售前咨询
技术支持
渠道合作

腾讯安全2018年高级持续性威胁(APT)研究报告

随着中国国际地位的不断崛起,各种与中国有关的政治、经济、军事、科技情报搜集对专业黑客组织有极大的吸引力,使中国成为全球APT攻击的主要受害国之一,针对中国境内的攻击活动在2018年异常频繁。

一、前言

高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。

随着中国国际地位的不断崛起,各种与中国有关的政治、经济、军事、科技情报搜集对专业黑客组织有极大的吸引力,使中国成为全球APT攻击的主要受害国之一,针对中国境内的攻击活动在2018年异常频繁。多个境外攻击组织轮番对中国境内的政府、军事、能源、科研、贸易、金融等机构进行了攻击。活跃的攻击组织包括海莲花、蔓灵花、白象、DarkHotol等。不仅如此,中国周边的国家以及中国的”一带一路”国家,也成为APT组织重点关注的对象。

APT组织的高端攻击技巧对普通网络黑产从业者起到教科书般的指导示范作用,一些刚出现时的高端攻击技巧,一段时间之后,会发现被普通黑产所采用。比如在精心构造的鱼叉钓鱼邮件附件中使用带漏洞攻击或宏代码攻击的特殊文档,利用高危漏洞入侵企业服务器系统等。针对企业的APT攻击最终会殃及普通网民,2018年典型的攻击案例之一是黑客团伙对驱动人生公司的定向攻击,通过控制、篡改服务器配置,利用正常软件的升级通道大规模安装云控木马。

腾讯御见威胁情报中心高级持续性威胁(APT)研究小组在长期对全球范围内的APT组织进行长期深入的跟踪和分析,我们根据我们的研究成果以及各大安全厂商的APT攻击报告,完成了该份2018年APT研究报告。

二、针对中国境内的APT攻击

随着中国在全球化进程中影响力的不断增长,中国政府、企业及民间机构与世界各国联系的不断增强,中国已成为跨国APT组织的重点攻击目标。中国也是世界上受APT攻击最严重的国家的之一。

1、 针对中国境内的APT组织分布

至2018年12月底,腾讯御见威胁情报中心已监测到2018年针对中国境内目标发动攻击的境内外APT组织至少有7个,且均处于高度活跃状态。下表列出部分攻击组织的相关活动情况:

2、 针对中国境内的攻击的行业和地域分布

根据腾讯御见威胁情报中心的统计显示(不含港澳台地区):2018年,中国大陆受APT攻击最多的地区是辽宁、北京和广东,其次是湖南、四川、云南、江苏、上海、浙江、福建等地。详见下图(不含港澳台地区)。

而从行业上的分布,政府部门依然是APT组织最为关注的目标,其次能源、通信、航空、军工、核等基础设施也是重要的攻击目标。而近些年来,金融、贸易、科研机构、媒体等行业也逐渐的被一些APT组织列为了攻击目标。

3、 针对中国境内的重点攻击活动盘点

1) 海莲花(OceanLotus、APT32)

海莲花APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)政府、科研机构、海运企业等领域进行攻击的APT组织。该组织也是针对中国境内的最活跃的APT组织之一。2018年该组织多次对中国境内的目标进行了攻击,腾讯御见威胁情报中心也多次发布了该组织的相关攻击动向。

海莲花攻击组织擅长使用鱼叉攻击和水坑攻击,NSA的武器库曝光后,同样还使用了永恒系列漏洞进行了攻击。除此,投递的攻击武器也是种类繁多,RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。

l  白加黑攻击

白加黑攻击是海莲花组织常用的攻击方式之一,该组织在今年的攻击活动中多次使用了该方式。白加黑组合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。

l  脚本攻击

使用bat生成加密的js:

最终在内存中调用loader类,加载最终的由CobaltStrike生成的beacon.dll木马:

2) DarkHotel(黑店)

DarkHotel(黑店)是一个被认为来自韩国的APT组织(亦有研究团队认为与朝鲜有关),该组织是近几年来最活跃的APT组织之一,主要攻击目标为电子行业、通信行业的企业高管及有关国家政要人物,其攻击范围遍布中国、朝鲜、日本、缅甸、俄罗斯等多个国家。该组织技术实力深厚,在多次攻击行动中都使用了0day进行攻击,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明该组织实力雄厚,为达目标,不惜代价。在2018年,该组织也多次针对中国的目标进行了攻击活动,如针对中朝贸易公司的高管、香港某贸易公司高管等。

该组织的一大特色是喜欢把木马隐藏在开源的代码中进行伪装,如putty、openssl、zlib等,把少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的,因此将被称为“寄生兽”。

