2017中国高级持续性威胁（APT）研究报告.pdf

2017 中国高级持续性威胁（ APT）研究报告  作者： 360 追日团队、 360CERT、 360 天眼实验室  发布机构： 360 威胁情报中心  2018 年 2 月 26 日   主要 观点   在 APT 研究领域， 美国在全世界都处于遥遥领先的地位。 2017 年 ，美国 有 24 个美国的研究机构展开了 APT 的相关研究，发布相关研究报告多达 47 篇。中国排名全球第二，共有 4 个机构发布了 18 篇 APT 相关的 研究报告，涉及 APT 组织 8 个。其中，仅 360 威胁情报中心在 2017年发布的与 APT 相关的各类研究报告就多达 11 篇。   2017 年，遭到 APT 攻击最多国家依次是：美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯坦和英国。而 最受 APT 组织关注的 领域 或机构类型依次为： 政府 、能源 、金融、国防、互联网、航空航天、媒体、电信、医疗、化工。   2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA旗下的方程式组织，另一个据称是美国中情局（ CIA） 直属的 网络情报中心 。网络 军火民用化的危害日益凸显。   在 传统的 认知 中， APT 活动 应该是 比较隐蔽的 ， 通常不易被察觉。 但 在2017 年 ， APT 组织 及其活动 ， 则与网络空间中的大国博弈之间呈现出很多微妙的显性联系。这 种 联系主要表现在 以下五 个方面 ：一 、 APT 行动与国家间的政治摩擦密切相关 ， 如 ， 双尾蝎、黄金鼠和 摩诃草 等 组织在 2017 年 的攻击活动 ； 二 、 APT 行动对于地缘政治的影响日益显著 ，如 APT28 对 法国大选的干扰 ； 三 、 指责他国的 APT 活动已成重要外交手段 ， 如英 美 等国指责朝鲜制造了 WannaCry； 四 、 部分机构选择在敏感时期发布 APT 报告 ， 如 APEC 前期 有安全 机构 持续 披露海莲花相关信息 ； 五、 APT 组织针对国家智库的攻击显著增多 ， 如美国 的 CSIS（战略 与国际问题研究中心 ）被 入侵 。     2017 年中国高级持续性威胁 （ APT） 研究报告  全球 APT 研究   2017 年 1- 12 月， 360 追日团队共监测到全球 46 个专业机构（含媒体）发布的各类 APT 研究报告 104 份，涉及相关 APT 组织 36 个（只统计了有明确编号或名称的 APT 组织），涉及被攻击目标国家 31 个。   无论是从研究报告的数量、研究机构的数量，还是涉及 APT 组织的数量来看，美国在全世界都处于遥遥领先的地位，有 24 个美国的研究机构展开了 APT 的相关研究，发布相关研究报告多达 47 篇。   从报告数量和参与研究机构的数量来看，中国排名全球第二，共有 4 个机构发布了 18 篇 APT 相关 的 研究报告，涉及 APT 组织 8 个。其中，仅 360 威胁情报中心在 2017 年发布的与 APT 相关的各类研究报告就多达 11 篇。   2017 年，遭到 APT 攻击最多国家依次是：美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯坦和英国这 13 国家。   2017 年， APT 组织最为关注 的机构类型是政府， 50%的 APT 组织以政府为攻击目标；其次是能源行业，受到 25%的 APT 组织关注。排在 APT组织攻击目标前十位的重要领域还有金融、国防、互联网、航空航天、媒体、电信、医疗、化工等。  针对 中国的 APT 截至 2017 年 12 月底， 360 威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外 APT 组织 38 个。其中， 2017 年内仍处于高度活跃状态的至少有 6 个。  针对 三大地区的 APT 如果说， 2016 年 APT 组织的攻击主要体现在对金融、工业和政治这三大领域的攻击；那么， 2017 年， APT 组织的攻击则主要体现在对欧美、东亚和中东三大地区的攻击。   