APT 攻击技术呈现五大趋势

2018-02-28 10:26:00 作者:ym 出处 : 比特网

  360威胁情报中心发布《2017中国高级持续性威胁(APT)研究报告》称,2017年的APT攻击呈现五大趋势,包括Office 0day漏洞成焦点、恶意代码复杂性的显著增强、移动端的安全问题日益凸显、针对金融行业的攻击手段多样化,以及APT已经影响到每一个人的生活。

  360威胁情报中心每年均发布《中国高级持续性威胁(APT)研究报告》,对中国和全球的APT攻击进行了深入的研究,目前已连续发布3年,成为国内最有影响力的APT年度报告。

  一、OFFICE 0day漏洞成焦点

  Office漏洞的利用,一直APT组织攻击的重要手段。2017年中,先后又有多个高危的Office漏洞被曝出,其中很大一部分已经被APT组织所使用。Office 0day漏洞已经成为APT组织关注的焦点。

  下表给出了2017年新披露的部分Office漏洞及其被APT组织利用的情况。:

CVE编号

漏洞类型

披露厂商

0day利用情况

Nday利用情况

CVE-2017-0261

EPS中的UAF漏洞

FireEye

Turla和某APT组织利用

摩诃草

CVE-2017-0262

EPS中的类型混淆漏洞

FireEyeESET

APT28

不详

CVE-2017-0199

OLE对象中的逻辑漏洞

FireEye

被多次利用

被多次利用

CVE-2017-8570

OLE对象中的逻辑漏洞

(CVE-2017-0199的补丁绕过)

McAfee

不详

CVE-2017-8759

.NET Framework中的逻辑漏洞

FireEye

被多次利用

被多次利用

CVE-2017-11292

Adobe Flash Player类型混淆漏洞

Kaspersky

BlackOasis

APT28

CVE-2017-11882

公式编辑器中的栈溢出漏洞

embedi

CobaltAPT34

CVE-2017-11826

OOXML解析器类型混淆漏洞

奇虎360

被某APT组织利用

不详

   

表5 Office 0day漏洞

  我们还注意到APT28、APT34、摩诃草等组织利用了多个Nday。所以,及时更新补丁还是非常重要的。未来除了新的0day之外,像CVE-2017-11882,CVE-2017-0199,CVE-2017-8759等原理简单,易于构造,触发稳定的漏洞将会成为APT组织的首选。

  二、恶意代码复杂性的显著增强

  2017年,在高级攻击领域,听到最多的一个病毒不是WannaCry,而是FinSpy(又名FinFisher或WingBird)。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多个漏洞都被用来投递FinSpy。FinSpy的代码经过了多层虚拟机保护,并且还有反调试和反虚拟机等功能,复杂程度可见一斑。此外,在2017年,海莲花专用木马的复杂性和对抗性也都明显增强。

https://cdn.securelist.com/files/2017/10/171016-blackoasis-11.png

  此外,海莲花、APT34等组织都采用了DGA算法来逃避检测。目前来看,使用机器学习的方法对其进行检测还是一个不错的方法。

  三、移动端的安全问题日益凸显

  传统的APT行动主要是针对Windows系统进行攻击,而现今由于Android和iOS的发展带动了智能终端用户量的上升,从而导致黑客组织的攻击目标也逐渐转向移动端。对于移动平台来说,持久化和隐藏的间谍软件是一个被低估的问题。尽管移动设备上的网络间谍活动与台式机或个人电脑中的网络间谍活动相比可能少得多,攻击方式也不太一样,但它们确实发生了,而且可能比我们认为的更活跃。

  2017年,iOS9.3.5更新修补了三个安全漏洞,即三叉戟漏洞,随后Citizen Lab发布文章指出这三个0day被用于针对特殊目标远程植入后门。

  360威胁情报中心在2017年至2018年初先后披露的双尾蝎组织(APT-C-23)和黄金鼠组织(APT-C-27),也都把移动端作为了重要攻击目标。Trend Micro随后发布的博客还进一步披露了双尾蝎(APT-C-23)使用的移动恶意软件VAMP的一个新变种。

  四、针对金融行业的攻击手段多样化

  针对金融行业的攻击一直是APT的重点目标。比如FIN7就是一个典型的经常攻击金融行业的APT组织。除了传统鱼叉邮件等攻击手段外,还会有APT组织攻击ATM取款机,让其定时吐钱。2017年卡巴斯基的报告指出,针对ATM的恶意软件正在黑市上售卖。

  2017年,加密货币热度的持续攀升不仅仅使得勒索软件和挖矿木马蠢蠢欲动,APT组织也盯上了这块蛋糕。

  五、APT已经影响到每一个人的生活

  APT攻击和APT组织已经开始影响到我们每一个人的生活。APT攻击一般是针对重要的组织或个人,然而2017年APT28就针对酒店行业这种传统行业进行了攻击。

  席卷全球的WannaCry和类Petya背后似乎也隐隐约约有APT的影子。Google的研究员发现,2017年2月的一个疑似WannaCry的早期版本和Lazarus的样本之间具有一定的相似性。

  ESET和卡巴斯基也怀疑类Petya的幕后黑手可能是BlackEnergy,类Petya加密的文件扩展名的列表与2015年BlackEnergy的KillDisk勒索软件非常相似。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。