注:2018年12月,大量机构(其中不乏国家要害机构)的内部系统因采用的某开源代码设计了一个界面彩蛋而引发严重风波,也证实许多机构在使用开源代码时,并未仔细进行代码审计,从而有可能在引入的开源系统中,混入的有害代码不被察觉。

针对几次攻击活动,腾讯御见威胁情报中心也进行了披露。

如使用msfte.dll和msTracer.dll,来进行持久性攻击,并把下发的shellcode隐藏在图片文件中:

同时通过下发插件的方式,完成相关的任务:

3) 白象(摩诃草、Patchwork)

白象是一个来自于南亚地区的境外APT组织,组织主要针对中国、巴基斯坦等亚洲地区和国家的政府机构、科研教育领域进行攻击。部分基础设施和代码和蔓灵花、孔子重合,这几个组织间疑似有千丝万缕的关系。

该组织在2018年同样多次对中国的多个目标进行了攻击活动。该组织同样使用鱼叉攻击,诱饵文档带有强烈的政治意味。

最终释放的特马为开源的Quasar RAT:

4) 蔓灵花(BITTER)

蔓灵花APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。2018年,腾讯御见威胁情报中心多次捕捉到了该组织针对中国境内多个目标的攻击活动, 并发布了分析报告《蔓灵花(BITTER)APT组织针对中国境内政府、军工、核能等敏感机构的最新攻击活动报告》。

该组织主要使用鱼叉钓鱼进行攻击,投递伪装成word图标的自解压文件:

运行后,除了会执行恶意文件外,还会打开一个doc文档,用于迷惑用户,让用户以为打开的文件就是一个doc文档。诱饵文档内容极尽诱惑力:

最终会下发键盘记录、上传文件、远控等插件,完成资料的窃取工作。

同时经过关联分析,我们还发现该组织疑似和白象、孔子(confucius)等组织也有千丝万缕的关系。该组织的图谱如下:

5) 穷奇&蓝宝菇

穷奇和蓝宝菇疑似来自东亚某地区的攻击组织,主要针对中国大陆的政府、军事、核工业、科研等敏感机构进行攻击活动。该两个组织之间使用的攻击武器库有部分重叠,以至于很长一段时间我们都认为是同一个组织。因此我们猜测,这两个组织为同一攻击部分的两个分小组。

蓝宝菇在2018年多次对中国大陆的目标进行了攻击,包括上海进博会期间的攻击。最终的攻击武器包括bfnet远控、窃取文件的powershell脚本等。

三、APT攻击技术

1、 攻击方式

l  鱼叉攻击

2018年,鱼叉攻击依然是APT攻击的最主要方式,使用鱼叉结合社工类的方式,投递带有恶意文件的附件,诱使被攻击者打开。虽然该方式攻击成本极低,但是效果却出人意料的好。这也进一步体现了被攻击目标的人员的安全意识亟需加强。从曝光的APT活动来看,2018年使用鱼叉攻击的APT活动比例高达95%以上。

如DarkHotel(黑店)APT组织针对中国某行业精心设计的钓鱼邮件:

l  水坑攻击

水坑攻击也是APT组织常用的攻击手段,2018年,海莲花、socketplayer等组织均使用过该攻击方式。除了插恶意代码外,攻击者还会判断访问该页面的访问者的ip,只有当访问者在攻击目标的ip范围内,也会进行下一步的攻击动作,依次来防止误伤。

如某次海莲花攻击,该攻陷网站的某个js上插入了一段代码,用于访问恶意代码:

l  远程可执行漏洞和密码爆破攻击

除了鱼叉和水坑攻击,利用远程可执行漏洞和服务器口令爆破进行攻击,也成为了一种可选的攻击方式。如专业黑客组织针对驱动人生公司的攻击,该黑客组织得手后已对普通网民产生极大威胁。

2、 攻击诱饵种类

APT攻击中,攻击诱饵种类也是纷繁复杂,包括如下几类:

l  文档类:主要是office文档、pdf文档

l  脚本类:js脚本、vbs脚本、powershell脚本等

l  可执行文件:一般为经过RLO处理过的可执行文件、自解压包

l  lnk:带漏洞的(如震网漏洞)和执行powershell、cmd等命令的快捷方式

l  网页类:html、hta等

其中,以office文档类诱饵为最多,占80%以上。而office文档中,payload的加载方式也包括利用漏洞(0day和Nday)、宏、DDE、内嵌OLE对象等。

