二、0day 漏洞和在野利用攻擊

0day漏洞一直是作為APT組織實施攻擊所依賴的技術(shù)制高點，在這里我們回顧下2018年下半年主要的0day漏洞和相關(guān)APT組織使用0day漏洞實施的在野利用攻擊活動。

所謂0day漏洞的在野利用，一般是攻擊活動被捕獲時，發(fā)現(xiàn)其利用了某些0day漏洞（攻擊活動與攻擊樣本分析本身也是0day漏洞發(fā)現(xiàn)的重要方法之一）。而在有能力挖掘和利用0day漏洞的組織中，APT組織首當(dāng)其沖。

在2018年全球各安全機構(gòu)發(fā)布的APT研究報告中，0day漏洞的在野利用成為安全圈最為關(guān)注的焦點之一。其中，僅2018年下半年，被安全機構(gòu)披露的，被APT組織利用的0day漏洞就不少于8個。而在2018全年，360的各個安全團隊也先后通過在野利用研究，向微軟、Adobe等公司報告了5個 0day漏洞。

360多個安全團隊在下半年再一次發(fā)現(xiàn)Flash 0day漏洞的在野攻擊樣本并獲得Adobe致謝，這是360今年第二次首先捕獲到Flash 0day漏洞的在野樣本并獲得致謝。

三、APT 威脅活動歸屬面臨的挑戰(zhàn)

APT威脅活動的歸屬分析一直是APT威脅分析中最為重要的一個環(huán)節(jié)，目前APT活動的歸屬分析，主要的判斷依據(jù)包括以下幾點：

1）APT組織使用的惡意代碼特征的相似度，如包含特有的元數(shù)據(jù)，互斥量，加密算法，簽名等等。

2）APT組織歷史使用控制基礎(chǔ)設(shè)施的重疊，本質(zhì)即pDNS和whois數(shù)據(jù)的重疊。

3）APT組織使用的攻擊TTP。

4）結(jié)合攻擊留下的線索中的地域和語言特征，或攻擊針對的目標(biāo)和意圖，推測其攻擊歸屬的APT組織。

5）公開情報中涉及的歸屬判斷依據(jù)。

但APT攻擊者會嘗試規(guī)避和隱藏攻擊活動中留下的與其角色相關(guān)的線索，或者通過false flag和模仿其他組織的特征來迷惑分析人員。針對韓國平昌奧運會的攻擊組織Hades就是一個最好的說明。

360威脅情報中心在下半年的兩篇分析報告中，就對活躍在南亞地區(qū)的多個APT組織間使用的TTP存在重疊。

四、APT檢測及防御

隨著APT攻擊的日益猖獗，現(xiàn)有的APT防御技術(shù)也面臨著非常大的挑戰(zhàn)。傳統(tǒng)的APT防護技術(shù)專注于從企業(yè)客戶自身流量和數(shù)據(jù)中通過沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。而由于企業(yè)網(wǎng)絡(luò)防護系統(tǒng)缺少相關(guān)APT學(xué)習(xí)經(jīng)驗，而且攻擊者的逃逸水平也在不斷的進步發(fā)展，本地設(shè)備會經(jīng)常性的出現(xiàn)誤報和漏報現(xiàn)象，經(jīng)常需要人工的二次分析進行篩選。而且由于APT攻擊的復(fù)雜性和背景的特殊性，僅依賴于單一企業(yè)的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。360天眼則創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進行發(fā)掘和分析，由于任何攻擊線索都會有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準(zhǔn)溯源。

360天眼系統(tǒng)幫助客戶發(fā)現(xiàn)和處置超過百余起APT攻擊事件，包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠等APT安全事件，天眼系統(tǒng)服務(wù)的客戶超過300家，遍及20多個省份和直轄市，在公檢法、金融、政府部委、運營商、石油石化、電力、教育、醫(yī)療等行業(yè)都具有成功案例。

五、APT 威脅的演變趨勢

從2018年的APT威脅態(tài)勢來看，我們推測APT威脅活動的演變趨勢可能包括如下：

1）APT組織可能發(fā)展成更加明確的組織化特點，例如小組化，各個攻擊小組可能針對特定行業(yè)實施攻擊并達到特定的攻擊目的，但其整體可能共享部分攻擊代碼或資源。

2）APT組織在初期的攻擊嘗試和獲得初步控制權(quán)階段可能更傾向于使用開源或公開的攻擊工具或系統(tǒng)工具，對于高價值目標(biāo)或維持長久性的控制才使用其自身特有的成熟的攻擊代碼。

3）APT組織針對的目標(biāo)行業(yè)可能進一步延伸到一些傳統(tǒng)行業(yè)或者和國家基礎(chǔ)建設(shè)相關(guān)的行業(yè)和機構(gòu)，隨著這些行業(yè)逐漸的互聯(lián)化和智能化可能帶來的安全防御上的弱點，以及其可能面臨的供應(yīng)鏈攻擊。

4）APT組織進一步加強0day漏洞能力的儲備，并且可能覆蓋多個平臺，包括PC，服務(wù)器，移動終端，路由器，甚至工控設(shè)備等。