精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

《2015年中國高級持續性威脅(APT)研究報告》揭示了針對我國的APT攻擊技術演變趨勢。報告顯示，中國是APT攻擊的主要受害國，國內多個省、市受到不同程度的影響，其中北京、廣東是重災區，行業上教育科研、政府機構是APT攻擊的重點關注領域。

一、針對中國發動攻擊的APT組織

360天眼實驗室于近期發布了《2015年中國高級持續性威脅(APT)研究報告》，揭示了針對我國的APT攻擊技術演變趨勢。根據報告顯示，中國是APT(Advanced Persistent Threats，高級持續性威脅)攻擊的主要受害國，國內多個省、市受到不同程度的影響，其中北京、廣東是重災區，行業上教育科研、政府機構是APT攻擊的重點關注領域。

截至2015年11月底，360威脅情報中心監測到的針對中國境內科研教育、政府機構等組織單位發動APT攻擊的境內外黑客組織累計29個，其中15個APT組織曾經被國外安全廠商披露過，另外14個為360威脅情報中心首先發現并監測到的APT組織，其中包括我們在2015年5月末發布的海蓮花(OceanLotus)APT組織[1]。

監測結果顯示，在這29個APT組織中，針對中國境內目標的攻擊最早可以追溯到2007年，而最近三個月(2015年9月以后)內仍然處于活躍狀態的APT組織至少有9個。統計顯示，僅僅在過去的12個月中，這些APT組織發動的攻擊行動，至少影響了中國境內超過萬臺電腦，攻擊范圍遍布國內31個省級行政區。

另外2013年曝光的斯諾登事件，同年Norman公布的HangOver組織，卡巴斯基在2014年揭露的Darkhotel組織和2015曝光的方程式組織(Equation Group)等，這些國外安全廠商和機構發現的APT組織，都直接證明了中國是APT攻擊中的主要受害國。

本報告中主要就360威脅情報中心首先發現并監測到的APT組織展開介紹，進一步相關數據統計和相關攻擊手法，主要就相關APT組織在2015年活躍情況進行分析。

以下是360威脅情報中心監控到的針對中國攻擊的部分APT組織列表，其中OceanLotus(APT-C-00)、APT-C-05、APT-C-06、APT-C-12是360截獲的APT組織及行動。

　　表1 針對中國攻擊的部分APT組織列表

二、地域分布：北京、廣東是重災區

　　圖2 國內用戶受影響情況(2014年12月-2015年11月)

國內受影響量排名前五的省市是：北京、廣東、浙江、江蘇、福建。除北京以外，受影響用戶主要分布在沿海相關省市。受影響量排名最后的五個省市是：西藏、青海、寧夏、新疆、貴州。(注：本報告中用戶數量主要指我們監控到的計算機終端的數量。)

　　圖3 近一年國內每月遭APT攻擊用戶數量分布

從上圖可見，近一年這些我們已知的APT組織就攻擊了中國境內上萬臺電腦，平均每月超過千臺電腦受影響。但隨著國外安全廠商的曝光，360監測到的整體感染量呈現下降趨勢，原因可能是部分APT組織攻擊行動暫停、延遲或終止，也可能因為手段更加隱秘躲過了360的監測。但其他未曝光組織的攻擊勢態并未收斂，且在最近三個月(2015年9月以后)有小幅上升趨勢。

三、行業分布：主要針對科研教育、政府機構領域

　　圖4 APT組織主要攻擊行業分布

從近一年的統計來看，針對科研教育機構發起的攻擊次數最多，占到了所有APT攻擊總量的37.4%;其次是政府機構，占27.8%;能源企業排第三，占9.1%。其他被攻擊的重要領域還包括軍事系統、工業系統、商業系統、航天系統和交通系統等。

