1、 2017 中国高级持续性威胁（APT） 研究报告 作者：360 追日团队、360CERT、360 天眼实验室 发布机构：360 威胁情报中心 2018 年 2 月 26 日 主要观点 在 APT 研究领域，美国在全世界都处于遥遥领先的地位。2017 年，美 国有 24 个美国的研究机构展开了 APT 的相关研究， 发布相关研究报告 多达 47 篇。中国排名全球第二，共有 4 个机构发布了 18 篇 APT 相关 的研究报告，涉及 APT 组织 8 个。其中，仅 360 威胁情报中心在 2017 年发布的与 APT 相关的各类研究报告就多达 11 篇。 2017 年，遭到 APT 攻击最多国家

2、依次是：美国、中国、沙特阿拉伯、 韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯 坦和英国。而最受 APT 组织关注的领域或机构类型依次为：政府、能 源、金融、国防、互联网、航空航天、媒体、电信、医疗、化工。 2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA 旗下的方程式组织，另一个据称是美国中情局（CIA）直属的网络情报 中心。网络军火民用化的危害日益凸显。 在传统的认知中，APT 活动应该是比较隐蔽的，通常不易被察觉。但 在 2017 年，APT 组织及其活动，则与网络空间中的大国博弈之间呈现 出很多微妙的显性联系。这种联系主要表现在以下五个方面：一、

3、APT 行动与国家间的政治摩擦密切相关，如，双尾蝎、黄金鼠和摩诃草等组 织在 2017 年的攻击活动； 二、 APT 行动对于地缘政治的影响日益显著， 如 APT28 对法国大选的干扰；三、指责他国的 APT 活动已成重要外交 手段，如英美等国指责朝鲜制造了 WannaCry；四、部分机构选择在敏 感时期发布 APT 报告，如 APEC 前期有安全机构持续披露海莲花相关 信息； 五、 APT 组织针对国家智库的攻击显著增多， 如美国的 CSIS （战 略与国际问题研究中心）被入侵。 2017 年中国高级持续性威胁（APT）研究报告 全球 APT 研究 2017 年 1- 12 月， 360 追

4、日团队共监测到全球 46 个专业机构 （含媒体） 发布的各类 APT 研究报告 104 份，涉及相关 APT 组织 36 个（只统计 了有明确编号或名称的 APT 组织） ，涉及被攻击目标国家 31 个。 无论是从研究报告的数量、研究机构的数量，还是涉及 APT 组织的数 量来看，美国在全世界都处于遥遥领先的地位，有 24 个美国的研究机 构展开了 APT 的相关研究，发布相关研究报告多达 47 篇。 从报告数量和参与研究机构的数量来看，中国排名全球第二，共有 4 个机构发布了 18 篇 APT 相关的研究报告， 涉及 APT 组织 8 个。 其中， 仅360威胁情报中心在2017年发布的与A

5、PT相关的各类研究报告就多 达 11 篇。 2017 年，遭到 APT 攻击最多国家依次是：美国、中国、沙特阿拉伯、 韩国、以色列、土耳其、日本、法国、俄罗斯、德国、西班牙、巴基斯 坦和英国这 13 国家。 2017 年，APT 组织最为关注的机构类型是政府，50%的 APT 组织以政 府为攻击目标； 其次是能源行业， 受到 25%的 APT 组织关注。 排在 APT 组织攻击目标前十位的重要领域还有金融、国防、互联网、航空航天、 媒体、电信、医疗、化工等。 针对中国的 APT 截至 2017 年 12 月底， 360 威胁情报中心已累计监测到的针对中国境内 目标发动攻击的境内外 APT 组织

6、 38 个。其中，2017 年内仍处于高度 活跃状态的至少有 6 个。 针对三大地区的 APT 如果说，2016 年 APT 组织的攻击主要体现在对金融、工业和政治这三 大领域的攻击； 那么， 2017 年， APT 组织的攻击则主要体现在对欧美、 东亚和中东三大地区的攻击。 网络军火民用化 2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA 旗下的方程式组织，另一个据称是美国中情局（CIA）直属的网络情报 中心。网络军火民用化的危害日益凸显。 APT 攻击技术趋势 2017 年，APT 攻击技术特点主要体现在以下五个方面：Office 0day 漏 洞成焦点；恶意代码复杂

