近日，360威脅情報中心發(fā)布了《全球高級持續(xù)性威脅（APT）2018年報告》（以下簡稱報告），揭示了過去一年全球APT發(fā)展態(tài)勢。在所有網(wǎng)絡(luò)攻擊活動中，APT攻擊能夠?qū)π袠I(yè)、企業(yè)和機構(gòu)造成更嚴重的影響，并且更加難于發(fā)現(xiàn)和防御，APT攻擊的背后是APT組織和網(wǎng)絡(luò)犯罪組織。

2018年1－ 12月，360威脅情報中心共監(jiān)測到全球99個專業(yè)機構(gòu)（含媒體）發(fā)布的各類APT研究報告478份，涉及相關(guān)威脅來源109個，其中APT組織53個（只統(tǒng)計了有明確編號或名稱的APT組織），涉及被攻擊目標國家和地區(qū)79個。

報告顯示，政府、外交、軍隊、國防依然是 APT 攻擊者的主要目標，能源、電力、醫(yī)療、工業(yè)等國家基礎(chǔ)設(shè)施性行業(yè)也正面臨著APT攻擊的風險。而金融行業(yè)主要面臨一些成熟的網(wǎng)絡(luò)犯罪團伙的攻擊威脅，如MageCart、Cobalt Group等等，其組織化的成員結(jié)構(gòu)和成熟的攻擊工具實現(xiàn)對目標行業(yè)的規(guī)�；�攻擊，這與過去的普通黑客攻擊是完全不同的。除了針對金融、銀行外，電子商務(wù)、在線零售等也是其攻擊目標。

高級威脅活動涉及目標的國家和地域分布情況統(tǒng)計如下圖（摘錄自公開報告中提到的受害目標所屬國家或地域），可以看到高級威脅攻擊活動幾乎覆蓋了全球絕大部分國家和區(qū)域。

進一步對公開報告中高級威脅活動中命名的攻擊行動名稱、攻擊者名稱，并對同一背景來源進行歸類處理后的統(tǒng)計情況如下，總共涉及109個命名的威脅來源命名�；�于全年公開披露報告的數(shù)量統(tǒng)計，一定程度可以反映威脅攻擊的活躍程度。

從上述威脅來源命名中，我們認為明確的APT組織數(shù)量有53個。

其中，明確的針對中國境內(nèi)實施攻擊活動的，并且依舊活躍的公開APT 組織，包括海蓮花，摩訶草，蔓靈花，Darkhotel，Group 123，毒云藤和藍寶菇，其中毒云藤和藍寶菇是360在2018年下半年公開披露并命名的APT組織。

APT攻防的現(xiàn)狀和趨勢

2018年，APT威脅的攻防雙方處于白熱化的博弈當中。作為APT防御的安全廠商比往年更加頻繁的跟蹤和曝光APT組織的攻擊活動，其中包括新的APT組織或APT行動，更新的APT攻擊武器和在野漏洞的利用。而APT威脅組織也不再局限于其過去固有的攻擊模式和武器，APT組織不僅需要達到最終的攻擊效果，還刻意避免被防御方根據(jù)留下的痕跡和特征追溯到其組織身份。

一、多樣化的攻擊投放方式

（一）文檔投放的形式多樣化

在過去的APT威脅或者網(wǎng)絡(luò)攻擊活動中，利用郵件投遞惡意的文檔類載荷是非常常見的一種攻擊方式，通常投放的文檔大多為Office文檔類型，如doc、docx，xls，xlsx。

針對特定地區(qū)、特定語言或者特定行業(yè)的目標人員攻擊者可能投放一些其他的文檔類型載荷，例如針對韓國人員投放HWP文檔，針對巴基斯坦地區(qū)投放InPage文檔，或者針對工程建筑行業(yè)人員投放惡意的AutoCAD文檔等等。

（二）利用文件格式的限制

APT攻擊者通常會利用一些文件格式和顯示上的特性用于迷惑受害用戶或安全分析人員。這里以LNK文件為例，LNK文件顯示的目標執(zhí)行路徑僅260個字節(jié)，多余的字符將被截斷，可以直接查看LNK文件執(zhí)行的命令。

而在跟蹤藍寶菇的攻擊活動中，該組織投放的LNK文件在目標路徑字符串前面填充了大量的空字符，直接查看無法明確其執(zhí)行的內(nèi)容，需要解析LNK文件結(jié)構(gòu)獲取。

（三）利用新的系統(tǒng)文件格式特性

2018年6月，國外安全研究人員公開了利用Windows 10下才被引入的新文件類型“．SettingContent－ms”執(zhí)行任意命令的攻擊技巧，并公開了POC。而該新型攻擊方式被公開后就立刻被黑客和APT組織納入攻擊武器庫用于針對性攻擊，并衍生出各種利用方式：誘導執(zhí)行、利用Office文檔執(zhí)行、利用PDF文檔執(zhí)行。

2018年8月14日，微軟發(fā)布了針對該缺陷的系統(tǒng)補丁，對應(yīng)的漏洞編號為CVE－2018－8414。360威脅情報中心隨后發(fā)布了利用該攻擊技術(shù)的相關(guān)報告，并發(fā)現(xiàn)疑似摩訶草和Darkhydrus組織使用該技術(shù)的攻擊樣本。

（四）利用舊的技術(shù)實現(xiàn)攻擊

一些被認為陳舊而古老的文檔特性可以被實現(xiàn)并用于攻擊，360威脅情報中心在下半年就針對利用Excel 4．0宏傳播商業(yè)遠控木馬的在野攻擊樣本進行了分析。

該技術(shù)最早是于2018年10月6日由國外安全廠商Outflank的安全研究人員首次公開，并展示了使用Excel 4．0宏執(zhí)行ShellCode的利用代碼。Excel 4．0宏是一個很古老的宏技術(shù)，微軟在后續(xù)使用VBA替換了該特性，但從利用效果和隱蔽性上依然能夠達到不錯的效果。

從上述總結(jié)的多樣化的攻擊投放方式來看，攻擊者似乎在不斷嘗試發(fā)現(xiàn)在郵件或終端側(cè)檢測所覆蓋的文件類型下的薄弱環(huán)節(jié)，從而逃避或繞過檢測。