360安全：全球高级持续性威胁（APT）2018年报告(44页).pdf

1、 主要观点 2018 年，全球关于 APT 活动的研究成果呈现井喷态势。造成这种情 况的主要原因有三个方面： 一是全球贸易战加剧了APT活动的扩散； 二是 APT 研究最能反映安全企业的综合能力；三是 APT 活动的检测 与防御需要全球性的威胁情报共享。 军队与国防、政府、金融、外交、能源是 2018 年全球 APT 攻击者 的主要目标。值得注意的是，国家的基础性行业也正面临着越来越多 的高级威胁攻击风险，如科研、医疗、传媒、电信等。 0day 漏洞的在野利用成为全球安全圈最为关注的焦点之一。0day 漏 洞在野利用的频频现身， 事实上是在倒逼安全企业必须打破传统的攻 防理念，实现安全能力的大

2、幅提升与技术体系的全面升级。 APT 攻击者正在越来越多尝试规避和隐藏其在攻击活动中留下的与 其自身角色相关的线索，或者通过 false flag（假旗行动）和模仿其 他组织的特征来迷惑分析人员，从而使 APT 活动的组织归属分析变 得越来越困难。 2018 年 1- 12 月，360 威胁情报中心共监测到全球 99 个专业机构发 布的各类高级威胁研究报告 478 份，涉及相关威胁来源 109 个；其中 以被确认的 APT 组织为 53 个，涉及被攻击目标国家和地区 79 个。 其中，公开报告数量较 2017 年增长了 360%。 2018 年， 在全球公开披露的高级威胁分析报告中， 被攻击目

3、标涉及最 多的 5 个行业领域分别是：军队与国防（17.1%）、政府（16.0%）、 金融（15.5%）、外交（11.6%）、能源（10.5%）。 针对韩国、中东、美国、俄罗斯、巴基斯坦等地区的 APT 活动最为 活跃，被各国安全机构披露的数量也最多。 APT28、Lazarus、Group 123、海莲花等攻击组织在 2018 年被全球各 大研究机构提及的最多，也最为活跃。 截至 2018 年 12 月， 360 威胁情报中心已累计截获针对中国的 APT 组 织 38 个。在这些组织中，2018 年依旧活跃的已公开 APT 组织包括 海莲花、 摩诃草、 蔓灵花、 Darkhotel， Gro

4、up 123、 毒云藤和蓝宝菇等。 2018 年，比较知名的 APT 活动 0day 漏洞在野利用事件就有 14 个之 多。 0day 漏洞在野利用的频频现身， 事实上是在倒逼安全企业必须打 破传统的攻防理念， 实现安全能力的大幅提升与技术体系的全面升级。 关键词：APTAPT、海莲花海莲花、毒云藤、蓝宝菇、毒云藤、蓝宝菇、0 0dayday 漏洞漏洞 目 录 研究背景 .1 第一章 公开披露的全球高级持续性威胁.2 一、 APT 研究持续火热 . 2 二、 受害目标的行业与地域. 4 三、 攻击者来源 . 5 第二章 高级持续性威胁背后的攻击者 .7 一、 最活跃的国家背景组织. 7 （一）

5、 APT28 . 8 （二） APT29 . 9 （三） Lazarus Group（APT-C-26） . 10 二、 值得关注的 APT 攻击者 . 11 （一） 肚脑虫（APT-C-35） . 11 （二） 蔓灵花 . 13 （三） Group 123 . 13 （四） APT38 . 14 （五） Hades . 15 （六） MuddyWater . 16 第三章 针对中国境内的 APT 组织和威胁 . 18 一、 海莲花（APT-C-00） . 18 二、 毒云藤（APT-C-01） . 19 三、 蓝宝菇（APT-C-12） . 20 四、 DARKHOTEL（APT-C-06）

6、 . 21 第四章 APT 威胁的现状和挑战 . 22 一、 进化中的 APT 攻防 . 22 二、 多样化的攻击投放方式. 22 （一） 文档投放的形式多样化 . 22 （二） 利用文件格式的限制 . 23 （三） 利用新的系统文件格式特性 . 24 （四） 利用旧的技术实现攻击 . 25 三、 0DAY 漏洞和在野利用 . 25 四、 APT 分析面临的挑战. 26 五、 APT 威胁的演变趋势. 27 附录 1 360 威胁情报中心 . 28 附录 2 360 的 APT 研究团队 . 29 （一） 360追日团队（Helios Team） . 29 （二） 360高级威胁应对团队 .