7、性的显著增强；移动端的安全问题日益凸显； 针对金融行业的攻击手段多样化；APT 已经影响到每一个人的生活 APT 与大国博弈 2017 年，APT 组织及其活动，与网络空间中的大国博弈之间呈现出很 多微妙的显性联系。主要表现在以下五个方面：APT 行动与国家间的 政治摩擦密切相关；APT 行动对于地缘政治的影响日益显著；指责他 国的 APT 活动已成重要外交手段；部分机构选择在敏感时期发布 APT 报告；APT 组织针对国家智库的攻击显著增多。 关键词：APTAPT、APT28APT28、欧美、东亚欧美、东亚、中东、中东、双尾双尾蝎、蝎、黄金鼠、黄金鼠、OfficeOffice、NSANSA、

8、 CIACIA 2017 年中国高级持续性威胁（APT）研究报告 目 录 第一章 全球 APT 研究前沿概览 . 1 一、 APT 研究机构与研究报告 . 1 二、 APT 攻击目标的全球研究 . 2 第二章 针对中国的 APT 攻击 . 5 一、 攻击中国的 APT 组织 . 5 二、 APT 攻击的时空分布 . 6 第三章 部分 APT 组织攻击技术发展 . 7 一、 APT-28 . 7 二、 海莲花（APT-C-00）. 8 第四章 APT 组织对特定地域的攻击 . 11 一、 针对欧美地区的攻击. 11 (一) APT28针对法国大选的攻击 . 11 (二) APT28针对欧洲酒店行

9、业的攻击 . 12 (三) APT28借“纽约恐袭事件”的攻击 . 13 二、 针对东亚地区的攻击. 14 (一) 海莲花针对东亚国家的攻击 . 14 (二) Lazarus针对韩国三星手机用户的攻击 . 14 三、 针对中东地区的攻击. 15 (一) APT34针对中东政府的攻击 . 15 (二) BlackOasis针对中东地区的攻击 . 16 (三) 双尾蝎组织针对巴以两国的攻击 . 17 (四) 黄金鼠组织针对叙利亚的攻击 . 17 第五章 网络军火民用化 . 19 一、 疑似 NSA 网络武器工具外泄. 19 二、 疑似 CIA 网络武器项目曝光 . 20 第六章 APT 攻击技术热

10、点与发展趋势 . 22 一、 OFFICE 0DAY漏洞成焦点 . 22 二、 恶意代码复杂性的显著增强 . 25 三、 移动端的安全问题日益凸显 . 25 四、 针对金融行业的攻击手段多样化 . 27 五、 APT 已经影响到每一个人的生活 . 27 第七章 APT 活动与网络空间大国博弈 . 29 附录 1 部分 APT 研究报告发布机构列表 . 31 附录 2 360 威胁情报中心 . 33 附录 3 360 天眼实验室（SKYEYE LABS） . 34 附录 4 360 追日团队（HELIOS TEAM） . 35 附录 5 360 CERT . 36 附录 6 360 安服团队 .

11、 36 1 第一章 全球 APT 研究前沿概览 一、 APT 研究机构与研究报告 APT 攻击（Advanced Persistent Threat，高级持续性威胁）堪称是在网络 空间里进行的军事对抗。攻击者会长期持续的对特定目标进行精准的打击。 为了能够更加全面的掌握全球 APT 攻击态势，了解全球 APT 研究的前 沿成果，2017 年全年，360 威胁情报中心下属的 360 追日团队展开了对全球 主要安全机构及安全专家发布的各类 APT 研究报告和研究成果的监测与追 踪工作。 2017 年 1- 12 月，360 追日团队共监测到全球 46 个专业机构（含媒体） 发布的各类 APT 研究

12、报告 104 份， 涉及相关 APT 组织 36 个 （只统计了有明 确编号或名称的 APT 组织） ，涉及被攻击目标国家 31 个。下表给出了 360 威胁情报中心监测到的全球各国关于 APT 研究情况的对比。监测可能有所 遗漏，敬请谅解。 专业专业机构机构 所属国家所属国家 APT 报告报告 数量数量 发布发布 APT 报报 告机构数量告机构数量 涉及涉及 APT 组组 织数量织数量 美国美国 47 24 20 中国中国 18 4 8 俄罗斯俄罗斯 8 2 3 以色列以色列 5 4 3 荷兰荷兰 4 3 4 斯洛伐克斯洛伐克 4 1 2 英国英国 4 4 3 罗马尼亚罗马尼亚 3 1 3

