2015中國APT研究報告:中國是APT攻擊的主要受害國

責任編輯:editor007

2016-01-22 20:44:13

摘自:FreeBuf

《2015年中國高級持續(xù)性威脅(APT)研究報告》揭示了針對我國的APT攻擊技術演變趨勢。以下是360威脅情報中心監(jiān)控到的針對中國攻擊的部分APT組織列表

《2015年中國高級持續(xù)性威脅(APT)研究報告》揭示了針對我國的APT攻擊技術演變趨勢。報告顯示,中國是APT攻擊的主要受害國,國內多個省、市受到不同程度的影響,其中北京、廣東是重災區(qū),行業(yè)上教育科研、政府機構是APT攻擊的重點關注領域。

一、針對中國發(fā)動攻擊的APT組織

360天眼實驗室于近期發(fā)布了《2015年中國高級持續(xù)性威脅(APT)研究報告》,揭示了針對我國的APT攻擊技術演變趨勢。根據報告顯示,中國是APT(Advanced Persistent Threats,高級持續(xù)性威脅)攻擊的主要受害國,國內多個省、市受到不同程度的影響,其中北京、廣東是重災區(qū),行業(yè)上教育科研、政府機構是APT攻擊的重點關注領域。

2015中國APT研究報告:中國是APT攻擊的主要受害國

截至2015年11月底,360威脅情報中心監(jiān)測到的針對中國境內科研教育、政府機構等組織單位發(fā)動APT攻擊的境內外黑客組織累計29個,其中15個APT組織曾經被國外安全廠商披露過,另外14個為360威脅情報中心首先發(fā)現并監(jiān)測到的APT組織,其中包括我們在2015年5月末發(fā)布的海蓮花(OceanLotus)APT組織[1]。

監(jiān)測結果顯示,在這29個APT組織中,針對中國境內目標的攻擊最早可以追溯到2007年,而最近三個月(2015年9月以后)內仍然處于活躍狀態(tài)的APT組織至少有9個。統(tǒng)計顯示,僅僅在過去的12個月中,這些APT組織發(fā)動的攻擊行動,至少影響了中國境內超過萬臺電腦,攻擊范圍遍布國內31個省級行政區(qū)。

另外2013年曝光的斯諾登事件,同年Norman公布的HangOver組織,卡巴斯基在2014年揭露的Darkhotel組織和2015曝光的方程式組織(Equation Group)等,這些國外安全廠商和機構發(fā)現的APT組織,都直接證明了中國是APT攻擊中的主要受害國。

本報告中主要就360威脅情報中心首先發(fā)現并監(jiān)測到的APT組織展開介紹,進一步相關數據統(tǒng)計和相關攻擊手法,主要就相關APT組織在2015年活躍情況進行分析。

以下是360威脅情報中心監(jiān)控到的針對中國攻擊的部分APT組織列表,其中OceanLotus(APT-C-00)、APT-C-05、APT-C-06、APT-C-12是360截獲的APT組織及行動。

 針對中國攻擊的部分APT組織列表

  表1 針對中國攻擊的部分APT組織列表

二、地域分布:北京、廣東是重災區(qū)

國內用戶受影響情況

  圖2 國內用戶受影響情況(2014年12月-2015年11月)

國內受影響量排名前五的省市是:北京、廣東、浙江、江蘇、福建。除北京以外,受影響用戶主要分布在沿海相關省市。受影響量排名最后的五個省市是:西藏、青海、寧夏、新疆、貴州。(注:本報告中用戶數量主要指我們監(jiān)控到的計算機終端的數量。)

2015中國APT研究報告:中國是APT攻擊的主要受害國

  圖3 近一年國內每月遭APT攻擊用戶數量分布

從上圖可見,近一年這些我們已知的APT組織就攻擊了中國境內上萬臺電腦,平均每月超過千臺電腦受影響。但隨著國外安全廠商的曝光,360監(jiān)測到的整體感染量呈現下降趨勢,原因可能是部分APT組織攻擊行動暫停、延遲或終止,也可能因為手段更加隱秘躲過了360的監(jiān)測。但其他未曝光組織的攻擊勢態(tài)并未收斂,且在最近三個月(2015年9月以后)有小幅上升趨勢。

三、行業(yè)分布:主要針對科研教育、政府機構領域

2015中國APT研究報告:中國是APT攻擊的主要受害國

  圖4 APT組織主要攻擊行業(yè)分布

從近一年的統(tǒng)計來看,針對科研教育機構發(fā)起的攻擊次數最多,占到了所有APT攻擊總量的37.4%;其次是政府機構,占27.8%;能源企業(yè)排第三,占9.1%。其他被攻擊的重要領域還包括軍事系統(tǒng)、工業(yè)系統(tǒng)、商業(yè)系統(tǒng)、航天系統(tǒng)和交通系統(tǒng)等。

疑似瞄準安全行業(yè)

