返回首页
 

2015年中国高级持续性威胁研究报告-解读版

发布日期
2016-02-26
关键词
APT、鱼叉攻击、水坑攻击、0day、C&C、伪装
摘要
  • 截至2015年11月底,360威胁情报中心共监测到针对中国境内目标发动APT攻击的境外高级攻击组织29个,其中15个APT组织曾经被国外安全厂商披露过,另外14个APT组织为360威胁情报中心首先发现并监测到的。
  • 在这29个APT组织中,针对中国境内目标的攻击最早可以追溯到2007年,而最近三个月(2015年9月以后)内仍然处于活跃状态的APT组织至少有9个。仅仅在过去的12个月中(2014年12月-2015年11月),这些APT组织制作的专用木马程序,至少影响了中国境内超过一万台电脑,攻击范围遍布国内31个省级行政区。
  • 从战略目标上来看,科研教育机构是APT攻击的首要目标,被攻击次数占比高达37.4%;其次是政府机构,占27.8%;能源企业排第三,占9.1%。其他被攻击的重要领域还包括军事系统、工业系统、商业系统、航天系统和交通系统等。
  • 从战术目标上来看,敏感的情报信息是APT攻击的主要目标,窃取的主要文件形式包括Office文档、设计图、压缩包、电子邮件等。特别值得注意的是,WPS Office文档受到很多APT组织的关注,因为使用此类文档的机构,绝大多为涉密的政府部门或事业单位,因此,窃取WPS Office文档往往能够得到很多高价值的情报。
  • 从被攻击目标所使用的系统平台来看,Windows已经不再是APT攻击的唯一战场,针对Android、Mac OS X等非Windows系统的攻击越来越多。预计未来,针对如Linux、Android、Mac OS X和工业控制系统的攻击还会不断增加。
  • APT组织用于投放木马程序的武器搭载系统多种多样,目前已经被360威胁情报中心监测到的方式包括鱼叉邮件、水坑攻击、中间人攻击、PC跳板和第三方平台跳板等。其中,鱼叉邮件仍然是最主要的攻击方式:全球平均占比为55.2%,中国平均占比为79.2%。而排在鱼叉攻击之后的就是水坑攻击,全球平均占比为26.6%,中国平均占比为15.4%。
  • APT攻击的主要武器是专用木马,而专用木马又可以分为非漏洞利用型,1day-Nday漏洞利用型和0day漏洞利用型。不同类型的专用木马,其杀伤力、使用成本和针对目标都有所不同。其中,0day漏洞利用文档的杀伤力最强,堪称APT军火库中的核武器,但其研发、制作和使用的成本也最高,一般都只会被用于针对高价值目标的攻击。
  • C&C(Command and Control)服务器,称得上是APT攻击的前线指挥部。截至2015年11月,360威胁情报中心共监测到29个APT组织的C&C服务器200余个,分布在全球至少26个不同的国家和地区。其中,美国最多,占22.6%;其次是中国,占17.9%;俄罗斯、西班牙、德国并列第三。
  • APT组织在选择C&C域名时,更倾向于采用动态域名,而且各个组织均使用或部分使用了境外动态域名服务商,其中主要的服务商有:ChangeIP、DynDNS、No-IP、Afraid(FreeDNS)、dnsExit等。
  • APT组织在攻击过程中所采用的各种具体战术及战术实施过程也很值得研究。目前,360威胁情报中心已经监测到的APT组织使用的各种战术手段包括:攻击初期的情报收集、火力侦查,攻击过程中的周边打击、周期性骚扰,攻击成功后为扩大战果进行的横向移动,以及多种复杂的伪装术、反侦查术等。
  • 在APT组织使用的各种战术中,伪装术的形式最为复杂,也最为丰富,包括社会工程学伪装、文件视觉伪装、快捷方式伪装、捆绑合法程序和使用压缩包外壳等多种方法。
  • APT组织通常是具有严密的组织架构和专业分工的战斗部队。一般来说,至少包括情报收集小组,社会工程学小组,研发小组,C&C运维小组和情报分析小组等5个大的专业分工以及更多的细致分工。此外,某些APT组织还可能在中国境内设有人工间谍。
  • 未来几年中,我们预计APT攻击会有以下六个方面的主要发展趋势:十三五规划的相关行业将成为重点攻击目标;针对非Windows平台的攻击出现频率将会持续增高;由商业目的产生的APT攻击会不断增加;安全威胁越来越难以被“看见”;APT组织针对安全行业的策略将从被动隐匿到主动出击;针对中国的APT攻击将越来越多的被曝光。

扫描二维码分享朋友圈

NEW最新研究报告

Android恶意软件专题报告(2016)

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,2016年全年,从手机用户感染恶意程序情况看,360互联网....

关键企业保障网络安全的形势与挑战

近年来,随着人类社会的进步和信息技术的发展,人类在能源、环境、交通、居住、安全等领域都面临着严峻的挑战,迫使人们不得不利用大数据、物联网等互联网技术实现更加高效、智能....

2016年中国互联网安全报告

2016年360互联网安全中心共截获PC端新增恶意程序样本1.9亿个。敲诈者病毒在国内发生两次大规模传播,全国至少有497多万台用户电脑遭到了敲诈者病毒攻击。通过对受害者调研...

2016年中国高级持续性威胁研究报告

2016年,全球各地安全机构展开了大量关于APT的专业研究。截至2016年12月,360追日团队共监测到全球41个安全机构发布的各类APT研究报告100份,涉及相关APT组织43个,被攻击...

2016骚扰电话形势分析报告

2016年360手机卫士共拦截骚扰电话385.1亿次,创历史新高。比2015年大幅增涨41.3%,平均每天为全国用户识别与拦截1.05亿次,在骚扰电话的号码源中,由固定电话呼出的骚扰...

2016年中国手机安全状况报告

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击15.9亿次...