全球高级持续性威胁（APT）2019年报告.pdf_报告吧baogao8.com-

资源描述

序言过去的一年，在网络威胁（ Cyber Threat）领域度过了颇为不平静的一年。网络威胁和攻击似乎更为广泛的应用于地缘政治和军事冲突之下，其作为除了军事打击之外更为有效的手段。通常，实行军事行动或军事打击，往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素，而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。网络行动（ CNO）在美国军事领域被视为信息作战的核心能力之一，其由网络攻击（ CNA）、网络防御（ CND）和网络利用（ CNE）组成。过去我们讨论的更多的 APT 威胁都属于 CNE 范畴，其主要的意图在于收集目标系统或网络的情报数据并加以利用。因此，持久化和隐匿性是实施 CNE 的重要基础。而 CNA的主要目的在于干扰（ Disrupt）、拒绝（ Deny）、降级（ Degrade）、破坏（ Destroy）目标的设施、设备、网络甚至数据信息。当下像政务系统、电力能源、医疗、工业制造等具备更高的信息化和智能化，导致一旦出现网络攻击，其不仅仅是面临财产的损失，而且对社会和民生造成极大的影响。由于 CNA 所造成的影响和现象是明显的，其类似于现代军事行动具备在较短时间范围就能达到行动目标，而实施 CNA 的基础则在于对潜在目标的了解程度和网络武器的装备化，所以其往往依赖于历史的网络利用活动，或是结合网络利用。像震网事件、乌克兰停电事件、 WannaCry 爆发都是较为典型的网络攻击的形态。过去，我们在分析、发现、识别和跟踪网络攻击和利用活动时，不仅关注于攻击的战术技术特点，以及总结和归纳其攻击来源和攻击组织的手法和变化，从而提高对对手的了解程度以及研究 APT 威胁的趋势。结合过去我们对 APT 威胁的研究基础， APT 威胁正在变得更加复杂化，其不光体现在对手的策略和能力的提升，而且更加注重对自身的操作安全（ OPSEC），通过隐藏、伪装、误导、模仿的方式减少留下自身的行为指纹，对 APT 威胁的归因分析带来挑战。 APT 组织寻求更高维度的攻击链路，包括对广域网的流量劫持，基础设施劫持，供应链攻击等等，导致对于 APT 威胁分析依赖于更广维度的数据来源和元数据类型。我们在每次全球高级持续性威胁的研究总结报告中对近一年内全球 APT 威胁活动和 APT 研究成果的分析和总结，并提出我们对 APT 威胁的变化趋势的看法。也寄希望于对业内的 APT 研究和防御提供一些基础性思路。概要结合 2019 年全年高级持续性威胁活动情况来看，我们认为近一年来高级威胁活动呈现出如下的趋势。 2019 年，奇安信威胁情报中心收录了高级威胁类公开报告总共 596 篇，其中涉及了 136 个命名的攻击组织或攻击行动，被认为活跃在东亚半岛范围的 3 个 APT 组织被披露的频率最高。政府、防务行业的目标依然是 APT 威胁的主要目标，而不可忽视的是，能源和通信行业也已经成为 APT 威胁的重要针对对象。在此次报告中，我们依然围绕地缘特征总结了 6 大地区总共 22 个 APT 组织在近一年的攻击活动情况以及使用的主要攻击工具。按照地缘特征划分来研究 APT 威胁活动：一方面是因为按地域划分下其通常拥有较为相似的地缘政治因素，导致 APT 活动和 APT 组织的意图和动机具备相似性和可比性；另一方面也是为了在归因困难和攻击 TTP 出现重叠的情况下，对同一地域范围的威胁活动进行类比分析。在报告中，我们也从行业视角分析了针对金融、能源和电信行业在 2019 年面临的高级威胁问题，并且总结了一年来主要的攻击组织和攻击活动。我们也认为未来 APT 类威胁活动可能会更多的扩展到金融、能源和电信行业，并且更具有针对性。在文中我们也总结了全年公开披露的在野 0day 攻击情况，无论从披露的在野漏洞攻击案例还是利用 0day 漏洞的攻击组织数量都较去年有所增长。在漏洞类型上，未发现公开披露新的文档类 0day 漏洞案例，而针对 PC 和移动终端的浏览器的完整漏洞利用链数量大大增加。