重要 APT攻击事件的特征枚举

新型攻击方法分析

鉴于 APT 攻击的对象和目的可能存在差异，不同的 APT 攻击所采用的技术和方法也存 在较大的不同；而且随着 APT 攻防的升级，新的攻击技术和方法也会不断涌现。根据对大量 APT 攻击事件的跟踪和分析，我们发现：虽然 APT 攻击具有明显的定制化特征，但是一般来 说，所使用技术和方法的差异主要出现在“突破防线”和“完成任务”两个阶段。本节首先 枚举影响较大或者具有显著特征的 APT 事件，然后归纳出若干我们认为应该引起业界重点关 注的新攻击技术和方法。
3.2.2.1 APT 攻击事件**
自 2010 年 APT 出现在公众视野之后，安全业界已经陆续报道了数十起 APT 攻击事件， 图 3.3 中部分枚举了其中影响较大或具有较明显新型攻击方法和特征的事件，这些事件的详情 参见表 3-2。
图 3.3 2010 年以来重要 APT 事件
表 3-2 重要 APT攻击事件的特征枚举
|时间 |名称 |目标 |重要影响或者显著特征|
|2010-1 |Aurora |Google 等 20 多 家 IT 公司 |

1、水坑攻击，利用 IE 漏洞 MS010-002 得到执行 2、利用 SSL 加密隧道传输数据

3、窃取 GMAIL 邮件账户和内容

|
| 2010-6 |Stuxnet |中东能源行业|

1、使用可移动存储实现摆渡攻击

2、用 5 个微软漏洞（包括 4 个零日）：MS10-046， MS10-061，两个未公开的提权，MS08-067

3、使用 Realte
k、JMicron 公司的数字签名

4、攻击物理设备

|| 2011-2 |Night Dragon |全球石油 天然气
和石化公司|1、利用 SQL 注入突破防线 2、利用鱼叉式钓鱼邮件进行隐秘横向渗透 3、禁用受害主机的 IE 代理，建立直连通道|| 2011-3 |RSA SecurID |RSA 公司 |

1、使用 Adobe Flash 的零日漏洞（CVE-2011-0609） 2、主动撤离并清除痕迹

3、窃取 SecurID 技术及客户资料

|
| 2011-9 |Duqu |

中东和欧洲能源

行业

|1、大量重用 Stuxnet 的代码 2、利用微软零日漏洞：MS11-087 3、使用 C-Media 公司的 数字签名
|| 2011-10 |Nitro |全球化工行业|1、加密窃取的数据|
| 2012-4 |Wiper |中东能源行业|1、彻底自我销毁，目前未发现有效样本|
| 2012-5 |Flame |中东能源行业|

1、创建屏幕快照

2、使用麦克风收集声音信息

3、通过 SSH 和 HTTPS 建立安全连接

4、加密压缩窃取的数据，使用 5 种加密算法（不包括变 种），3 种数据压缩技术

|
| 2012-6 |Gauss |

黎巴嫩、以色列、

巴勒斯坦

|

1、Flame 变种 2、银行、社交网络、

email、以及即时通信账号和密码

|
| 2012-8 |Shamoon |中东能源行业|1、擦写硬盘数据和主引导记录|
| 2012-9 |Elderwood |国防相关的供应 链制造商、IT 服 务提供商、非政府 组织 |

1、专业提供 APT 攻击服务的组织操作 2、使用大量零日漏洞：CVE-2012-0779， CVE-2012-1875，CVE-2012-1889，CVE-2012-1535， CVE-2011-0609，CVE-2011-0611，CVE-2011-2110， CVE-2010-0249