网络军火 民用化   2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA旗下的方程式组织，另一个据称是美国中情局（ CIA）直属的 网络情报中心 。网络 军火民用化的危害日益凸显。  APT 攻击技术 趋势   2017 年 ， APT 攻击技术 特点 主要 体现在 以下 五个方面： Office 0day 漏洞成焦点；恶意代码复杂性的显著增强 ； 移动端的安全问题 日益 凸显 ；针对金融行业的攻击手段多样 化 ； APT 已经影响到每一个人的生活  APT 与大国 博弈   2017 年 ， APT 组织及其活动， 与网络空间中的大国博弈之间呈现出很多微妙的显性联系。主要表现在以下五个方面 ： APT 行动与国家间的政治摩擦密切相关 ； APT 行动对于地缘政治的影响日益显著 ； 指责他国的APT 活动已成重要外交手段 ； 部分机构选择在敏感时期发布 APT 报告 ；APT 组织针对国家智库的攻击显著增多 。  关键词 ： APT、 APT28、 欧美、东亚 、中东 、 双尾 蝎、 黄金鼠、 Office、 NSA、CIA    2017 年中国高级持续性威胁 （ APT） 研究报告  目     录  第一章  全球 APT 研究前沿概览  . 1 一、  APT 研究机构与研究报告  . 1 二、  APT 攻击目标的全球研究  . 2 第二章  针对中国的 APT 攻击  . 5 一、  攻击中国的 APT 组织  . 5 二、  APT 攻击的时空分布  . 6 第三章  部分 APT 组织攻击技术发展  . 7 一、  APT-28 . 7 二、  海莲花（ APT-C-00） . 8 第四章  APT 组织对特定地域的攻击  . 11 一、  针对欧美地区的攻击 . 11 (一 ) APT28 针对法国大选的攻击  . 11 (二 ) APT28 针对欧洲酒店行业的攻击  . 12 (三 ) APT28 借“纽约恐袭事件”的攻击  . 13 二、  针对东亚地区的攻击 . 14 (一 ) 海莲花针对东亚国家的攻击  . 14 (二 ) Lazarus 针对韩国三星手机用户的攻击  . 14 三、  针对中东地区的攻击 . 15 (一 ) APT34 针对中东政府的攻击  . 15 (二 ) BlackOasis 针对中东地区的攻击  . 16 (三 ) 双尾蝎组织针对巴以两国的攻击  . 17 (四 ) 黄金鼠组织针对叙利亚的攻击  . 17 第五章  网络军火民用 化  . 19 一、  疑似 NSA 网络武器工具外泄 . 19 二、  疑似 CIA 网络武器 项目曝光  . 20 第六章  APT 攻击技术热点与发展趋势  . 22 一、  OFFICE  0DAY 漏洞成焦点  . 22 二、  恶意代码复 杂性的显著增强  . 25  三、  移动端的安全问题日益凸显  . 25 四、  针对金融行业的攻击手段多样化  . 27 五、  APT 已经影响 到每一个人的生活  . 27 第七章  APT 活动与网络空间大国博弈  . 29 附录 1 部分 APT 研究报告发布机构列表  . 31 附录 2 360 威 胁情报中心  . 33 附录 3 360 天眼实验室（ SKYEYE LABS）  . 34 附录 4 360 追日团队（ HELIOS TEAM）  . 35 附录 5 360 CERT . 36 附录 6 360 安服团队  . 36  1 第一章  全球 APT 研究前沿概览  一、  APT 研究 机构与研究 报告  APT 攻击（ Advanced Persistent Threat，高级持续性威胁）堪称是在网络空间里进行的军事对抗。攻击者会长期持续的对特定目标进行精准的打击。  为了能够更加全面的掌握全球 APT 攻击态势，了解全球 APT 研究的前沿成果， 2017 年 全年 ， 360 威胁情报中心下属的 360 追日团队展开了对全球主要安全机构及安全专家发布的各类 APT 研究报告和研究成果的监测与追踪工作。  