13、芬兰芬兰 1 1 1 跨国机构跨国机构 8 1 8 其他其他 2 1 1 表 1 全球各国 APT 研究情况对比 从上表中可以清楚看出，无论是从研究报告的数量、研究机构的数量， 还是涉及 APT 组织的数量来看，美国在全世界都处于遥遥领先的地位，有 24个美国的研究机构展开了APT的相关研究， 发布相关研究报告多达47篇。 从报告数量和参与研究机构的数量来看，中国排名全球第二，共有 4 个 机构发布了 18 篇 APT 相关的研究报告，涉及 APT 组织 8 个。其中，仅 360 威胁情报中心在 2017 年发布的与 APT 相关的各类研究报告就多达 11 篇。 2 2017 年中国高级持续性

14、威胁（APT）研究报告 俄罗斯排名全球第三。共有 2 个组织机构公开发布了 8 篇关于 APT 的 研究报告及成果。与 2016 年仅有 Kaspersky 这一家安全厂商相比，2017 年 增加了网络安全供应商 Group-IB。 总体而言，从全球范围来看，在 APT 研究领域，美国目前还是处于绝 对领先的地位。并且这个超级大国拥有数目庞大的安全初创团队和初创公司 在关注、狙击以及深入研究 APT 攻击。 关于2017年全球各国研究机构针对APT研究的具体情况， 详见附录1。 二、 APT 攻击目标的全球研究 尽管目前仍有大量的关于 APT 攻击的研究成果处于各安全研究机构的 保密之中。但目

15、前已经披露出来的研究报告，也能在一定程度上反应全球 APT 研究的关注点和发展趋势。 在 2017 年 360 威胁情报中心监测到的 APT 报告中，被提及次数最多的 被攻击国家依次是：美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日 本、法国、俄罗斯、德国、西班牙、巴基斯坦和英国这 13 国家。 被攻击被攻击 目标国家目标国家 所属所属 地区地区 相关报相关报 告数量告数量 攻击组攻击组 织数量织数量 主要被攻击领域主要被攻击领域 美国美国 北美 14 7 政府、能源、IT/互联网、媒体、航天、金融、 酒店、军队、大型企业、关键基础设施 中国中国 亚洲 12 7 政府、互联网、军队、电信、媒

16、体、航天、金 融、科研、关键基础设施 沙特沙特 阿拉伯阿拉伯 亚洲 8 4 政府、能源、IT/互联网、军队、航天、化工、 大型企业 韩国韩国 亚洲 6 5 互联网、金融、能源、交通 以色列以色列 亚洲 5 5 政府、IT/互联网、媒体、航天、媒体、军队、 电信、金融、大型企业 土耳其土耳其 亚洲 4 2 政府、能源、工业、大型企业、军队、IT、电 信、媒体、航天、金融 日本日本 亚洲 3 3 政府 法国法国 欧洲 3 2 政府 俄罗斯俄罗斯 欧洲 3 2 政府、金融 德国德国 欧洲 3 3 政府、军队、大型企业、IT 西班牙西班牙 欧洲 2 2 金融 巴基斯坦巴基斯坦 亚洲 2 2 互联网、媒

17、体、关键基础设施 英国英国 欧洲 2 2 政府、电信、媒体、航天、金融、教育 表 2 全球 APT 研究关注被攻击国家排行 3 从上表中可以看出，无论是从相关研究报告的数量来看，还是从攻击组 织的数量来看，美国都是全球 APT 攻击的第一目标国。同时，盯上中国、 沙特阿拉伯和韩国的 APT 组织也都超过了 5 个。 此外，通过对相关研究报告的监测还发现，在 2017 年，APT 组织最为 关注的机构类型是政府，50%的 APT 组织以政府为攻击目标； 其次是能源行 业，受到 25%的 APT 组织关注。排在 APT 组织攻击目标前十位的重要领域 还有金融、国防、互联网、航空航天、媒体、电信、医

