8月26-28日，2021北京網(wǎng)絡(luò)安全大會(huì)（BCS 2021）正式召開。期間，在TI INSIDE生態(tài)聯(lián)盟發(fā)布會(huì)上，奇安信威脅情報(bào)中心發(fā)布了《全球高級(jí)持續(xù)性威脅（APT）2021年中報(bào)告》（以下簡稱《報(bào)告》），系統(tǒng)總結(jié)了今年上半年主要攻擊活動(dòng)，及其背后所呈現(xiàn)出的ATP攻擊新態(tài)勢。

APT攻擊活動(dòng)最黑暗的半年

《報(bào)告》指出，2021年上半年以來，被曝光的APT組織使用的在野0day漏洞數(shù)量陡然劇增，出現(xiàn)的頻次之高歷年罕見，其中Windows操作系統(tǒng)、Chrome瀏覽器、Adobe Reader PDF閱讀器等具有壟斷地位的系統(tǒng)和產(chǎn)品均受到了不同程度的影響。在《報(bào)告》看來，隨著網(wǎng)絡(luò)武器威力和攻擊規(guī)模的持續(xù)增大，今年上半年也許是近年來APT攻擊活動(dòng)最黑暗的半年。

在愈演愈烈的APT攻擊中，一個(gè)新的趨勢是，APT攻擊團(tuán)伙攻擊目標(biāo)開始更加側(cè)重于在供應(yīng)鏈中負(fù)責(zé)提供服務(wù)的公司。例如，去年12月，黑客在針對(duì)網(wǎng)管軟件提供商SolarWinds發(fā)動(dòng)了供應(yīng)鏈攻擊，在軟件更新包中植入了后門程序，全球超過18000家機(jī)構(gòu)都受到了此次事件的影響；又例如，全球航空電信協(xié)會(huì)SITA——管理著全球超過400家航空公司的機(jī)票和旅客數(shù)據(jù)處理，便曾在今年3月宣布服務(wù)器被黑客通過高度復(fù)雜的攻擊手段入侵。而在國內(nèi)，奇安信威脅情報(bào)中心也曾監(jiān)測到多起安全公司被入侵造成的供應(yīng)鏈攻擊事件。

不過，相比之下，常用軟件包括安全軟件或管理平臺(tái)本身的服務(wù)器被入侵導(dǎo)致供應(yīng)鏈攻擊的事件依舊為主流。而且，為了竊取新的0day漏洞加以利用，APT組織開始嘗試借助社會(huì)工程學(xué)來攻擊安全研究人員。相關(guān)攻擊手段包括仿造虛擬安全人員身份、建立含瀏覽器0day漏洞的安全分析博客、通過社會(huì)工程學(xué)與他人建立聯(lián)系以發(fā)送含惡意代碼的漏洞利用工程等，令人防不勝防。

俗話說“道高一尺，魔高一丈”，在同APT組織的對(duì)抗中，安全廠商也逐漸總結(jié)出了新的方法論。例如，在Solarwinds事件發(fā)生后，美國聯(lián)合多個(gè)安全廠商同樣進(jìn)行了集中式的復(fù)盤分析，并從中找出大量攻擊線索并提出各類解決方案。未來，類似這樣的復(fù)盤分析或?qū)⒊蔀樘幹肁PT事件的常規(guī)方法。

在野0day狂潮下的 APT 攻擊活動(dòng)

無論如何，針對(duì)性減輕在野0day漏洞風(fēng)險(xiǎn)，仍是現(xiàn)階段抵御APT 攻擊的當(dāng)務(wù)之急。

《報(bào)告》顯示，僅2021年上半年，APT組織在野利用的0day漏洞數(shù)量超過40個(gè)，在網(wǎng)絡(luò)安全歷史上堪稱空前。而且，這種攻擊呈現(xiàn)出“以Windows平臺(tái)為基礎(chǔ)，Chrome/Safari瀏覽器為主流向著多平臺(tái)延伸”的趨勢。

以Windows Defender最新爆出的0day漏洞Achilles——阿克琉斯為例，該漏洞為Windows Defender在指令模擬執(zhí)行進(jìn)行Asprotect解壓過程中的一處堆溢出漏洞，若成功利用，將在未打補(bǔ)丁的目標(biāo)機(jī)器上導(dǎo)致遠(yuǎn)程代碼執(zhí)行。簡單來說，Windows Defender會(huì)默認(rèn)在后臺(tái)持續(xù)掃描樣本，因此當(dāng)未知APT組織將樣本投遞（郵件下發(fā)或?yàn)g覽器利用）到默認(rèn)使用Windows Defender作為殺軟的用戶時(shí)將觸發(fā)漏洞，并直接執(zhí)行惡意代碼。