2017 年 1- 12 月， 360 追日团队共监测到全球 46 个 专业 机构 （含 媒体）发布的各类 APT 研究报告 104 份，涉及相关 APT 组织 36 个（只统计了有明确编号或名称的 APT 组织），涉及被攻击目标国家 31 个。 下表 给出了 360 威胁情报中心 监测 到 的 全球各国关于 APT 研究情况的对比。 监测可能 有所遗漏，敬请谅解。  专业 机构  所属国家  APT 报告  数量  发布 APT 报告机构数量  涉及 APT 组织数量  美国  47 24 20 中国  18 4 8 俄罗斯  8 2 3 以色列  5 4 3 荷兰  4 3 4 斯洛伐克  4 1 2 英国  4 4 3 罗马尼亚  3 1 3 芬兰  1 1 1 跨国机构  8 1 8 其他  2 1 1 表  1  全球各国 APT 研究情况对比  从上表中可以清楚看出，无论是从研究报告的数量、研究机构的数量，还是涉及 APT 组织的数量来看，美国在全世界都处于遥遥领先的地位 ， 有24 个美国的研究机构展开了 APT的相关研究，发布相关研究报告多达 47 篇。  从报告数量和参与研究机构的数量来看，中国排名全球第二，共有 4 个机构发布了 18 篇 APT 相关的研究报告，涉及 APT 组织 8 个。其中，仅 360威胁情报中心在 2017 年发布的与 APT 相关的各类研究报告就多达 11 篇。    2 2017 年中国高级持续性威胁 （ APT） 研究报告  俄罗斯 排名全球第 三 。共有 2 个组织机构 公开 发布了 8 篇关于 APT 的研究报告及成果。 与 2016 年仅有 Kaspersky 这一家安全厂商 相比 ， 2017 年增加了 网络安全供应商 Group-IB。  总体而言，从全球范围来看，在 APT 研究领域 ， 美国目前还是处于绝对领先的地位。 并且这 个超级大国 拥有数目庞大的安全初创团队和初创公司在关注、狙击以及深入研究 APT 攻击 。  关于 2017 年全球 各国 研究 机构针对 APT研究 的 具体情况，详见附录 1。  二、  APT 攻击目标 的 全球研究  尽管目前仍有大量的关于 APT 攻击的研究成果处于各安全研究机构的保密之中。但目前已经披露出来的研究报告，也能在一定程度上反应全球APT 研究的关注点和发展趋势。  在 2017 年 360 威胁 情报中心监测到的 APT 报告中，被提及次数最多的被攻击国家依次是 ： 美国、中国、 沙特阿拉伯 、 韩国、以色列、土耳其、日本、 法国 、俄罗斯、 德国、西班牙、 巴基斯坦和 英国 这 13 国家。  被攻击  目标国家  所属地区  相关报告数量  攻击组织数量  主要被攻击领域  美国  北美  14 7 政府 、 能源 、 IT/互联网、媒体、航天 、 金融、酒店、军队、 大型 企业 、关键基础设施  中国  亚洲  12 7 政府 、互联网 、军队、电信、媒体、航天、金融 、 科研 、 关键基础设施  沙特  阿拉伯  亚洲  8 4 政府、 能源、 IT/互联网、军队、航天、 化工 、大型企业  韩国  亚洲  6 5 互联网、 金融 、 能源 、交通  以色列  亚洲  5 5 政府、 IT/互联网 、 媒体 、航天、 媒体 、军队、电信、金融 、 大型企业  土耳其  亚洲  4 2 政府、能源 、工业 、 大型 企业、军队、 IT、电信、媒体、航天 、 金融  日本  亚洲  3 3 政府  法国  欧洲  3 2 政府  俄罗斯  欧洲  3 2 政府、 金融  德国  欧洲  3 3 政府 、 军队、大型企业、 IT 西班牙  欧洲  2 2 金融  巴基斯坦  亚洲  2 2 互联网 、媒体 、 关键基础设施  英国  欧洲  2 2 政府、 电信 、媒体、航天、 金融 、教育  表  2  全球 APT 研究关注被攻击国家排行   3 从上表中可以看出，无论是从相关研究报告的数量来看，还是从攻击组织的数量来看， 美国 都是全球 APT 攻击的第一目标国。同时，盯上 中国 、 沙特阿拉伯 和 韩国 的 APT 组织也都超过了 5 个。  