APT-C-00組織將木馬構造偽裝為Acunetix Web Vulnerability Scanner(WVS)7的破解版。WVS是一款主流的WEB漏洞掃描軟件,相關使用人群主要為網絡安全從業(yè)人員或相關研究人員。攻擊組織在選擇偽裝正常程序的時候選擇了WVS這款安全軟件,也能反映出該組織針對的目標對該軟件熟悉或感興趣,進一步我們推測針對的目標很有可能是網絡安全從業(yè)人員、研究人員或者其他黑客組織。

從針對卡巴基斯的duqu2.0[2],可以看出針對安全廠商APT組織可能會從被動隱匿逐步過渡到主動出擊。

四、造成的危害:長期竊取敏感數據

APT組織主要目的是竊取目標機器內的情報數據,一旦攻擊獲得成功,首先會收集目標機器相關基本信息,進一步會大量竊取目標機器上的敏感數據,如果橫向移動達到效果,則是竊取目標網絡其他機器的敏感數據。本節(jié)首先介紹基本信息的收集,之后主要就APT組織長期竊取敏感數據展開介紹。

(一)收集基本信息

這里主要是指目標機器一旦被成功植入了相應惡意代碼,一般惡意代碼會自動或者等待C&C指令,將被感染機器的相關基本信息回傳,相關信息主要包括以下信息:

1)主機信息:主要包括操作系統(tǒng)信息、主機名稱、本地用戶名等;

2)網絡信息:主要包括IP地址、網關信息等;

3)應用程序信息:相關版本信息,主要包括MicrosoftOffice和MicrosoftInternetExplorer版本信息;

4)另外還包括磁盤信息、當前進程信息等。

2015中國APT研究報告:中國是APT攻擊的主要受害國

  圖5 竊取的主機基本信息示例(APT-C-05組織)

攻擊者主要依靠相關基本信息來進行初步篩選,包括識別目標機器的真?zhèn)?即是否為虛擬機或蜜罐),進一步可以判斷目標的重要程度。

另外這里的初步探測并收集目標的基本信息,主要在相應機器被首次攻陷后,而不取決于具體攻擊環(huán)節(jié),比如在初始攻擊和進一步橫向移動都會存在相關探測行為。

(二)竊取敏感數據

APT組織從中國科研、政府機構等領域竊取了大量敏感數據,對國家安全已造成嚴重的危害。其中APT-C-05組織是一個針對中國攻擊的境外APT組織,也是我們至今捕獲到針對中國攻擊持續(xù)時間最長的一個組織,該組織主要針對中國政府、軍事、科技和教育等重點單位和部門,相關攻擊行動最早可以追溯到2007,至今還非常活躍。也就是從2007年開始APT-C-05組織進行了持續(xù)8年的網絡間諜活動。

相關APT組織竊取的具體數據內容有很大差異,但均涉及中國科研、政府等領域的敏感數據,其中竊取的敏感數據中以具備文件實體形態(tài)的文檔數據為主,進一步會包括帳號密碼、截圖等,另外針對移動設備的情況在下面會具體介紹。

2015中國APT研究報告:中國是APT攻擊的主要受害國

  表2 主要竊取的文件擴展名

上表是竊取的文件類型和具體針對的文件擴展名,不同組織探測竊取的方式不同,如APT-C-05組織只關注移動存儲設備某一個時間段內的文檔文件,且相關文件名必須包含指定的關鍵字。而APT-C-12組織,則沒有太多限制條件,在指定盤符下的所有文檔文件都會關注,回傳之后再進一步甄別。

APT組織關注的敏感文檔,除了主流的微軟Office文檔,更關注中國本土的WPS Office相關文檔,其中APT-C-05和APT-C-12組織都會關注以“.wps”擴展名的文檔,這也是由于WPS Office辦公軟件的用戶一般分布在國內政府機構或事業(yè)單位。

APT組織長時間潛伏竊取了大量敏感數據是我們可以看到的危害,另外從APT組織對目標所屬行業(yè)領域的熟悉、對目標作業(yè)環(huán)境的掌握,以及符合目標習慣偏好,這些適應中國本土化“量身定制”的攻擊行動完全做到有的放矢,則讓我們更是不寒而栗。相關內容我們在“第六章 APT攻擊為中國本土‘量身定制’”章節(jié)會進一步詳細介紹。

(三)針對移動通信設備

在APT攻擊中,除了針對傳統(tǒng)PC平臺,針對移動平臺的攻擊也越來越多。如智能手機等移動通信設備,天生有傳統(tǒng)PC不具備的資源,如通話記錄、短信信息、地理位置信息等。

2015中國APT研究報告:中國是APT攻擊的主要受害國

  表3 Android RAT竊取相關信息列表(APT-C-01行動)

上表內手機基本信息進一步包括:如imsi、imei、電話號碼、可用內存、屏幕長寬、網卡mac地址、SD卡容量等信息。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號