除此之外，Windows操作系統(tǒng)、Windows Exchange Server、Microsoft Office、Adobe Reader、IOS、Android等主流平臺(tái)和產(chǎn)品，也都先后因在野0day漏洞而被ATP組織攻擊。在此基礎(chǔ)上，可以預(yù)見的是，接下來的整個(gè)2021年應(yīng)該是在野0day漏洞利用爆發(fā)的一年，而0day漏洞也將更廣泛的被用于高級(jí)威脅攻擊中。

值得一提的是，從地緣分布來看，目前活躍度最高的ATP組織居然分布在東歐地區(qū)。其中，一個(gè)顯著標(biāo)志是，Solarwinds供應(yīng)鏈?zhǔn)录惺褂脨阂廛浖c東歐地區(qū)APT29組織的惡意軟件Kazuar在代碼方面高度相似。基于此，US-CERT（美國國土安全部計(jì)算機(jī)緊急事務(wù)響應(yīng)小組）直接將其認(rèn)定為Solarwinds供應(yīng)鏈?zhǔn)录哪缓笤獌础３酥?，東亞、東南亞、南亞次大陸和中東地區(qū)，也是ATP組織活躍度較高的區(qū)域，需要格外留意。

總結(jié)

從2021年上半年發(fā)生的APT攻擊活動(dòng)不難發(fā)現(xiàn)，全球APT組織為達(dá)成攻擊目的不惜花費(fèi)巨額資金和人力成本，比如投入使用價(jià)值不菲的大量高價(jià)值0day漏洞等。在此基礎(chǔ)上，0day漏洞或是更為復(fù)雜的木馬勢必會(huì)不斷出現(xiàn)，ATP安防形勢也將持續(xù)面臨考驗(yàn)。

為此，奇安信早在2015年便成立了威脅情報(bào)中心，專注于APT攻擊類高級(jí)威脅的研究。據(jù)悉，威脅情報(bào)中心紅雨滴是國內(nèi)首個(gè)發(fā)布并命名“海蓮花”（APT-C-00，OceanLotus）APT攻擊團(tuán)伙的安全研究團(tuán)隊(duì)，也是當(dāng)前奇安信威脅情報(bào)中心的主力威脅分析技術(shù)支撐團(tuán)隊(duì)。

依托全球領(lǐng)先的安全大數(shù)據(jù)能力、多維度多來源的安全數(shù)據(jù)和專業(yè)分析師的豐富經(jīng)驗(yàn)，紅雨滴團(tuán)隊(duì)能夠?qū)崿F(xiàn)高效的威脅發(fā)現(xiàn)、損失評(píng)估及處置建議提供，同時(shí)也為公眾和監(jiān)管方輸出事件和團(tuán)伙層面的全面高級(jí)威脅分析報(bào)告。自創(chuàng)立以來，紅雨滴團(tuán)隊(duì)已發(fā)現(xiàn)多個(gè)在中國境內(nèi)活動(dòng)的ATP團(tuán)伙，并發(fā)布國內(nèi)首個(gè)團(tuán)伙層面的APT事件揭露報(bào)告，開創(chuàng)了國內(nèi)APT攻擊類高級(jí)威脅體系化揭露的先河，目前已經(jīng)成為國家級(jí)網(wǎng)絡(luò)攻防的焦點(diǎn)。

隨著互聯(lián)網(wǎng)在國民經(jīng)濟(jì)建設(shè)中的重要性進(jìn)一步凸顯，網(wǎng)絡(luò)安全建設(shè)的權(quán)重也將隨之提升。作為中國企業(yè)級(jí)網(wǎng)絡(luò)安全市場的領(lǐng)軍者，未來奇安信將秉持“數(shù)據(jù)驅(qū)動(dòng)安全”的技術(shù)思想，基于內(nèi)生安全框架，迭代式推出新的產(chǎn)品和服務(wù)，挖深筑牢網(wǎng)絡(luò)安全的護(hù)城河。

查看報(bào)告全文可訪問：

https://mp.weixin.qq.com/s/bJ1-aI3WWQQvleEaRhAlag