二、0day 漏洞和在野利用攻擊

0day漏洞一直是作為APT組織實施攻擊所依賴的技術(shù)制高點，在這里我們回顧下2018年下半年主要的0day漏洞和相關(guān)APT組織使用0day漏洞實施的在野利用攻擊活動。

所謂0day漏洞的在野利用，一般是攻擊活動被捕獲時，發(fā)現(xiàn)其利用了某些0day漏洞（攻擊活動與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一）。而在有能力挖掘和利用0day漏洞的組織中，APT組織首當其沖。

在2018年全球各安全機構(gòu)發(fā)布的APT研究報告中，0day漏洞的在野利用成為安全圈最為關(guān)注的焦點之一。其中，僅2018年下半年，被安全機構(gòu)披露的，被APT組織利用的0day漏洞就不少于8個。而在2018全年，360的各個安全團隊也先后通過在野利用研究，向微軟、Adobe等公司報告了5個 0day漏洞。

360多個安全團隊在下半年再一次發(fā)現(xiàn)Flash 0day漏洞的在野攻擊樣本并獲得Adobe致謝，這是360今年第二次首先捕獲到Flash 0day漏洞的在野樣本并獲得致謝。

三、APT 威脅活動歸屬面臨的挑戰(zhàn)

APT威脅活動的歸屬分析一直是APT威脅分析中最為重要的一個環(huán)節(jié)，目前APT活動的歸屬分析，主要的判斷依據(jù)包括以下幾點：

1）APT組織使用的惡意代碼特征的相似度，如包含特有的元數(shù)據(jù)，互斥量，加密算法，簽名等等。

2）APT組織歷史使用控制基礎設施的重疊，本質(zhì)即pDNS和whois數(shù)據(jù)的重疊。

3）APT組織使用的攻擊TTP。

4）結(jié)合攻擊留下的線索中的地域和語言特征，或攻擊針對的目標和意圖，推測其攻擊歸屬的APT組織。

5）公開情報中涉及的歸屬判斷依據(jù)。

但APT攻擊者會嘗試規(guī)避和隱藏攻擊活動中留下的與其角色相關(guān)的線索，或者通過false flag和模仿其他組織的特征來迷惑分析人員。針對韓國平昌奧運會的攻擊組織Hades就是一個最好的說明。

360威脅情報中心在下半年的兩篇分析報告中，就對活躍在南亞地區(qū)的多個APT組織間使用的TTP存在重疊。

四、APT檢測及防御

隨著APT攻擊的日益猖獗，現(xiàn)有的APT防御技術(shù)也面臨著非常大的挑戰(zhàn)。傳統(tǒng)的APT防護技術(shù)專注于從企業(yè)客戶自身流量和數(shù)據(jù)中通過沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。而由于企業(yè)網(wǎng)絡防護系統(tǒng)缺少相關(guān)APT學習經(jīng)驗，而且攻擊者的逃逸水平也在不斷的進步發(fā)展，本地設備會經(jīng)常性的出現(xiàn)誤報和漏報現(xiàn)象，經(jīng)常需要人工的二次分析進行篩選。而且由于APT攻擊的復雜性和背景的特殊性，僅依賴于單一企業(yè)的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。360天眼則創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進行發(fā)掘和分析，由于任何攻擊線索都會有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準溯源。

360天眼系統(tǒng)幫助客戶發(fā)現(xiàn)和處置超過百余起APT攻擊事件，包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠等APT安全事件，天眼系統(tǒng)服務的客戶超過300家，遍及20多個省份和直轄市，在公檢法、金融、政府部委、運營商、石油石化、電力、教育、醫(yī)療等行業(yè)都具有成功案例。

五、APT 威脅的演變趨勢

從2018年的APT威脅態(tài)勢來看，我們推測APT威脅活動的演變趨勢可能包括如下：

1）APT組織可能發(fā)展成更加明確的組織化特點，例如小組化，各個攻擊小組可能針對特定行業(yè)實施攻擊并達到特定的攻擊目的，但其整體可能共享部分攻擊代碼或資源。

2）APT組織在初期的攻擊嘗試和獲得初步控制權(quán)階段可能更傾向于使用開源或公開的攻擊工具或系統(tǒng)工具，對于高價值目標或維持長久性的控制才使用其自身特有的成熟的攻擊代碼。

3）APT組織針對的目標行業(yè)可能進一步延伸到一些傳統(tǒng)行業(yè)或者和國家基礎建設相關(guān)的行業(yè)和機構(gòu)，隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來的安全防御上的弱點，以及其可能面臨的供應鏈攻擊。

4）APT組織進一步加強0day漏洞能力的儲備，并且可能覆蓋多個平臺，包括PC，服務器，移動終端，路由器，甚至工控設備等。