|
2016年1月18日,360威胁情报中心发布了专业研究报告《2015中国高级持续性威胁(APT)研究报告》(以下简称为:专业版报告)。报告从攻击范围、攻击影响、技术演进、社工手法等多个方面综合分析了2015年中国遭遇境外APT组织攻击的情况,是国内首个关于APT攻击及境外APT组织的综合性研究报告。 国内在此领域的相关研究刚刚起步,可以借鉴和参考的资料也非常有限,相关基础知识也并不十分普及。因此,包括政府机构工作人员和企业安全管理人员在内的非专业人士,直接阅读和理解这份专业版报告,可能存在一定的难度。 360威胁情报中心在专业版报告的基础上,编辑整理出了《2015中国高级持续性威胁(APT)研究报告解读版》(以下简称:解读版报告)。 解读版报告在专业版报告基础上,进行了逻辑架构上的重新梳理。将专业研究领域中常用的杀伤链模型(Kill Chain模型),优化为读者更易理解的军事对抗模型。将APT攻击分解为:战略与战术目标、武器及指挥系统、攻击者的战术实施、攻击者的组织结构等几个方面进行分析,就向解读军事战术体系一样,让人看完以后通俗易懂。 此外,解读版报告还在专业版报告的基础上,增加了很多科普性的文字说明,目的同样是为了降低非专业读者的阅读门槛,希望这份报告能够对各位读者有所帮助。 《2015中国高级持续性威胁(APT)研究报告解读版》
第一章 持续精准打击的网络空间战 一、APT攻击:网络空间中的战争 APT攻击(Advanced Persistent Threats,高级持续性威胁)堪称是在网络空间里进行的军事对抗。攻击者会长期持续的对特定目标进行精准的打击。而中国正是APT攻击的主要受害国之一。 绝大多数的APT组织具有一定的政府背景,其攻击的战略目标也是以政府、军队、科研机构和大型商业机构为主,而战术目标则是被攻击组织网络中敏感的情报信息,例如军事情报、科研成果以及商业机密等。事实上,APT攻击就是一场发生在互联网上的情报战争,而攻防双方的焦点则是情报和信息。 作为一种网络形态的战争,APT攻击也有自己的军火库,其中既有常规武器(专用木马),也有生化武器(漏洞利用)和核武器(0day漏洞利用);同时这些武器也有多种不同的搭载系统,既有能精确制导的导弹系统(鱼叉攻击),也有攻击力强但可能误伤“平民”的轰炸机(水坑攻击);不同的武器搭载系统与不同的武器相结合,就能产生出不同的网络攻击。 此外,像现实世界的战争一样,APT攻击也有花样百出的各种战略战术。从伪装术到反侦查术,从情报收集到火力侦查,从周期性骚扰到横向移动,APT组织所使用的多种多样的攻击手法让人防不胜防。 不过,尽管APT攻击具有很强的战争形态,但由于APT攻击所采用的技术和方法具有很强的针对性和隐蔽性,使得传统的安全防御体系不仅无法有效的防御APT攻击,甚至都很难看见和发现APT攻击。因此,这种高技术对抗的网络战争在过去数年间一直悄悄的进行,有的APT组织对中国的网络入侵和间谍活动甚至已经持续了七、八年之久,但此前却一直没有被发现和披露。 2015年,360威胁情报中心下属的天眼实验室和追日团队,先后展开了针对中国的APT攻击的深入研究,通过对360海量的黑白样本库及互联网大数据的深度挖掘和关联分析,找到了一套以大数据技术为核心的APT攻击的追踪监测与分析方法,并在过去的一年时间里,先后捕获了针对中国的APT攻击组织29个,捕获APT攻击专用木马程序文件样本数千个,使我们可以在一个全球范围的视野中,看到针对中国的网络战争的全貌。 本次报告将从多个维度,深入分析APT攻击的各种技术方法及社工手段,通过数据、案例等多种形式来解读2015年,及2015年之前发生的针对中国的各种APT攻击。
二、针对中国攻击的国际APT组织 截至2015年11月底,360威胁情报中心共监测到针对中国境内目标发动APT攻击的境外高级攻击组织29个,其中15个APT组织曾经被国外安全厂商披露过,另外14个APT组织为360威胁情报中心独立发现并监测到的,其中包括今年5月末披露的海莲花(OceanLotus,APT-C-00)组织。 下表给出了部分针对中国发动攻击的APT组织的名称及活动信息。其中OceanLotus(APT-C-00)、APT-C-05、APT-C-06、APT-C-12是360独立截获的APT组织及行动。
这些APT组织大多已经针对中国境内目标进行了持续数年的网络间谍活动,其中,如Darkhotel、APT-C-05等组织的攻击至少已存在了8年以上。 出于自身安全考虑,绝大多数APT组织在被披露之后,通常就会停止攻击活动。但是,我们发现,部分针对中国发动攻击的APT组织在被披露后,仍然在继续从事针对中国境内的目标的攻击,包括海莲花组织。 |
|
|
来自: victor1208 > 《APT攻击防御》