此外 ， 通过 对相关研究报告的 监测还 发现，在 2017 年 ， APT 组织最为关注的 机构 类型是政府， 50%的 APT 组织 以 政府为攻击目标 ； 其次 是能源 行业， 受到 25%的 APT 组织关注 。排在 APT 组织攻击目标前十 位 的 重要 领域还有 金融 、 国防 、 互联网 、航空航天、 媒体、 电信、医疗、 化工 等 。  在 针对 政府机构 的攻击中， APT 组织 除了 会 攻击 一般的 政府 机构 外， 还有 专门针对 公检法 的 攻击 。  在 针对 能源 行业的攻击中 ， APT 组织 重点关注的领域依次是： 石油、 天然气 和 核能 。针对 能源行业的攻击，对国家 安全 具有 很大的影响 。  在针对 金融 行业 的攻击中， APT 组织最为 关注的 是 银行 ， 其次是证券、互联网金融等。 还有 部分 APT 组织会关注到 与虚拟数字 货币 （如 比特币、门罗币等） 相关 的机构 或 公司 。 针对 金融 机构的攻击 大多会 利用安全漏洞 。针对 ATM 自动取款机 的 攻击也一直 延续 了 2016 年 的活跃状态。  还有 一点 值得 注意 ： APT 组织 的 攻击虽然具有很强的针对性，但其攻击目标也并不一定是单一的。 有 的 APT 组织只攻击特定国家特定领域的目标（ 仅 从目前已经 披露 的情况看） ， 但也有很多 APT 组织会对多个国家 的 不同领域目标展开攻击 。 下图 给出了 2017 年全球各国研究 机构发布的 APT 研究报告 中 ， 披露 APT 组织攻击目标的 所属 国家 、 领域数量分析。    4 2017 年中国高级持续性威胁 （ APT） 研究报告  从 上图 中 可看出， 在 2017 年 ， 半数 以上的 APT 组织 攻击 目标 国家 数量超过 5 个 ，这与 2016 年 ， 近 7 成 的 APT 组织只 集中 攻击 1-2 个 国家的情况有 很大的不同 。 不过 ， 进一步 分析 发现 ，被同一 APT 组织关注的多个国家之间往往在地缘上比较 接近 ， 尤其是 中东地区 ，多个相邻 的国家 很 容易被一个或多个 APT 组织同时盯上。  但 从攻击领域来看， 2017 年 ， 超过 六成的 APT 组织 只 集中攻击 1-2 个具体的领域 ， 这与 2016 年 的情况 基本 一致。 这可能 也在 一定 程度上说明：行业 、 领域 的 差别 与壁垒 ， 对 APT 组织 的 活动 有 很大的影响 。  综上所述 ， APT 组织 攻击 的地域集中性和行业聚焦性仍然十分明显。  为 方便对比， 下图 给出了 2016 年披露的 APT 组织 攻击目标数量分析。   5 第二章  针对中国的 APT 攻击  一、  攻击 中国 的 APT 组织  截至 2017 年 12 月底， 360 威胁情报中心已累计监测到的针对中国境内目标发动攻击的境内外 APT 组织 38 个。 其中 ， 2017 年内仍 处于 高度 活跃状态的至少有 6 个。 统计显示， 2017 年 全年 ，这些 APT 组织发动的攻击行动，至少影响了中国境内超过万台电脑，攻击范围遍布国内 31 个省级行政区。下表 给出了部分针对 中国 境内 目标发动攻击的 APT 组织 活动 情况 。 其中 ，HID 是 Human Interface Device 的缩写， 即 人机交互设备 ， 如 U 盘 等。  组织  主要 攻击手法  最早披露 厂商  已知 最早活动 时间  最近活动  时间  海 莲花  APT-C-00 鱼叉邮件  水坑攻击  360 2012 年  2018 年 2 月  Darkhotel APT-C-06 鱼叉邮件  卡巴斯基  2014 年  2017 年 9 月  摩诃草  APT-C-09 鱼叉邮件  水坑攻击  norman 2009 年  2018 年 2 月  APT-C-12 鱼叉邮件  360 2014 年  2017 年 10 月  APT-C-56 鱼叉邮件  360 2014 年  2018 年 2 月  APT-C-58 鱼叉邮件  渗透  360 2011 年  2017 年 12 月  表 3  针对中国 境内目标 攻击的部分 APT 组织 活动 情况  结合 360 威胁 情报中心的大数据监测以 及 相关 机构研究 报告， 我们 给出了 2017 年 部分 APT 组织主要活跃 时间的分析 （精确 到月） ，详见 下图。    