18、疗、化工等。 在针对政府机构的攻击中，APT 组织除了会攻击一般的政府机构外，还 有专门针对公检法的攻击。 在针对能源行业的攻击中，APT 组织重点关注的领域依次是：石油、天 然气和核能。针对能源行业的攻击，对国家安全具有很大的影响。 在针对金融行业的攻击中，APT 组织最为关注的是银行，其次是证券、 互联网金融等。还有部分 APT 组织会关注到与虚拟数字货币（如比特币、 门罗币等）相关的机构或公司。针对金融机构的攻击大多会利用安全漏洞。 针对 ATM 自动取款机的攻击也一直延续了 2016 年的活跃状态。 还有一点值得注意：APT 组织的攻击虽然具有很强的针对性，但其攻击 目标也并不一定是单

19、一的。有的 APT 组织只攻击特定国家特定领域的目标 （仅从目前已经披露的情况看） ，但也有很多 APT 组织会对多个国家的不同 领域目标展开攻击。下图给出了 2017 年全球各国研究机构发布的 APT 研究 报告中，披露 APT 组织攻击目标的所属国家、领域数量分析。 4 2017 年中国高级持续性威胁（APT）研究报告 从上图中可看出，在 2017 年，半数以上的 APT 组织攻击目标国家数量 超过 5 个，这与 2016 年，近 7 成的 APT 组织只集中攻击 1-2 个国家的情况 有很大的不同。不过，进一步分析发现，被同一 APT 组织关注的多个国家 之间往往在地缘上比较接近，尤其是

20、中东地区，多个相邻的国家很容易被一 个或多个 APT 组织同时盯上。 但从攻击领域来看，2017 年，超过六成的 APT 组织只集中攻击 1-2 个 具体的领域，这与 2016 年的情况基本一致。这可能也在一定程度上说明： 行业、领域的差别与壁垒，对 APT 组织的活动有很大的影响。 综上所述，APT 组织攻击的地域集中性和行业聚焦性仍然十分明显。 为方便对比，下图给出了 2016 年披露的 APT 组织攻击目标数量分析。 5 第二章 针对中国的 APT 攻击 一、 攻击中国的 APT 组织 截至 2017 年 12 月底，360 威胁情报中心已累计监测到的针对中国境内 目标发动攻击的境内外

21、APT 组织 38 个。其中，2017 年内仍处于高度活跃状 态的至少有 6 个。 统计显示， 2017 年全年， 这些 APT 组织发动的攻击行动， 至少影响了中国境内超过万台电脑，攻击范围遍布国内 31 个省级行政区。 下表给出了部分针对中国境内目标发动攻击的 APT 组织活动情况。其中， HID 是 Human Interface Device 的缩写，即人机交互设备，如 U 盘等。 组织组织 主要主要攻击攻击 手法手法 最早披露最早披露 厂商厂商 已知已知最早活最早活 动动时间时间 最近活动最近活动 时间时间 海海莲花莲花 APT-C-00 鱼叉邮件 水坑攻击 360 2012 年 2

22、018 年 2 月 Darkhotel APT-C-06 鱼叉邮件 卡巴斯基 2014 年 2017 年 9 月 摩诃草摩诃草 APT-C-09 鱼叉邮件 水坑攻击 norman 2009 年 2018 年 2 月 APT-C-12 鱼叉邮件 360 2014 年 2017 年 10 月 APT-C-56 鱼叉邮件 360 2014 年 2018 年 2 月 APT-C-58 鱼叉邮件 渗透 360 2011 年 2017 年 12 月 表 3 针对中国境内目标攻击的部分 APT 组织活动情况 结合 360 威胁情报中心的大数据监测以及相关机构研究报告，我们给出 了 2017 年部分 APT

23、组织主要活跃时间的分析（精确到月） ，详见下图。 6 2017 年中国高级持续性威胁（APT）研究报告 二、 APT 攻击的时空分布 根据 360 威胁情报中心的统计显示（不含港澳台地区） ：2017 年，国内 受 APT 攻击最多的地区是辽宁和北京，其次是山东、江苏、上海、浙江和 广东。 关于 APT 攻击在中国境内的分布情况， 详见下图 （不含港澳台地区） 。 下图给出了 2017 年以来，APT 攻击影响中国境内用户数量的月度分布 情况，3 月和 11 月是 APT 组织比较活跃的两个月份。 7 第三章 部分 APT 组织攻击技术发展 一、 APT-28 APT28 又名 Sofacy，

