侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

2018全球APT年度報(bào)告:攻防已進(jìn)入白熱化

二、0day 漏洞和在野利用攻擊

0day漏洞一直是作為APT組織實(shí)施攻擊所依賴的技術(shù)制高點(diǎn),在這里我們回顧下2018年下半年主要的0day漏洞和相關(guān)APT組織使用0day漏洞實(shí)施的在野利用攻擊活動(dòng)。

所謂0day漏洞的在野利用,一般是攻擊活動(dòng)被捕獲時(shí),發(fā)現(xiàn)其利用了某些0day漏洞(攻擊活動(dòng)與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一)。而在有能力挖掘和利用0day漏洞的組織中,APT組織首當(dāng)其沖。

在2018年全球各安全機(jī)構(gòu)發(fā)布的APT研究報(bào)告中,0day漏洞的在野利用成為安全圈最為關(guān)注的焦點(diǎn)之一。其中,僅2018年下半年,被安全機(jī)構(gòu)披露的,被APT組織利用的0day漏洞就不少于8個(gè)。而在2018全年,360的各個(gè)安全團(tuán)隊(duì)也先后通過(guò)在野利用研究,向微軟、Adobe等公司報(bào)告了5個(gè) 0day漏洞。

360多個(gè)安全團(tuán)隊(duì)在下半年再一次發(fā)現(xiàn)Flash 0day漏洞的在野攻擊樣本并獲得Adobe致謝,這是360今年第二次首先捕獲到Flash 0day漏洞的在野樣本并獲得致謝。

三、APT 威脅活動(dòng)歸屬面臨的挑戰(zhàn)

APT威脅活動(dòng)的歸屬分析一直是APT威脅分析中最為重要的一個(gè)環(huán)節(jié),目前APT活動(dòng)的歸屬分析,主要的判斷依據(jù)包括以下幾點(diǎn):

1)APT組織使用的惡意代碼特征的相似度,如包含特有的元數(shù)據(jù),互斥量,加密算法,簽名等等。

2)APT組織歷史使用控制基礎(chǔ)設(shè)施的重疊,本質(zhì)即pDNS和whois數(shù)據(jù)的重疊。

3)APT組織使用的攻擊TTP。

4)結(jié)合攻擊留下的線索中的地域和語(yǔ)言特征,或攻擊針對(duì)的目標(biāo)和意圖,推測(cè)其攻擊歸屬的APT組織。

5)公開(kāi)情報(bào)中涉及的歸屬判斷依據(jù)。

但APT攻擊者會(huì)嘗試規(guī)避和隱藏攻擊活動(dòng)中留下的與其角色相關(guān)的線索,或者通過(guò)false flag和模仿其他組織的特征來(lái)迷惑分析人員。針對(duì)韓國(guó)平昌奧運(yùn)會(huì)的攻擊組織Hades就是一個(gè)最好的說(shuō)明。

360威脅情報(bào)中心在下半年的兩篇分析報(bào)告中,就對(duì)活躍在南亞地區(qū)的多個(gè)APT組織間使用的TTP存在重疊。

四、APT檢測(cè)及防御

隨著APT攻擊的日益猖獗,現(xiàn)有的APT防御技術(shù)也面臨著非常大的挑戰(zhàn)。傳統(tǒng)的APT防護(hù)技術(shù)專注于從企業(yè)客戶自身流量和數(shù)據(jù)中通過(guò)沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。而由于企業(yè)網(wǎng)絡(luò)防護(hù)系統(tǒng)缺少相關(guān)APT學(xué)習(xí)經(jīng)驗(yàn),而且攻擊者的逃逸水平也在不斷的進(jìn)步發(fā)展,本地設(shè)備會(huì)經(jīng)常性的出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象,經(jīng)常需要人工的二次分析進(jìn)行篩選。而且由于APT攻擊的復(fù)雜性和背景的特殊性,僅依賴于單一企業(yè)的數(shù)據(jù)經(jīng)常無(wú)法有效的發(fā)現(xiàn)APT攻擊背景,難以做到真正的追蹤溯源。360天眼則創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析,由于任何攻擊線索都會(huì)有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到,所以從互聯(lián)網(wǎng)進(jìn)行挖掘可極大提升未知威脅和APT攻擊的檢出效率,而且由于數(shù)據(jù)的覆蓋面更大,可以做到攻擊的更精準(zhǔn)溯源。

360天眼系統(tǒng)幫助客戶發(fā)現(xiàn)和處置超過(guò)百余起APT攻擊事件,包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠等APT安全事件,天眼系統(tǒng)服務(wù)的客戶超過(guò)300家,遍及20多個(gè)省份和直轄市,在公檢法、金融、政府部委、運(yùn)營(yíng)商、石油石化、電力、教育、醫(yī)療等行業(yè)都具有成功案例。

五、APT 威脅的演變趨勢(shì)

從2018年的APT威脅態(tài)勢(shì)來(lái)看,我們推測(cè)APT威脅活動(dòng)的演變趨勢(shì)可能包括如下:

1)APT組織可能發(fā)展成更加明確的組織化特點(diǎn),例如小組化,各個(gè)攻擊小組可能針對(duì)特定行業(yè)實(shí)施攻擊并達(dá)到特定的攻擊目的,但其整體可能共享部分攻擊代碼或資源。

2)APT組織在初期的攻擊嘗試和獲得初步控制權(quán)階段可能更傾向于使用開(kāi)源或公開(kāi)的攻擊工具或系統(tǒng)工具,對(duì)于高價(jià)值目標(biāo)或維持長(zhǎng)久性的控制才使用其自身特有的成熟的攻擊代碼。

3)APT組織針對(duì)的目標(biāo)行業(yè)可能進(jìn)一步延伸到一些傳統(tǒng)行業(yè)或者和國(guó)家基礎(chǔ)建設(shè)相關(guān)的行業(yè)和機(jī)構(gòu),隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來(lái)的安全防御上的弱點(diǎn),以及其可能面臨的供應(yīng)鏈攻擊。

4)APT組織進(jìn)一步加強(qiáng)0day漏洞能力的儲(chǔ)備,并且可能覆蓋多個(gè)平臺(tái),包括PC,服務(wù)器,移動(dòng)終端,路由器,甚至工控設(shè)備等。

<上一頁(yè)  1  2  
聲明: 本文由入駐維科號(hào)的作者撰寫(xiě),觀點(diǎn)僅代表作者本人,不代表OFweek立場(chǎng)。如有侵權(quán)或其他問(wèn)題,請(qǐng)聯(lián)系舉報(bào)。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

安防 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號(hào)