我们在此次的报告中也讨论了网络攻击造成的破坏性影响以及疑似网络战相关的活动，我们也认为网络攻击破坏活动相对于军事行动来说，更加具有隐蔽性和溯源难的特点，从而攻击源头可以进行否认。由此可以预见未来网络攻击破坏活动可能更加频繁。研究方法在此报告的开始，我们列举了本研究报告所依赖的资料来源与研究方法，其中主要包括：内部和外部的情报来源，其中内部的情报来源包括奇安信威胁情报中心旗下红雨滴团队对 APT 威胁的持续分析跟踪及相关的威胁情报参考链接 1；外部的情报来源包括主要发布 APT 类情报 200 多个公开数据源，涉及安全厂商、博客、新闻资讯网站、社交网络等。以 MITRE ATT&CK 框架 2和 NSA/CSS CTF 框架 3为基础，作为对威胁组织攻击战术技术的标准化表达。基于网络杀伤链模型（ Kill-Chain）对攻击步骤的定义，我们结合 APT 威胁分析中易于观测到的阶段进行简化和合并：筹备阶段、攻击入口和立足阶段、持久化维持和横向移动阶段、命令控制和数据渗出阶段。基于钻石模型，我们总结对 APT 威胁组织画像依赖的重要要素：攻击活动、目标（地域目标、行业目标）、能力（恶意程序、工具、漏洞利用程序）、资源（网络基础设施）。对于 APT 组织的评判和定义，我们参考了 ATT&CK Groups6， MISP 项目 4、国外安全研究人员 Florian Roth 的 APT 组织和行动表格 5等等。 APT 组织的国家和地域归属判断是综合了外部情报的结果，并不代表奇安信威胁情报中心自身的判定结论。目录第一章全球高级持续性威胁趋势 . 1 一、数量和来源 . 1 二、受害目标的行业与地域 . 2 三、活跃的威胁攻击者 . 3 第二章地缘下的 APT 组织、活动和趋势 . 5 一、地缘下的活跃 APT 组织 . 5 二、广域网下的 APT 威胁 .22 三、利用供应链攻击实施 APT 活动 .23 四、网络军火、 0DAY 与 APT 威胁 .24 五、网络战与 CNA .25 六、移动终端场景的 APT 威胁 .27 第三章针对行业性的高级威胁活动 .28 一、金融行业 .28 二、能源行业 .31 三、电信行业 .33 第四章 2020 年高级持续性威胁预测 .34 一、 APT 威胁归因困难导致攻击归属命名更加碎片化 .34 二、出现更多的在野 0DAY 攻击案例 .34 三、针对行业性的 APT 威胁越发凸现 .35 四、 5G 商业化和物联网或为 APT 威胁提供新的控制基础设施 .35 五、更加频繁和隐蔽的网络攻击破坏活动 .35 第五章针对高级持续性威胁的分析和对抗 .37 一、元数据是应对高级威胁的数据基础 .37 二、构建高级威胁组织知识库 .38 三、高级威胁对抗需要人机结合 .38 附录 1 奇安信威胁情报中心简介 .39 附录 2 红雨滴团队（ RED DRIP TEAM）简介 .40 附录 3 参考链接 .41 附录 4 全球主要 APT 组织列表 .46 全球高级持续性威胁（ APT） 2019 年报告 1 第一章全球高级持续性威胁趋势奇安信威胁情报中心在 2018 年的全球高级威胁总结报告中就基于公开来源 APT 情报的收集数据对 APT 威胁趋势进行图表可视化展示。在 2019 年的总结报告中，我们沿用了相同的方式。本章内容是基于奇安信威胁情报中心对 200 多个主要发布 APT 类情报来源渠道的数据收集、统计和分析结果，其中包括但不限于以下类型： APT 攻击团伙报告、 APT 攻击行动报告、疑似 APT 的定向攻击事件、和 APT 攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯罪团伙及其相关活动。国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻击团伙、攻击活动进行命名，并以 Actor / Group / Gang等对威胁背后的攻击者进行称谓，其中包括了明确的 APT 组织，明确的网络犯罪团伙，以及暂时不太明确攻击者信息的攻击活动命名。不同的安全厂商有时候会对同一背景来源的威胁进行不同的别名命名，这取决于其内部在最早跟踪威胁活动时的命名约定，所以往往需要根据威胁攻击的同一来源进行归类。我们结合上述说明对自身收集渠道收集的公开报告内容进行分析，并从公开披露的信息中公布 2019 年全球高级持续性威胁的态势情况。