2018全球APT年度報(bào)告:攻防已進(jìn)入白熱化
二、0day 漏洞和在野利用攻擊
0day漏洞一直是作為APT組織實(shí)施攻擊所依賴的技術(shù)制高點(diǎn),在這里我們回顧下2018年下半年主要的0day漏洞和相關(guān)APT組織使用0day漏洞實(shí)施的在野利用攻擊活動(dòng)。
所謂0day漏洞的在野利用,一般是攻擊活動(dòng)被捕獲時(shí),發(fā)現(xiàn)其利用了某些0day漏洞(攻擊活動(dòng)與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一)。而在有能力挖掘和利用0day漏洞的組織中,APT組織首當(dāng)其沖。
在2018年全球各安全機(jī)構(gòu)發(fā)布的APT研究報(bào)告中,0day漏洞的在野利用成為安全圈最為關(guān)注的焦點(diǎn)之一。其中,僅2018年下半年,被安全機(jī)構(gòu)披露的,被APT組織利用的0day漏洞就不少于8個(gè)。而在2018全年,360的各個(gè)安全團(tuán)隊(duì)也先后通過(guò)在野利用研究,向微軟、Adobe等公司報(bào)告了5個(gè) 0day漏洞。
360多個(gè)安全團(tuán)隊(duì)在下半年再一次發(fā)現(xiàn)Flash 0day漏洞的在野攻擊樣本并獲得Adobe致謝,這是360今年第二次首先捕獲到Flash 0day漏洞的在野樣本并獲得致謝。
三、APT 威脅活動(dòng)歸屬面臨的挑戰(zhàn)
APT威脅活動(dòng)的歸屬分析一直是APT威脅分析中最為重要的一個(gè)環(huán)節(jié),目前APT活動(dòng)的歸屬分析,主要的判斷依據(jù)包括以下幾點(diǎn):
1)APT組織使用的惡意代碼特征的相似度,如包含特有的元數(shù)據(jù),互斥量,加密算法,簽名等等。
2)APT組織歷史使用控制基礎(chǔ)設(shè)施的重疊,本質(zhì)即pDNS和whois數(shù)據(jù)的重疊。
3)APT組織使用的攻擊TTP。
4)結(jié)合攻擊留下的線索中的地域和語(yǔ)言特征,或攻擊針對(duì)的目標(biāo)和意圖,推測(cè)其攻擊歸屬的APT組織。
5)公開(kāi)情報(bào)中涉及的歸屬判斷依據(jù)。
但APT攻擊者會(huì)嘗試規(guī)避和隱藏攻擊活動(dòng)中留下的與其角色相關(guān)的線索,或者通過(guò)false flag和模仿其他組織的特征來(lái)迷惑分析人員。針對(duì)韓國(guó)平昌奧運(yùn)會(huì)的攻擊組織Hades就是一個(gè)最好的說(shuō)明。
360威脅情報(bào)中心在下半年的兩篇分析報(bào)告中,就對(duì)活躍在南亞地區(qū)的多個(gè)APT組織間使用的TTP存在重疊。
四、APT檢測(cè)及防御
隨著APT攻擊的日益猖獗,現(xiàn)有的APT防御技術(shù)也面臨著非常大的挑戰(zhàn)。傳統(tǒng)的APT防護(hù)技術(shù)專注于從企業(yè)客戶自身流量和數(shù)據(jù)中通過(guò)沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。而由于企業(yè)網(wǎng)絡(luò)防護(hù)系統(tǒng)缺少相關(guān)APT學(xué)習(xí)經(jīng)驗(yàn),而且攻擊者的逃逸水平也在不斷的進(jìn)步發(fā)展,本地設(shè)備會(huì)經(jīng)常性的出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象,經(jīng)常需要人工的二次分析進(jìn)行篩選。而且由于APT攻擊的復(fù)雜性和背景的特殊性,僅依賴于單一企業(yè)的數(shù)據(jù)經(jīng)常無(wú)法有效的發(fā)現(xiàn)APT攻擊背景,難以做到真正的追蹤溯源。360天眼則創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析,由于任何攻擊線索都會(huì)有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到,所以從互聯(lián)網(wǎng)進(jìn)行挖掘可極大提升未知威脅和APT攻擊的檢出效率,而且由于數(shù)據(jù)的覆蓋面更大,可以做到攻擊的更精準(zhǔn)溯源。
360天眼系統(tǒng)幫助客戶發(fā)現(xiàn)和處置超過(guò)百余起APT攻擊事件,包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠等APT安全事件,天眼系統(tǒng)服務(wù)的客戶超過(guò)300家,遍及20多個(gè)省份和直轄市,在公檢法、金融、政府部委、運(yùn)營(yíng)商、石油石化、電力、教育、醫(yī)療等行業(yè)都具有成功案例。
五、APT 威脅的演變趨勢(shì)
從2018年的APT威脅態(tài)勢(shì)來(lái)看,我們推測(cè)APT威脅活動(dòng)的演變趨勢(shì)可能包括如下:
1)APT組織可能發(fā)展成更加明確的組織化特點(diǎn),例如小組化,各個(gè)攻擊小組可能針對(duì)特定行業(yè)實(shí)施攻擊并達(dá)到特定的攻擊目的,但其整體可能共享部分攻擊代碼或資源。
2)APT組織在初期的攻擊嘗試和獲得初步控制權(quán)階段可能更傾向于使用開(kāi)源或公開(kāi)的攻擊工具或系統(tǒng)工具,對(duì)于高價(jià)值目標(biāo)或維持長(zhǎng)久性的控制才使用其自身特有的成熟的攻擊代碼。
3)APT組織針對(duì)的目標(biāo)行業(yè)可能進(jìn)一步延伸到一些傳統(tǒng)行業(yè)或者和國(guó)家基礎(chǔ)建設(shè)相關(guān)的行業(yè)和機(jī)構(gòu),隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來(lái)的安全防御上的弱點(diǎn),以及其可能面臨的供應(yīng)鏈攻擊。
4)APT組織進(jìn)一步加強(qiáng)0day漏洞能力的儲(chǔ)備,并且可能覆蓋多個(gè)平臺(tái),包括PC,服務(wù)器,移動(dòng)終端,路由器,甚至工控設(shè)備等。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市