗性很強(qiáng)；

第四階段時無形攻擊，這個聽起來就很厲害階段可以將攻擊過程隱于無形，此時這些APT組織代碼武器堆積成庫，并掌握大量0day漏洞。目前美國大部分APT組織都發(fā)展為第四階段。

以這次的主角藍(lán)寶菇童鞋舉例，從2011-2015年，其處于前兩個階段被發(fā)現(xiàn)，2017年以后進(jìn)入了第三階段，可以明顯看出，藍(lán)寶菇在2017-2018年的攻擊行為發(fā)現(xiàn)的較少。

具體來說，其初始攻擊主要采用魚叉郵件攜帶二進(jìn)制可執(zhí)行文件這種攻擊方法。攻擊者仿冒官方郵件向受害者發(fā)送魚叉郵件，誘導(dǎo)受害者點(diǎn)擊郵件所攜帶的惡意附件。攻擊者使用的郵件附件多為一個WinRAR壓縮包，其中包含偽裝成Word文檔的SCR文件。而后期下載得到的附件包含的是一個惡意LNK文件：

一旦受害者被誘導(dǎo)打開該LNK文件，LNK文件便會通過執(zhí)行文件中附帶的PowerShell惡意腳本來收集上傳用戶電腦中的敏感文件，并安裝持久化后門程序長期監(jiān)控用戶計(jì)算機(jī)。

APT組織的防御

面對這些神龍見首不見尾的SSR們，怎樣才能發(fā)現(xiàn)和還原APT組織活動的歷史和全貌呢？裴智勇舉例介紹了一種常用的分析方法，并將其形象的比喻為：拎葡萄。

怎么拎？

和傳統(tǒng)人員破案是一樣的，先鎖定受害人，然后整理受害人社會關(guān)系，而每一條關(guān)系鏈都連接了其他關(guān)系鏈。

對應(yīng)APT攻擊中，首先當(dāng)我們確定了某個樣本是高級攻擊樣本后，就可以在歷史大數(shù)據(jù)中去尋找相關(guān)的線索，比如，哪些黑、灰樣本與這個樣本是同源的，這個樣本曾經(jīng)鏈接過哪些惡意服務(wù)器，哪些電腦曾經(jīng)遭到過這個樣本或同源樣本的攻擊。

之后，根據(jù)拓展出來的這些線索，我們又可以拓展出更多的線索。比如，與惡意服務(wù)器連接過的其他電腦都有可能是被攻擊目標(biāo)，被感染的電腦上存在的其他不明程序也可能是APT木馬。

緊接著，拓線出來的APT同源木馬可能還連接過更多的服務(wù)器，那么這些服務(wù)器也可能是同一APT組織的服務(wù)器。同時，活動特征、行為特征上與已知惡意服務(wù)器相似的服務(wù)器也都可能是同一組織的服務(wù)器。

“如此一來，一個樣本可以關(guān)聯(lián)出若干線索，若干線索又可以關(guān)聯(lián)出更多的線索，這就像拎葡萄一樣，抓住一個頭，就拎出一大串。只要有足夠規(guī)模的安全歷史大數(shù)據(jù)，對這些大數(shù)據(jù)有足夠的快速分析和檢索能力，就能夠快速還原一個組織的攻擊范圍與攻擊歷史。”裴智勇說道。

說到底，依仗還是大數(shù)據(jù)。這是個好東西，不僅能追蹤服務(wù)器，還能建立黑客歷史基因圖庫。

APT組織的成員并非一開始就是頂級高手，誰都有混跡黑客技術(shù)論壇的小白時期，如果從這一黑客進(jìn)入論壇第一天開始建立檔案，之后的每一步都會留下些信息。

最后，面對這些SSR，我們有防御能力嗎？

“理論上來說是不可能全部防御住的，畢竟這些組織有確定的目標(biāo)，且這一目標(biāo)價值無限，這些APT組織要做的就是使用各種手段達(dá)到目的?！迸嶂怯赂嬖V雷鋒網(wǎng)。

 對于站在明處的防御方來說，偶發(fā)性強(qiáng)、樣本稀疏、手段高級、不易發(fā)現(xiàn)都造成了APT組織及其行動研究的難度。

 “對于我們來說，最有價值的防御策略是：結(jié)合大數(shù)據(jù)技術(shù)及高水平安全運(yùn)維，第一時間發(fā)現(xiàn)問題，快速響應(yīng)減少損失?！迸嶂怯抡f道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。