2018年度全球APT报告显示：79个国家和地区受影响

360多个安全团队在下半年再一次发现Flash 0day漏洞的在野攻击样本并获得Adobe致谢，这是360今年第二次首先捕获到Flash 0day漏洞的在野样本并获得致谢。

三、 APT 威胁活动归属面临的挑战

APT威胁活动的归属分析一直是APT威胁分析中最为重要的一个环节，目前APT活动的归属分析，主要的判断依据包括以下几点：

1) APT组织使用的恶意代码特征的相似度，如包含特有的元数据，互斥量，加密算法，签名等等。

2) APT组织历史使用控制基础设施的重叠，本质即pDNS和whois数据的重叠。

3) APT组织使用的攻击TTP。

4) 结合攻击留下的线索中的地域和语言特征，或攻击针对的目标和意图，推测其攻击归属的APT组织。

5) 公开情报中涉及的归属判断依据。

但APT攻击者会尝试规避和隐藏攻击活动中留下的与其角色相关的线索，或者通过false flag和模仿其他组织的特征来迷惑分析人员。针对韩国平昌奥运会的攻击组织Hades就是一个最好的说明。

360威胁情报中心在下半年的两篇分析报告中，就对活跃在南亚地区的多个APT组织间使用的TTP存在重叠。

表 11 APT组织TTP对比

四、 APT检测及防御

随着APT攻击的日益猖獗，现有的APT防御技术也面临着非常大的挑战。传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关APT学习经验，而且攻击者的逃逸水平也在不断的进步发展，本地设备会经常性的出现误报和漏报现象，经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性，仅依赖于单一企业的数据经常无法有效的发现APT攻击背景，难以做到真正的追踪溯源。360天眼则创新性的从互联网数据进行发掘和分析，由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到，所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率，而且由于数据的覆盖面更大，可以做到攻击的更精准溯源。

360天眼系统帮助客户发现和处置超过百余起APT攻击事件，包括海莲花事件、摩诃草事件、蔓灵花事件、黄金鼠等APT安全事件，天眼系统服务的客户超过300家，遍及20多个省份和直辖市，在公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等行业都具有成功案例。

五、 APT 威胁的演变趋势

从2018年的APT威胁态势来看，我们推测APT威胁活动的演变趋势可能包括如下：

1) APT组织可能发展成更加明确的组织化特点，例如小组化，各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的，但其整体可能共享部分攻击代码或资源。

2) APT组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具，对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

3) APT组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构，随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点，以及其可能面临的供应链攻击。

4) APT组织进一步加强0day漏洞能力的储备，并且可能覆盖多个平台，包括PC，服务器，移动终端，路由器，甚至工控设备等。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!