腾讯安全发布《2018上半年APT研究报告》国家机关和能源企业成重点攻击目标

发布者: bianji 2018年8月15日 11:39

 近日,腾讯安全对外发布《2018上半年高级持续性威胁(APT)研究报告》(以下简称《报告》),结合腾讯御见威胁情报中心APT研究小组对全球范围内的APT组织长期深入的跟踪和分析,深度揭秘2018上半年持续活跃的APT攻击活动。

《报告》指出,近来国际性APT组织异常活跃,针对中国的攻击显著增多;APT组织攻击武器库和作案手法不断升级,国家机关以及几乎所有的重要行业如能源企业、电信、医疗部门等都受到了来自APT攻击的威胁,大型机构的信息网络系统安全面临严峻的挑战。

针对中国的APT攻击显著增多 定向瞄准国家机关和能源企业

随着中国在全球化进程中影响力的不断增长,中国政府、企业及民间机构与世界各国联系的不断增强,中国已成为跨国APT组织的重点攻击目标。《报告》显示,2018年上半年,白象(Hangover)、海莲花、寄生兽(DarkHotel)、蔓灵花等境外APT组织对中国境内发起过多次攻击。APT组织多采用鱼叉邮件加漏洞文档精准投放的手段进行攻击,各种与中国有关的政治、军事色彩的诱饵文档在境内多次被发现。

从APT组织攻击的行业分布来看,国家机关和能源企业依然是APT组织最为关注的目标,平均占比达到16%。除政府之外,军事、电信、金融、工业等领域也是受APT组织攻击的重灾区。

这些与国计民生密切相关的要害领域,被APT组织视为“高价值”的攻击目标。由于此类行业较为依赖互联网提供的基础设施,又相对缺乏专业的安全运维,一旦遭受到攻击致使机密数据资料泄露,将会给政府机构、企业乃至个人都带来严重的损失。

漏洞攻击技术占比高达60%  0day漏洞利用成焦点

随着漏洞挖掘技术的日益成熟以及各种漏洞POC的公开,漏洞的利用变得更加简单,几乎所有的APT组织都使用过漏洞进行攻击。《报告》显示,使用Nday和0day漏洞进行攻击的占比高达60%,仅2018上半年就出现了4例0Day漏洞攻击事件。

据腾讯御见威胁情报中心监测显示,2018上半年陆续发现Lazarus APT组织使用CVE-2018-4878(Flash漏洞)进行在野攻击,寄生兽(DarkHotel)组织使用CVE-2018-8174(浏览器漏洞),以及某未命名APT组织使用CVE-2018-5002(Flash漏洞)进行攻击等。APT组织利用Adobe Flash 0day漏洞(CVE-2018-5002)构造特殊Excel文件对目标国家进行攻击,并通过即时聊天工具和邮箱发送给目标人员。一旦目标人员Excel诱饵文件就会立即中招。

与此同时,由于各种高危漏洞的修复情况很不乐观,许多APT组织经常使用较老的漏洞进行攻击却仍然频频得手。比如白象(Hangover)、海莲花、商贸信等APT组织都使用过早已发布补丁的CVE-2017-11882(公式编辑器漏洞)进行过攻击。此外,APT组织经常使用的宏文档、DDE文档攻击技术,大多会结合迷惑性较强的社会工程学欺骗,再利用一些脚本或白利用技术,极大地提高了攻击成功率。

腾讯安全专家支招防御APT攻击:防范社会工程学攻击与部署防护并重

为了提高相关机构和个人防御APT攻击的能力,腾讯安全专家建议,政府机构、企业和个人应全面提高防御社会工程学欺骗方面的意识。国家重要机构、科研教育机构以及事关国计民生的重要企业,应加大普及网络安全知识力度,部署完善的网络安全保护设施,及时修补业务系统存在的安全漏洞,最大限度提高APT组织攻击的门槛,及时发现、拦截APT组织的入侵。

腾讯智慧安全御界高级威胁检测系统是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。凭借基于行为的防护和智能模型两大核心能力,可高效检测未知威胁,并通过对企业内外网边界处网络流量的分析,感知漏洞的利用和攻击。通过部署御界高级威胁检测系统,可及时感知恶意流量,检测钓鱼网址和远控服务器地址在企业网络中的访问情况,有效保护企业级网络信息系统安全。

《报告》预测,随着商业竞争的日趋激烈,部分非法企业可能出现雇佣黑客组织,针对竞争对手进行APT攻击的行为,且APT攻击将不再仅限于高价值的目标,而是日益走向平民化。对此腾讯安全专家建议,普通企业应做好网络和硬件的隔离防护,使用可信的软硬件安全防护产品做好实时防护,以及定期处理数据隔离备份等工作,才能最大程度上避免遭受APT攻击伤害。