這53個黑客組織竟敢攻擊政府和國防

1 月 5 日，一波黑客幹了一票大的，直接將德國政界人士、記者和大批名人一鍋端，這些有頭有臉人物的我的信息被放在 Twitter 上供衆人「欣賞」，其中就包括德國總理默克爾。

你覺得這些黑客已經足夠大膽，敢正面剛上政界人員和知名人士？

不，他們可能仍是小兒科，有一些更加膽大包天的黑客在過去一年中衝擊着 79 個國家核地區的 政府、外交、軍隊和國防，對，編輯說的就是高級持續性威脅（APT）。

除了這些傳統目標，雷鋒網(公衆號：雷鋒網)還了解到，能源、電力、醫療、工業等國家基礎設施性行業也正面臨着 APT 攻擊的風險。而金融行業主要面臨一些成熟的網絡犯罪團伙的攻擊威脅，如 MageCart、Cobalt Group 等等，其組織化的成員結構和成熟的攻擊工具實現對目標行業的規模化攻擊，這與過去的普通黑客攻擊是徹底不一樣的。除了針對金融、銀行外，電子商務、在線零售等也是其攻擊目標。

最近，雷鋒網從 360 威脅情報中心發佈的《全球高級持續性威脅（APT）2018 年報告》（如下簡稱報告）中，還發現了更多的料。

1. 高級威脅攻擊活動幾乎覆蓋了全球絕大部分國家和區域

中國並非這些黑客的惟一目標，你能夠看到，韓國、中東、美國等兄弟的日子也很差過。

　　2. 膽大包天的黑客組織還挺多，有名有姓的就有 53 個

　　進一步對公開報告中高級威脅活動中命名的攻擊行動名稱、攻擊者名稱，並對同一背景來源進行歸類處理後的統計狀況以下，總共涉及 109 個命名的威脅來源命名。基於整年公開披露報告的數量統計，必定程度能夠反映威脅攻擊的活躍程度。

　　從上述威脅來源命名中，360 威脅情報中心認爲，明確的 APT 組織數量有 53 個。

　　其中，明確的針對中國境內實施攻擊活動的，而且依舊活躍的公開 APT 組織，包括海蓮花、摩訶草、蔓靈花、Darkhotel、Group 12三、毒雲藤和藍寶菇。

　　3. 手段更多樣，喪心病狂地利用在野漏洞

文檔投放的形式多樣化

　　在過去的 APT 威脅或者網絡攻擊活動中，利用郵件投遞惡意的文檔類載荷是很是常見的一種攻擊方式，一般投放的文檔大多爲 Office 文檔類型，如 doc、docx，xls，xlsx。

　　針對特定地區、特定語言或者特定行業的目標人員攻擊者可能投放一些其餘的文檔類型載荷，例如針對韓國人員投放 HWP 文檔，針對巴基斯坦地區投放 InPage 文檔，或者針對工程建築行業人員投放惡意的 AutoCAD 文檔等等。

利用文件格式的限制

　　APT 攻擊者一般會利用一些文件格式和顯示上的特性用於迷惑受害用戶或安全分析人員。這裏以 LNK 文件爲例，LNK 文件顯示的目標執行路徑僅 260 個字節，多餘的字符將被截斷，能夠直接查看 LNK 文件執行的命令。

　　而在跟蹤藍寶菇的攻擊活動中，該組織投放的 LNK 文件在目標路徑字符串前面填充了大量的空字符，直接查看沒法明確其執行的內容，須要解析 LNK 文件結構獲取。

利用新的系統文件格式特性

　　2018 年 6 月，國外安全研究人員公開了利用 Windows 10 下才被引入的新文件類型「.SettingContent-ms」執行任意命令的攻擊技巧，並公開了 POC。而該新型攻擊方式被公開後就馬上被黑客和 APT 組織歸入攻擊武器庫用於針對性攻擊，並衍生出各類利用方式：誘導執行、利用 Office 文檔執行、利用 PDF 文檔執行。

利用舊的技術實現攻擊

　　一些被認爲陳舊而古老的文檔特性能夠被實現並用於攻擊，360 威脅情報中心在下半年就針對利用 Excel 4.0 宏傳播商業遠控木馬的在野攻擊樣本進行了分析。

　　該技術最先是於 2018 年 10 月 6 日由國外安全廠商 Outflank 的安全研究人員首次公開，並展現了使用 Excel 4.0 宏執行 ShellCode 的利用代碼。Excel 4.0 宏是一個很古老的宏技術，微軟在後續使用 VBA 替換了該特性，但從利用效果和隱蔽性上依然可以達到不錯的效果。

　　從上述總結的多樣化的攻擊投放方式來看，攻擊者彷佛在不斷嘗試發如今郵件或終端側檢測所覆蓋的文件類型下的薄弱環節，從而逃避或繞過檢測。

0day 漏洞和在野利用攻擊

　　0day 漏洞一直是做爲 APT 組織實施攻擊所依賴的技術制高點，在這裏咱們回顧下 2018 年下半年主要的 0day 漏洞和相關 APT 組織使用 0day 漏洞實施的在野利用攻擊活動。

　　所謂 0day 漏洞的在野利用，通常是攻擊活動被捕獲時，發現其利用了某些 0day 漏洞（攻擊活動與攻擊樣本分析自己也是 0day 漏洞發現的重要方法之一）。而在有能力挖掘和利用 0day 漏洞的組織中，APT 組織首當其衝。

　　在 2018 年全球各安全機構發佈的 APT 研究報告中，0day 漏洞的在野利用成爲安全圈最爲關注的焦點之一。其中，僅 2018 年下半年，被安全機構披露的，被 APT 組織利用的 0day 漏洞就很多於 8 個。
4. 新的一年，它們還可能演變成這樣：

　　從 2018 年的 APT 威脅態勢來看，360 威脅情報中心推測，APT 威脅活動的演變趨勢可能包括以下：

　　1）APT 組織可能發展成更加明確的組織化特色，例如小組化，各個攻擊小組可能針對特定行業實施攻擊並達到特定的攻擊目的，但其總體可能共享部分攻擊代碼或資源。

　　2）APT 組織在初期的攻擊嘗試和得到初步控制權階段可能更傾向於使用開源或公開的攻擊工具或系統工具，對於高價值目標或維持長久性的控制才使用其自身特有的成熟的攻擊代碼。

　　3）APT 組織針對的目標行業可能進一步延伸到一些傳統行業或者和國家基礎建設相關的行業和機構，隨着這些行業逐漸的互聯化和智能化可能帶來的安全防護上的弱點，以及其可能面臨的供應鏈攻擊。

　　4）APT 組織進一步增強 0day 漏洞能力的儲備，而且可能覆蓋多個平臺，包括 PC，服務器，移動終端，路由器，甚至工控設備等。