产业分析

报告显示APT攻击技术呈现五大趋势

作者:电子信息产业网来源:电子信息产业网发布时间:2018-02-28 10:44我要评论

360威胁情报中心发布《2017中国高级持续性威胁(APT)研究报告》称,2017年的APT攻击呈现五大趋势,包括Office 0day漏洞成焦点、恶意代码复杂性的显著增强、移动端的安全问题日益凸显、针对金融行业的攻击手段多样化,以及APT已经影响到每一个人的生活。

360威胁情报中心每年均发布《中国高级持续性威胁(APT)研究报告》,对中国和全球的APT攻击进行了深入的研究,目前已连续发布3年,成为国内最有影响力的APT年度报告。

一、OFFICE0day漏洞成焦点

Office漏洞的利用,一直APT组织攻击的重要手段。2017年中,先后又有多个高危的Office漏洞被曝出,其中很大一部分已经被APT组织所使用。Office 0day漏洞已经成为APT组织关注的焦点。

下表给出了2017年新披露的部分Office漏洞及其被APT组织利用的情况。:

CVE编号

漏洞类型

披露厂商

0day利用情况

Nday利用情况

CVE-2017-0261

EPS中的UAF漏洞

FireEye

被Turla和某APT组织利用

摩诃草

CVE-2017-0262

EPS中的类型混淆漏洞

FireEye,ESET

APT28

不详

CVE-2017-0199

OLE对象中的逻辑漏洞

FireEye

被多次利用

被多次利用

CVE-2017-8570

OLE对象中的逻辑漏洞

(CVE-2017-0199的补丁绕过)

McAfee

不详

CVE-2017-8759

.NET Framework中的逻辑漏洞

FireEye

被多次利用

被多次利用

CVE-2017-11292

Adobe Flash Player类型混淆漏洞

Kaspersky

BlackOasis

APT28

CVE-2017-11882

公式编辑器中的栈溢出漏洞

embedi

Cobalt,APT34

CVE-2017-11826

OOXML解析器类型混淆漏洞

奇虎360

被某APT组织利用

不详

表5 Office 0day漏洞

我们还注意到APT28、APT34、摩诃草等组织利用了多个Nday。所以,及时更新补丁还是非常重要的。未来除了新的0day之外,像CVE-2017-11882,CVE-2017-0199,CVE-2017-8759等原理简单,易于构造,触发稳定的漏洞将会成为APT组织的首选。

二、恶意代码复杂性的显著增强

2017年,在高级攻击领域,听到最多的一个病毒不是WannaCry,而是FinSpy(又名FinFisher或WingBird)。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多个漏洞都被用来投递FinSpy。FinSpy的代码经过了多层虚拟机保护,并且还有反调试和反虚拟机等功能,复杂程度可见一斑。此外,在2017年,海莲花专用木马的复杂性和对抗性也都明显增强。

https://cdn.securelist.com/files/2017/10/171016-blackoasis-11.png

此外,海莲花、APT34等组织都采用了DGA算法来逃避检测。目前来看,使用机器学习的方法对其进行检测还是一个不错的方法。

三、移动端的安全问题日益凸显

传统的APT行动主要是针对Windows系统进行攻击,而现今由于Android和iOS的发展带动了智能终端用户量的上升,从而导致黑客组织的攻击目标也逐渐转向移动端。对于移动平台来说,持久化和隐藏的间谍软件是一个被低估的问题。尽管移动设备上的网络间谍活动与台式机或个人电脑中的网络间谍活动相比可能少得多,攻击方式也不太一样,但它们确实发生了,而且可能比我们认为的更活跃。

2017年,iOS9.3.5更新修补了三个安全漏洞,即三叉戟漏洞,随后Citizen Lab发布文章指出这三个0day被用于针对特殊目标远程植入后门。

360威胁情报中心在2017年至2018年初先后披露的双尾蝎组织(APT-C-23)和黄金鼠组织(APT-C-27),也都把移动端作为了重要攻击目标。Trend Micro随后发布的博客还进一步披露了双尾蝎(APT-C-23)使用的移动恶意软件VAMP的一个新变种。

四、针对金融行业的攻击手段多样化

针对金融行业的攻击一直是APT的重点目标。比如FIN7就是一个典型的经常攻击金融行业的APT组织。除了传统鱼叉邮件等攻击手段外,还会有APT组织攻击ATM取款机,让其定时吐钱。2017年卡巴斯基的报告指出,针对ATM的恶意软件正在黑市上售卖。