一、数量和来源奇安信威胁情报中心在 2019 年监测到的高级持续性威胁相关公开报告总共 596 篇。从公开报告的发布渠道统计来看，韩国安全厂商 ESTsecurity 发布了最多的高级威胁类报告，不过其披露的主要为针对韩国本土目标的攻击组织和攻击行动。除此以外，像奇安信、 Kaspersky、 FireEye、 Palo Alto Networks 全球高级持续性威胁（ APT） 2019 年报告 2 和腾讯等依然保持着较高的高级威胁的跟踪、分析和披露，并且跟踪和披露全球范围内的多个 APT 组织和攻击行动。二、受害目标的行业与地域从公开披露的高级威胁活动中涉及目标行业情况来看（摘录自公开报告中提到的攻击目标所属行业标签），政府（包括外交、政党、选举相关）和军事（包括军事、军工、国防相关）依然是 APT 威胁的主要目标，能源（包括石油、天然气、电力、民用核工业等）、通信行业也是 APT 攻击的重点威胁对象。由于更加组织化的网络犯罪团伙的活跃活动，导致金融（包括银行、证券、数字货币等）和零售（电子商务、餐饮等）行业所面临的高级威胁现象越发严峻。全球高级持续性威胁（ APT） 2019 年报告 3 高级威胁活动涉及目标的国家和地域分布情况统计如下图（摘录自公开报告中提到的受害目标所属国家或地域），可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。三、活跃的威胁攻击者进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称，并对同一背景来源进行归类处理后的统计情况如下，总共涉及 136 个命名的威胁来源命名，较 2018 年数量有所增长。全球高级持续性威胁（ APT） 2019 年报告 4 我们也统计了 2019 年公开披露最多的 APT 组织，跟 2018 年相比，疑似来自东北亚某地的 Lazarus Group、 Kimsuky 和 Group 123 三个 APT 组织被频繁曝光。全球高级持续性威胁（ APT） 2019 年报告 5 第二章地缘下的 APT 组织、活动和趋势一、地缘下的活跃 APT 组织从 2018 年中的 APT 威胁总结报告中，我们就开始从地缘划分的角度来研究 APT 组织活动，一方面往往由于在同一地域范围的 APT 组织和 APT 活动常常出现一些重叠，其可能针对相似的攻击目标或者使用类似的 TTP。另一方面，按地域划分下其拥有相似的地缘政治因素，导致 APT 活动和 APT 组织的意图和动机具备相似性和可比性，即使是两个完全不同背景的 APT 组织。我们在下表中列举了 2019 年主要活跃的 APT 组织，全球主要 APT 组织列表也可以参见附录 4。全球高级持续性威胁（ APT） 2019 年报告 6 （一）东亚 Lazarus Group、 Kimsuky 和 Group 123 是 2019 年公开披露最多，被指源自东北亚某地的 APT 组织，其中， Lazarus Group 作为该地区最为活跃的 APT 组织，其目标是全球性的。我们整理了上述 3 个 APT 组织在最近一年来被披露的攻击活动。全球高级持续性威胁（ APT） 2019 年报告 7 Lazarus Group 一直被安全厂商作为疑似来自东北亚某国的 APT 活动归属总称，个别国外安全厂商也将其针对金融、银行行业的攻击归属作为一个子组织来跟踪。从其 2019 年被披露的攻击活动来看，仍旧针对全球性的金融、银行、数字货币交易、政府、国防实施网络攻击活动。今年， Lazarus 组织被发现攻击了印度的核电厂，结合公开情报其并未进入到 OT 网络中，虽然不明确其攻击印度以及印度核工业的意图何在，但是我们可以合理推测核电厂的攻击意图并不在于进行网络破坏，其一方面可能希望收集和获得核工业相关的情报，另一方面可能在于测试和演练对于工业领域的入侵活动。 Lazarus 组织也被发现其利用定制化 TrickBot 分发其后门程序的技术手段，这是首次发现该组织开始利用网络犯罪工具列入到其攻击武器库中。虽然不明确该 TrickBot Anchor 是否通过市场交易的方式获得，但显然的是该组织的 TTP（即攻击的战术、技术和过程）正在发生变化。 