本文摘要:近日,360威胁情报中心公布了《全球高级持续性威胁(APT)2018年报告》(以下全称报告),说明了了过去一年全球APT发展态势。
近日,360威胁情报中心公布了《全球高级持续性威胁(APT)2018年报告》(以下全称报告),说明了了过去一年全球APT发展态势。在所有网络攻击活动中,APT反击需要对行业、企业和机构导致更加相当严重的影响,并且更为难以找到和防卫,APT反击的背后是APT的组织和网络犯罪的组织。
2018年1-12月,360威胁情报中心共计监测到全球99个专业机构(不含媒体)公布的各类APT研究报告478份,牵涉到涉及威胁来源109个,其中APT的组织53个(只统计资料了有具体编号或名称的APT的组织),牵涉到被反击目标国家和地区79个。报告表明,政府、外交、军队、国防仍然是APT攻击者的主要目标,能源、电力、医疗、工业等国家基础设施性行业也于是以面对着APT反击的风险。而金融行业主要面对一些成熟期的网络犯罪团伙的反击威胁,如MageCart、CobaltGroup等等,其组织化的成员结构和成熟期的反击工具构建对目标行业的规模化反击,这与过去的普通黑客攻击是几乎有所不同的。除了针对金融、银行外,电子商务、在线零售等也是其反击目标。
高级威胁活动牵涉到目标的国家和地域产于情况统计资料如下图(摘录自公开发表报告中提及的受害者目标所属国家或地域),可以看见高级威胁反击活动完全覆盖面积了全球绝大部分国家和区域。更进一步对公开发表报告中高级威胁活动中命名的反击行动名称、攻击者名称,并对同一背景来源展开归类处置后的统计资料情况如下,总共牵涉到109个命名的威胁来源命名。基于全年公开发表透露报告的数量统计资料,一定程度可以体现威胁反击的活跃程度。从上述威胁来源命名中,我们指出具体的APT的组织数量有53个。
其中,具体的针对中国境内实行反击活动的,并且依旧活跃的公开发表APT的组织,还包括海莲花,摩诃草,蔓灵花,Darkhotel,Group123,毒云藤和绿宝菇,其中毒云藤和蓝宝菇是360在2018年下半年公开发表透露并命名的APT的组织。APT攻守的现状和趋势2018年,APT威胁的攻守双方正处于白热化的博弈论当中。作为APT防卫的安全性厂商比往年更为频密的追踪和曝光APT的组织的反击活动,其中还包括新的APT的组织或APT行动,改版的APT反击武器和在野党漏洞的利用。
而APT威胁的组织也仍然局限于其过去固有的反击模式和武器,APT的组织不仅必须超过最后的反击效果,还故意防止被防卫方根据留给的痕迹和特征追溯到其的组织身份。一、多样化的反击投入方式(一)文档投入的形式多样化在过去的APT威胁或者网络攻击活动中,利用邮件投递蓄意的文档类载荷是十分少见的一种攻击方式,一般来说投入的文档大多为Office文档类型,如doc、docx,xls,xlsx。针对特定地区、特定语言或者特定行业的目标人员攻击者有可能投入一些其他的文档类型载荷,例如针对韩国人员投入HWP文档,针对巴基斯坦地区投入InPage文档,或者针对工程建筑行业人员投入蓄意的AutoCAD文档等等。
(二)利用文件格式的容许APT攻击者一般来说不会利用一些文件格式和表明上的特性用作欺骗受害者用户或安全性分析人员。这里以LNK文件为事例,LNK文件表明的目标继续执行路径仅有260个字节,多余的字符将被切断,可以必要查阅LNK文件继续执行的命令。
而在追踪蓝宝菇的反击活动中,该的组织投入的LNK文件在目标路径字符串前面填满了大量的空字符,必要查阅无法具体其继续执行的内容,必须解析LNK文件结构提供。(三)利用新的系统文件格式特性2018年6月,国外安全性研究人员公开发表了利用Windows10下才被引进的新文件类型“.SettingContent-ms”继续执行给定命令的反击技巧,并公开发表了POC。
而该新型攻击方式被公开发表后就马上被黑客和APT的组织划入反击武器库用作针对性反击,并派生出有各种利用方式:诱导继续执行、利用Office文档继续执行、利用PDF文档继续执行。2018年8月14日,微软公司公布了针对该缺失的系统补丁,对应的漏洞编号为CVE-2018-8414。360威胁情报中心随后公布了利用该反击技术的涉及报告,并找到疑为摩诃草和Darkhydrus的组织用于该技术的反击样本。
(四)利用原有的技术构建反击一些被指出陈旧而古老的文档特性可以被构建并用作反击,360威胁情报中心在下半年就针对利用Excel4.0宏传播商业近触木马的在野党反击样本展开了分析。该技术最先是于2018年10月6日由国外安全性厂商Outflank的安全性研究人员首次公开发表,并展出了用于Excel4.0宏继续执行ShellCode的利用代码。Excel4.0宏是一个很古老的宏技术,微软公司在先前用于VBA更换了该特性,但从利用效果和隐蔽性上仍然需要超过不俗的效果。从上述总结的多样化的反击投入方式来看,攻击者或许在大大尝试找到在邮件或终端外侧检测所覆盖面积的文件类型下的薄弱环节,从而躲避或跨过检测。
本文来源:bevictor伟德-www.jietoushe.com