为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

2017 中国高级持续性威胁(APT)研究报告

2018-2-27 11:17| 投稿: lofor |来自: 互联网

摘要: 作者:360追日团队、360CERT、360天眼实验室发布机构:360威胁情报中心主要观点在APT研究领域,美国在全世界都处于遥遥领先的地位。2017年,美国有24个美国的研究机构展开了APT的相关研究,发布相关研究报告多达47篇 ...

作者:360追日团队、360CERT、360天眼实验室

发布机构:360威胁情报中心

主要观点

在APT研究领域,美国在全世界都处于遥遥领先的地位。2017年,美国有24个美国的研究机构展开了APT的相关研究,发布相关研究报告多达47篇。中国排名全球第二,共有4个机构发布了18篇APT相关的研究报告,涉及APT组织8个。其中,仅360威胁情报中心在2017年发布的与APT相关的各类研究报告就多达11篇。

2017年,遭到APT攻击最多国家依次是:美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯坦和英国。而最受APT组织关注的领域或机构类型依次为:政府、能源、金融、国防、互联网、航空航天、媒体、电信、医疗、化工。

2017年泄露的网络武器库的最终源头主要有两个,一个是据称是NSA旗下的方程式组织,另一个据称是美国中情局(CIA)直属的网络情报中心。网络军火民用化的危害日益凸显。

在传统的认知中,APT活动应该是比较隐蔽的,通常不易被察觉。但在2017年,APT组织及其活动,则与网络空间中的大国博弈之间呈现出很多微妙的显性联系。这种联系主要表现在以下五个方面:一、APT行动与国家间的政治摩擦密切相关,如,双尾蝎、黄金鼠和摩诃草等组织在2017年的攻击活动;二、APT行动对于地缘政治的影响日益显著,如APT28对法国大选的干扰;三、指责他国的APT活动已成重要外交手段,如英美等国指责朝鲜制造了WannaCry;四、部分机构选择在敏感时期发布APT报告,如APEC前期有安全机构持续披露海莲花相关信息;五、APT组织针对国家智库的攻击显著增多,如美国的CSIS(战略与国际问题研究中心)被入侵。                      

摘要

全球APT研究

2017年1- 12月,360追日团队共监测到全球46个专业机构(含媒体)发布的各类APT研究报告104份,涉及相关APT组织36个(只统计了有明确编号或名称的APT组织),涉及被攻击目标国家31个。

无论是从研究报告的数量、研究机构的数量,还是涉及APT组织的数量来看,美国在全世界都处于遥遥领先的地位,有24个美国的研究机构展开了APT的相关研究,发布相关研究报告多达47篇。

从报告数量和参与研究机构的数量来看,中国排名全球第二,共有4个机构发布了18篇APT相关的研究报告,涉及APT组织8个。其中,仅360威胁情报中心在2017年发布的与APT相关的各类研究报告就多达11篇。

2017年,遭到APT攻击最多国家依次是:美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯坦和英国这13国家。

2017年,APT组织最为关注的机构类型是政府,50%的APT组织以政府为攻击目标;其次是能源行业,受到25%的APT组织关注。排在APT组织攻击目标前十位的重要领域还有金融、国防、互联网、航空航天、媒体、电信、医疗、化工等。

针对中国的APT

截至2017年12月底,360威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外APT组织38个。其中,2017年内仍处于高度活跃状态的至少有6个。

针对三大地区的APT

如果说,2016年APT组织的攻击主要体现在对金融、工业和政治这三大领域的攻击;那么,2017年,APT组织的攻击则主要体现在对欧美、东亚和中东三大地区的攻击。

网络军火民用化

2017年泄露的网络武器库的最终源头主要有两个,一个是据称是NSA旗下的方程式组织,另一个据称是美国中情局(CIA)直属的网络情报中心。网络军火民用化的危害日益凸显。

APT攻击技术趋势

2017年,APT攻击技术特点主要体现在以下五个方面:Office 0day漏洞成焦点;恶意代码复杂性的显著增强;移动端的安全问题日益凸显;针对金融行业的攻击手段多样化;APT已经影响到每一个人的生活

