7月底，新加坡被爆史上最嚴(yán)重APT攻擊，包括總理李顯龍?jiān)趦?nèi)約150萬人的健康數(shù)據(jù)被泄露，APT攻擊的高威脅性再次引起廣泛關(guān)注。面對(duì)日益猖獗的APT攻擊，騰訊安全于近日對(duì)外發(fā)布《2018上半年高級(jí)持續(xù)性威脅(APT)研究報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，公布騰訊御見威脅情報(bào)中心APT研究小組對(duì)全球范圍內(nèi)APT組織進(jìn)行長(zhǎng)期深入跟蹤和分析的結(jié)果，深度披露漏洞攻擊、魚叉郵件、水坑攻擊三大主流攻擊手段。

　　“舊漏洞”仍是攻擊利器 APT組織使用漏洞技術(shù)占比達(dá)60%

　　APT攻擊通常以竊取核心資料、搜集情報(bào)為目的，對(duì)政府、企業(yè)等組織機(jī)構(gòu)的數(shù)據(jù)安全造成嚴(yán)重威脅。伴隨漏洞挖掘技術(shù)的日益成熟以及各種漏洞POC的公開，漏洞的利用也變得更加簡(jiǎn)單。《報(bào)告》顯示，APT組織使用包含Nday和0day漏洞技術(shù)進(jìn)行攻擊的占比達(dá)到60%。

　　值得注意的是，由于高危漏洞修復(fù)率偏低，許多APT組織仍在使用“舊漏洞”進(jìn)行攻擊。例如白象(Hangover)、海蓮花、商貿(mào)信等APT組織仍在使用2017年11月就發(fā)布過相應(yīng)補(bǔ)丁的CVE-2017-11882(公式編輯器漏洞)進(jìn)行攻擊。

　　APT攻擊者還會(huì)通過利用程序漏洞隱藏惡意程序，在入侵成功后獲取攻擊目標(biāo)計(jì)算機(jī)的控制權(quán)。據(jù)騰訊御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，2018年上半年活躍的寄生獸(DarkHotel)APT組織喜歡把木馬隱藏在putty、openssl、zlib等開源的代碼中，從而實(shí)現(xiàn)躲避檢測(cè)的目的。該組織使用專有木馬程序，且只針對(duì)特定對(duì)象進(jìn)行攻擊，因此極難被一般安全檢測(cè)程序發(fā)現(xiàn)。

　　魚叉攻擊屢試不爽 外貿(mào)企業(yè)成重點(diǎn)攻擊目標(biāo)

　　作為APT組織最常用的攻擊渠道，魚叉攻擊是指精心設(shè)計(jì)攜帶病毒的誘餌文檔進(jìn)行攻擊的形式。攻擊者通常會(huì)選取特定目標(biāo)，詳細(xì)搜集攻擊目標(biāo)的姓名、郵箱地址、社交媒體賬號(hào)等個(gè)人網(wǎng)絡(luò)信息，然后假冒公司、組織乃至政府的名義，發(fā)送給目標(biāo)電腦。用戶一旦打開附件，就會(huì)導(dǎo)致電腦感染木馬。攻擊者還會(huì)以要求用戶點(diǎn)擊鏈接、輸入賬號(hào)密碼等形式竊取用戶隱私，甚至借機(jī)安裝惡意程序持續(xù)破壞目標(biāo)計(jì)算機(jī)。

　　盡管釣魚攻擊已經(jīng)是APT組織的“老套路”，但由于誘餌文檔十分“逼真”，仍有大量組織機(jī)構(gòu)中招。2017年12月，騰訊安全御見情報(bào)中心曾預(yù)警針對(duì)外貿(mào)行業(yè)的“商貿(mào)信”病毒，其將Word文檔偽裝成采購清單等文件，在全球外貿(mào)行業(yè)內(nèi)大量投“毒”，影響外貿(mào)工作者達(dá)150萬。今年6月，針對(duì)中國(guó)進(jìn)出口企業(yè)的網(wǎng)絡(luò)攻擊再次抬頭。受攻擊的企業(yè)主要包括電子科技、外貿(mào)和遠(yuǎn)洋運(yùn)輸企業(yè)，攻擊者發(fā)送精心設(shè)計(jì)的與企業(yè)業(yè)務(wù)相關(guān)的誘餌郵件，附件是利用Office漏洞特別定制的攻擊文檔，存在漏洞的電腦上打開附件會(huì)立刻中毒。

　　國(guó)外各大政府機(jī)構(gòu)也頻頻遭遇魚叉攻擊。今年2月，奇幻熊(APT28)組織利用英國(guó)信息服務(wù)提供商IHS Markit公司的郵箱賬號(hào)，向羅馬尼亞外交部發(fā)送釣魚郵件。此前，該組織還曾使用釣魚郵件及Carberp變種木馬對(duì)美國(guó)政府機(jī)構(gòu)發(fā)起攻擊。

　　水坑攻擊“守株待兔” 常用網(wǎng)站成病毒重要傳播渠道

　　除了主動(dòng)出擊，APT組織還會(huì)在目標(biāo)用戶必經(jīng)之地設(shè)置“水坑”以“守株待兔”。例如APT組織會(huì)通過事先觀察確定攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站，入侵其中一個(gè)或多個(gè)后，植入惡意軟件。由于攻擊目標(biāo)往往對(duì)常用網(wǎng)站較為信任，一時(shí)放松警惕而中招。

　　2018年6月，騰訊御見威脅情報(bào)中心捕捉到一個(gè)利用Office公式編輯器漏洞(編號(hào)CVE-2017-11882)的惡意攻擊文檔，其投遞的攻擊載荷均被命名為與主流播放器類似的一系列文件名，如QuickTime、PotPlayer、Gom Player等。經(jīng)過騰訊御見威脅情報(bào)中心分析發(fā)現(xiàn)，該組織的攻擊目標(biāo)為印度、巴基斯坦、韓國(guó)等國(guó)家，由于這些地區(qū)電影業(yè)發(fā)達(dá)，將木馬偽裝成視頻播放器程序，更容易蒙騙過關(guān)。

　　面對(duì)持續(xù)肆虐的APT攻擊威脅，騰訊安全專家提示，要做到“防御社會(huì)工程學(xué)欺騙”和“部署完善安全的保護(hù)措施”雙管齊下，加大普及網(wǎng)絡(luò)安全知識(shí)力度，最大限度減小APT攻擊傷害。推薦使用騰訊智慧安全御界高級(jí)威脅檢測(cè)系統(tǒng)等安全防護(hù)系統(tǒng)，可及時(shí)感知惡意流量，檢測(cè)釣魚網(wǎng)址和遠(yuǎn)控服務(wù)器地址在企業(yè)網(wǎng)絡(luò)中的訪問情況，有效保護(hù)企業(yè)級(jí)網(wǎng)絡(luò)信息系統(tǒng)安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。