】7月底,新加坡被爆史上最严重APT,包括总理李显龙在内约150万人的健康数据被泄露,APT的高性再次引起广泛关注。面对日益的APT,腾讯安全于近日对外发布《2018上半年高级持续性(APT)研究报告》(以下简称《报告》),公布腾讯御见情报中心APT研究小组对全球范围内APT组织进行长期深入和分析的结果,深度披露漏洞、鱼叉邮件、水坑三大主流手段。
APT通常以窃取核心资料、搜集情报为目的,对、企业等组织机构的数据安全造成严重。伴随漏洞挖掘技术的日益成熟以及各种漏洞POC的公开,漏洞的利用也变得更加简单。《报告》显示,APT组织使用包含Nday和0day漏洞技术进行的占比达到60%。
值得注意的是,由于高危漏洞修复率偏低,许多APT组织仍在使用“旧漏洞”进行。例如白象(Hangover)、海、商贸信等APT组织仍在使用2017年11月就发布过相应补丁的CVE-2017-11882(公式编辑器漏洞)进行。
APT者还会通过利用程序漏洞隐藏恶意程序,在入侵成功后获取目标计算机的控制权。据腾讯御见情报中心监测发现,2018年上半年活跃的寄生兽(DarkHotel)APT任雪案件组织喜欢把木马隐藏在putty、openssl、zlib等开源的代码中,从而实现检测的目的。该组织使用专有木马程序,且只针对特定对象进行,因此极难被一般安全检测程序发现。
作为APT组织最常用的渠道,鱼叉是指精心设计携带病毒的诱饵文档进行的形式。者通常会选取特定目标,详细搜集目标的姓名、邮箱地址、社交账号等个人网络信息,然后假冒公司、组织乃至的名义,发送给目标电脑。用户一旦打开附件,就会导致电脑感染木马。者还会以要求用户点击链接、输入账号密码等形式窃取用户隐私,甚至借机安装恶意程序持续目标计算机。
尽管钓鱼已经是APT组织的“老套”,但由于诱饵文档十分“逼真”,仍有大量组织机构中招。2017年12月,腾讯安全御见情报中心曾预警针对外贸行业的“商贸信”病毒,其将Word文档伪装成采购清单等文件,在全球外贸行业内大量投“毒”,影响外贸工作者达150万。今年6月,针对中国进出口企业的网络再次抬头。受的企业主要包括电子科技、外贸和远洋运输企业,者发送精心设计的与企业业务相关的诱饵邮件,附件是利用Office漏洞特别定制的文档,存在漏洞的电脑上打开附件会立刻中毒。
国外各大机构也频频鱼叉。今年2月,奇幻熊(APT28)组织利用英国信息服务提供商IHSMarkit公司的邮箱账号,向罗马尼亚发送钓鱼邮件。此前,该组织还曾使用钓鱼邮件及Carberp变种木马对美国机构发起。
除了主动出击,APT组织还会在目标用户必经之地设置“水坑”以“守株待兔”。例如APT组织会通过事先观察确定目标经常访问的网站,入侵其中一个或多个后,植入恶意软件。由于目标往往对常用网站较为信任,一时放松而中招。
2018年6月,腾讯御见情报中心捕捉到一个利用Office公式编辑器漏洞(编号CVE-2017-11882)的恶意文档,其投递的载荷均被命名为与主流播放器类似的一系列文件名,如QuickTime、PotPlayer、GomPlayer等。经过腾讯御见情报中心分析发现,该组织的目标为印度、巴基斯坦、韩国等国家,由于这些地区电影业发达,将木马伪装成视频播放器程序,更容易过关。
面对持续的APT,腾讯安全专家提示,要做到“防御社会工程学”和“部署完善安全的措施”双管齐下,加大普及网络安全知识力度,最大限度减小APT。推荐使用腾讯智慧安全御界高级检测系统等安全防护系统,可及时恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,有效企业级网络信息系统安全。