久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

一、針對(duì)中國(guó)發(fā)動(dòng)攻擊的APT組織

360天眼實(shí)驗(yàn)室于近期發(fā)布了《2015年中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告》，揭示了針對(duì)我國(guó)的APT攻擊技術(shù)演變趨勢(shì)。根據(jù)報(bào)告顯示，中國(guó)是APT(Advanced Persistent Threats，高級(jí)持續(xù)性威脅)攻擊的主要受害國(guó)，國(guó)內(nèi)多個(gè)省、市受到不同程度的影響，其中北京、廣東是重災(zāi)區(qū)，行業(yè)上教育科研、政府機(jī)構(gòu)是APT攻擊的重點(diǎn)關(guān)注領(lǐng)域。

截至2015年11月底，360威脅情報(bào)中心監(jiān)測(cè)到的針對(duì)中國(guó)境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動(dòng)APT攻擊的境內(nèi)外黑客組織累計(jì)29個(gè)，其中15個(gè)APT組織曾經(jīng)被國(guó)外安全廠商披露過(guò)，另外14個(gè)為360威脅情報(bào)中心首先發(fā)現(xiàn)并監(jiān)測(cè)到的APT組織，其中包括我們?cè)?015年5月末發(fā)布的海蓮花(OceanLotus)APT組織[1]。

監(jiān)測(cè)結(jié)果顯示，在這29個(gè)APT組織中，針對(duì)中國(guó)境內(nèi)目標(biāo)的攻擊最早可以追溯到2007年，而最近三個(gè)月(2015年9月以后)內(nèi)仍然處于活躍狀態(tài)的APT組織至少有9個(gè)。統(tǒng)計(jì)顯示，僅僅在過(guò)去的12個(gè)月中，這些APT組織發(fā)動(dòng)的攻擊行動(dòng)，至少影響了中國(guó)境內(nèi)超過(guò)萬(wàn)臺(tái)電腦，攻擊范圍遍布國(guó)內(nèi)31個(gè)省級(jí)行政區(qū)。

另外2013年曝光的斯諾登事件，同年Norman公布的HangOver組織，卡巴斯基在2014年揭露的Darkhotel組織和2015曝光的方程式組織(Equation Group)等，這些國(guó)外安全廠商和機(jī)構(gòu)發(fā)現(xiàn)的APT組織，都直接證明了中國(guó)是APT攻擊中的主要受害國(guó)。

本報(bào)告中主要就360威脅情報(bào)中心首先發(fā)現(xiàn)并監(jiān)測(cè)到的APT組織展開(kāi)介紹，進(jìn)一步相關(guān)數(shù)據(jù)統(tǒng)計(jì)和相關(guān)攻擊手法，主要就相關(guān)APT組織在2015年活躍情況進(jìn)行分析。

以下是360威脅情報(bào)中心監(jiān)控到的針對(duì)中國(guó)攻擊的部分APT組織列表，其中OceanLotus(APT-C-00)、APT-C-05、APT-C-06、APT-C-12是360截獲的APT組織及行動(dòng)。

表1 針對(duì)中國(guó)攻擊的部分APT組織列表

二、地域分布：北京、廣東是重災(zāi)區(qū)

#FormatImgID_1#

圖2 國(guó)內(nèi)用戶受影響情況(2014年12月-2015年11月)

國(guó)內(nèi)受影響量排名前五的省市是：北京、廣東、浙江、江蘇、福建。除北京以外，受影響用戶主要分布在沿海相關(guān)省市。受影響量排名最后的五個(gè)省市是：西藏、青海、寧夏、新疆、貴州。(注：本報(bào)告中用戶數(shù)量主要指我們監(jiān)控到的計(jì)算機(jī)終端的數(shù)量。)