Lazarus 作为最为古老的 APT 组织之一，其开发和拥有一套完备的攻击工具集，下表列举了 Lazarus 组织常用的网络武器库。全球高级持续性威胁（ APT） 2019 年报告 8 Group 123是 2016年曝光的 APT组织，其最早活动可以追溯到 2012年，该组织主要实施网络间谍活动。该组织拥有较为成熟的针对 Windows 和 Android 平台的攻击木马，常被命名为 ROKRAT，其偏好于利用云盘作为载荷分发和数据回传的基础设施。值得一提的是，韩国安全厂商披露该组织伪装成 Lazarus 的假旗 51。而 Kimsuky 组织则偏好于利用热点政治外交活动作为其攻击诱饵的主题。我们在年中报告中也总结了 3 个组织在目标选择和攻击意图上的不同，即使三个组织可能来源于同一地域范围，熟悉同样的语言。安全厂商也披露 Group 123、 Kimsuky 以及 Konni 木马家族之间存在联系，但这三者的 TTP 却存在较大的差异。 Darkhotel 是另一个活跃在东亚地区的 APT 组织，其在 2019 年被公开曝光的攻击活动较过去来看存在下降趋势，但这并不代表该组织的攻击活动频率下降，其在 2019 年依然持续着对东亚地区实施 APT 攻击。全球高级持续性威胁（ APT） 2019 年报告 9 （二）东南亚海莲花组织依然是在东南亚地区最为活跃的 APT 组织，其在 2019 年依然保持较高的活动频率。该组织已经由过去的网络间谍活动延伸至商业情报窃取领域，如汽车制造行业。全球高级持续性威胁（ APT） 2019 年报告 10 海莲花组织在过去常用 Denis 木马和 Cobalt Strike beacon 作为其最终的攻击载荷，安全厂商也发现其新的木马下载器实现，并命名为 KerrDown。其擅长于攻击载荷的混淆和对抗手段避免下发的木马程序被检测。该组织也具备成熟的针对 MacOS 系统的攻击工具。我们在年中的报告中曾总结过海莲花组织常用的攻击技术手段（见下图）。全球高级持续性威胁（ APT） 2019 年报告 11 全球高级持续性威胁（ APT） 2019 年报告 12 （三）南亚今年，南亚地区的几个 APT 组织活动频度较高，并且主要针对中国、巴基斯坦的政府、军事相关目标。我们对南亚地区主要活跃的 APT 组织情况进行总结。全球高级持续性威胁（ APT） 2019 年报告 13 从历史的 APT 活动来看，南亚地区的 APT 组织互相存在 TTP 层面的重叠，其大多利用鱼叉邮件和社会工程学实施攻击，并且使用公开的文档型漏洞制作诱饵文档，如 CVE-2017-11882。其大多同时具备针对 Windows 和 Android 平台的攻击工具，不过有意思的是，其攻击武器库似乎比较杂乱，无论从开发语言还是模块的重用性，大多不具备延续性。我们总结了南亚 APT 组织在过去一年的主要攻击活动如下：全球高级持续性威胁（ APT） 2019 年报告 14 （四）东欧东欧地区活跃着几个极为古老的 APT 组织，如 APT28、 APT29、 Turla，其拥有高超的攻击技术，极为活跃的攻击频度。全球高级持续性威胁（ APT） 2019 年报告 15 整体来说， 2019年东欧几个 APT组织的公开披露次数较 2018年有减少，我们整理了今年披露的主要攻击活动。 APT28 组织是全球最为活跃的 APT 组织之一，其主要利用鱼叉邮件攻击，在过去主要可以通过 XAgent 木马与其联系到一起，后续该木马使用频率降低并频繁使用一个通过多种不同语言开发的 Zebrocy 木马，国外安全厂商还发现该组织使用 Nim 语言开发其下载器 55。 APT28 除了使用自己的专用木马程序外，其还擅长于通过公开和开源工具的组合使用。 APT29 组织在今年鲜有公开的披露报告，除了 ESET 披露了一个针对欧洲外交机构的 Ghost 行动 56，其中 MiniDuke 推测延续了过去的 MiniDuke 木马功能，还发现了其他的三个新的木马程序。从过去披露来看，该组织也常用鱼叉邮件和定制的专用木马。