1月5日，雷鋒網(wǎng)報道，一波黑客干了一票大的，直接將德國政界人士、記者和大批名人一鍋端，這些有頭有臉人物的個人信息被放在 Twitter 上供眾人“欣賞”，其中就包括德國總理默克爾。

你以為這些黑客已經(jīng)足夠大膽，敢正面剛上政界人員和知名人士？

不，他們可能還是小兒科，有一些更加膽大包天的黑客在過去一年中沖擊著79個國家核地區(qū)的   政府、外交、軍隊和國防，對，編輯說的就是高級持續(xù)性威脅（APT）。

除了這些傳統(tǒng)目標，雷鋒網(wǎng)還了解到，能源、電力、醫(yī)療、工業(yè)等國家基礎設施性行業(yè)也正面臨著APT攻擊的風險。而金融行業(yè)主要面臨一些成熟的網(wǎng)絡犯罪團伙的攻擊威脅，如MageCart、Cobalt Group等等，其組織化的成員結(jié)構和成熟的攻擊工具實現(xiàn)對目標行業(yè)的規(guī)?；簦@與過去的普通黑客攻擊是完全不同的。除了針對金融、銀行外，電子商務、在線零售等也是其攻擊目標。

最近，雷鋒網(wǎng)從360威脅情報中心發(fā)布的《全球高級持續(xù)性威脅（APT）2018年報告》（以下簡稱報告）中，還發(fā)現(xiàn)了更多的料。

1.高級威脅攻擊活動幾乎覆蓋了全球絕大部分國家和區(qū)域

中國并不是這些黑客的唯一目標，你可以看到，韓國、中東、美國等兄弟的日子也不好過。

2.膽大包天的黑客組織還挺多，有名有姓的就有53個

進一步對公開報告中高級威脅活動中命名的攻擊行動名稱、攻擊者名稱，并對同一背景來源進行歸類處理后的統(tǒng)計情況如下，總共涉及109個命名的威脅來源命名?；谌旯_披露報告的數(shù)量統(tǒng)計，一定程度可以反映威脅攻擊的活躍程度。

從上述威脅來源命名中，360威脅情報中心認為，明確的APT組織數(shù)量有53個。

其中，明確的針對中國境內(nèi)實施攻擊活動的，并且依舊活躍的公開APT 組織，包括海蓮花、摩訶草、蔓靈花、Darkhotel、Group 123、毒云藤和藍寶菇。

3.手段更多樣，喪心病狂地利用在野漏洞

• 文檔投放的形式多樣化

在過去的APT威脅或者網(wǎng)絡攻擊活動中，利用郵件投遞惡意的文檔類載荷是非常常見的一種攻擊方式，通常投放的文檔大多為Office文檔類型，如doc、docx，xls，xlsx。

針對特定地區(qū)、特定語言或者特定行業(yè)的目標人員攻擊者可能投放一些其他的文檔類型載荷，例如針對韓國人員投放HWP文檔，針對巴基斯坦地區(qū)投放InPage文檔，或者針對工程建筑行業(yè)人員投放惡意的AutoCAD文檔等等。

• 利用文件格式的限制

APT攻擊者通常會利用一些文件格式和顯示上的特性用于迷惑受害用戶或安全分析人員。這里以LNK文件為例，LNK文件顯示的目標執(zhí)行路徑僅260個字節(jié)，多余的字符將被截斷，可以直接查看LNK文件執(zhí)行的命令。

而在跟蹤藍寶菇的攻擊活動中，該組織投放的LNK文件在目標路徑字符串前面填充了大量的空字符，直接查看無法明確其執(zhí)行的內(nèi)容，需要解析LNK文件結(jié)構獲取。

• 利用新的系統(tǒng)文件格式特性

2018年6月，國外安全研究人員公開了利用Windows 10下才被引入的新文件類型“.SettingContent-ms”執(zhí)行任意命令的攻擊技巧，并公開了POC。而該新型攻擊方式被公開后就立刻被黑客和APT組織納入攻擊武器庫用于針對性攻擊，并衍生出各種利用方式：誘導執(zhí)行、利用Office文檔執(zhí)行、利用PDF文檔執(zhí)行。

• 利用舊的技術實現(xiàn)攻擊

一些被認為陳舊而古老的文檔特性可以被實現(xiàn)并用于攻擊，360威脅情報中心在下半年就針對利用Excel 4.0宏傳播商業(yè)遠控木馬的在野攻擊樣本進行了分析。

該技術最早是于2018年10月6日由國外安全廠商Outflank的安全研究人員首次公開，并展示了使用Excel 4.0宏執(zhí)行ShellCode的利用代碼。Excel 4.0宏是一個很古老的宏技術，微軟在后續(xù)使用VBA替換了該特性，但從利用效果和隱蔽性上依然能夠達到不錯的效果。

從上述總結(jié)的多樣化的攻擊投放方式來看，攻擊者似乎在不斷嘗試發(fā)現(xiàn)在郵件或終端側(cè)檢測所覆蓋的文件類型下的薄弱環(huán)節(jié)，從而逃避或繞過檢測。

• 0day 漏洞和在野利用攻擊

0day漏洞一直是作為APT組織實施攻擊所依賴的技術制高點，在這里我們回顧下2018年下半年主要的0day漏洞和相關APT組織使用0day漏洞實施的在野利用攻擊活動。

所謂0day漏洞的在野利用，一般是攻擊活動被捕獲時，發(fā)現(xiàn)其利用了某些0day漏洞（攻擊活動與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一）。而在有能力挖掘和利用0day漏洞的組織中，APT組織首當其沖。

在2018年全球各安全機構發(fā)布的APT研究報告中，0day漏洞的在野利用成為安全圈最為關注的焦點之一。其中，僅2018年下半年，被安全機構披露的，被APT組織利用的0day漏洞就不少于8個。

［2018下半年APT組織使用的0day漏洞］

4.新的一年，它們還可能演變成這樣：

從2018年的APT威脅態(tài)勢來看，360威脅情報中心推測，APT威脅活動的演變趨勢可能包括如下：

1）   APT組織可能發(fā)展成更加明確的組織化特點，例如小組化，各個攻擊小組可能針對特定行業(yè)實施攻擊并達到特定的攻擊目的，但其整體可能共享部分攻擊代碼或資源。

2）   APT組織在初期的攻擊嘗試和獲得初步控制權階段可能更傾向于使用開源或公開的攻擊工具或系統(tǒng)工具，對于高價值目標或維持長久性的控制才使用其自身特有的成熟的攻擊代碼。

3）   APT組織針對的目標行業(yè)可能進一步延伸到一些傳統(tǒng)行業(yè)或者和國家基礎建設相關的行業(yè)和機構，隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來的安全防御上的弱點，以及其可能面臨的供應鏈攻擊。

4）   APT組織進一步加強0day漏洞能力的儲備，并且可能覆蓋多個平臺，包括PC，服務器，移動終端，路由器，甚至工控設備等。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。