近日，騰訊安全對(duì)外發(fā)布《2018上半年高級(jí)持續(xù)性威脅(APT)研究報(bào)告》(以下簡稱《報(bào)告》)，結(jié)合騰訊御見威脅情報(bào)中心APT研究小組對(duì)全球范圍內(nèi)的APT組織長期深入的跟蹤和分析，深度揭秘2018上半年持續(xù)活躍的APT攻擊活動(dòng)。

　　《報(bào)告》指出，近來國際性APT組織異?；钴S，針對(duì)中國的攻擊顯著增多;APT組織攻擊武器庫和作案手法不斷升級(jí)，國家機(jī)關(guān)以及幾乎所有的重要行業(yè)如能源企業(yè)、電信、醫(yī)療部門等都受到了來自APT攻擊的威脅，大型機(jī)構(gòu)的信息網(wǎng)絡(luò)系統(tǒng)安全面臨嚴(yán)峻的挑戰(zhàn)。

　　針對(duì)中國的APT攻擊顯著增多 定向瞄準(zhǔn)國家機(jī)關(guān)和能源企業(yè)

　　隨著中國在全球化進(jìn)程中影響力的不斷增長，中國政府、企業(yè)及民間機(jī)構(gòu)與世界各國聯(lián)系的不斷增強(qiáng)，中國已成為跨國APT組織的重點(diǎn)攻擊目標(biāo)?！秷?bào)告》顯示，2018年上半年，白象(Hangover)、海蓮花、寄生獸(DarkHotel)、蔓靈花等境外APT組織對(duì)中國境內(nèi)發(fā)起過多次攻擊。APT組織多采用魚叉郵件加漏洞文檔精準(zhǔn)投放的手段進(jìn)行攻擊，各種與中國有關(guān)的政治、軍事色彩的誘餌文檔在境內(nèi)多次被發(fā)現(xiàn)。

　　從APT組織攻擊的行業(yè)分布來看，國家機(jī)關(guān)和能源企業(yè)依然是APT組織最為關(guān)注的目標(biāo)，平均占比達(dá)到16%。除政府之外，軍事、電信、金融、工業(yè)等領(lǐng)域也是受APT組織攻擊的重災(zāi)區(qū)。

　　這些與國計(jì)民生密切相關(guān)的要害領(lǐng)域，被APT組織視為“高價(jià)值”的攻擊目標(biāo)。由于此類行業(yè)較為依賴互聯(lián)網(wǎng)提供的基礎(chǔ)設(shè)施，又相對(duì)缺乏專業(yè)的安全運(yùn)維，一旦遭受到攻擊致使機(jī)密數(shù)據(jù)資料泄露，將會(huì)給政府機(jī)構(gòu)、企業(yè)乃至個(gè)人都帶來嚴(yán)重的損失。

　　漏洞攻擊技術(shù)占比高達(dá)60% 0day漏洞利用成焦點(diǎn)

　　隨著漏洞挖掘技術(shù)的日益成熟以及各種漏洞POC的公開，漏洞的利用變得更加簡單，幾乎所有的APT組織都使用過漏洞進(jìn)行攻擊?！秷?bào)告》顯示，使用Nday和0day漏洞進(jìn)行攻擊的占比高達(dá)60%，僅2018上半年就出現(xiàn)了4例0Day漏洞攻擊事件。

　　據(jù)騰訊御見威脅情報(bào)中心監(jiān)測(cè)顯示，2018上半年陸續(xù)發(fā)現(xiàn)Lazarus APT組織使用CVE-2018-4878(Flash漏洞)進(jìn)行在野攻擊，寄生獸(DarkHotel)組織使用CVE-2018-8174(瀏覽器漏洞)，以及某未命名APT組織使用CVE-2018-5002(Flash漏洞)進(jìn)行攻擊等。APT組織利用Adobe Flash 0day漏洞(CVE-2018-5002)構(gòu)造特殊Excel文件對(duì)目標(biāo)國家進(jìn)行攻擊，并通過即時(shí)聊天工具和郵箱發(fā)送給目標(biāo)人員。一旦目標(biāo)人員Excel誘餌文件就會(huì)立即中招。

　　與此同時(shí)，由于各種高危漏洞的修復(fù)情況很不樂觀，許多APT組織經(jīng)常使用較老的漏洞進(jìn)行攻擊卻仍然頻頻得手。比如白象(Hangover)、海蓮花、商貿(mào)信等APT組織都使用過早已發(fā)布補(bǔ)丁的CVE-2017-11882(公式編輯器漏洞)進(jìn)行過攻擊。此外，APT組織經(jīng)常使用的宏文檔、DDE文檔攻擊技術(shù)，大多會(huì)結(jié)合迷惑性較強(qiáng)的社會(huì)工程學(xué)欺騙，再利用一些腳本或白利用技術(shù)，極大地提高了攻擊成功率。

　　騰訊安全專家支招防御APT攻擊：防范社會(huì)工程學(xué)攻擊與部署防護(hù)并重

　　為了提高相關(guān)機(jī)構(gòu)和個(gè)人防御APT攻擊的能力，騰訊安全專家建議，政府機(jī)構(gòu)、企業(yè)和個(gè)人應(yīng)全面提高防御社會(huì)工程學(xué)欺騙方面的意識(shí)。國家重要機(jī)構(gòu)、科研教育機(jī)構(gòu)以及事關(guān)國計(jì)民生的重要企業(yè)，應(yīng)加大普及網(wǎng)絡(luò)安全知識(shí)力度，部署完善的網(wǎng)絡(luò)安全保護(hù)設(shè)施，及時(shí)修補(bǔ)業(yè)務(wù)系統(tǒng)存在的安全漏洞，最大限度提高APT組織攻擊的門檻，及時(shí)發(fā)現(xiàn)、攔截APT組織的入侵。

　　騰訊智慧安全御界高級(jí)威脅檢測(cè)系統(tǒng)是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。憑借基于行為的防護(hù)和智能模型兩大核心能力，可高效檢測(cè)未知威脅，并通過對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。通過部署御界高級(jí)威脅檢測(cè)系統(tǒng)，可及時(shí)感知惡意流量，檢測(cè)釣魚網(wǎng)址和遠(yuǎn)控服務(wù)器地址在企業(yè)網(wǎng)絡(luò)中的訪問情況，有效保護(hù)企業(yè)級(jí)網(wǎng)絡(luò)信息系統(tǒng)安全。

　　《報(bào)告》預(yù)測(cè)，隨著商業(yè)競(jìng)爭(zhēng)的日趨激烈，部分非法企業(yè)可能出現(xiàn)雇傭黑客組織，針對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行APT攻擊的行為，且APT攻擊將不再僅限于高價(jià)值的目標(biāo)，而是日益走向平民化。對(duì)此騰訊安全專家建議，普通企業(yè)應(yīng)做好網(wǎng)絡(luò)和硬件的隔離防護(hù)，使用可信的軟硬件安全防護(hù)產(chǎn)品做好實(shí)時(shí)防護(hù)，以及定期處理數(shù)據(jù)隔離備份等工作，才能最大程度上避免遭受APT攻擊傷害。