3、供应链攻击

4、单漏洞多水坑

|
| 2012-10 |Red October |

东欧、前苏联、西

欧、北非

|

1、能够从智能手机窃取数据

2、篡改网络设备（Cisco）配置

3、窃取可移动存储设备数据（甚至包括数据恢复算法窃 取已经删除的数据）

4、使用大量已公开文件解析漏洞

5、窃取大量 email 内容

|
| 2013-2 |Bit9 |Bit9 |1、专业提供 APT 攻击服务的组织操作 2、利用 SQL 注入突破 Bit9 防线 3、窃取 Bit9 数字证书 |
| 2013-2 |VOHO |Bit9 客户 |

1、专业提供 APT 攻击服务的组织操作

2、最大规模水坑，10 多个合法网站被挂马，利用 IE 零 日漏洞 MS12-043，JAVA 零日漏洞 CVE-2012-1723 3、供应链攻击（安全服务供应商 Bit9）

|
| 2013-2 |SCADEF |

美国军方的供应

链厂商

|1、专业提供 APT 攻击服务的组织操作 2、固件后门 3、供应链攻击（零部件供应商）|
| 2013-4 |Francophoned |法国 |1、鱼叉式钓鱼邮件后，紧接着使用电话社工|
| 2013-9 |Icefog |日本、韩国|

1、使用地域性文档格式作为载体 2、使用直接受攻击者控制的交互式工具，而不是完全自 动化的工具

3、使用匿名网络

4、针对 Windows 和 Mac OS X

|
注 1：由于 APT 攻击持续的时间一般较长，其开始时间往往是不可考证的，本文使用的时间统一按照 事件被报道的时间。
注 2：Bit9 提供基于信任的安全平台，融合基于云的信誉服务和策略驱动的应用控制及白名单机制，故 对于恶意第三方来说，成功安装不可信应用极其困难。攻击者针对 Bit9客户的攻击被 Bit9的安全模型阻断后， 转而攻击 Bit9，并窃取大量数字签名，然后继续对 Bit9 客户进行攻击。