l  宏:在APT攻击中,使用宏来进行攻击的诱饵,占所有攻击的诱饵的50%左右。

l  漏洞:构造的恶意诱饵中,使用漏洞占比也有40%左右。该office漏洞中,攻击者最爱的依然还是公式编辑器的漏洞,包括CVE-2017-11882、CVE-2018-0802以及比较少见的CVE-2018-0798。此外IE漏洞CVE-2018-8174、CVE-2018-8373,和flash漏洞CVE-2018-4878、CVE-2018-5002、CVE-2018-15982也有APT组织使用,但是并未大规模使用开来。

l  DDE:DDE在2018年年初的时候有过一段火热期,包括APT28、Gallmaker等APT组织都使用过DDE来进行攻击。

3、 APT攻击的技术趋势

1) Fileless攻击(无文件攻击)越来越多

随着各安全厂商对PE文件的检测和防御能力不断的增强,APT攻击者越来越多的开始使用无PE文件落地的攻击方式进行攻击。其主要特点是没有长期驻留在磁盘的文件、核心payload存放在网络或者注册表中,启动后通过系统进程拉取payload执行。该方式大大增加了客户端安全软件基于文件扫描的防御难度。海莲花、污水(MuddyWater)、APT29、FIN7等攻击组织都擅长使用该方式进行攻击。

如海莲花组织事先的通过计划任务执行命令,全程无文件落地:

2) C&C存放在公开的社交网站上

通信跟数据回传是APT攻击链中非常重要的环节,因此如何使得通信的C&C服务器被防火墙发现成为了攻击者的难题。因此,除了注册迷惑性极强的域名、使用DGA、隐蔽信道等方式外,攻击者把目光集中到了公开的社交网络上,如youtube、github、twitter等上。

3) 公开或者开源工具的使用

往往,APT组织都有其自己研发的特定的攻击武器库,但是随着安全厂商对APT组织研究的深入,APT组织开始使用一些公开或者开源的工具来进行攻击,以此来增加溯源以及被发现的难度。

如SYSCON/KONNI,使用开源的babyface木马和无界面的teamview(著名远程控制工具)来进行攻击:

4) 多平台攻击和跨平台攻击

移动互联网的成熟,使得人们已经很少在工作之余使用电脑里,因此使用移动端来进行攻击,也越来越被APT攻击组织使用。此外Mac OS的流行,也是的APT攻击者也开始对Mac OS平台进行攻击。如“人面马”(APT34)、蔓灵花、Group123、双尾蝎(APT-C-23)、黄金鼠(APT-C-27)等组织都擅长使用多平台攻击。此外黄金鼠(APT-C-27)还使用了在APK中打包了PE文件,运行后释放到移动端外置存储设备中的图片目录下,从而实现跨平台的攻击:

而除了PC端和移动端,路由器平台的也称为了APT组织的攻击对象,如VPNFilter,已经攻击了10多个国家的至少50万台的路由器设备。

四、总结

虽然和平与安全是当今世界的主题,但是当前全球竞争态势下各类冲突不断发生,正因为此,国家间的APT攻击活动有愈演愈烈之势。此外也有部分APT组织已经开始以经济利益针对不同的目标进行了攻击。虽然随着国内外各大安全厂商对APT攻击活动披露的越来越多,也使得之前各大APT组织的相关攻击武器失效,攻击的成本也越来越高,但是,只要存在利益,APT攻击就不会停止,因此各相关部门、相关单位和企业且不可掉以轻心,必须时刻以最高的安全意识,应对各种不同的网络风险和攻击。

同样,由于APT组织高超的攻击技巧对普通网络黑产起到示范作用。刚刚被发现时所采用的攻击技巧一段时间之后会被普通黑产所采用,从最初针对政府机关、高精尖企业、科研机构的攻击,演变为针对一般企业的网络攻击,对整个互联网的安全体系建设构成新的挑战。

五、安全建议

1、 各大机关和企业,以及个人用户,及时修补系统补丁和重要软件的补丁;

2、 提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码。

3、 尽快为企业网站部署SSL证书,部署SSL证书后,可以通过验证HTTPS中的SSL证书信息,确认网站的真实身份,增强用户识别正确网站信息,避免用户点击了假冒网站而上当受骗。通过SSL加密层,也可以对传输的数据进行加密和解密,确保数据在传输过程中的安全,保障数据的机密性和完整性。

HTTPS是现行架构下最安全的解决方案,并且它最大程度的阻止中间人攻击。部署SSL证

书一定要选择一个具有公信力的CA机构,最好就是想数安时代GDCA一样经过WEBTRU

ST国际认证的。数安时代以最安全的解决方案、专业的技术支持团队用户提供最权威的认

证服务和最安全的认证保障。拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团

队,可以为用户提供7*24一对一服务与技术支持。如有需要可到官网咨询客服。

上一篇:

下一篇:

相关新闻