全球高级持续性威胁（ APT） 2019 年报告 16 Turla 是另一个古老而又富有创新性的 APT 组织，其在针对 Exchange 邮件服务器的后门程序中将其伪装成 Transport Agent 实现持久性。 Turla 还被发现其通过劫持 APT34 的控制基础设施用于自身的攻击活动 52-54。卡巴在 VB2019 会议上还披露了疑似与 Turla 有关的 Reducor RAT 工具 57，其通过 patch FireFox 和 Chrome 浏览器中的伪随机数生成函数，在目标受害者进行 TLS 握手阶段，在生成的随机数中添加了对受害者的标识。 Gamaredon group 是由 Palo Alto Networks 最早披露的针对乌克兰的 APT 组织，据公开资料，乌克兰安全局 SBU 在过去将该组织与东欧某强国联系到一起 58。相对于上述三个组织来说， Gamaredon 使用的攻击能力似乎较弱，其利用 SFX 诱饵或者模板注入技术分发和植入自定制的 Pteranodon 载荷。全球高级持续性威胁（ APT） 2019 年报告 17 （五）中东中东地区，具有着极为复杂的政治外交局势，其地域下充满了疑似政府背景的情报监控活动，网络间谍活动。结合公开情报来看，虽然中东地区 APT 组织的攻击能力整体并不高，但其会大量依赖网络武器库交易来实现自身的网络攻击能力。全球高级持续性威胁（ APT） 2019 年报告 18 APT33， APT34 和 MuddyWater 是被公开认为是中东地区某国背景的三个比较活跃的 APT 组织，其攻击活动似乎并未因为其武器库和攻击人员资料被泄露而停止。上述的三个 APT 组织，其偏好基于鱼叉钓鱼邮件，社工等方式建立攻击立足，其会开发自定义的攻击程序，并多使用脚本类和公开工具。我们从其上半年泄露的网络武器工具来看，其网络武器的构建能力相对较弱。我们在年中的报告中也曾总结过 APT34（ OilRig）组织泄露的网络武器库。除此以外，中东还活跃着数个 APT 组织，其主要攻击目标通常为本国的目标人员或周边地缘的目标人员，以实施持续的网络监控和间谍活动为目的。全球高级持续性威胁（ APT） 2019 年报告 19 （六）北美奇安信威胁情报中心今年发布了一份详细分析某国情报机构相关的网络武器库的报告，其中涉及了至少 8 个不同的攻击程序类型。我们结合了赛门铁克和卡巴斯基的历史报告，以及维基解密披露的 Vault7 项目资料，最终将公开的项目代号或恶意代码命名与实际的攻击程序相对应，并结合攻击程序功能我们推测了其在实际攻击活动中被使用的攻击阶段和关联性。公开的研究人员也将此背景的网络武器库统一按照 Lamberts（又名 Longhorn）命名来跟踪。全球高级持续性威胁（ APT） 2019 年报告 20 自维基解密网站公开曝光某国情报机构下 EDG部门开发的网络武器库资料以来，似乎攻击并未因此而停止，国外安全厂商 ESET 在今年也披露了一份关于 Lamberts 的报告 59，其中介绍了攻击活动从 2017 年 3 月以来就一直处于活动状态，并且攻击了中欧和中东的少数机构。我们从其报告介绍来看，似乎部分特征也存在于我们分析的攻击工具集中。结合过去的披露和研究基础来看，北美 APT 组织的网络武器库从最初构建时就是积木式的，在实际使用时会根据目标和攻击策略进行定制化组装。由于构建整个武器库所需要的资源和人力是巨大的，所以完全抛弃其历史的网络武器库而重新构建的代价也是极高的，也许这也是我们发现其攻击载荷和历史活动中使用的依然存在一些代码功能的重叠的原因。但由于其攻击操作安全（ OPSec）做的足够好，导致对攻击载荷的完整捕获极为困难，也导致了在复盘分析和事件还原过程中缺失了很多关键环节。全球高级持续性威胁（ APT） 2019 年报告 21 （七）其他南美地区也许是另一个容易忽视的 APT 活跃地区，奇安信威胁情报中心在今年也发现和披露了一个新的 APT 组织“盲眼鹰” ，其从 2018 年 4 月起就一直针对哥伦比亚政府机构和大型公司（金融、石油、制造等行业）等重要领域展开了有组织、有计划、针对性的长期不间断攻击。其攻击平台主要为 Windows，利用鱼叉邮件和诱饵文档投递最终的 Imminent 后门程序。