圖3 近一年國(guó)內(nèi)每月遭APT攻擊用戶數(shù)量分布

從上圖可見(jiàn)，近一年這些我們已知的APT組織就攻擊了中國(guó)境內(nèi)上萬(wàn)臺(tái)電腦，平均每月超過(guò)千臺(tái)電腦受影響。但隨著國(guó)外安全廠商的曝光，360監(jiān)測(cè)到的整體感染量呈現(xiàn)下降趨勢(shì)，原因可能是部分APT組織攻擊行動(dòng)暫停、延遲或終止，也可能因?yàn)槭侄胃与[秘躲過(guò)了360的監(jiān)測(cè)。但其他未曝光組織的攻擊勢(shì)態(tài)并未收斂，且在最近三個(gè)月(2015年9月以后)有小幅上升趨勢(shì)。

三、行業(yè)分布：主要針對(duì)科研教育、政府機(jī)構(gòu)領(lǐng)域

#FormatImgID_3#

圖4 APT組織主要攻擊行業(yè)分布

從近一年的統(tǒng)計(jì)來(lái)看，針對(duì)科研教育機(jī)構(gòu)發(fā)起的攻擊次數(shù)最多，占到了所有APT攻擊總量的37.4%;其次是政府機(jī)構(gòu)，占27.8%;能源企業(yè)排第三，占9.1%。其他被攻擊的重要領(lǐng)域還包括軍事系統(tǒng)、工業(yè)系統(tǒng)、商業(yè)系統(tǒng)、航天系統(tǒng)和交通系統(tǒng)等。

疑似瞄準(zhǔn)安全行業(yè)

APT-C-00組織將木馬構(gòu)造偽裝為Acunetix Web Vulnerability Scanner(WVS)7的破解版。WVS是一款主流的WEB漏洞掃描軟件，相關(guān)使用人群主要為網(wǎng)絡(luò)安全從業(yè)人員或相關(guān)研究人員。攻擊組織在選擇偽裝正常程序的時(shí)候選擇了WVS這款安全軟件，也能反映出該組織針對(duì)的目標(biāo)對(duì)該軟件熟悉或感興趣，進(jìn)一步我們推測(cè)針對(duì)的目標(biāo)很有可能是網(wǎng)絡(luò)安全從業(yè)人員、研究人員或者其他黑客組織。

從針對(duì)卡巴基斯的duqu2.0[2]，可以看出針對(duì)安全廠商APT組織可能會(huì)從被動(dòng)隱匿逐步過(guò)渡到主動(dòng)出擊。

四、造成的危害：長(zhǎng)期竊取敏感數(shù)據(jù)

APT組織主要目的是竊取目標(biāo)機(jī)器內(nèi)的情報(bào)數(shù)據(jù)，一旦攻擊獲得成功，首先會(huì)收集目標(biāo)機(jī)器相關(guān)基本信息，進(jìn)一步會(huì)大量竊取目標(biāo)機(jī)器上的敏感數(shù)據(jù)，如果橫向移動(dòng)達(dá)到效果，則是竊取目標(biāo)網(wǎng)絡(luò)其他機(jī)器的敏感數(shù)據(jù)。本節(jié)首先介紹基本信息的收集，之后主要就APT組織長(zhǎng)期竊取敏感數(shù)據(jù)展開(kāi)介紹。

(一)收集基本信息

這里主要是指目標(biāo)機(jī)器一旦被成功植入了相應(yīng)惡意代碼，一般惡意代碼會(huì)自動(dòng)或者等待C&C指令，將被感染機(jī)器的相關(guān)基本信息回傳，相關(guān)信息主要包括以下信息：

1)主機(jī)信息：主要包括操作系統(tǒng)信息、主機(jī)名稱、本地用戶名等;

2)網(wǎng)絡(luò)信息：主要包括IP地址、網(wǎng)關(guān)信息等;

3)應(yīng)用程序信息：相關(guān)版本信息，主要包括MicrosoftOffice和MicrosoftInternetExplorer版本信息;

4)另外還包括磁盤信息、當(dāng)前進(jìn)程信息等。

圖5 竊取的主機(jī)基本信息示例(APT-C-05組織)

攻擊者主要依靠相關(guān)基本信息來(lái)進(jìn)行初步篩選，包括識(shí)別目標(biāo)機(jī)器的真?zhèn)?即是否為虛擬機(jī)或蜜罐)，進(jìn)一步可以判斷目標(biāo)的重要程度。