24、Strontium，Fancy Bear， Sednit 等。 为了统一起见， 本文中统一使用 APT28。2017 年各家安全厂商披露了多起 APT28 组织的活 动。下表给出了关于 APT28 部分行动的总结。其中，Seduploader 是 APT28 组织的一个专用的木马程序，DealersChoice 是一个 Flash 漏洞利用工具。 攻击攻击 目标目标 披露披露 时间时间 披露披露 机构机构 攻击攻击 手法手法 载荷投递载荷投递 方式方式 投递载荷投递载荷 内容内容 法国大选候选法国大选候选 人马克龙人马克龙 2017.5 ESET， FireEye 鱼叉 攻击 Office 和

25、 Windows 的 0day 漏洞 Seduploader 欧洲和中东地欧洲和中东地 区的酒店区的酒店 2017.8 FireEye 鱼叉 攻击 VBA 脚本 EternalBlue 漏洞 EternalBlue 漏 洞利用工具 开源 Responder 工具 CyCon参会人参会人 员员 2017.10 Cisco Talos 鱼叉 攻击 VBA 脚本 Seduploader 欧洲与美国欧洲与美国政政 府机构和航空府机构和航空 航天私营部门航天私营部门 2017.10 Proofpoint 鱼叉 攻击 Flash Nday 漏洞 DealersChoice 未公开未公开 2017.11 M

26、cAfee 鱼叉 攻击 DDE 技术 Seduploader 表 4 2017 年安全厂商披露的 APT28 组织部分活动 此外，2017 年 1 月，FireEye 发布了报告APT28: At The Center for The Storm 。FireEye 在报告中认定著名的 APT28 组织为俄罗斯政府支持的黑客 组织。并称一年以来 APT28 的变化不仅表明了其技能的提升，资源的丰富 和对维持作战能力的渴望，而且突出了集团使命的长久性以及在可预见的将 来继续其活动的意图。 2017年12月， ESET发布了报告 Sednit update: How Fancy Bear Spent

27、 the Year ，对 APT28 的攻击方式进行了一些总结。综合其他一些关于 APT28 的 研究成果可以发现， APT28 在目标系统上获得初始立足点的方式主要有三种： 1） Sedkit Sedkit 是 APT28 独家使用的一个漏洞攻击工具包，主要包含 Flash 和 Internet Explorer 中的漏洞， 首次被发现时的使用方法是通过水坑攻击将潜在 8 2017 年中国高级持续性威胁（APT）研究报告 的受害者重定向到恶意页面。在此之后，APT28 首选的方法是将恶意链接嵌 入到发送给目标的电子邮件中。 2016 年 10 月是最后一次发现 Sedkit 被使用。Sedk

28、it 的消失遵循了其它 漏洞攻击工具包中看到的趋势：它们都依赖于老版本的 Adobe Flash 和 Internet Explorer 中的漏洞实现恶意程序的下载。2016 年包括 Sednit 在内的 大部分漏洞攻击工具包使用次数的下降可能是因为 Microsoft 和 Adobe 软件 的安全性不断增强。 2） DealersChoice 2016 年 8 月，Palo Alto Networks 发布了一篇关于 APT28 使用的新平台 的博客。 这个被称为 DealersChoice 的平台能够生成嵌入了 Flash 漏洞的恶意 文档。这个平台有两个变种。第一个变种会检查系统上安装了

29、哪个 Flash Player 版本，然后选择三个不同的漏洞中的一个进行攻击。第二个变种则会 首先连接 C2 服务器（Command & Control 服务器，指木马程序的控制端或 控制木马的服务器） ，该服务器将提供选定的漏洞利用和最终的恶意负载。 APT28 今天仍然在使用这个平台， 其针对欧洲与美国的政府机构和航空 航天私营部门的攻击，就是在 DealersChoice 平台上使用了一个新的 Flash Nday 漏洞（Nday 漏洞是指软件厂商已经提供了补丁的安全漏洞，但使用者 可能由于各种原因并未给软件打上相关补丁） 。这表明这个平台仍在使用， 并在不断发展。 3） 宏，VBA 和