盲眼鹰并不是南美地区唯一发现的 APT 组织，另一个由卡巴最早发现和命名的 APT 组织 Machete，其最早活动被发现从 2010 年开始，其主要针对拉美地区国家说西班牙语的人员，而在今年其又被安全厂商发现新的攻击活动并且针对军事相关目标人员，该组织主要使用 Python 语言开发的后门并编译成可执行文件进行分发。另外值得一提的是， Regin 恶意软件被发现重新活跃 50。今年 6 月，路透社披露在 2018 年 10 月至 11 月， Regin 新的变种被发现用于攻击俄罗斯的 Yandex 公司。 Regin 在过去已被公开认为是由某个知名的政府间情报联盟共同制作的攻击平台，曾被用于攻击比利时电信公司 Belgacom。也有安全研究人员也分析推测了 Regin 可能就是代号 DAREDEVIL 和 WARRIORPRIDE 项目的结合 60。全球高级持续性威胁（ APT） 2019 年报告 22 二、广域网下的 APT 威胁从过去的 APT 威胁研究来看，绝大多数的 APT 威胁场景依然在受害目标所属的组织机构网络下， APT 攻击需要选择合适的攻击入口突破企业网络边界，并且在攻击达成后通过网络基础设施进行命令控制或数据渗出。 APT 组织通过构建诱饵文件或是利用失陷网站实施鱼叉邮件和水坑攻击并诱导目标点击触发载荷的执行和恶意网站的访问，从而获得初始的攻击立足。而在过去，部分 APT 组织和攻击活动利用广域网的网络协议，实施 DNS 劫持、 BGP 劫持，以达到对广域网下流量的重定向，劫持和中间人攻击的目的。在历史斯诺登泄露的文档中，曾披露过某国通过其具备的广域网下部分骨干节点的控制能力而建立的 TURBULENCE 项目，并用于数据监听和情报收集 67。其包含 TURMOIL 项目用于互联网络上的被动信号情报收集， TURBINE 是基于自动化和批量化攻击植入的系统实现主动信号情报收集。而后续 QUANTUM INSERT 项目实现的 man on the side 攻击技术以及将目标重定向到 FOXACID 服务器，也是基于 TURBULENCE 实现的。下图参考自公开文章 67。而对于 APT 组织来说，往往不具备对因特网核心基础设施的控制能力，其只能通过广域网的劫持攻击来达到类似的目的。全球高级持续性威胁（ APT） 2019 年报告 23 我们收集和列举了近两年来针对 DNS 和 BGP 劫持的恶意攻击活动。针对因特网广域网下的 DNS 劫持、 BGP 劫持可以让攻击者重定向目标的网络流量到自身的控制基础设施，从而实现数据监听、收集、中间人攻击的目的，并且为广域网提供基础设施服务的 ISP、域名服务商、 CDN 服务商都有可能成为 APT 威胁的目标。三、利用供应链攻击实施 APT 活动利用供应链的攻击在 APT 活动中时常有发生，我们在年中的报告中也总结过上半年的 APT 类供应链攻击活动。下表整理了 2019 年的 APT 类供应链攻击活动。从过去的供应链攻击来看，其一方面通过攻击软件供应链的各个环节，包括第三方库的引用，开发人员，产品构建阶段，另一方面通过攻击和目标相关的 IT 供应商、软件供应商、硬件供应商、合作伙伴等。其针对带有签名的合法应用、预装程序植入后门，能够实现更加隐蔽的攻击立足效果。全球高级持续性威胁（ APT） 2019 年报告 24 四、网络军火、 0day 与 APT 威胁 0day 漏洞一直是作为实施 APT 攻击的重要利器，无论是影子经纪人黑客组织泄露的 NSA 武器库中曝光了大量的 0day 漏洞利用装备，还是维基解密披露的 Vault7 项目中 CIA 用于管理的针对 Android 和 iOS 的漏洞利用列表文档，都展示了 0day 漏洞或成熟的漏洞利用链是实施网络攻击利用的关键能力。我们整理了 2019 年用于在野攻击活动的漏洞列表（见下表）。相比 2018 年来说，在野攻击活动中利用的文档型 0day 漏洞并未发现，针对浏览器的远程代码执行漏洞数量提升，并且配合沙盒逃逸和提权漏洞使用。但不是所有的 APT 组织都完全具备 0day 漏洞的挖掘能力，所以 0day 漏洞也一直作为网络武器在地下市场买卖交易。例如卡巴斯基在过去发现和披露了某熟悉俄语或乌克兰语的黑客在地下论坛以 BuggiCorp 的 ID 贩卖 0day 漏洞，卡巴以内部代号 Volodya 进行跟踪。