佚名

360威脅情報(bào)中心發(fā)布《2017中國高級持續(xù)性威脅（APT）研究報(bào)告》稱，2017年的APT攻擊呈現(xiàn)五大趨勢，包括Office 0day漏洞成焦點(diǎn)、惡意代碼復(fù)雜性的顯著增強(qiáng)、移動(dòng)端的安全問題日益凸顯、針對金融行業(yè)的攻擊手段多樣化，以及APT已經(jīng)影響到每一個(gè)人的生活。

360威脅情報(bào)中心每年均發(fā)布《中國高級持續(xù)性威脅（APT）研究報(bào)告》，對中國和全球的APT攻擊進(jìn)行了深入的研究，目前已連續(xù)發(fā)布3年，成為國內(nèi)最有影響力的APT年度報(bào)告。

OFFICE 0day漏洞成焦點(diǎn)

Office漏洞的利用，一直是APT組織攻擊的重要手段。2017年中，先后又有多個(gè)高危的Office漏洞被曝出，其中很大一部分已經(jīng)被APT組織所使用。Office 0day漏洞已經(jīng)成為APT組織關(guān)注的焦點(diǎn)。

我們還注意到APT28、APT34、摩訶草等組織利用了多個(gè)Nday。所以，及時(shí)更新補(bǔ)丁還是非常重要的。未來除了新的0day之外，像CVE-2017-11882、CVE-2017-8759等原理簡單，易于構(gòu)造，觸發(fā)穩(wěn)定的漏洞將會(huì)成為APT組織的首選。

惡意代碼復(fù)雜性的顯著增強(qiáng)

2017年，在高級攻擊領(lǐng)域，聽到最多的一個(gè)病毒不是WannaCry，而是FinSpy。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多個(gè)漏洞都被用來投遞FinSpy。FinSpy的代碼經(jīng)過了多層虛擬機(jī)保護(hù)，并且還有反調(diào)試和反虛擬機(jī)等功能，復(fù)雜程度可見一斑。此外，在2017年，海蓮花專用木馬的復(fù)雜性和對抗性也都明顯增強(qiáng)。

此外，海蓮花、APT34等組織都采用了DGA算法來逃避檢測。目前來看，使用機(jī)器學(xué)習(xí)的方法對其進(jìn)行檢測還是一個(gè)不錯(cuò)的方法。

移動(dòng)端的安全問題日益凸顯

傳統(tǒng)的APT行動(dòng)主要是針對Windows系統(tǒng)進(jìn)行攻擊，而現(xiàn)今由于Android和iOS的發(fā)展帶動(dòng)了智能終端用戶量的上升，從而導(dǎo)致黑客組織的攻擊目標(biāo)也逐漸轉(zhuǎn)向移動(dòng)端。對于移動(dòng)平臺(tái)來說，持久化和隱藏的間諜軟件是一個(gè)被低估的問題。盡管移動(dòng)設(shè)備上的網(wǎng)絡(luò)間諜活動(dòng)與臺(tái)式機(jī)或個(gè)人電腦中的網(wǎng)絡(luò)間諜活動(dòng)相比可能少得多，攻擊方式也不太一樣，但它們確實(shí)發(fā)生了，而且可能比我們認(rèn)為的更活躍。

2017年，iOS9.3.5更新修補(bǔ)了三個(gè)安全漏洞，即三叉戟漏洞，隨后Citizen Lab發(fā)布文章指出這三個(gè)0day被用于針對特殊目標(biāo)遠(yuǎn)程植入后門。

360威脅情報(bào)中心在2017年至2018年年初先后披露的雙尾蝎組織（APT-C-23）和黃金鼠組織（APT-C-27），也都把移動(dòng)端作為了重要攻擊目標(biāo)。Trend Micro隨后發(fā)布的博客還進(jìn)一步披露了雙尾蝎（APT-C-23）使用的移動(dòng)惡意軟件VAMP的一個(gè)新變種。

針對金融行業(yè)的攻擊手段多樣化

針對金融業(yè)的攻擊一直是APT的重點(diǎn)目標(biāo)。比如FIN7就是一個(gè)典型攻擊金融行業(yè)的APT組織。除了傳統(tǒng)魚叉郵件等手段外，還會(huì)有APT組織攻擊ATM取款機(jī)，讓其定時(shí)吐錢。2017年卡巴斯基的報(bào)告指出，針對ATM的惡意軟件正在黑市上售賣。2017年，加密貨幣熱度的持續(xù)攀升不僅使勒索軟件和挖礦木馬蠢蠢欲動(dòng)，APT組織也盯上了這塊蛋糕。

APT影響到每一個(gè)人的生活

APT攻擊和APT組織已經(jīng)開始影響到我們每一個(gè)人的生活。APT攻擊一般是針對重要的組織或個(gè)人，然而2017年APT28就針對酒店行業(yè)這種傳統(tǒng)行業(yè)進(jìn)行了攻擊。

席卷全球的WannaCry和類Petya背后似乎也隱隱約約有APT的影子。Google的研究員發(fā)現(xiàn)，2017年2月的一個(gè)疑似WannaCry的早期版本和Lazarus的樣本之間具有一定相似性。

ESET和卡巴斯基也懷疑類Petya的幕后黑手可能是BlackEnergy，類Petya加密的文件擴(kuò)展名的列表與2015年BlackEnergy的KillDisk勒索軟件非常相似。