6 2017 年中国高级持续性威胁 （ APT） 研究报告  二、  APT 攻击的时空分布  根据 360 威胁 情报中心的统计显示 （不含 港澳台地区） ： 2017 年 ， 国内受 APT 攻击 最多的地区是辽宁 和 北京 ， 其次是山东、江苏 、 上海、浙江和广东。 关于 APT 攻击在中国境内的分布情况，详见下图 （不含 港澳台地区）。  下图给出 了 2017 年 以来， APT 攻击影响中国境内用户数量的 月度 分布情况 ， 3 月 和 11 月是 APT 组织比较 活跃的两个 月份 。   7 第三章  部分 APT 组织 攻击 技术发展  一、  APT-28 APT28 又名 Sofacy， Strontium， Fancy Bear， Sednit 等。为了统一起见，本文中统一使用 APT28。 2017 年各家安全厂商披露了多起 APT28 组织的活动 。 下表 给出 了 关于 APT28 部分 行动的 总结 。 其中 ， Seduploader 是 APT28组织 的 一个 专用的木马程序 ， DealersChoice 是 一个 Flash 漏洞 利用 工具 。  攻击  目标  披露  时间  披露  机构  攻击手法  载荷投递  方式  投递载荷  内容  法国大选候选人马克龙  2017.5 ESET，FireEye 鱼叉攻击  Office 和Windows 的0day 漏洞  Seduploader 欧洲和中东地区的酒店  2017.8 FireEye 鱼叉攻击  VBA 脚本EternalBlue漏洞  EternalBlue 漏洞利用工具  开源 Responder工具  CyCon 参会人员  2017.10 Cisco Talos 鱼叉攻击  VBA 脚本  Seduploader 欧洲与美国 政府机构和航空航天私营部门  2017.10 Proofpoint 鱼叉攻击  Flash Nday漏洞  DealersChoice 未公开  2017.11 McAfee 鱼叉攻击  DDE 技术  Seduploader 表 4  2017 年 安全厂商披露的 APT28 组织 部分 活动  此外 ， 2017 年 1 月 ， FireEye 发布了报告 APT28: At The Center for The Storm。 FireEye 在报告中认定著名的 APT28 组织 为 俄罗斯政府支持的黑客组织。 并 称 一年 以来 APT28 的 变化不仅表明了 其 技能 的提升，资源的丰富和对维持作战 能 力 的渴望，而且突出了集团使命的长久性以及在可预见的将来继续其活动的意图。  2017 年 12 月 ， ESET 发布了报告 Sednit update: How Fancy Bear Spent the Year， 对 APT28 的 攻击方式 进行了一些总结。 综合 其他一些 关于 APT28的 研究成果可以发现， APT28 在目标系统上获得初始立足 点 的方式主要有三种：  1）  Sedkit Sedkit 是 APT28 独家使用的一个漏洞攻击工具包，主要包含 Flash 和  8 2017 年中国高级持续性威胁 （ APT） 研究报告  Internet Explorer 中的漏洞，首次被发现时的使用方法是通过水坑攻击将潜在的受害者重定向到恶意页面。在此之后， APT28 首选的方法是 将 恶意链接嵌入到发送给目标的电子邮件中。  2016 年 10 月是最后一次发现 Sedkit 被使用。 Sedkit 的消失遵循了其它漏洞攻击工具包中看到的趋势 ： 它 们都依赖于老版本的 Adobe Flash 和Internet Explorer 中的漏洞实现恶意程序的下载。 2016 年 包括 Sednit 在内的大部分漏洞攻击 工具包使用次数的下降可能是因为 Microsoft 和 Adobe 软件的安全性不断增强 。  