1. 突破防线**
   一般来说，攻击者突破防线的常用技术包括：水坑+网站挂马，鱼叉式钓鱼邮件+客户端 漏洞利用、网站挂马+URL 社工、服务端漏洞利用等。
   （1） 水坑**+网站挂马 攻击者收集潜在受害者经常访问的网站（水坑），并寻找这些
   网站中存在漏洞（攻击者自己发现漏洞或通过黑市购买漏洞）；通过存储型 XSS 漏洞在这些网站上植入恶意代码；等待潜在受害者使用包含漏洞的 Web 客户端 （例如 IE 浏览器）访问植入了恶意代码的网页。
   （2） 鱼叉式钓鱼邮件+客户端漏洞利用 根据潜在受害者的行业和爱好，攻击者直接向
   受害者发送其可能感兴趣的电子邮件（电子邮件社工），这些电子邮件会包含植 入了恶意代码的附件；一旦潜在受害者使用关联的客户端工具（包含漏洞）打开 了恶意附件，则攻击者就可以利用客户端漏洞轻易突破防线。
   （3） 网站挂马+URL** 社工 攻击者首先在包含存储型 XSS 漏洞的某些知名网站上植
   入恶意代码；然后将包含恶意代码的 URL 通过即时通讯/电子邮件等方式发送给 潜在受害者（URL 社工）；一旦潜在受害者使用包含漏洞的 Web 客户端（例如
   IE 浏览器）打开包含恶意代码的 URL，则攻击者就可以利用客户端漏洞轻易突破 防线。
   （4） 服务端漏洞利用 攻击者利用目标网络所提供的服务中存在的 SQL 注入、远程 溢出等漏洞，直接进入目标网络。鉴于目前网络上已经或正在部署大量的安全防 护设备，服务端漏洞利用的难度越来越大，因此这种直接的方式会逐渐减少。 从近几年的 APT 攻击事件上来看，上述技术仍能很好地工作，因此攻击者并不急于采用
   大量更新奇的攻击技术，而更多的是在这些技术的使用策略和方法上下功夫。目前，能够看 到的新攻击策略和方法主要有以下几个方面：
   （1） 单漏洞多水坑 攻击者使用一个漏洞攻占一个网站后，并不急于立即使用该网
   站发起攻击，而是在攻占多个网站后，集中地发起对多个目标的攻击。攻击者采 用这种策略可能有两方面原因：一是攻击者为了提高漏洞的利用效率，减少开销； 另一个可能是不同的攻击者之间交换漏洞信息，增加可用漏洞储备。更多细节， 参考 VOHO[HL]和 Elderwood[EW]。
   （2） 更激进的鱼叉式钓鱼 攻击者不仅发送鱼叉式钓鱼邮件，而且紧接着会使用电
   话等途径对潜在的受害者实施进一步的社工。更多细节，参考 Francophoned[FP]。 （3） 供应链攻击 生产力的发展促进社会分工的细化，当前极少有一个组织或者行业
   能做到完全不依赖于外部环境。虽然最终目标的防护可能非常坚固，但是却不能
   保证其供应链上的每一个合作伙伴都能达到同样的标准。
   更多细节，参考 Elderwood[EW]、VOHO[HL]和 SCADEF[HL]。
2. 完成任务**
   根据任务的性质不同，完成任务所使用的技术之间必定存在较大的差异。一般来说，信 息窃取任务中使用的主要技术可能包括：网络窃听（通过网络嗅探截获网络上传输的账户登 录信息）、击键记录（通过文件过滤驱动窃取用户输入的账户登录信息）、信息过滤（扫描 受害主机磁盘，寻找具有特定扩展名或者内容的文件）等；而破坏性任务中使用的主要技术 表现为对 PLC 设备的物理攻击。
   目前，虽然信息窃取任务占据绝对的主流，但是绝不能排除破坏性任务增多的可能性。 相反，作为信息窃取的一个合乎逻辑的扩展，修改或破坏数据，甚至造成物理基础设施或设 备损坏的攻击在未来几年可能会急剧增多。
   从最近几年被公开报道的 APT 攻击事件上来看，攻击者在完成其 APT 攻击任务中已经 采用的新技术主要有以下几个方面：
   （1） 屏幕记录** 某些特定的敏感信息可能不方便使用简单的文档方式记录，例
   如发现受害主机中特定进程或者窗口激活情况的信息（这些信息能够为特定资产识 别和进一步攻击提供帮助），可以通过创建一系列用户屏幕快照实现收集。更多细 节，参考 Flame[FL]。
   （2） 交互式操作 攻击者更多地使用交互式工具，而不是完全自动化的工具，来
   实施信息过滤，确保更隐蔽同时更精确的外科手术式信息窃取。更多细节，参考 Icefog[IF]。
   （3） 加密通信 通过加密网络协议建立与 C&C 服务器之间的加密连接，躲避
   常规的基于特征签名的安全机制。更多细节，参考 Flame[FL]等。
   （4） 匿名网络 通过 Tor 等匿名网络（该网络使用一种称为洋葱路由的技术实
   现匿名机制），隐藏 C&C 服务器的位置，增加追查的难度。更多细节，参考 Icefog[IF] 等。
   （5） 声波通信** 使用受害主机上附带的麦克风设备记录周围环境中的声波（除
   了 Stuxnet 中使用可移动存储实现摆渡攻击外，通过声卡或其它计算机自带物理设 备实现摆渡攻击很可能也已经出现了）。更多细节，参考 Flame[FL]。

（6） 清除痕迹** 某些特定的 APT 攻击会使用附加的模块执行精心设计的清除
痕迹子任务，例如彻底擦除（基本上无法恢复）攻击存在的蛛丝马迹（包括彻底清 除擦写模块自身存在的证据），或者大规模恶意擦写受害主机上的文件。更多细节， 参考 Wiper[WP]、Shamoon[SM]和 RSA SecurID。

参考资料

绿盟 2014工控系统的安全研究与实践报告

友情链接

GB-T 20979-2019 信息安全技术 虹膜识别系统技术要求