二、0day 漏洞和在野利用攻擊

0day漏洞一直是作為APT組織實(shí)施攻擊所依賴的技術(shù)制高點(diǎn)，在這里我們回顧下2018年下半年主要的0day漏洞和相關(guān)APT組織使用0day漏洞實(shí)施的在野利用攻擊活動(dòng)。

所謂0day漏洞的在野利用，一般是攻擊活動(dòng)被捕獲時(shí)，發(fā)現(xiàn)其利用了某些0day漏洞（攻擊活動(dòng)與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一）。而在有能力挖掘和利用0day漏洞的組織中，APT組織首當(dāng)其沖。

在2018年全球各安全機(jī)構(gòu)發(fā)布的APT研究報(bào)告中，0day漏洞的在野利用成為安全圈最為關(guān)注的焦點(diǎn)之一。其中，僅2018年下半年，被安全機(jī)構(gòu)披露的，被APT組織利用的0day漏洞就不少于8個(gè)。而在2018全年，360的各個(gè)安全團(tuán)隊(duì)也先后通過在野利用研究，向微軟、Adobe等公司報(bào)告了5個(gè) 0day漏洞。

360多個(gè)安全團(tuán)隊(duì)在下半年再一次發(fā)現(xiàn)Flash 0day漏洞的在野攻擊樣本并獲得Adobe致謝，這是360今年第二次首先捕獲到Flash 0day漏洞的在野樣本并獲得致謝。

三、APT 威脅活動(dòng)歸屬面臨的挑戰(zhàn)

APT威脅活動(dòng)的歸屬分析一直是APT威脅分析中最為重要的一個(gè)環(huán)節(jié)，目前APT活動(dòng)的歸屬分析，主要的判斷依據(jù)包括以下幾點(diǎn)：

1）APT組織使用的惡意代碼特征的相似度，如包含特有的元數(shù)據(jù)，互斥量，加密算法，簽名等等。

2）APT組織歷史使用控制基礎(chǔ)設(shè)施的重疊，本質(zhì)即pDNS和whois數(shù)據(jù)的重疊。

3）APT組織使用的攻擊TTP。

4）結(jié)合攻擊留下的線索中的地域和語(yǔ)言特征，或攻擊針對(duì)的目標(biāo)和意圖，推測(cè)其攻擊歸屬的APT組織。

5）公開情報(bào)中涉及的歸屬判斷依據(jù)。

但APT攻擊者會(huì)嘗試規(guī)避和隱藏攻擊活動(dòng)中留下的與其角色相關(guān)的線索，或者通過false flag和模仿其他組織的特征來迷惑分析人員。針對(duì)韓國(guó)平昌奧運(yùn)會(huì)的攻擊組織Hades就是一個(gè)最好的說明。

360威脅情報(bào)中心在下半年的兩篇分析報(bào)告中，就對(duì)活躍在南亞地區(qū)的多個(gè)APT組織間使用的TTP存在重疊。

四、APT檢測(cè)及防御

隨著APT攻擊的日益猖獗，現(xiàn)有的APT防御技術(shù)也面臨著非常大的挑戰(zhàn)。傳統(tǒng)的APT防護(hù)技術(shù)專注于從企業(yè)客戶自身流量和數(shù)據(jù)中通過沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。而由于企業(yè)網(wǎng)絡(luò)防護(hù)系統(tǒng)缺少相關(guān)APT學(xué)習(xí)經(jīng)驗(yàn)，而且攻擊者的逃逸水平也在不斷的進(jìn)步發(fā)展，本地設(shè)備會(huì)經(jīng)常性的出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象，經(jīng)常需要人工的二次分析進(jìn)行篩選。而且由于APT攻擊的復(fù)雜性和背景的特殊性，僅依賴于單一企業(yè)的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。360天眼則創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，由于任何攻擊線索都會(huì)有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進(jìn)行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準(zhǔn)溯源。

360天眼系統(tǒng)幫助客戶發(fā)現(xiàn)和處置超過百余起APT攻擊事件，包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠等APT安全事件，天眼系統(tǒng)服務(wù)的客戶超過300家，遍及20多個(gè)省份和直轄市，在公檢法、金融、政府部委、運(yùn)營(yíng)商、石油石化、電力、教育、醫(yī)療等行業(yè)都具有成功案例。

五、APT 威脅的演變趨勢(shì)

從2018年的APT威脅態(tài)勢(shì)來看，我們推測(cè)APT威脅活動(dòng)的演變趨勢(shì)可能包括如下：

1）APT組織可能發(fā)展成更加明確的組織化特點(diǎn)，例如小組化，各個(gè)攻擊小組可能針對(duì)特定行業(yè)實(shí)施攻擊并達(dá)到特定的攻擊目的，但其整體可能共享部分攻擊代碼或資源。

2）APT組織在初期的攻擊嘗試和獲得初步控制權(quán)階段可能更傾向于使用開源或公開的攻擊工具或系統(tǒng)工具，對(duì)于高價(jià)值目標(biāo)或維持長(zhǎng)久性的控制才使用其自身特有的成熟的攻擊代碼。

3）APT組織針對(duì)的目標(biāo)行業(yè)可能進(jìn)一步延伸到一些傳統(tǒng)行業(yè)或者和國(guó)家基礎(chǔ)建設(shè)相關(guān)的行業(yè)和機(jī)構(gòu)，隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來的安全防御上的弱點(diǎn)，以及其可能面臨的供應(yīng)鏈攻擊。

4）APT組織進(jìn)一步加強(qiáng)0day漏洞能力的儲(chǔ)備，并且可能覆蓋多個(gè)平臺(tái)，包括PC，服務(wù)器，移動(dòng)終端，路由器，甚至工控設(shè)備等。