2）  DealersChoice 2016 年 8 月， Palo Alto Networks 发布了一篇关于 APT28 使用的新平台的博客。这个 被 称为 DealersChoice 的平台能够生成嵌入了 Flash 漏洞的恶意文档。这个平台有两个变种。第一个 变种 会 检查系统上安装了哪个 Flash Player 版本，然后选择三个不同的漏洞中的一个 进行 攻击 。第二个变种 则 会首先连接 C2 服务器 （ Command & Control 服务器 ，指木马程序的控制端或控制木马 的服务器） ，该服务器将提供选定的漏洞利用和最终的恶意 负载 。  APT28 今天仍然在使用这个平台， 其 针对 欧洲与美国的政府机构和航空航天私营部门 的 攻击， 就是在 DealersChoice 平台上使用了一个新的 Flash Nday 漏洞 （ Nday 漏洞是 指 软件 厂商已经提供了补丁的 安全 漏洞，但使用者可能由于各种原因并未 给 软件 打上相关补丁 ） 。 这表明这个平台仍在使用，并在不断发展。  3）  宏， VBA 和 DDE 除了传统的 宏 和 VBA（ Visual Basic 的一种宏语言 ） 之外， APT28 在针对法国大选的攻击中也利用 了 Windows 内核和 Office 的 0day 漏洞 （软件厂商 尚未 提供 补丁的安全漏洞） 。 2017 年 10 月 ， SensePost（一家欧洲 安全公司） 发布 了一篇关于 DDE（ Dynamic Data Exchange， 动态数据交换 ） 的文章，其中 介绍的相关方法在 11 月就被 APT28 用于攻击中 。  木马 程序 Seduploader 仍然被 APT28 频繁使用。 Seduploader 由两个不同的组件组成：一个 dropper（一种 木马程序） ， 一个是 由该 dropper 安装的 负载 。在 2017 年 4 月， Seduploader 的新版本增加 了一些新功能，例如截图功能或从 C2 服务器 直接加载到内存中执行。 2017 年 底 ， Seduploader dropper 被投递 Seduploader 负载 的 PowerShell 命令 所取代。  二、  海莲花 （ APT-C-00）  基于对样本及更多其他来源数据的整合分析和历史活动的长期跟踪，360 威胁情报中心发现海莲花团伙活动的一些变化：   9 1）  木马 对抗性 更强更复杂  海莲花先后使用过多种形态的 专用 木马，虽然均是以窃取感染目标电脑中的机密数据为目的，但从攻击原理和攻击方式来看，却有着很大的区别。特别是针对 Windows 系统的 专用木马 ，其出现时间有先有后，危险程度不断升级，攻击方式从简单到复杂、从本地到云控，可以让我们清楚的看到该组织木马的技术发展脉络和攻击思路的不断转变。我们将其分别命名为：海莲花  Tester，海莲花  Encryptor，海莲花  Cloudrunner，海莲花  MAC 等。  在 2017 年 360 威胁情报中心截获的样本中， 部分较新的恶意代码利用了系统白程序 MSBuild.exe 来执行恶意代码以绕过查杀 。这种加载恶意代码的方式本质上与利用带正常签名的 PE 程序加载位于数据文件中的恶意代码的方法相同。原因在于：一、 MSBuild 是微软的进程，不会被杀软查杀，实现防病毒工具的 Bypass；二、很多 Win7 电脑自带 MSBuild，有足够大的运行环境基础，恶意代码被设置在 XML 文件中，以数据文件的形式存在不易被发现明显的异常。 除了通常的可执行程序附件 Payload 以外， 360 威胁情报中心 还发现了利用 CVE-2017-8759 漏洞和 Office Word 机制的鱼叉邮件。  在 2017 年 11 月 截获 的 最新样本中， 我们发现 样本捆绑了 Firefox 浏览器等程序执行了多个阶段的 ShellCode，资源文件加密运行时解密下一阶段的 ShellCode，采用白利用过杀软的方式 ，并且代码中还加入大量花指令和乱序，对抗能力进一步增强。  2）  攻击面 收窄更具针对性  与去年相比，海莲花团伙的攻击活动面有所收窄，但攻击目标的针对性加强，鱼叉邮件的社工特性突出，体现 为 对攻击目标的深度了解。 