近日，騰訊安全對外發(fā)布《2018上半年高級持續(xù)性威脅(APT)研究報告》(以下簡稱《報告》)，結(jié)合騰訊御見威脅情報中心APT研究小組對全球范圍內(nèi)的APT組織長期深入的跟蹤和分析，深度揭秘2018上半年持續(xù)活躍的APT攻擊活動。

　　《報告》指出，近來國際性APT組織異?；钴S，針對中國的攻擊顯著增多;APT組織攻擊武器庫和作案手法不斷升級，國家機關(guān)以及幾乎所有的重要行業(yè)如能源企業(yè)、電信、醫(yī)療部門等都受到了來自APT攻擊的威脅，大型機構(gòu)的信息網(wǎng)絡系統(tǒng)安全面臨嚴峻的挑戰(zhàn)。

　　針對中國的APT攻擊顯著增多 定向瞄準國家機關(guān)和能源企業(yè)

　　隨著中國在全球化進程中影響力的不斷增長，中國政府、企業(yè)及民間機構(gòu)與世界各國聯(lián)系的不斷增強，中國已成為跨國APT組織的重點攻擊目標?！秷蟾妗凤@示，2018年上半年，白象(Hangover)、海蓮花、寄生獸(DarkHotel)、蔓靈花等境外APT組織對中國境內(nèi)發(fā)起過多次攻擊。APT組織多采用魚叉郵件加漏洞文檔精準投放的手段進行攻擊，各種與中國有關(guān)的政治、軍事色彩的誘餌文檔在境內(nèi)多次被發(fā)現(xiàn)。

　　從APT組織攻擊的行業(yè)分布來看，國家機關(guān)和能源企業(yè)依然是APT組織最為關(guān)注的目標，平均占比達到16%。除政府之外，軍事、電信、金融、工業(yè)等領域也是受APT組織攻擊的重災區(qū)。

　　這些與國計民生密切相關(guān)的要害領域，被APT組織視為“高價值”的攻擊目標。由于此類行業(yè)較為依賴互聯(lián)網(wǎng)提供的基礎設施，又相對缺乏專業(yè)的安全運維，一旦遭受到攻擊致使機密數(shù)據(jù)資料泄露，將會給政府機構(gòu)、企業(yè)乃至個人都帶來嚴重的損失。

　　漏洞攻擊技術(shù)占比高達60% 0day漏洞利用成焦點

　　隨著漏洞挖掘技術(shù)的日益成熟以及各種漏洞POC的公開，漏洞的利用變得更加簡單，幾乎所有的APT組織都使用過漏洞進行攻擊?！秷蟾妗凤@示，使用Nday和0day漏洞進行攻擊的占比高達60%，僅2018上半年就出現(xiàn)了4例0Day漏洞攻擊事件。

　　據(jù)騰訊御見威脅情報中心監(jiān)測顯示，2018上半年陸續(xù)發(fā)現(xiàn)Lazarus APT組織使用CVE-2018-4878(Flash漏洞)進行在野攻擊，寄生獸(DarkHotel)組織使用CVE-2018-8174(瀏覽器漏洞)，以及某未命名APT組織使用CVE-2018-5002(Flash漏洞)進行攻擊等。APT組織利用Adobe Flash 0day漏洞(CVE-2018-5002)構(gòu)造特殊Excel文件對目標國家進行攻擊，并通過即時聊天工具和郵箱發(fā)送給目標人員。一旦目標人員Excel誘餌文件就會立即中招。

　　與此同時，由于各種高危漏洞的修復情況很不樂觀，許多APT組織經(jīng)常使用較老的漏洞進行攻擊卻仍然頻頻得手。比如白象(Hangover)、海蓮花、商貿(mào)信等APT組織都使用過早已發(fā)布補丁的CVE-2017-11882(公式編輯器漏洞)進行過攻擊。此外，APT組織經(jīng)常使用的宏文檔、DDE文檔攻擊技術(shù)，大多會結(jié)合迷惑性較強的社會工程學欺騙，再利用一些腳本或白利用技術(shù)，極大地提高了攻擊成功率。

　　騰訊安全專家支招防御APT攻擊：防范社會工程學攻擊與部署防護并重

　　為了提高相關(guān)機構(gòu)和個人防御APT攻擊的能力，騰訊安全專家建議，政府機構(gòu)、企業(yè)和個人應全面提高防御社會工程學欺騙方面的意識。國家重要機構(gòu)、科研教育機構(gòu)以及事關(guān)國計民生的重要企業(yè)，應加大普及網(wǎng)絡安全知識力度，部署完善的網(wǎng)絡安全保護設施，及時修補業(yè)務系統(tǒng)存在的安全漏洞，最大限度提高APT組織攻擊的門檻，及時發(fā)現(xiàn)、攔截APT組織的入侵。

　　騰訊智慧安全御界高級威脅檢測系統(tǒng)是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨特威脅情報和惡意檢測模型系統(tǒng)。憑借基于行為的防護和智能模型兩大核心能力，可高效檢測未知威脅，并通過對企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡流量的分析，感知漏洞的利用和攻擊。通過部署御界高級威脅檢測系統(tǒng)，可及時感知惡意流量，檢測釣魚網(wǎng)址和遠控服務器地址在企業(yè)網(wǎng)絡中的訪問情況，有效保護企業(yè)級網(wǎng)絡信息系統(tǒng)安全。

　　《報告》預測，隨著商業(yè)競爭的日趨激烈，部分非法企業(yè)可能出現(xiàn)雇傭黑客組織，針對競爭對手進行APT攻擊的行為，且APT攻擊將不再僅限于高價值的目標，而是日益走向平民化。對此騰訊安全專家建議，普通企業(yè)應做好網(wǎng)絡和硬件的隔離防護，使用可信的軟硬件安全防護產(chǎn)品做好實時防護，以及定期處理數(shù)據(jù)隔離備份等工作，才能最大程度上避免遭受APT攻擊傷害。