2018全球APT年度报告:攻防已进入白热化

太平洋电脑网 中字

二、0day 漏洞和在野利用攻击

0day漏洞一直是作为APT组织实施攻击所依赖的技术制高点,在这里我们回顾下2018年下半年主要的0day漏洞和相关APT组织使用0day漏洞实施的在野利用攻击活动。

所谓0day漏洞的在野利用,一般是攻击活动被捕获时,发现其利用了某些0day漏洞(攻击活动与攻击样本分析本身也是0day漏洞发现的重要方法之一)。而在有能力挖掘和利用0day漏洞的组织中,APT组织首当其冲。

在2018年全球各安全机构发布的APT研究报告中,0day漏洞的在野利用成为安全圈最为关注的焦点之一。其中,仅2018年下半年,被安全机构披露的,被APT组织利用的0day漏洞就不少于8个。而在2018全年,360的各个安全团队也先后通过在野利用研究,向微软、Adobe等公司报告了5个 0day漏洞。

360多个安全团队在下半年再一次发现Flash 0day漏洞的在野攻击样本并获得Adobe致谢,这是360今年第二次首先捕获到Flash 0day漏洞的在野样本并获得致谢。

三、APT 威胁活动归属面临的挑战

APT威胁活动的归属分析一直是APT威胁分析中最为重要的一个环节,目前APT活动的归属分析,主要的判断依据包括以下几点:

1)APT组织使用的恶意代码特征的相似度,如包含特有的元数据,互斥量,加密算法,签名等等。

2)APT组织历史使用控制基础设施的重叠,本质即pDNS和whois数据的重叠。

3)APT组织使用的攻击TTP。

4)结合攻击留下的线索中的地域和语言特征,或攻击针对的目标和意图,推测其攻击归属的APT组织。

5)公开情报中涉及的归属判断依据。

但APT攻击者会尝试规避和隐藏攻击活动中留下的与其角色相关的线索,或者通过false flag和模仿其他组织的特征来迷惑分析人员。针对韩国平昌奥运会的攻击组织Hades就是一个最好的说明。

360威胁情报中心在下半年的两篇分析报告中,就对活跃在南亚地区的多个APT组织间使用的TTP存在重叠。

四、APT检测及防御

随着APT攻击的日益猖獗,现有的APT防御技术也面临着非常大的挑战。传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关APT学习经验,而且攻击者的逃逸水平也在不断的进步发展,本地设备会经常性的出现误报和漏报现象,经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性,仅依赖于单一企业的数据经常无法有效的发现APT攻击背景,难以做到真正的追踪溯源。360天眼则创新性的从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。

360天眼系统帮助客户发现和处置超过百余起APT攻击事件,包括海莲花事件、摩诃草事件、蔓灵花事件、黄金鼠等APT安全事件,天眼系统服务的客户超过300家,遍及20多个省份和直辖市,在公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等行业都具有成功案例。

五、APT 威胁的演变趋势

从2018年的APT威胁态势来看,我们推测APT威胁活动的演变趋势可能包括如下:

1)APT组织可能发展成更加明确的组织化特点,例如小组化,各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的,但其整体可能共享部分攻击代码或资源。

2)APT组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具,对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

3)APT组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构,随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点,以及其可能面临的供应链攻击。

4)APT组织进一步加强0day漏洞能力的储备,并且可能覆盖多个平台,包括PC,服务器,移动终端,路由器,甚至工控设备等。

声明: 本文由入驻OFweek维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存