2017年,加密货币热度的持续攀升不仅仅使得勒索软件和挖矿木马蠢蠢欲动,APT组织也盯上了这块蛋糕。

五、APT已经影响到每一个人的生活

APT攻击和APT组织已经开始影响到我们每一个人的生活。APT攻击一般是针对重要的组织或个人,然而2017年APT28就针对酒店行业这种传统行业进行了攻击。

席卷全球的WannaCry和类Petya背后似乎也隐隐约约有APT的影子。Google的研究员发现,2017年2月的一个疑似WannaCry的早期版本和Lazarus的样本之间具有一定的相似性。

ESET和卡巴斯基也怀疑类Petya的幕后黑手可能是BlackEnergy,类Petya加密的文件扩展名的列表与2015年BlackEnergy的KillDisk勒索软件非常相似。


责任编辑:徐恒

第二届中国虚拟现实创新创业大赛启动...

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛启动新闻发布会在北京举行。

2018年上半年家电网购分析报告发布会

8月2日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018年上半年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年上半年,我国B2C家电网购市场(含移动终端)规模达2641亿元...

2018制造业“双创”高峰论坛

6月22日,2018制造业“双创”高峰论坛在北京举办。本次论坛由中国电子信息产业发展研究院、中国制造企业双创发展联盟和中国软件行业协会工业互联网分会主办,中国电子报社、北京云道智造科技有限公司和中国船舶工...

2018世界VR产业大会新闻发布会

5月21日,记者从在北京人民大会堂召开的2018世界VR产业大会新闻发布会上获悉,由工业和信息化部、江西省人民政府共同主办,中国电子信息产业发展研究院、江西省工业和信息化委员会、南昌市人民政府、虚拟现实产业...

数字经济前沿论坛-CITE2018第六届中国电...

为贯彻落实党的十九大精神,充分展示新一代信息技术产业最新发展成就,促进产业核心技术突破,加快形成数字经济新动能,引领信息技术产业供给侧改革,工业和信息化部、深圳市人民政府将于2018年4月9日-11日在深圳市共 ...

中国超高清视频(4K)产业发展大会

3月29日,中国超高清视频(4K)产业发展大会在广州市召开。大会由工业和信息化部、国家广播电视总局、广东省人民政府主办,广东省经济和信息化委员会、广东省新闻出版广电局、广东省通信管理局、广州市人民政府、中...

工业互联网平台建设与推广专栏

当前,全球工业互联网正处在格局未定的关键期、规模化扩张的窗口期、抢占主导权的机遇期。作为工业互联网三大要素,工业互联网平台是全要素连接的枢纽,是工业资源配置的核心,正成为领军企业竞争的新赛道、产业布局...

聚焦2018年全国两会

3月5日,第十三届全国人民代表大会第一次会议在人民大会堂开幕。会后,工信部部长苗圩在人民大会堂两会“部长通道”回答记者提问时表示,工信部通过调查发现,广大手机客户对手机流量区分本地流量和全国流量这种计...

第二届中国虚拟现实创新创业大赛启动新闻发布会

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛(以下简称:大赛)启动新闻发布会在北京举行。大赛以“科技创新,成就...

工业互联网平台建设与推广专题

当前,全球工业互联网正处在格局未定的关键期、规模化扩张的窗口期、抢占主导权的机遇期。作为工业互联网三大要素,工业互联网平台是全要素连接的枢纽,是工业资源配置的核心,正成为领军企业竞争的新赛道、产业布局...

星河亮点副总裁王奥博:5G应用为测试厂商带来新机遇

今年可以认为是5G移动通信的元年、真正商用的元年,因为随着运营商中国移动、中国电信、中国联通扩大5G网络在更多城市的试用,5G各方面的产业成熟度也已经达到了可以...

普天技术副总裁杜涛:开拓物联网市场须在垂直行业二次学习

普天作为通信行业的一个老兵,为2018中国国际信息通信展带来了信息通信与网络安全、物联网、智慧社会等领域的众多自主创新成果。9月26日,在2018中国国际信息通...

第六届中国电子信息博览会开幕式暨数字经济前沿论坛

本次论坛主题是“智领新时代 慧享新生活”,将邀请政府行业主管部门、国内外著名专家学者、企业家发表主题演讲、对话或专题交流,深入探讨深化创新驱动战略、实施“中国制...

友情链接
关于我们 | 联系我们
电子信息产业网LOGO