在 WizardOpium 行动中使用的 CVE-2019-1458 以及 APT28 历史使用的 CVE-2016-7255 都被认为是购买的该黑客开发的 0day 漏洞。网络军火商是另一个在 0day 漏洞和网络武器交易市场的重要角色，像 Gamma、 Hacking Team、 NSO Group 都是知名的网络军火商，其开发一套完备的网络监控系统并出售给其客户。在过去，披露最多的网络军火商的客户大都是活跃在中东地区的 APT 组织，并且通常具备国家情报机构背景，其通常用于监控人权组织、异见人士、记者、本土的外交人员等等以达到其政权控制的意图。全球高级持续性威胁（ APT） 2019 年报告 25 网络军火商的存在大大降低了部分 APT组织实施网络攻击活动所需的能力，而网络武器的制作者和实施攻击活动的真实来源被完全分隔开来，难以通过网络武器本身对实际的攻击组织进行追溯和定位。五、网络战与 CNA 网络战往往可能伴随着国际形势变化，军事冲突，政治外交手段，地缘冲突等因素，其也可能出现和军事行动相结合。如同在序言中所说，网络战成功的基础则是很大依赖于对潜在目标的了解，所以针对潜在目标的网络利用和情报收集往往用来弥补对对手认知的缺失，并且进行针对性的武器化储备。与现实的军事行动不同的是，由于网络攻击更容易隐匿攻击源头导致行动难以归因，并且双方都不总是公开承认，使得实施网络战造成的国际舆论影响远小于发起一次军事行动，并且达成可能类似的行动效果。由于真实的网络战活动难以实际观测到，也难以和 APT 组织本身联系起来，我们仅从公开披露的新闻事件列举出这一年发生的疑似网络战事件列表。全球高级持续性威胁（ APT） 2019 年报告 26 全球高级持续性威胁（ APT） 2019 年报告 27 六、移动终端场景的 APT 威胁针对智能手机是 APT 威胁的另一个威胁场景，其主要的目的在于实现监控和窃听，并针对特定的个人或群体。在过去的移动 APT 活动中，通常通过远程代码执行漏洞、钓鱼消息或者将间谍软件混入应用市场等方式在智能手机中植入后门程序，获取包括短信、通讯录、定位、文件、应用数据、录音和录像的数据。在手机间谍应用和监控系统的背后，不乏存在不少网络军火商的身影，包括 NSO、 Hacking Team、 Gamma 都提供针对 Android、 iOS 的监控系统和木马，并且利用漏洞利用链植入后门程序。在 2019 年中，老牌的网络军火商依旧持续提供更新版本的间谍服务。例如卡巴斯基发现 FinSpy 针对 Android 和 iOS 的新版本 40；还有一份公开的 Pegasus 产品文档也展示了 NSO Group 提供了极其完备的移动终端监控服务，而 Pegasus 正是之前 NSO 利用 3 个针对 iOS 的 0day 漏洞攻击中东某政治人士的植入程序。新的网络军火商正在开发制作新的间谍木马。在 2019 年 3 月安全研究机构也披露了名为 Exodus 的新的间谍软件平台 41，并将其与一家欧洲公司 eSurv 联系到了一起。针对移动终端的 0day 漏洞和完整利用链在野攻击的爆发。今年 8 月， Google Project Zero 团队披露了一个针对 iOS 10 到 iOS 12 几乎所有版本的在野攻击案例，其使用了 5 个完整漏洞利用链，总共 14 个漏洞，其中 7 个都是针对 iPhone 的 Web 浏览器 18。后续公民实验室也发布了相关事件中针对 Android 系统的漏洞利用 42。 APT 组织开发移动终端木马程序用于 APT 活动。 APT 组织中同时具备移动端攻击武器的包括了 Group 123、蔓灵花、肚脑虫、黄金鼠、拍拍熊等等，其通常利用社工、聊天应用、钓鱼等方式诱导目标安装伪装的手机木马程序，以收集目标收集上的信息。国家情报机构背景的移动终端监控。在历史泄露的某国情报机构资料中，多次提及其针对移动智能终端的攻击利用工具。在今年 1 月，路透社曝光了一个名为 Raven 的项目，其是由某国情报机构和中东某国政府共同开发和构建的网络攻击工具，其中的 Karma 间谍平台用于攻击 iPhone 设备，其用来监听包括激进分子，政治领导人和恐怖分子嫌疑犯等 43。