騰訊安全發布《2018上半年APT研究報告》國家機關和能源企業成重點攻擊目標

   近日，騰訊安全對外發布《2018上半年高級持續性威脅（APT）研究報告》（以下簡稱《報告》），結合騰訊御見威脅情報中心APT研究小組對全球范圍內的APT組織長期深入的跟蹤和分析，深度揭秘2018上半年持續活躍的APT攻擊活動。

《報告》指出，近來國際性APT組織異常活躍，針對中國的攻擊顯著增多；APT組織攻擊武器庫和作案手法不斷升級，國家機關以及幾乎所有的重要行業如能源企業、電信、醫療部門等都受到了來自APT攻擊的威脅，大型機構的信息網絡系統安全面臨嚴峻的挑戰。

針對中國的APT攻擊顯著增多 定向瞄準國家機關和能源企業

隨著中國在全球化進程中影響力的不斷增長，中國政府、企業及民間機構與世界各國聯系的不斷增強，中國已成為跨國APT組織的重點攻擊目標。《報告》顯示，2018年上半年，白象（Hangover）、海蓮花、寄生獸（DarkHotel）、蔓靈花等境外APT組織對中國境內發起過多次攻擊。APT組織多采用魚叉郵件加漏洞文檔精準投放的手段進行攻擊，各種與中國有關的政治、軍事色彩的誘餌文檔在境內多次被發現。

從APT組織攻擊的行業分布來看，國家機關和能源企業依然是APT組織最為關注的目標，平均占比達到16%。除政府之外，軍事、電信、金融、工業等領域也是受APT組織攻擊的重災區。

這些與國計民生密切相關的要害領域，被APT組織視為“高價值”的攻擊目標。由于此類行業較為依賴互聯網提供的基礎設施，又相對缺乏專業的安全運維，一旦遭受到攻擊致使機密數據資料泄露，將會給政府機構、企業乃至個人都帶來嚴重的損失。

漏洞攻擊技術占比高達60%  0day漏洞利用成焦點

隨著漏洞挖掘技術的日益成熟以及各種漏洞POC的公開，漏洞的利用變得更加簡單，幾乎所有的APT組織都使用過漏洞進行攻擊。《報告》顯示，使用Nday和0day漏洞進行攻擊的占比高達60%，僅2018上半年就出現了4例0Day漏洞攻擊事件。

據騰訊御見威脅情報中心監測顯示，2018上半年陸續發現Lazarus APT組織使用CVE-2018-4878（Flash漏洞）進行在野攻擊，寄生獸（DarkHotel）組織使用CVE-2018-8174（瀏覽器漏洞），以及某未命名APT組織使用CVE-2018-5002（Flash漏洞）進行攻擊等。APT組織利用Adobe Flash 0day漏洞（CVE-2018-5002）構造特殊Excel文件對目標國家進行攻擊，并通過即時聊天工具和郵箱發送給目標人員。一旦目標人員Excel誘餌文件就會立即中招。

與此同時，由于各種高危漏洞的修復情況很不樂觀，許多APT組織經常使用較老的漏洞進行攻擊卻仍然頻頻得手。比如白象（Hangover）、海蓮花、商貿信等APT組織都使用過早已發布補丁的CVE-2017-11882（公式編輯器漏洞）進行過攻擊。此外，APT組織經常使用的宏文檔、DDE文檔攻擊技術，大多會結合迷惑性較強的社會工程學欺騙，再利用一些腳本或白利用技術，極大地提高了攻擊成功率。

騰訊安全專家支招防御APT攻擊：防范社會工程學攻擊與部署防護并重

為了提高相關機構和個人防御APT攻擊的能力，騰訊安全專家建議，政府機構、企業和個人應全面提高防御社會工程學欺騙方面的意識。國家重要機構、科研教育機構以及事關國計民生的重要企業，應加大普及網絡安全知識力度，部署完善的網絡安全保護設施，及時修補業務系統存在的安全漏洞，最大限度提高APT組織攻擊的門檻，及時發現、攔截APT組織的入侵。

騰訊智慧安全御界高級威脅檢測系統是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。憑借基于行為的防護和智能模型兩大核心能力，可高效檢測未知威脅，并通過對企業內外網邊界處網絡流量的分析，感知漏洞的利用和攻擊。通過部署御界高級威脅檢測系統，可及時感知惡意流量，檢測釣魚網址和遠控服務器地址在企業網絡中的訪問情況，有效保護企業級網絡信息系統安全。

《報告》預測，隨著商業競爭的日趨激烈，部分非法企業可能出現雇傭黑客組織，針對競爭對手進行APT攻擊的行為，且APT攻擊將不再僅限于高價值的目標，而是日益走向平民化。對此騰訊安全專家建議，普通企業應做好網絡和硬件的隔離防護，使用可信的軟硬件安全防護產品做好實時防護，以及定期處理數據隔離備份等工作，才能最大程度上避免遭受APT攻擊傷害。