安全動(dòng)態(tài)

APT 攻擊技術(shù)呈現(xiàn)五大趨勢(shì)
來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2018-03-01    瀏覽次數(shù):
 

信息來源:比特網(wǎng)

360威脅情報(bào)中心發(fā)布《2017中國高級(jí)持續(xù)性威脅(APT)研究報(bào)告》稱,2017年的APT攻擊呈現(xiàn)五大趨勢(shì),包括Office 0day漏洞成焦點(diǎn)、惡意代碼復(fù)雜性的顯著增強(qiáng)、移動(dòng)端的安全問題日益凸顯、針對(duì)金融行業(yè)的攻擊手段多樣化,以及APT已經(jīng)影響到每一個(gè)人的生活。

360威脅情報(bào)中心每年均發(fā)布《中國高級(jí)持續(xù)性威脅(APT)研究報(bào)告》,對(duì)中國和全球的APT攻擊進(jìn)行了深入的研究,目前已連續(xù)發(fā)布3年,成為國內(nèi)最有影響力的APT年度報(bào)告。

一、OFFICE 0day漏洞成焦點(diǎn)

Office漏洞的利用,一直APT組織攻擊的重要手段。2017年中,先后又有多個(gè)高危的Office漏洞被曝出,其中很大一部分已經(jīng)被APT組織所使用。Office 0day漏洞已經(jīng)成為APT組織關(guān)注的焦點(diǎn)。

下表給出了2017年新披露的部分Office漏洞及其被APT組織利用的情況。:

CVE編號(hào)

漏洞類型

披露廠商

0day利用情況

Nday利用情況

CVE-2017-0261

EPS中的UAF漏洞

FireEye

被Turla和某APT組織利用

摩訶草

CVE-2017-0262

EPS中的類型混淆漏洞

FireEye,ESET

APT28

不詳

CVE-2017-0199

OLE對(duì)象中的邏輯漏洞

FireEye

被多次利用

被多次利用

CVE-2017-8570

OLE對(duì)象中的邏輯漏洞

(CVE-2017-0199的補(bǔ)丁繞過)

McAfee

不詳

CVE-2017-8759

.NET Framework中的邏輯漏洞

FireEye

被多次利用

被多次利用

CVE-2017-11292

Adobe Flash Player類型混淆漏洞

Kaspersky

BlackOasis

APT28

CVE-2017-11882

公式編輯器中的棧溢出漏洞

embedi

Cobalt,APT34

CVE-2017-11826

OOXML解析器類型混淆漏洞

奇虎360

被某APT組織利用

不詳

 

表5 Office 0day漏洞

我們還注意到APT28、APT34、摩訶草等組織利用了多個(gè)Nday。所以,及時(shí)更新補(bǔ)丁還是非常重要的。未來除了新的0day之外,像CVE-2017-11882,CVE-2017-0199,CVE-2017-8759等原理簡單,易于構(gòu)造,觸發(fā)穩(wěn)定的漏洞將會(huì)成為APT組織的首選。

二、惡意代碼復(fù)雜性的顯著增強(qiáng)

2017年,在高級(jí)攻擊領(lǐng)域,聽到最多的一個(gè)病毒不是WannaCry,而是FinSpy(又名FinFisher或WingBird)。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多個(gè)漏洞都被用來投遞FinSpy。FinSpy的代碼經(jīng)過了多層虛擬機(jī)保護(hù),并且還有反調(diào)試和反虛擬機(jī)等功能,復(fù)雜程度可見一斑。此外,在2017年,海蓮花專用木馬的復(fù)雜性和對(duì)抗性也都明顯增強(qiáng)。

https://cdn.securelist.com/files/2017/10/171016-blackoasis-11.png

此外,海蓮花、APT34等組織都采用了DGA算法來逃避檢測(cè)。目前來看,使用機(jī)器學(xué)習(xí)的方法對(duì)其進(jìn)行檢測(cè)還是一個(gè)不錯(cuò)的方法。

三、移動(dòng)端的安全問題日益凸顯

傳統(tǒng)的APT行動(dòng)主要是針對(duì)Windows系統(tǒng)進(jìn)行攻擊,而現(xiàn)今由于Android和iOS的發(fā)展帶動(dòng)了智能終端用戶量的上升,從而導(dǎo)致黑客組織的攻擊目標(biāo)也逐漸轉(zhuǎn)向移動(dòng)端。對(duì)于移動(dòng)平臺(tái)來說,持久化和隱藏的間諜軟件是一個(gè)被低估的問題。盡管移動(dòng)設(shè)備上的網(wǎng)絡(luò)間諜活動(dòng)與臺(tái)式機(jī)或個(gè)人電腦中的網(wǎng)絡(luò)間諜活動(dòng)相比可能少得多,攻擊方式也不太一樣,但它們確實(shí)發(fā)生了,而且可能比我們認(rèn)為的更活躍。

2017年,iOS9.3.5更新修補(bǔ)了三個(gè)安全漏洞,即三叉戟漏洞,隨后Citizen Lab發(fā)布文章指出這三個(gè)0day被用于針對(duì)特殊目標(biāo)遠(yuǎn)程植入后門。

360威脅情報(bào)中心在2017年至2018年初先后披露的雙尾蝎組織(APT-C-23)和黃金鼠組織(APT-C-27),也都把移動(dòng)端作為了重要攻擊目標(biāo)。Trend Micro隨后發(fā)布的博客還進(jìn)一步披露了雙尾蝎(APT-C-23)使用的移動(dòng)惡意軟件VAMP的一個(gè)新變種。

四、針對(duì)金融行業(yè)的攻擊手段多樣化

針對(duì)金融行業(yè)的攻擊一直是APT的重點(diǎn)目標(biāo)。比如FIN7就是一個(gè)典型的經(jīng)常攻擊金融行業(yè)的APT組織。除了傳統(tǒng)魚叉郵件等攻擊手段外,還會(huì)有APT組織攻擊ATM取款機(jī),讓其定時(shí)吐錢。2017年卡巴斯基的報(bào)告指出,針對(duì)ATM的惡意軟件正在黑市上售賣。

2017年,加密貨幣熱度的持續(xù)攀升不僅僅使得勒索軟件和挖礦木馬蠢蠢欲動(dòng),APT組織也盯上了這塊蛋糕。

五、APT已經(jīng)影響到每一個(gè)人的生活

APT攻擊和APT組織已經(jīng)開始影響到我們每一個(gè)人的生活。APT攻擊一般是針對(duì)重要的組織或個(gè)人,然而2017年APT28就針對(duì)酒店行業(yè)這種傳統(tǒng)行業(yè)進(jìn)行了攻擊。

席卷全球的WannaCry和類Petya背后似乎也隱隱約約有APT的影子。Google的研究員發(fā)現(xiàn),2017年2月的一個(gè)疑似WannaCry的早期版本和Lazarus的樣本之間具有一定的相似性。

ESET和卡巴斯基也懷疑類Petya的幕后黑手可能是BlackEnergy,類Petya加密的文件擴(kuò)展名的列表與2015年BlackEnergy的KillDisk勒索軟件非常相似。

 
 

上一篇:“數(shù)化萬物 智在融合”—— 2018中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)將于5月26日在筑開幕

下一篇:2018年03月01日 聚銘安全速遞