除了直接攻击智能终端本身，还有通过攻击运营商，移动蜂窝网和信令系统，以及移动通信协议来实现数据监听、定位的能力。例如今年在 VB2019 会议上披露的 Simjacker 漏洞，其通过攻击 SIM 卡上的应用缺陷实现，并已经被用于攻击南美地区国家的用户手机，我们也曾对该漏洞的原理和危害进行了分析说明，详情可参见奇安信威胁情报中心公众号发布的 5G 降级、设备位置跟踪等漏洞被发现，或可用于网络通信军事打击 44。全球高级持续性威胁（ APT） 2019 年报告 28 第三章针对行业性的高级威胁活动 APT 威胁是定向性的，其会选择攻击的行业、地域、目标以及要达到的目的，这些是由 APT 组织在实施行动前制定的需要达到的阶段性目标和动机所决定的。从过去的 APT 威胁来看， APT 组织在一段时间内会保持其攻击目标行业的专注程度，这可能也与攻击组织在针对新的行业实施攻击时，需要时间收集和熟悉目标，并弥补自身能力与目标行业的缺失部分，以及构建相应的攻击武器库。我们在 2019 年的威胁报告中首次加入从行业视角的 APT 威胁分析和研究，并且重点关注当年内针对特定行业的活跃攻击组织和攻击活动情况。除了政府、军事相关行业外，金融、能源和电信是 APT 威胁的主要行业目标，所以本报告对这 3 个行业在 2019 年的 APT 威胁情况进行总结。一、金融行业这里，我们将金融行业包括了传统的银行、证券行业以及新兴的数字货币交易所，以及像电子商务，在线的零售商家这些在线交易机构。针对金融行业的攻击主要以牟利为目的，除了像 Emotet这样极为流行的银行木马外，也活跃着不少组织化的网络犯罪团伙，其通常拥有自己独立的攻击 TTP 和定制化的攻击武器集合。少数 APT 组织同样也针对金融行业目标实施攻击，我们列举了 2019 年公开披露的主要活跃的针对金融行业的攻击组织。 Lazarus Group 最早被发现针对金融银行的攻击是 2016 年 2 月，其针对孟加拉国银行 SWIFT 系统的 APT 攻击，并试图窃取 9.51 亿美金 61。之后该组织就一直针对全球范围的金融银行机构实施攻击活动。由于其牟利的攻击全球高级持续性威胁（ APT） 2019 年报告 29 动机和过去实施网络间谍活动和情报窃取不一致，所以一些安全厂商也将其攻击金融银行机构的活动以独立的子组织命名进行跟踪，例如卡巴作为 Bluenoroff， FireEye 作为 APT38。我们在上表中也列举了多个 2019 年公开披露过并且持续活跃的网络犯罪团伙。我们总结了网络犯罪团伙在 2019 年的主要攻击活动。组织化的网络犯罪团伙和 APT组织类似，其会定制化自有的攻击工具集，并且拥有自己的 TTP 模式。其通常会利用 BEC 攻击，垃圾邮件，钓鱼等方式活动初始的攻击立足，其也会结合公开或开源的渗透工具，包括 Meterpreter， Cobalt Strike 和 Empire 之类，并用于横向移动阶段。我们列举了数个网络犯罪团伙常用的攻击工具。如 FIN6 组织的攻击工具集： FIN7 组织的攻击工具集，安全厂商也披露 FIN7 组织和新的僵尸网络 AveMaria 的运营有关 62。全球高级持续性威胁（ APT） 2019 年报告 30 TA505 网络犯罪组织会频繁新增和变更其攻击工具集，下表也列举了其在 2019 年活动中使用的攻击木马程序。而 MageCart 组织似乎与上述组织有所不同，其主要以攻击目标网站和 Web 应用的供应链并在失陷的网站和 Web 程序中植入 Javascript 实现的 skimmer 脚本，从而窃取受害用户的信用卡信息。该组织的活动非常频繁，并针对全球化的电子商务平台，在线零售等等。与 APT 组织不同的是，网络犯罪组织的主要目的在于牟利，其更换其攻击工具或使用其他的网络犯罪程序更加容易，在网络犯罪的地下市场充斥着商业工具提供者或制作者，服务提供商，运营团伙等多类角色，所以更容易出现工具和恶意程序的重叠。并且由于角色的划分，攻击活动的归属和背后实施攻击活动的运营团伙可能出现变更。例如 2018 年 8 月 1 日，美国 DoJ 宣布逮捕了涉及 FIN7 相关的黑客人员，但 FIN7 的活动并未因此而停止，其极有可能是有新的运营人员接管了相关的攻击工具和网络犯罪平台以持续运营 62。

展开阅读全文