7月底，新加坡被爆史上最嚴(yán)重APT攻擊，包括總理李顯龍在內(nèi)約150萬人的健康數(shù)據(jù)被泄露，APT攻擊的高威脅性再次引起廣泛關(guān)注。面對日益猖獗的APT攻擊，騰訊安全于近日對外發(fā)布《2018上半年高級持續(xù)性威脅(APT)研究報告》(以下簡稱《報告》)，公布騰訊御見威脅情報中心APT研究小組對全球范圍內(nèi)APT組織進行長期深入跟蹤和分析的結(jié)果，深度披露漏洞攻擊、魚叉郵件、水坑攻擊三大主流攻擊手段。

　　“舊漏洞”仍是攻擊利器 APT組織使用漏洞技術(shù)占比達60%

　　APT攻擊通常以竊取核心資料、搜集情報為目的，對政府、企業(yè)等組織機構(gòu)的數(shù)據(jù)安全造成嚴(yán)重威脅。伴隨漏洞挖掘技術(shù)的日益成熟以及各種漏洞POC的公開，漏洞的利用也變得更加簡單?！秷蟾妗凤@示，APT組織使用包含Nday和0day漏洞技術(shù)進行攻擊的占比達到60%。

　　值得注意的是，由于高危漏洞修復(fù)率偏低，許多APT組織仍在使用“舊漏洞”進行攻擊。例如白象(Hangover)、海蓮花、商貿(mào)信等APT組織仍在使用2017年11月就發(fā)布過相應(yīng)補丁的CVE-2017-11882(公式編輯器漏洞)進行攻擊。

　　APT攻擊者還會通過利用程序漏洞隱藏惡意程序，在入侵成功后獲取攻擊目標(biāo)計算機的控制權(quán)。據(jù)騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)，2018年上半年活躍的寄生獸(DarkHotel)APT組織喜歡把木馬隱藏在putty、openssl、zlib等開源的代碼中，從而實現(xiàn)躲避檢測的目的。該組織使用專有木馬程序，且只針對特定對象進行攻擊，因此極難被一般安全檢測程序發(fā)現(xiàn)。

　　魚叉攻擊屢試不爽 外貿(mào)企業(yè)成重點攻擊目標(biāo)

　　作為APT組織最常用的攻擊渠道，魚叉攻擊是指精心設(shè)計攜帶病毒的誘餌文檔進行攻擊的形式。攻擊者通常會選取特定目標(biāo)，詳細搜集攻擊目標(biāo)的姓名、郵箱地址、社交媒體賬號等個人網(wǎng)絡(luò)信息，然后假冒公司、組織乃至政府的名義，發(fā)送給目標(biāo)電腦。用戶一旦打開附件，就會導(dǎo)致電腦感染木馬。攻擊者還會以要求用戶點擊鏈接、輸入賬號密碼等形式竊取用戶隱私，甚至借機安裝惡意程序持續(xù)破壞目標(biāo)計算機。

　　盡管釣魚攻擊已經(jīng)是APT組織的“老套路”，但由于誘餌文檔十分“逼真”，仍有大量組織機構(gòu)中招。2017年12月，騰訊安全御見情報中心曾預(yù)警針對外貿(mào)行業(yè)的“商貿(mào)信”病毒，其將Word文檔偽裝成采購清單等文件，在全球外貿(mào)行業(yè)內(nèi)大量投“毒”，影響外貿(mào)工作者達150萬。今年6月，針對中國進出口企業(yè)的網(wǎng)絡(luò)攻擊再次抬頭。受攻擊的企業(yè)主要包括電子科技、外貿(mào)和遠洋運輸企業(yè)，攻擊者發(fā)送精心設(shè)計的與企業(yè)業(yè)務(wù)相關(guān)的誘餌郵件，附件是利用Office漏洞特別定制的攻擊文檔，存在漏洞的電腦上打開附件會立刻中毒。

　　國外各大政府機構(gòu)也頻頻遭遇魚叉攻擊。今年2月，奇幻熊(APT28)組織利用英國信息服務(wù)提供商IHS Markit公司的郵箱賬號，向羅馬尼亞外交部發(fā)送釣魚郵件。此前，該組織還曾使用釣魚郵件及Carberp變種木馬對美國政府機構(gòu)發(fā)起攻擊。

　　水坑攻擊“守株待兔” 常用網(wǎng)站成病毒重要傳播渠道

　　除了主動出擊，APT組織還會在目標(biāo)用戶必經(jīng)之地設(shè)置“水坑”以“守株待兔”。例如APT組織會通過事先觀察確定攻擊目標(biāo)經(jīng)常訪問的網(wǎng)站，入侵其中一個或多個后，植入惡意軟件。由于攻擊目標(biāo)往往對常用網(wǎng)站較為信任，一時放松警惕而中招。

　　2018年6月，騰訊御見威脅情報中心捕捉到一個利用Office公式編輯器漏洞(編號CVE-2017-11882)的惡意攻擊文檔，其投遞的攻擊載荷均被命名為與主流播放器類似的一系列文件名，如QuickTime、PotPlayer、Gom Player等。經(jīng)過騰訊御見威脅情報中心分析發(fā)現(xiàn)，該組織的攻擊目標(biāo)為印度、巴基斯坦、韓國等國家，由于這些地區(qū)電影業(yè)發(fā)達，將木馬偽裝成視頻播放器程序，更容易蒙騙過關(guān)。

　　面對持續(xù)肆虐的APT攻擊威脅，騰訊安全專家提示，要做到“防御社會工程學(xué)欺騙”和“部署完善安全的保護措施”雙管齊下，加大普及網(wǎng)絡(luò)安全知識力度，最大限度減小APT攻擊傷害。推薦使用騰訊智慧安全御界高級威脅檢測系統(tǒng)等安全防護系統(tǒng)，可及時感知惡意流量，檢測釣魚網(wǎng)址和遠控服務(wù)器地址在企業(yè)網(wǎng)絡(luò)中的訪問情況，有效保護企業(yè)級網(wǎng)絡(luò)信息系統(tǒng)安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。