30、 DDE 除了传统的宏和 VBA（Visual Basic 的一种宏语言）之外，APT28 在针 对法国大选的攻击中也利用了 Windows 内核和 Office 的 0day 漏洞（软件厂 商尚未提供补丁的安全漏洞） 。 2017 年 10 月， SensePost （一家欧洲安全公司） 发布了一篇关于 DDE（Dynamic Data Exchange，动态数据交换）的文章，其 中介绍的相关方法在 11 月就被 APT28 用于攻击中。 木马程序 Seduploader 仍然被 APT28 频繁使用。 Seduploader 由两个不同 的组件组成：一个 dropper（一种木马程序） ，

31、一个是由该 dropper 安装的负 载。在 2017 年 4 月，Seduploader 的新版本增加了一些新功能，例如截图功 能或从 C2 服务器直接加载到内存中执行。2017 年底，Seduploader dropper 被投递 Seduploader 负载的 PowerShell 命令所取代。 二、 海莲花（APT-C-00） 基于对样本及更多其他来源数据的整合分析和历史活动的长期跟踪， 360 威胁情报中心发现海莲花团伙活动的一些变化： 1） 木马对抗性更强更复杂 9 海莲花先后使用过多种形态的专用木马， 虽然均是以窃取感染目标电脑 中的机密数据为目的，但从攻击原理和攻击方式来看，却

32、有着很大的区别。 特别是针对 Windows 系统的专用木马， 其出现时间有先有后， 危险程度不断 升级，攻击方式从简单到复杂、从本地到云控，可以让我们清楚的看到该组 织木马的技术发展脉络和攻击思路的不断转变。我们将其分别命名为：海莲 花 Tester，海莲花 Encryptor，海莲花 Cloudrunner，海莲花 MAC 等。 在 2017 年 360 威胁情报中心截获的样本中，部分较新的恶意代码利用 了系统白程序 MSBuild.exe 来执行恶意代码以绕过查杀。这种加载恶意代码 的方式本质上与利用带正常签名的 PE 程序加载位于数据文件中的恶意代码 的方法相同。原因在于：一、MSBu

33、ild 是微软的进程，不会被杀软查杀，实 现防病毒工具的 Bypass；二、很多 Win7 电脑自带 MSBuild，有足够大的运 行环境基础，恶意代码被设置在 XML 文件中，以数据文件的形式存在不易 被发现明显的异常。除了通常的可执行程序附件 Payload 以外，360 威胁情 报中心还发现了利用 CVE-2017-8759 漏洞和 Office Word 机制的鱼叉邮件。 在 2017 年 11 月截获的最新样本中，我们发现样本捆绑了 Firefox 浏览 器等程序执行了多个阶段的 ShellCode，资源文件加密运行时解密下一阶段 的 ShellCode，采用白利用过杀软的方式，并且

34、代码中还加入大量花指令和 乱序，对抗能力进一步增强。 2） 攻击面收窄更具针对性 与去年相比，海莲花团伙的攻击活动面有所收窄，但攻击目标的针对性 加强，鱼叉邮件的社工特性突出，体现为对攻击目标的深度了解。有用户反 馈到威胁情报中心的样本使用了如下的附件名： invitation letter-zhejiang * working group.doc 星号是非常具体的目标所在组织的简称，目标人物在浙江省，所以附件 名里加了 zhejiang 字样，暗示这是完全对目标定制的攻击木马。这体现了攻 击者对攻击目标的专注度。 3） 服务器更加隐蔽更难追踪 为了隐藏自己的真实身份，海莲花组织经常变换下载服

35、务器和 C2 服务 器的域名和 IP。 而且大多数域名为了抵抗溯源都开启了 Whois 域名隐藏， 使 得分析人员很难知道恶意域名背后的注册者是谁。在 2017 年 11 月最新的样 本中还使用了 DGA 算法以进一步逃避检测。 DGA 算法，即 Domain Generation Algorithms，译为域名生成算法，是 一种利用随机字符来生成 C2 服务器域名，从而逃避域名黑名单检测的技术 手段。如，某些木马会向随机生成的成千上万个域名发送消息，但其中只有 极少数会真正被攻击者使用，并用来完成后续攻击环节。不过在 APT 攻击 中，DGA 算法一般不会生成海量域名，但却会时常根据算法动态