有用户反馈到威胁情报中心的样本使用了如下的附件名：  invitation letter-zhejiang * working group.doc 星号是非常具体的目标所在组织的简称，目标人物在浙江省，所以附件名里加了 zhejiang 字样，暗示这是完全对目标定制的 攻击木马 。这体现了 攻击者 对 攻击目标的专注度。  3）  服务器更加 隐蔽更 难追踪  为了隐藏自己的真实身份，海莲花组织经常变换下载服务器和 C2 服务器的域名和 IP。而且大多数域名为了抵抗溯源都开启了 Whois 域名隐藏，使得分析人员很难知道恶意域名背后的注册者是谁。 在 2017 年 11 月最新的样本中还使用了 DGA 算法 以 进一步逃避检测。  DGA 算法 ， 即 Domain Generation Algorithms，译为域名生成算法， 是一种利用随机字符来生成 C2 服务器 域名， 从而逃避域名黑名单检测的技术手段 。如 ，某些 木马 会向 随机 生成的 成千上万 个域名发送消息，但其中只有极  10 2017 年中国高级持续性威胁 （ APT） 研究报告  少数会真正被攻击者 使用， 并 用来完成 后续攻击 环节 。 不过在 APT 攻击中，DGA算法 一般 不会生成海量域名，但却会时常 根据 算法动态更换 新 的域名 ，这 就大大增加了安全分析人员定位有效服务器难度。  此外 ， 在海莲花 组织 的 最新 攻击 中，攻击者对 采用的网络基础设施 也 做了更彻底的隔离，使之更不容易做关联溯源分析。 在以往 的攻击 活动 中 ， 海莲花 组织 所使用的 IP 偏爱 193.169.*.*网段 。 但 2017 年 截获 的 海莲花 组织 新近样本 中 ，其 使用的 相关 IP 地址 与既往 IP 几乎 没有重叠，非常“干净”。 这就 导致分析人员需要耗费 更大 的 精力 去 对抗加强后的样本以获取关联点，追踪 溯源的难度 进一步 加大。  4）  即使暴露仍 瞄准高价值客户  海莲花攻击者似乎 不甘心 丢掉 之前已经攻陷 的“目标”而 选择 “卷土重来”。例如 ， 对之前已经攻击过的目标会进行反复攻击，发送新版本的鱼叉邮件 ， 并 尝试再次获取控制。  在 处理用户反馈的过程中 ， 我们 发现 ：尽管 某些曾经遭到海莲花攻击的高价值 用户的电脑 已经进行 了特殊保护， 清除 了以往感染的海莲花组织专用木马 ， 但他们还是会 不断 遭到海莲花组织的攻击，如收到新的 鱼叉 邮件，受到 新型 专用木马的攻击 。  此外 ，在某些 仍然 被控制 着 的电脑终端上， 海莲花 组织的 攻击者也会通过 推送 新的木马程序，将木马的 C2 服务器 转换到新的 IP 或域名下。  所有 上述现象 均 表明，海莲花组织攻击的 “ 持续性 ” 之强 ：没有 暴露，未被 发现的情况下 ，就 要 保证持续 更新 ；已经 暴露，已被发现 的 情况下 ， 也还 要 继续不断 的攻击。 如此 猖獗的攻击，在 APT 组织中并不多见。   11 第四章  APT 组织 对特定 地域 的攻击  如果 说 ， 2016 年 APT 组织的攻击主要体现 在 对 金融 、 工业 和 政治 这三大 领域 的 攻击 ； 那么， 2017 年 ， APT 组织的攻击则主要体现在对欧美、 东亚和 中东 三大地区的攻击。  一、  针对欧美地区的攻击  (一 ) APT28 针对法国大选的攻击  2017 年 5 月 ESET 发布报告称发现 APT28 干扰法国总统大 选 。一个名为 Trumps_Attack_on_Syria_English.docx 的文档引起了研究人员的注意。  打开这份文档后首先会触发 EPS 漏洞 CVE-2017-0262（ Office 的Encapsulated PostScript 图形文件 漏洞 ） 。多次解密后， Seduploader 病毒释放器就会被加载并予以执行。为了部署 Seduploader， Seduploader 病毒释放器通过利用内核漏洞 CVE-2017-0263 获取了系统权限。对于这种 “ EPS 漏洞 内核漏洞 ” 组合的利用 值得 关注 。    12 2017 年中国高级持续性