360威脅情報中心發(fā)布《2017中國高級持續(xù)性威脅(APT)研究報告》稱，2017年的APT攻擊呈現(xiàn)五大趨勢，包括Office 0day漏洞成焦點、惡意代碼復(fù)雜性的顯著增強、移動端的安全問題日益凸顯、針對金融行業(yè)的攻擊手段多樣化，以及APT已經(jīng)影響到每一個人的生活。

360威脅情報中心每年均發(fā)布《中國高級持續(xù)性威脅(APT)研究報告》，對中國和全球的APT攻擊進行了深入的研究，目前已連續(xù)發(fā)布3年，成為國內(nèi)最有影響力的APT年度報告。

一、OFFICE 0day漏洞成焦點

Office漏洞的利用，一直APT組織攻擊的重要手段。2017年中，先后又有多個高危的Office漏洞被曝出，其中很大一部分已經(jīng)被APT組織所使用。Office 0day漏洞已經(jīng)成為APT組織關(guān)注的焦點。

下表給出了2017年新披露的部分Office漏洞及其被APT組織利用的情況。：

 

表5 Office 0day漏洞

我們還注意到APT28、APT34、摩訶草等組織利用了多個Nday。所以，及時更新補丁還是非常重要的。未來除了新的0day之外，像CVE-2017-11882，CVE-2017-0199，CVE-2017-8759等原理簡單，易于構(gòu)造，觸發(fā)穩(wěn)定的漏洞將會成為APT組織的首選。

二、惡意代碼復(fù)雜性的顯著增強

2017年，在高級攻擊領(lǐng)域，聽到最多的一個病毒不是WannaCry，而是FinSpy(又名FinFisher或WingBird)。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多個漏洞都被用來投遞FinSpy。FinSpy的代碼經(jīng)過了多層虛擬機保護，并且還有反調(diào)試和反虛擬機等功能，復(fù)雜程度可見一斑。此外，在2017年，海蓮花專用木馬的復(fù)雜性和對抗性也都明顯增強。

此外，海蓮花、APT34等組織都采用了DGA算法來逃避檢測。目前來看，使用機器學(xué)習(xí)的方法對其進行檢測還是一個不錯的方法。

三、移動端的安全問題日益凸顯

傳統(tǒng)的APT行動主要是針對Windows系統(tǒng)進行攻擊，而現(xiàn)今由于Android和iOS的發(fā)展帶動了智能終端用戶量的上升，從而導(dǎo)致黑客組織的攻擊目標也逐漸轉(zhuǎn)向移動端。對于移動平臺來說，持久化和隱藏的間諜軟件是一個被低估的問題。盡管移動設(shè)備上的網(wǎng)絡(luò)間諜活動與臺式機或個人電腦中的網(wǎng)絡(luò)間諜活動相比可能少得多，攻擊方式也不太一樣，但它們確實發(fā)生了，而且可能比我們認為的更活躍。

2017年，iOS9.3.5更新修補了三個安全漏洞，即三叉戟漏洞，隨后Citizen Lab發(fā)布文章指出這三個0day被用于針對特殊目標遠程植入后門。

360威脅情報中心在2017年至2018年初先后披露的雙尾蝎組織(APT-C-23)和黃金鼠組織(APT-C-27)，也都把移動端作為了重要攻擊目標。Trend Micro隨后發(fā)布的博客還進一步披露了雙尾蝎(APT-C-23)使用的移動惡意軟件VAMP的一個新變種。

四、針對金融行業(yè)的攻擊手段多樣化

針對金融行業(yè)的攻擊一直是APT的重點目標。比如FIN7就是一個典型的經(jīng)常攻擊金融行業(yè)的APT組織。除了傳統(tǒng)魚叉郵件等攻擊手段外，還會有APT組織攻擊ATM取款機，讓其定時吐錢。2017年卡巴斯基的報告指出，針對ATM的惡意軟件正在黑市上售賣。

2017年，加密貨幣熱度的持續(xù)攀升不僅僅使得勒索軟件和挖礦木馬蠢蠢欲動，APT組織也盯上了這塊蛋糕。

五、APT已經(jīng)影響到每一個人的生活

APT攻擊和APT組織已經(jīng)開始影響到我們每一個人的生活。APT攻擊一般是針對重要的組織或個人，然而2017年APT28就針對酒店行業(yè)這種傳統(tǒng)行業(yè)進行了攻擊。

席卷全球的WannaCry和類Petya背后似乎也隱隱約約有APT的影子。Google的研究員發(fā)現(xiàn)，2017年2月的一個疑似WannaCry的早期版本和Lazarus的樣本之間具有一定的相似性。

ESET和卡巴斯基也懷疑類Petya的幕后黑手可能是BlackEnergy，類Petya加密的文件擴展名的列表與2015年BlackEnergy的KillDisk勒索軟件非常相似。