APT与大国博弈

2017年,APT组织及其活动,与网络空间中的大国博弈之间呈现出很多微妙的显性联系。主要表现在以下五个方面:APT行动与国家间的政治摩擦密切相关;APT行动对于地缘政治的影响日益显著;指责他国的APT活动已成重要外交手段;部分机构选择在敏感时期发布APT报告;APT组织针对国家智库的攻击显著增多。词:APT、APT欧美、东亚、中东、双尾蝎、黄金鼠、Office、NSA、CI

第一章          全球APT研究前沿概览

一、       APT研究机构与研究报告

APT攻击(Advanced Persistent Threat,高级持续性威胁)堪称是在网络空间里进行的军事对抗。攻击者会长期持续的对特定目标进行精准的打击。

为了能够更加全面的掌握全球APT攻击态势,了解全球APT研究的前沿成果,2017年全年,360威胁情报中心下属的360追日团队展开了对全球主要安全机构及安全专家发布的各类APT研究报告和研究成果的监测与追踪工作。

2017年1- 12月,360追日团队共监测到全球46个专业机构(含媒体)发布的各类APT研究报告104份,涉及相关APT组织36个(只统计了有明确编号或名称的APT组织),涉及被攻击目标国家31个。下表给出了360威胁情报中心监测到的全球各国关于APT研究情况的对比。监测可能有所遗漏,敬请谅解。

专业机构 所属国家 APT报告 数量 发布APT报告机构数量 涉及APT组织数量
美国 47 24 20
中国 18 4 8
俄罗斯 8 2 3
以色列 5 4 3
荷兰 4 3 4
斯洛伐克 4 1 2
英国 4 4 3
罗马尼亚 3 1 3
芬兰 1 1 1
跨国机构 8 1 8
其他 2 1 1

表 1  全球各国APT研究情况对比

从上表中可以清楚看出,无论是从研究报告的数量、研究机构的数量,还是涉及APT组织的数量来看,美国在全世界都处于遥遥领先的地位,有24个美国的研究机构展开了APT的相关研究,发布相关研究报告多达47篇。

从报告数量和参与研究机构的数量来看,中国排名全球第二,共有4个机构发布了18篇APT相关的研究报告,涉及APT组织8个。其中,仅360威胁情报中心在2017年发布的与APT相关的各类研究报告就多达11篇。

俄罗斯排名全球第三。共有2个组织机构公开发布了8篇关于APT的研究报告及成果。与2016年仅有Kaspersky这一家安全厂商相比,2017年增加了网络安全供应商Group-IB。

总体而言,从全球范围来看,在APT研究领域,美国目前还是处于绝对领先的地位。并且这个超级大国拥有数目庞大的安全初创团队和初创公司在关注、狙击以及深入研究APT攻击。

关于2017年全球各国研究机构针对APT研究的具体情况,详见附录1。

二、       APT攻击目标的全球研究

尽管目前仍有大量的关于APT攻击的研究成果处于各安全研究机构的保密之中。但目前已经披露出来的研究报告,也能在一定程度上反应全球APT研究的关注点和发展趋势。

在2017年360威胁情报中心监测到的APT报告中,被提及次数最多的被攻击国家依次是:美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯坦和英国这13国家。

被攻击 目标国家 所属地区 相关报告数量 攻击组织数量 主要被攻击领域
美国 北美 14 7 政府、能源、IT/互联网、媒体、航天、金融、酒店、军队、大型企业、关键基础设施
中国 亚洲 12 7 政府、互联网、军队、电信、媒体、航天、金融、科研、关键基础设施
沙特 阿拉伯 亚洲 8 4 政府、能源、IT/互联网、军队、航天、化工、大型企业
韩国 亚洲 6 5 互联网、金融、能源、交通
以色列 亚洲 5 5 政府、IT/互联网、媒体、航天、媒体、军队、电信、金融、大型企业
土耳其 亚洲 4 2 政府、能源、工业、大型企业、军队、IT、电信、媒体、航天、金融
日本 亚洲 3 3 政府
法国 欧洲 3 2 政府
俄罗斯 欧洲 3 2 政府、金融
德国 欧洲 3 3 政府、军队、大型企业、IT
西班牙 欧洲 2 2 金融
巴基斯坦 亚洲 2 2 互联网、媒体、关键基础设施
英国 欧洲 2 2 政府、电信、媒体、航天、金融、教育

