腾讯安全发布年度APT报告：全球APT攻击呈高发态势

本篇文章2227字，读完约6分钟

网络安全界有一句话，世界上只有两种大企业，一种是知道自己被黑客攻击的企业，另一种是被黑客攻击却一无所知的企业。虽然很多人认为这种说法有些言过其实，但不可否认的是，以高级可持续攻击(以下简称“apt攻击”)为代表的高级新攻击正在冲击企业安全防线，而邪恶的团伙正秘密潜伏，伺机发动攻击，窃取机密数据，破坏生产系统。在整个2018年，全球范围的apt攻击逐渐显示出高发生率。

在此背景下，腾讯安全最近正式发布了《2018年高级持续威胁研究报告》(以下简称《报告》)，研究了全球主要安全团队的安全研究报告，提取相关指标进行持续分析和跟踪，全面分析了apt在全球的组织分布和攻击技术，预测了四大攻击技术趋势，对网络信息安全行业的发展具有借鉴意义。

Apt全球攻击频繁发生，中国已成为跨国apt组织的主要目标

apt攻击的本质是有针对性的攻击，通常用于国与国之间的网络攻击。它主要窃取国家机密信息和重要企业的核心业务信息，破坏网络基础设施等。通过在目标计算机上投放特殊特洛伊木马(通常称为“特殊木马”)，这具有很强的政治和经济目的。Apt的攻击技术在于隐藏自身，针对特定对象有计划、有组织地长期窃取数据，属于“网络间谍”行为。近年来，apt攻击对企业业务的正常运行构成了极大的威胁，并最终影响到普通网民。例如，在2018年12月，一个apt组织对驱动生命的公司发起了有针对性的攻击，持有其升级渠道来大规模安装和传播云控制的特洛伊木马，然后在受感染的机器上挖掘利润。

根据该报告，在2018年全年，全世界共有35个安全机构发表了206份与防止酷刑协会相关的研究报告，涉及多达58个防止酷刑协会组织。从受攻击地区的分布来看，东亚和东南亚远远领先于世界其他地区。而欧洲和北美仍然是精英。虽然攻击组织不多，但都是强大的攻击组织。

(照片:世界各地受攻击区域的分布)

随着中国在全球化进程中影响力的不断提高，政府、企业和非政府组织与世界各国的联系越来越紧密。中国已逐渐成为跨国apt组织的主要目标，也是实践中受攻击最严重的国家之一。在整个2018年，腾讯保安监控到至少有7家针对国内目标发起的境内外apt组织，这些组织都处于高度活跃状态。“海莲”、“黑店”、“白象”、“曼铃花”、“蓝宝菇”等Apt组织长期以来对中国的敏感机构和行业发起攻击。从行业分布来看，政府、能源、军事和其他基础设施是重要目标。从地理位置上看，辽宁、北京和广东是中国遭受apt攻击最严重的地区。

(照片:国内袭击的地理分布)

目前，针对中国的apt攻击日益增多，给国家有关部门、企业和高校带来了严峻的挑战。在这方面，《报告》提醒所有主要组织、企业和个人用户及时修复系统补丁和重要软件补丁，注意网络安全，不要打开来历不明的电子邮件附件，不要轻易启用office的宏代码功能。

Apt攻击技术全面升级的四大攻击方式将成为未来的发展趋势

在2018年的apt攻击中，新的攻击模式和技术不断涌现，给当前的信息安全环境带来了越来越多的挑战。

根据报告，鱼叉攻击、水坑攻击、远程可执行漏洞和密码爆炸攻击仍然是最重要的apt攻击方法。鱼叉攻击使用鱼叉结合社会工作者来传递带有恶意文件的附件，并诱使攻击者打开它们。从暴露的apt攻击活动来看，2018年apt活动使用鱼叉攻击的比例超过95%；与此同时，apt还将设置“水坑”，目标用户必须通过“等待兔子”。其中，海莲、socketplayer等组织都使用了这种攻击方法。除了鱼叉和水坑攻击，使用远程可执行漏洞和服务器密码爆炸已经成为可选的攻击方法。

(照片:水坑攻击的样本文件)

不仅如此，apt攻击者也开始采用更高端的攻击技巧，这对普通网络黑制作从业者起到了教科书般的“指导和示范”作用。“报告”预测无文件攻击(无文件攻击)和C将通信；存储在公共社交网站上的c服务器，使用公共或开源工具，多平台攻击和跨平台攻击将成为未来apt攻击技术的主要发展趋势。

(图:无文件攻击示例文件)

以无文件攻击为例，随着安全厂商检测和防御pe文件能力的提高，apt攻击者越来越多地使用不登陆pe文件的攻击方法。目前，海莲、浑水等攻击组织都擅长使用这种方法进行攻击。

除了个人电脑和手机，路由器平台也成为了apt的目标。例如，vpnfilter攻击了10多个国家的至少500，000个路由器设备。

安全挑战升级技术创新推动网络安全产业发展

从目前的网络安全环境来看，越来越多的政府机构和全球性企业投入了大量的人力和物力进行安全控制，但是apt组织仍然可以渗透并取得成功。如何应对以跨边界、跨域和攻击技术升级为特征的apt攻击，无疑成为一个亟待解决的问题。

目前，传统的“单兵作战”防御模式势必无法与apt抗衡。为此，腾讯安全推出了皇家高级威胁检测系统，这是一个基于腾讯安全反病毒实验室的安全能力，依托腾讯在云中的海量数据而开发的独特的威胁情报和恶意检测模型系统。在终端防御方面，腾讯安全推出了皇家终端安全管理系统，将数百亿的云杀毒数据库、引擎库、腾讯tav杀毒引擎和系统修复引擎应用到企业内部，可以有效防御内网终端的病毒木马攻击。

(照片:腾讯皇家高级威胁检测系统)

从整个报告中不难看出，攻击变得越来越激烈。然而，以腾讯安全为代表的安全研究团队，正通过一系列产品和技术，打击易受攻击等高科技犯罪，随时应对各种网络风险和攻击，不断为政府、企业和其他组织以及广大网民的信息安全保驾护航。