360-2017年中国高级持续性威胁研究报告网络安全-2018.2.26-43页（43页）.pdf

《360-2017年中国高级持续性威胁研究报告网络安全-2018.2.26-43页（43页）.pdf》由会员分享，可在线阅读，更多相关《360-2017年中国高级持续性威胁研究报告网络安全-2018.2.26-43页（43页）.pdf（43页珍藏版）》请在三个皮匠报告上搜索。

1、 2017 中国高级持续性威胁（APT） 研究报告 作者：360 追日团队、360CERT、360 天眼实验室 发布机构：360 威胁情报中心 2018 年 2 月 26 日 主要观点 在 APT 研究领域，美国在全世界都处于遥遥领先的地位。2017 年，美 国有 24 个美国的研究机构展开了 APT 的相关研究， 发布相关研究报告 多达 47 篇。中国排名全球第二，共有 4 个机构发布了 18 篇 APT 相关 的研究报告，涉及 APT 组织 8 个。其中，仅 360 威胁情报中心在 2017 年发布的与 APT 相关的各类研究报告就多达 11 篇。 2017 年，遭到 APT 攻击最多国家

2、依次是：美国、中国、沙特阿拉伯、 韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯 坦和英国。而最受 APT 组织关注的领域或机构类型依次为：政府、能 源、金融、国防、互联网、航空航天、媒体、电信、医疗、化工。 2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA 旗下的方程式组织，另一个据称是美国中情局（CIA）直属的网络情报 中心。网络军火民用化的危害日益凸显。 在传统的认知中， APT 活动应该是比较隐蔽的， 通常不易被察觉。但在 2017 年，APT 组织及其活动，则与网络空间中的大国博弈之间呈现出 很多微妙的显性联系。 这种联系主要表现在以下五个方面：

3、 一、 APT 行 动与国家间的政治摩擦密切相关，如，双尾蝎、黄金鼠和摩诃草等组织 在 2017 年的攻击活动；二、APT 行动对于地缘政治的影响日益显著， 如 APT28 对法国大选的干扰；三、指责他国的 APT 活动已成重要外交 手段，如英美等国指责朝鲜制造了 WannaCry；四、部分机构选择在敏 感时期发布 APT 报告，如 APEC 前期有安全机构持续披露海莲花相关 信息； 五、 APT 组织针对国家智库的攻击显著增多， 如美国的 CSIS （战 略与国际问题研究中心）被入侵。 2017 年中国高级持续性威胁（APT）研究报告 全球 APT 研究 2017 年 1- 12 月， 36

4、0 追日团队共监测到全球 46 个专业机构 （含媒体） 发布的各类 APT 研究报告 104 份，涉及相关 APT 组织 36 个（只统计 了有明确编号或名称的 APT 组织） ，涉及被攻击目标国家 31 个。 无论是从研究报告的数量、研究机构的数量，还是涉及 APT 组织的数 量来看，美国在全世界都处于遥遥领先的地位，有 24 个美国的研究机 构展开了 APT 的相关研究，发布相关研究报告多达 47 篇。 从报告数量和参与研究机构的数量来看， 中国排名全球第二， 共有 4 个 机构发布了 18 篇 APT 相关的研究报告，涉及 APT 组织 8 个。其中， 仅 360 威胁情报中心在 201

5、7 年发布的与 APT 相关的各类研究报告就 多达 11 篇。 2017 年，遭到 APT 攻击最多国家依次是：美国、中国、沙特阿拉伯、 韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯 坦和英国这 13 国家。 2017 年，APT 组织最为关注的机构类型是政府，50%的 APT 组织以政 府为攻击目标； 其次是能源行业， 受到 25%的 APT 组织关注。 排在 APT 组织攻击目标前十位的重要领域还有金融、国防、互联网、航空航天、 媒体、电信、医疗、化工等。 针对中国的 APT 截至 2017 年 12 月底， 360 威胁情报中心已累计监测到的针对中国境内 目标发动攻击的

6、境内外 APT 组织 38 个。其中，2017 年内仍处于高度 活跃状态的至少有 6 个。 针对三大地区的 APT 如果说，2016 年 APT 组织的攻击主要体现在对金融、工业和政治这三 大领域的攻击； 那么， 2017 年， APT 组织的攻击则主要体现在对欧美、 东亚和中东三大地区的攻击。 网络军火民用化 2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA 旗下的方程式组织，另一个据称是美国中情局（CIA）直属的网络情报 中心。网络军火民用化的危害日益凸显。 APT 攻击技术趋势 2017 年，APT 攻击技术特点主要体现在以下五个方面：Office 0day 漏 洞