360威胁情报中心发布《2017中国高级持续性威胁(APT)研究报告》称,2017年的APT攻击呈现五大趋势,包括Office 0day漏洞成焦点、恶意代码复杂性的显著增强、移动端的安全问题日益凸显、针对金融行业的攻击手段多样化,以及APT已经影响到每一个人的生活。
360威胁情报中心每年均发布《中国高级持续性威胁(APT)研究报告》,对中国和全球的APT攻击进行了深入的研究,目前已连续发布3年,成为国内最有影响力的APT年度报告。
一、OFFICE 0day漏洞成焦点
Office漏洞的利用,一直APT组织攻击的重要手段。2017年中,先后又有多个高危的Office漏洞被曝出,其中很大一部分已经被APT组织所使用。Office 0day漏洞已经成为APT组织关注的焦点。
下表给出了2017年新披露的部分Office漏洞及其被APT组织利用的情况。:
CVE编号
|
漏洞类型
|
披露厂商
|
0day利用情况
|
Nday利用情况
|
CVE-2017-0261
|
EPS中的UAF漏洞
|
FireEye
|
被Turla和某APT组织利用
|
摩诃草
|
CVE-2017-0262
|
EPS中的类型混淆漏洞
|
FireEye,ESET
|
APT28
|
不详
|
CVE-2017-0199
|
OLE对象中的逻辑漏洞
|
FireEye
|
被多次利用
|
被多次利用
|
CVE-2017-8570
|
OLE对象中的逻辑漏洞
(CVE-2017-0199的补丁绕过)
|
McAfee
|
无
|
不详
|
CVE-2017-8759
|
.NET Framework中的逻辑漏洞
|
FireEye
|
被多次利用
|
被多次利用
|
CVE-2017-11292
|
Adobe Flash Player类型混淆漏洞
|
Kaspersky
|
BlackOasis
|
APT28
|
CVE-2017-11882
|
公式编辑器中的栈溢出漏洞
|
embedi
|
无
|
Cobalt,APT34
|
CVE-2017-11826
|
OOXML解析器类型混淆漏洞
|
奇虎360
|
被某APT组织利用
|
不详
|
表5 Office 0day漏洞
我们还注意到APT28、APT34、摩诃草等组织利用了多个Nday。所以,及时更新补丁还是非常重要的。未来除了新的0day之外,像CVE-2017-11882,CVE-2017-0199,CVE-2017-8759等原理简单,易于构造,触发稳定的漏洞将会成为APT组织的首选。
二、恶意代码复杂性的显著增强
2017年,在高级攻击领域,听到最多的一个病毒不是WannaCry,而是FinSpy(又名FinFisher或WingBird)。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多个漏洞都被用来投递FinSpy。FinSpy的代码经过了多层虚拟机保护,并且还有反调试和反虚拟机等功能,复杂程度可见一斑。此外,在2017年,海莲花专用木马的复杂性和对抗性也都明显增强。
此外,海莲花、APT34等组织都采用了DGA算法来逃避检测。目前来看,使用机器学习的方法对其进行检测还是一个不错的方法。
三、移动端的安全问题日益凸显
传统的APT行动主要是针对Windows系统进行攻击,而现今由于Android和iOS的发展带动了智能终端用户量的上升,从而导致黑客组织的攻击目标也逐渐转向移动端。对于移动平台来说,持久化和隐藏的间谍软件是一个被低估的问题。尽管移动设备上的网络间谍活动与台式机或个人电脑中的网络间谍活动相比可能少得多,攻击方式也不太一样,但它们确实发生了,而且可能比我们认为的更活跃。
2017年,iOS9.3.5更新修补了三个安全漏洞,即三叉戟漏洞,随后Citizen Lab发布文章指出这三个0day被用于针对特殊目标远程植入后门。
360威胁情报中心在2017年至2018年初先后披露的双尾蝎组织(APT-C-23)和黄金鼠组织(APT-C-27),也都把移动端作为了重要攻击目标。Trend Micro随后发布的博客还进一步披露了双尾蝎(APT-C-23)使用的移动恶意软件VAMP的一个新变种。
四、针对金融行业的攻击手段多样化
针对金融行业的攻击一直是APT的重点目标。比如FIN7就是一个典型的经常攻击金融行业的APT组织。除了传统鱼叉邮件等攻击手段外,还会有APT组织攻击ATM取款机,让其定时吐钱。2017年卡巴斯基的报告指出,针对ATM的恶意软件正在黑市上售卖。
2017年,加密货币热度的持续攀升不仅仅使得勒索软件和挖矿木马蠢蠢欲动,APT组织也盯上了这块蛋糕。
五、APT已经影响到每一个人的生活
APT攻击和APT组织已经开始影响到我们每一个人的生活。APT攻击一般是针对重要的组织或个人,然而2017年APT28就针对酒店行业这种传统行业进行了攻击。
席卷全球的WannaCry和类Petya背后似乎也隐隐约约有APT的影子。Google的研究员发现,2017年2月的一个疑似WannaCry的早期版本和Lazarus的样本之间具有一定的相似性。
ESET和卡巴斯基也怀疑类Petya的幕后黑手可能是BlackEnergy,类Petya加密的文件扩展名的列表与2015年BlackEnergy的KillDisk勒索软件非常相似。