尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
網路安全圈內流傳著這樣一句話:世界上只有兩種大型企業,一種是知道已經被黑客入侵的企業,另一種則是被入侵卻渾然不知的企業。盡管不少人認為,這樣的言論未免言過其實,但不可否認的是,以高級可持續性攻擊活動(下稱「APT攻擊」)為代表的高級新型攻擊,正在衝擊著企業安全防線,作惡團夥暗中潛伏,伺機發起攻擊竊取機密數據、破壞生產系統。整個2018年全球範圍內的APT攻擊逐漸呈現高發態勢。
在此背景下,騰訊安全最近正式對外發布《2018年高級持續性威脅研究報告》(以下簡稱《報告》),針對全球各大安全團隊的安全研究報告進行研究,並提取了相關的指標進行持續的分析和跟蹤工作,全面剖析全球範圍內APT組織分布及攻擊技術,同時還對四大攻擊技術趨勢進行預測,對網路信息安全行業發展具有參考意義。
APT全球攻擊事件頻發中國成跨國APT組織重點攻擊目標
APT攻擊的本質是針對性攻擊,常用於國家間的網路攻擊,主要通過向目標計算機投放特種木馬(俗稱「特馬」),以此竊取國家機密信息和重要企業的核心商業信息、破壞網路基礎設施等,具有相當強烈的政治、經濟目的。APT的攻擊手法,在於隱匿自己,針對特定對象,長期、有計劃性和組織性地竊取數據,屬於「網路間諜」行為。近年來,APT攻擊對企業業務的正常運轉構成了不小的威脅,並最終殃及普通網民。如2018年12月某APT組織對驅動人生公司發動的定向攻擊,挾持其升級通道大規模安裝和傳播雲控木馬,進而在受感染機器上挖礦牟利。
《報告》顯示,在2018年全年,全球共計35個安全機構發布了206篇APT相關的研究報告,涉及高達58個APT組織。從被攻擊地區分布來看,東亞和東南亞都遙遙領先於世界其他地區。而歐洲和北美則保持精英化的狀態,雖然攻擊組織不多,但是都是實力雄厚的攻擊組織。
(圖:全球被攻擊地區分布)
隨著中國在全球化進程中影響力的不斷提升,政府、企業及民間機構與世界各國聯繫的更加密切,大陸已逐漸成為跨國APT組織的重點攻擊目標,也是實際遭受攻擊最嚴重的國家之一。整個2018年,騰訊安全監測到針對國內目標發動的境內外APT組織至少有7個,且均處於高度活躍狀態。海蓮花、黑店、白象、蔓靈花、藍寶菇等APT組織長期針對中國敏感機構和行業發動攻擊。從行業分布來看,政府、能源、軍工等基礎設施是重要的攻擊目標。地域分布上,遼寧、北京和廣東是國內受APT攻擊最多的地區。
(圖:國內被攻擊地域分布)
目前,針對國內發動的APT攻擊活動日益增多,給國家有關部門、企業機構以及各大高校帶來了較為嚴峻的挑戰。對此,《報告》提醒各大機關、企業以及個人用戶,及時修補系統補丁和重要軟件的補丁,全面提升網路安全意識,不要打開來歷不明的郵件附件內容,同時不要輕易啟用Office的宏代碼功能。
APT攻擊技術全面升級四大攻擊手段將成未來發展趨勢
在2018過去一年發生的APT攻擊事件中,不斷出現新的攻擊模式和技術的組合,給當前的信息安全環境帶來了越來越多的挑戰。
《報告》指出,魚叉攻擊、水坑攻擊以及遠程可執行漏洞和密碼爆破攻擊三大攻擊手段依然是APT攻擊的最主要方式。魚叉攻擊使用魚叉結合社工類的方式,投遞帶有惡意文件的附件,誘使被攻擊者打開。從曝光的APT攻擊活動看,2018年使用魚叉攻擊的APT活動比例超過95%;同時APT組織還會在目標用戶必經之地設置「水坑」進行「守株待兔」。其中,海蓮花、socketplayer等組織均使用過該攻擊方式。除了魚叉和水坑攻擊,利用遠程可執行漏洞和服務器口令爆破進行攻擊,也成為了一種可選的攻擊方式。
(圖:水坑攻擊示例文件)
不僅如此,APT攻擊者還開始採取更為高端的攻擊技巧,對普通網路黑產從業者起到教科書般的「指導示範」作用。《報告》預測,Fileless攻擊(無文件攻擊)、將通信的C&C服務器存放在公開的社交網站上、使用公開或者開源工具、多平台攻擊和跨平台攻擊將成未來APT攻擊技術的主要發展趨勢。
(圖:Fileless攻擊示例文件)
以Fileless攻擊為例,隨著各安全廠商對PE文件的檢測和防禦能力不斷增強,APT攻擊者越來越多地開始使用無PE文件落地的攻擊方式進行攻擊。目前海蓮花、MuddyWater等攻擊組織都擅長使用該方式進行攻擊。
除了PC端和移動端,路由器平台也成為了APT組織的攻擊對象,如VPNFilter目前已攻擊了10多個國家的至少50萬台路由器設備。
安全挑戰升級技術創新驅動網路安全行業發展
縱觀時下網路安全環境,越來越多的政府機構和全球化企業在安全控管上投入了巨大的人力和物力,但APT組織仍能滲透進而得逞。如何應對不斷呈現出以跨國界、跨領域、攻擊手法升級為主要特徵的APT攻擊無疑成為亟待解決的問題。
目前來看,傳統的「單兵作戰」防禦方式勢必無法與APT組織抗衡。為此,騰訊安全推出禦界高級威脅檢測體系,這是基於騰訊安全反病毒實驗室的安全能力、依托騰訊在雲端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。在終端防禦方面,騰訊安全推出的禦點終端安全管理系統,將百億量級雲查殺病毒庫、引擎庫以及騰訊TAV殺毒引擎、系統修復引擎應用到企業內部,可有效防禦企業內網終端的病毒木馬攻擊。
(圖:騰訊禦界高級威脅檢測體系)
綜合整個《報告》不難看出,APT攻擊已呈愈演愈烈之勢,但以騰訊安全為代表的安全研究團隊正通過一系列的產品和技術,對抗APT攻擊等高科技違法犯罪行為,隨時應對各種不同程度的網路風險和攻擊,持續為政府、企業等組織以及廣大網友的信息安全保駕護航。