36、更换新的 10 2017 年中国高级持续性威胁（APT）研究报告 域名，这就大大增加了安全分析人员定位有效服务器难度。 此外，在海莲花组织的最新攻击中，攻击者对采用的网络基础设施也做 了更彻底的隔离，使之更不容易做关联溯源分析。在以往的攻击活动中，海 莲花组织所使用的 IP 偏爱 193.169.*.*网段。但 2017 年截获的海莲花组织新 近样本中，其使用的相关 IP 地址与既往 IP 几乎没有重叠，非常“干净” 。这 就导致分析人员需要耗费更大的精力去对抗加强后的样本以获取关联点，追 踪溯源的难度进一步加大。 4） 即使暴露仍瞄准高价值客户 海莲花攻击者似乎不甘心丢掉之前已经攻陷的“目标

37、”而选择“卷土重 来” 。例如，对之前已经攻击过的目标会进行反复攻击，发送新版本的鱼叉 邮件，并尝试再次获取控制。 在处理用户反馈的过程中，我们发现：尽管某些曾经遭到海莲花攻击的 高价值用户的电脑已经进行了特殊保护，清除了以往感染的海莲花组织专用 木马，但他们还是会不断遭到海莲花组织的攻击，如收到新的鱼叉邮件，受 到新型专用木马的攻击。 此外，在某些仍然被控制着的电脑终端上，海莲花组织的攻击者也会通 过推送新的木马程序，将木马的 C2 服务器转换到新的 IP 或域名下。 所有上述现象均表明，海莲花组织攻击的“持续性”之强：没有暴露， 未被发现的情况下，就要保证持续更新；已经暴露，已被发现的情况

38、下，也 还要继续不断的攻击。如此猖獗的攻击，在 APT 组织中并不多见。 11 第四章 APT 组织对特定地域的攻击 如果说，2016 年 APT 组织的攻击主要体现在对金融、工业和政治这三 大领域的攻击；那么，2017 年，APT 组织的攻击则主要体现在对欧美、东 亚和中东三大地区的攻击。 一、 针对欧美地区的攻击 (一) APT28 针对法国大选的攻击 2017 年 5 月 ESET 发布报告称发现 APT28 干扰法国总统大选。一个名 为 Trumps_Attack_on_Syria_English.docx 的文档引起了研究人员的注意。 打开这份文档后首先会触发 EPS 漏洞 CVE-

39、2017-0262（Office 的 Encapsulated PostScript 图形文件漏洞） 。多次解密后，Seduploader 病毒释放 器就会被加载并予以执行。为了部署 Seduploader，Seduploader 病毒释放器 通过利用内核漏洞 CVE-2017-0263 获取了系统权限。对于这种“EPS 漏洞 内核漏洞”组合的利用值得关注。 12 2017 年中国高级持续性威胁（APT）研究报告 (二) APT28 针对欧洲酒店行业的攻击 2017 年 8 月 FireEye 发布报告称发现 APT28 使用 NSA 工具（例如 Eternalblue 漏洞利用工具）监听欧洲

40、及中东地区的酒店。恶意文档 Hotel_Reservation_Form.doc包含一个宏， 该宏使用base64解码一个dropper， 然后部署 APT28 的恶意软件 GameFish，使用 和 作 为 C2 服务器。 APT28使用EternalBlue漏洞利用工具和开源工具Responder进行横向传 播，并可能针对旅行者。一旦进入酒店公司的网络，APT28 就找出了控制客 人和内部 WiFi 网络的机器。在 2016 年秋季发生的一起单独事件中，APT28 通过可能从酒店 WiFi 网络窃取的证书初步获取了受害者的网络。 在获得连接到酒店和访客WiFi网络的机器后， APT28部署了Responder， 13 使得 NetBIOS 名称服务（NBT-NS）中毒。这种技术会侦听来自受害者计算 机尝试连接到网络资源的 NBT-NS（UDP /137）广播。一旦收到，攻击者就 会伪装