另外這里的初步探測(cè)并收集目標(biāo)的基本信息，主要在相應(yīng)機(jī)器被首次攻陷后，而不取決于具體攻擊環(huán)節(jié)，比如在初始攻擊和進(jìn)一步橫向移動(dòng)都會(huì)存在相關(guān)探測(cè)行為。

(二)竊取敏感數(shù)據(jù)

APT組織從中國(guó)科研、政府機(jī)構(gòu)等領(lǐng)域竊取了大量敏感數(shù)據(jù)，對(duì)國(guó)家安全已造成嚴(yán)重的危害。其中APT-C-05組織是一個(gè)針對(duì)中國(guó)攻擊的境外APT組織，也是我們至今捕獲到針對(duì)中國(guó)攻擊持續(xù)時(shí)間最長(zhǎng)的一個(gè)組織，該組織主要針對(duì)中國(guó)政府、軍事、科技和教育等重點(diǎn)單位和部門，相關(guān)攻擊行動(dòng)最早可以追溯到2007，至今還非常活躍。也就是從2007年開(kāi)始APT-C-05組織進(jìn)行了持續(xù)8年的網(wǎng)絡(luò)間諜活動(dòng)。

相關(guān)APT組織竊取的具體數(shù)據(jù)內(nèi)容有很大差異，但均涉及中國(guó)科研、政府等領(lǐng)域的敏感數(shù)據(jù)，其中竊取的敏感數(shù)據(jù)中以具備文件實(shí)體形態(tài)的文檔數(shù)據(jù)為主，進(jìn)一步會(huì)包括帳號(hào)密碼、截圖等，另外針對(duì)移動(dòng)設(shè)備的情況在下面會(huì)具體介紹。

表2 主要竊取的文件擴(kuò)展名

上表是竊取的文件類型和具體針對(duì)的文件擴(kuò)展名，不同組織探測(cè)竊取的方式不同，如APT-C-05組織只關(guān)注移動(dòng)存儲(chǔ)設(shè)備某一個(gè)時(shí)間段內(nèi)的文檔文件，且相關(guān)文件名必須包含指定的關(guān)鍵字。而APT-C-12組織，則沒(méi)有太多限制條件，在指定盤符下的所有文檔文件都會(huì)關(guān)注，回傳之后再進(jìn)一步甄別。

APT組織關(guān)注的敏感文檔，除了主流的微軟Office文檔，更關(guān)注中國(guó)本土的WPS Office相關(guān)文檔，其中APT-C-05和APT-C-12組織都會(huì)關(guān)注以“.wps”擴(kuò)展名的文檔，這也是由于WPS Office辦公軟件的用戶一般分布在國(guó)內(nèi)政府機(jī)構(gòu)或事業(yè)單位。

APT組織長(zhǎng)時(shí)間潛伏竊取了大量敏感數(shù)據(jù)是我們可以看到的危害，另外從APT組織對(duì)目標(biāo)所屬行業(yè)領(lǐng)域的熟悉、對(duì)目標(biāo)作業(yè)環(huán)境的掌握，以及符合目標(biāo)習(xí)慣偏好，這些適應(yīng)中國(guó)本土化“量身定制”的攻擊行動(dòng)完全做到有的放矢，則讓我們更是不寒而栗。相關(guān)內(nèi)容我們?cè)?ldquo;第六章 APT攻擊為中國(guó)本土‘量身定制’”章節(jié)會(huì)進(jìn)一步詳細(xì)介紹。

（三）針對(duì)移動(dòng)通信設(shè)備

在APT攻擊中，除了針對(duì)傳統(tǒng)PC平臺(tái)，針對(duì)移動(dòng)平臺(tái)的攻擊也越來(lái)越多。如智能手機(jī)等移動(dòng)通信設(shè)備，天生有傳統(tǒng)PC不具備的資源，如通話記錄、短信信息、地理位置信息等。

表3 Android RAT竊取相關(guān)信息列表(APT-C-01行動(dòng))

上表內(nèi)手機(jī)基本信息進(jìn)一步包括：如imsi、imei、電話號(hào)碼、可用內(nèi)存、屏幕長(zhǎng)寬、網(wǎng)卡mac地址、SD卡容量等信息。