這53個黑客組織不斷攻擊政府和國防中國不是唯一受害者
一波黑客乾了一票大的,直接將德國政界人士、記者和大批名人一鍋端,這些有頭有臉人物的個人信息被放在Twitter上供眾人“欣賞”,其中就包括德國總理默克爾。你以為這些黑客已經足夠大膽,敢正面剛上政界人員和知名人士?不,他們可能還是小兒科,有一些更加膽大包天的黑客在過去一年中衝擊著79個國家核地區的政府、外交、軍隊和國防,對,編輯說的就是高級持續性威脅(APT)。
除了這些傳統目標,能源、電力、醫療、工業等國家基礎設施性行業也正面臨著APT攻擊的風險。而金融行業主要面臨一些成熟的網絡犯罪團伙的攻擊威脅,如MageCart、Cobalt Group等等,其組織化的成員結構和成熟的攻擊工具實現對目標行業的規模化攻擊,這與過去的普通黑客攻擊是完全不同的。除了針對金融、銀行外,電子商務、在線零售等也是其攻擊目標。
360威脅情報中心發布的《全球高級持續性威脅(APT)2018年報告》(以下簡稱報告)中,還發現了更多的料。
1.高級威脅攻擊活動幾乎覆蓋了全球絕大部分國家和區域
中國並不是這些黑客的唯一目標,你可以看到,韓國、中東、美國等兄弟的日子也不好過。
2.膽大包天的黑客組織還挺多,有名有姓的就有53個
進一步對公開報告中高級威脅活動中命名的攻擊行動名稱、攻擊者名稱,並對同一背景來源進行歸類處理後的統計情況如下,總共涉及109個命名的威脅來源命名。基於全年公開披露報告的數量統計,一定程度可以反映威脅攻擊的活躍程度。
從上述威脅來源命名中,360威脅情報中心認為,明確的APT組織數量有53個。
其中,明確的針對中國境內實施攻擊活動的,並且依舊活躍的公開APT 組織,包括海蓮花、摩訶草、蔓靈花、Darkhotel、Group 123、毒雲藤和藍寶菇。
3.手段更多樣,喪心病狂地利用在野漏洞
- 文檔投放的形式多樣化
在過去的APT威脅或者網絡攻擊活動中,利用郵件投遞惡意的文檔類載荷是非常常見的一種攻擊方式,通常投放的文檔大多為Office文檔類型,如doc、docx,xls,xlsx。
針對特定地區、特定語言或者特定行業的目標人員攻擊者可能投放一些其他的文檔類型載荷,例如針對韓國人員投放HWP文檔,針對巴基斯坦地區投放InPage文檔,或者針對工程建築行業人員投放惡意的AutoCAD文檔等等。
- 利用文件格式的限制
APT攻擊者通常會利用一些文件格式和顯示上的特性用於迷惑受害用戶或安全分析人員。這里以LNK文件為例,LNK文件顯示的目標執行路徑僅260個字節,多餘的字符將被截斷,可以直接查看LNK文件執行的命令。
而在跟踪藍寶菇的攻擊活動中,該組織投放的LNK文件在目標路徑字符串前面填充了大量的空字符,直接查看無法明確其執行的內容,需要解析LNK文件結構獲取。
- 利用新的系統文件格式特性
2018年6月,國外安全研究人員公開了利用Windows 10下才被引入的新文件類型“.SettingContent-ms”執行任意命令的攻擊技巧,並公開了POC。而該新型攻擊方式被公開後就立刻被黑客和APT組織納入攻擊武器庫用於針對性攻擊,並衍生出各種利用方式:誘導執行、利用Office文檔執行、利用PDF文檔執行。
- 利用舊的技術實現攻擊
一些被認為陳舊而古老的文檔特性可以被實現並用於攻擊,360威脅情報中心在下半年就針對利用Excel 4.0宏傳播商業遠控木馬的在野攻擊樣本進行了分析。
該技術最早是於2018年10月6日由國外安全廠商Outflank的安全研究人員首次公開,並展示了使用Excel 4.0宏執行ShellCode的利用代碼。Excel 4.0宏是一個很古老的宏技術,微軟在後續使用VBA替換了該特性,但從利用效果和隱蔽性上依然能夠達到不錯的效果。
從上述總結的多樣化的攻擊投放方式來看,攻擊者似乎在不斷嘗試發現在郵件或終端側檢測所覆蓋的文件類型下的薄弱環節,從而逃避或繞過檢測。
- 0day 漏洞和在野利用攻擊
0day漏洞一直是作為APT組織實施攻擊所依賴的技術制高點,在這裡我們回顧下2018年下半年主要的0day漏洞和相關APT組織使用0day漏洞實施的在野利用攻擊活動。
所謂0day漏洞的在野利用,一般是攻擊活動被捕獲時,發現其利用了某些0day漏洞(攻擊活動與攻擊樣本分析本身也是0day漏洞發現的重要方法之一)。而在有能力挖掘和利用0day漏洞的組織中,APT組織首當其衝。
在2018年全球各安全機構發布的APT研究報告中,0day漏洞的在野利用成為安全圈最為關注的焦點之一。其中,僅2018年下半年,被安全機構披露的,被APT組織利用的0day漏洞就不少於8個。
[2018下半年APT組織使用的0day漏洞]
4.新的一年,它們還可能演變成這樣:
從2018年的APT威脅態勢來看,360威脅情報中心推測,APT威脅活動的演變趨勢可能包括如下:
1) APT組織可能發展成更加明確的組織化特點,例如小組化,各個攻擊小組可能針對特定行業實施攻擊並達到特定的攻擊目的,但其整體可能共享部分攻擊代碼或資源。
2) APT組織在初期的攻擊嘗試和獲得初步控制權階段可能更傾向於使用開源或公開的攻擊工具或系統工具,對於高價值目標或維持長久性的控制才使用其自身特有的成熟的攻擊代碼。
3) APT組織針對的目標行業可能進一步延伸到一些傳統行業或者和國家基礎建設相關的行業和機構,隨著這些行業逐漸的互聯化和智能化可能帶來的安全防禦上的弱點,以及其可能面臨的供應鏈攻擊。
4) APT組織進一步加強0day漏洞能力的儲備,並且可能覆蓋多個平台,包括PC,服務器,移動終端,路由器,甚至工控設備等。