|
2016年1月18日,360威脅情報中心發布了專業研究報告《2015中國高級持續性威脅(APT)研究報告》(以下簡稱為:專業版報告)。報告從攻擊范圍、攻擊影響、技術演進、社工手法等多個方面綜合分析了2015年中國遭遇境外APT組織攻擊的情況,是國內首個關于APT攻擊及境外APT組織的綜合性研究報告。 國內在此領域的相關研究剛剛起步,可以借鑒和參考的資料也非常有限,相關基礎知識也并不十分普及。因此,包括政府機構工作人員和企業安全管理人員在內的非專業人士,直接閱讀和理解這份專業版報告,可能存在一定的難度。 360威脅情報中心在專業版報告的基礎上,編輯整理出了《2015中國高級持續性威脅(APT)研究報告解讀版》(以下簡稱:解讀版報告)。 解讀版報告在專業版報告基礎上,進行了邏輯架構上的重新梳理。將專業研究領域中常用的殺傷鏈模型(Kill Chain模型),優化為讀者更易理解的軍事對抗模型。將APT攻擊分解為:戰略與戰術目標、武器及指揮系統、攻擊者的戰術實施、攻擊者的組織結構等幾個方面進行分析,就向解讀軍事戰術體系一樣,讓人看完以后通俗易懂。 此外,解讀版報告還在專業版報告的基礎上,增加了很多科普性的文字說明,目的同樣是為了降低非專業讀者的閱讀門檻,希望這份報告能夠對各位讀者有所幫助。 《2015中國高級持續性威脅(APT)研究報告解讀版》
第一章 持續精準打擊的網絡空間戰 一、APT攻擊:網絡空間中的戰爭 APT攻擊(Advanced Persistent Threats,高級持續性威脅)堪稱是在網絡空間里進行的軍事對抗。攻擊者會長期持續的對特定目標進行精準的打擊。而中國正是APT攻擊的主要受害國之一。 絕大多數的APT組織具有一定的政府背景,其攻擊的戰略目標也是以政府、軍隊、科研機構和大型商業機構為主,而戰術目標則是被攻擊組織網絡中敏感的情報信息,例如軍事情報、科研成果以及商業機密等。事實上,APT攻擊就是一場發生在互聯網上的情報戰爭,而攻防雙方的焦點則是情報和信息。 作為一種網絡形態的戰爭,APT攻擊也有自己的軍火庫,其中既有常規武器(專用木馬),也有生化武器(漏洞利用)和核武器(0day漏洞利用);同時這些武器也有多種不同的搭載系統,既有能精確制導的導彈系統(魚叉攻擊),也有攻擊力強但可能誤傷“平民”的轟炸機(水坑攻擊);不同的武器搭載系統與不同的武器相結合,就能產生出不同的網絡攻擊。 此外,像現實世界的戰爭一樣,APT攻擊也有花樣百出的各種戰略戰術。從偽裝術到反偵查術,從情報收集到火力偵查,從周期性騷擾到橫向移動,APT組織所使用的多種多樣的攻擊手法讓人防不勝防。 不過,盡管APT攻擊具有很強的戰爭形態,但由于APT攻擊所采用的技術和方法具有很強的針對性和隱蔽性,使得傳統的安全防御體系不僅無法有效的防御APT攻擊,甚至都很難看見和發現APT攻擊。因此,這種高技術對抗的網絡戰爭在過去數年間一直悄悄的進行,有的APT組織對中國的網絡入侵和間諜活動甚至已經持續了七、八年之久,但此前卻一直沒有被發現和披露。 2015年,360威脅情報中心下屬的天眼實驗室和追日團隊,先后展開了針對中國的APT攻擊的深入研究,通過對360海量的黑白樣本庫及互聯網大數據的深度挖掘和關聯分析,找到了一套以大數據技術為核心的APT攻擊的追蹤監測與分析方法,并在過去的一年時間里,先后捕獲了針對中國的APT攻擊組織29個,捕獲APT攻擊專用木馬程序文件樣本數千個,使我們可以在一個全球范圍的視野中,看到針對中國的網絡戰爭的全貌。 本次報告將從多個維度,深入分析APT攻擊的各種技術方法及社工手段,通過數據、案例等多種形式來解讀2015年,及2015年之前發生的針對中國的各種APT攻擊。
二、針對中國攻擊的國際APT組織 截至2015年11月底,360威脅情報中心共監測到針對中國境內目標發動APT攻擊的境外高級攻擊組織29個,其中15個APT組織曾經被國外安全廠商披露過,另外14個APT組織為360威脅情報中心獨立發現并監測到的,其中包括今年5月末披露的海蓮花(OceanLotus,APT-C-00)組織。 下表給出了部分針對中國發動攻擊的APT組織的名稱及活動信息。其中OceanLotus(APT-C-00)、APT-C-05、APT-C-06、APT-C-12是360獨立截獲的APT組織及行動。
這些APT組織大多已經針對中國境內目標進行了持續數年的網絡間諜活動,其中,如Darkhotel、APT-C-05等組織的攻擊至少已存在了8年以上。 出于自身安全考慮,絕大多數APT組織在被披露之后,通常就會停止攻擊活動。但是,我們發現,部分針對中國發動攻擊的APT組織在被披露后,仍然在繼續從事針對中國境內的目標的攻擊,包括海蓮花組織。 |
|
|
來自: victor1208 > 《APT攻擊防御》