表 2  全球APT研究关注被攻击国家排行

从上表中可以看出,无论是从相关研究报告的数量来看,还是从攻击组织的数量来看,美国都是全球APT攻击的第一目标国。同时,盯上中国、沙特阿拉伯和韩国的APT组织也都超过了5个。

此外,通过对相关研究报告的监测还发现,在2017年,APT组织最为关注的机构类型是政府, 50% 的APT组织以政府为攻击目标;其次是能源行业,受到25% 的 APT组织关注。排在 APT组织攻击目标前十位的重要领域还有金融、国防、互联网、航空航天、媒体、电信、医疗、化工等。

在针对政府机构的攻击中,APT组织除了会攻击一般的政府机构外,还有专门针对公检法的攻击。

在针对能源行业的攻击中,APT组织重点关注的领域依次是:石油、天然气和核能。针对能源行业的攻击,对国家安全具有很大的影响。

在针对金融行业的攻击中,APT组织最为关注的是银行,其次是证券、互联网金融等。还有部分APT组织会关注到与虚拟数字货币(如比特币、门罗币等)相关的机构或公司。针对金融机构的攻击大多会利用安全漏洞。针对 ATM自动取款机的攻击也一直延续了2016年的活跃状态。

还有一点值得注意:APT组织的攻击虽然具有很强的针对性,但其攻击目标也并不一定是单一的。有的APT组织只攻击特定国家特定领域的目标(仅从目前已经披露的情况看),但也有很多APT组织会对多个国家的不同领域目标展开攻击。下图给出了2017年全球各国研究机构发布的APT研究报告中,披露APT组织攻击目标的所属国家、领域数量分析。

从上图中可看出,在2017年,半数以上的APT组织攻击目标国家数量超过5个,这与2016年,近7成的APT组织只集中攻击1-2个国家的情况有很大的不同。不过,进一步分析发现,被同一APT组织关注的多个国家之间往往在地缘上比较接近,尤其是中东地区,多个相邻的国家很容易被一个或多个APT组织同时盯上。

但从攻击领域来看,2017年,超过六成的APT组织只集中攻击1-2个具体的领域,这与2016年的情况基本一致。这可能也在一定程度上说明:行业、领域的差别与壁垒,对APT组织的活动有很大的影响。

综上所述,APT组织攻击的地域集中性和行业聚焦性仍然十分明显。

为方便对比,下图给出了2016年披露的APT组织攻击目标数量分析。

第二章          针对中国的APT攻击

一、       攻击中国的APT组织

截至2017年12月底,360威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外APT组织38个。其中,2017年内仍处于高度活跃状态的至少有6个。统计显示,2017年全年,这些APT组织发动的攻击行动,至少影响了中国境内超过万台电脑,攻击范围遍布国内31个省级行政区。下表给出了部分针对中国境内目标发动攻击的APT组织活动情况。其中,HID是Human Interface Device的缩写,即人机交互设备,如U盘等。

组织 主要攻击手法 最早披露厂商 已知最早活动时间 最近活动 时间
海莲花 APT-C-00 鱼叉邮件 水坑攻击 360 2012年 2018年2月
Darkhotel APT-C-06 鱼叉邮件 卡巴斯基 2014年 2017年9月
摩诃草 APT-C-09 鱼叉邮件 水坑攻击 norman 2009年 2018年2月
APT-C-12 鱼叉邮件 360 2014年 2017年10月
APT-C-56 鱼叉邮件 360 2014年 2018年2月
APT-C-58 鱼叉邮件 渗透 360 2011年 2017年12月

表3  针对中国境内目标攻击的部分APT组织活动情况

结合360威胁情报中心的大数据监测以及相关机构研究报告,我们给出了2017年部分APT组织主要活跃时间的分析(精确到月),详见下图。

二、       APT攻击的时空分布

根据360威胁情报中心的统计显示(不含港澳台地区):2017年,国内受APT攻击最多的地区是辽宁和北京,其次是山东、江苏、上海、浙江和广东。关于APT攻击在中国境内的分布情况,详见下图(不含港澳台地区)。

下图给出了2017年以来,APT攻击影响中国境内用户数量的月度分布情况,3月和11月是APT组织比较活跃的两个月份。

相关阅读

最新评论

最新