360威脅情報中心發(fā)布《2017中國高級持續(xù)性威脅(APT)研究報告》稱，2017年的APT攻擊呈現五大趨勢，包括Office 0day漏洞成焦點、惡意代碼復雜性的顯著增強、移動端的安全問題日益凸顯、針對金融行業(yè)的攻擊手段多樣化，以及APT已經影響到每一個人的生活。

360威脅情報中心每年均發(fā)布《中國高級持續(xù)性威脅(APT)研究報告》，對中國和全球的APT攻擊進行了深入的研究，目前已連續(xù)發(fā)布3年，成為國內最有影響力的APT年度報告。

一、OFFICE 0day漏洞成焦點

Office漏洞的利用，一直APT組織攻擊的重要手段。2017年中，先后又有多個高危的Office漏洞被曝出，其中很大一部分已經被APT組織所使用。Office 0day漏洞已經成為APT組織關注的焦點。

下表給出了2017年新披露的部分Office漏洞及其被APT組織利用的情況。：

 

表5 Office 0day漏洞

我們還注意到APT28、APT34、摩訶草等組織利用了多個Nday。所以，及時更新補丁還是非常重要的。未來除了新的0day之外，像CVE-2017-11882，CVE-2017-0199，CVE-2017-8759等原理簡單，易于構造，觸發(fā)穩(wěn)定的漏洞將會成為APT組織的首選。

二、惡意代碼復雜性的顯著增強

2017年，在高級攻擊領域，聽到最多的一個病毒不是WannaCry，而是FinSpy(又名FinFisher或WingBird)。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多個漏洞都被用來投遞FinSpy。FinSpy的代碼經過了多層虛擬機保護，并且還有反調試和反虛擬機等功能，復雜程度可見一斑。此外，在2017年，海蓮花專用木馬的復雜性和對抗性也都明顯增強。

此外，海蓮花、APT34等組織都采用了DGA算法來逃避檢測。目前來看，使用機器學習的方法對其進行檢測還是一個不錯的方法。

三、移動端的安全問題日益凸顯

傳統(tǒng)的APT行動主要是針對Windows系統(tǒng)進行攻擊，而現今由于Android和iOS的發(fā)展帶動了智能終端用戶量的上升，從而導致黑客組織的攻擊目標也逐漸轉向移動端。對于移動平臺來說，持久化和隱藏的間諜軟件是一個被低估的問題。盡管移動設備上的網絡間諜活動與臺式機或個人電腦中的網絡間諜活動相比可能少得多，攻擊方式也不太一樣，但它們確實發(fā)生了，而且可能比我們認為的更活躍。

2017年，iOS9.3.5更新修補了三個安全漏洞，即三叉戟漏洞，隨后Citizen Lab發(fā)布文章指出這三個0day被用于針對特殊目標遠程植入后門。

360威脅情報中心在2017年至2018年初先后披露的雙尾蝎組織(APT-C-23)和黃金鼠組織(APT-C-27)，也都把移動端作為了重要攻擊目標。Trend Micro隨后發(fā)布的博客還進一步披露了雙尾蝎(APT-C-23)使用的移動惡意軟件VAMP的一個新變種。

四、針對金融行業(yè)的攻擊手段多樣化

針對金融行業(yè)的攻擊一直是APT的重點目標。比如FIN7就是一個典型的經常攻擊金融行業(yè)的APT組織。除了傳統(tǒng)魚叉郵件等攻擊手段外，還會有APT組織攻擊ATM取款機，讓其定時吐錢。2017年卡巴斯基的報告指出，針對ATM的惡意軟件正在黑市上售賣。

2017年，加密貨幣熱度的持續(xù)攀升不僅僅使得勒索軟件和挖礦木馬蠢蠢欲動，APT組織也盯上了這塊蛋糕。

五、APT已經影響到每一個人的生活

APT攻擊和APT組織已經開始影響到我們每一個人的生活。APT攻擊一般是針對重要的組織或個人，然而2017年APT28就針對酒店行業(yè)這種傳統(tǒng)行業(yè)進行了攻擊。

席卷全球的WannaCry和類Petya背后似乎也隱隱約約有APT的影子。Google的研究員發(fā)現，2017年2月的一個疑似WannaCry的早期版本和Lazarus的樣本之間具有一定的相似性。

ESET和卡巴斯基也懷疑類Petya的幕后黑手可能是BlackEnergy，類Petya加密的文件擴展名的列表與2015年BlackEnergy的KillDisk勒索軟件非常相似。