疑似瞄準安全行業

APT-C-00組織將木馬構造偽裝為Acunetix Web Vulnerability Scanner(WVS)7的破解版。WVS是一款主流的WEB漏洞掃描軟件，相關使用人群主要為網絡安全從業人員或相關研究人員。攻擊組織在選擇偽裝正常程序的時候選擇了WVS這款安全軟件，也能反映出該組織針對的目標對該軟件熟悉或感興趣，進一步我們推測針對的目標很有可能是網絡安全從業人員、研究人員或者其他黑客組織。

從針對卡巴基斯的duqu2.0[2]，可以看出針對安全廠商APT組織可能會從被動隱匿逐步過渡到主動出擊。

四、造成的危害：長期竊取敏感數據

APT組織主要目的是竊取目標機器內的情報數據，一旦攻擊獲得成功，首先會收集目標機器相關基本信息，進一步會大量竊取目標機器上的敏感數據，如果橫向移動達到效果，則是竊取目標網絡其他機器的敏感數據。本節首先介紹基本信息的收集，之后主要就APT組織長期竊取敏感數據展開介紹。

(一)收集基本信息

這里主要是指目標機器一旦被成功植入了相應惡意代碼，一般惡意代碼會自動或者等待C&C指令，將被感染機器的相關基本信息回傳，相關信息主要包括以下信息：

1)主機信息：主要包括操作系統信息、主機名稱、本地用戶名等;

2)網絡信息：主要包括IP地址、網關信息等;

3)應用程序信息：相關版本信息，主要包括MicrosoftOffice和MicrosoftInternetExplorer版本信息;

4)另外還包括磁盤信息、當前進程信息等。

　　圖5 竊取的主機基本信息示例(APT-C-05組織)

攻擊者主要依靠相關基本信息來進行初步篩選，包括識別目標機器的真偽(即是否為虛擬機或蜜罐)，進一步可以判斷目標的重要程度。

另外這里的初步探測并收集目標的基本信息，主要在相應機器被首次攻陷后，而不取決于具體攻擊環節，比如在初始攻擊和進一步橫向移動都會存在相關探測行為。

(二)竊取敏感數據

APT組織從中國科研、政府機構等領域竊取了大量敏感數據，對國家安全已造成嚴重的危害。其中APT-C-05組織是一個針對中國攻擊的境外APT組織，也是我們至今捕獲到針對中國攻擊持續時間最長的一個組織，該組織主要針對中國政府、軍事、科技和教育等重點單位和部門，相關攻擊行動最早可以追溯到2007，至今還非?；钴S。也就是從2007年開始APT-C-05組織進行了持續8年的網絡間諜活動。

相關APT組織竊取的具體數據內容有很大差異，但均涉及中國科研、政府等領域的敏感數據，其中竊取的敏感數據中以具備文件實體形態的文檔數據為主，進一步會包括帳號密碼、截圖等，另外針對移動設備的情況在下面會具體介紹。

　　表2 主要竊取的文件擴展名

上表是竊取的文件類型和具體針對的文件擴展名，不同組織探測竊取的方式不同，如APT-C-05組織只關注移動存儲設備某一個時間段內的文檔文件，且相關文件名必須包含指定的關鍵字。而APT-C-12組織，則沒有太多限制條件，在指定盤符下的所有文檔文件都會關注，回傳之后再進一步甄別。

APT組織關注的敏感文檔，除了主流的微軟Office文檔，更關注中國本土的WPS Office相關文檔，其中APT-C-05和APT-C-12組織都會關注以“.wps”擴展名的文檔，這也是由于WPS Office辦公軟件的用戶一般分布在國內政府機構或事業單位。

APT組織長時間潛伏竊取了大量敏感數據是我們可以看到的危害，另外從APT組織對目標所屬行業領域的熟悉、對目標作業環境的掌握，以及符合目標習慣偏好，這些適應中國本土化“量身定制”的攻擊行動完全做到有的放矢，則讓我們更是不寒而栗。相關內容我們在“第六章 APT攻擊為中國本土‘量身定制’”章節會進一步詳細介紹。

(三)針對移動通信設備

在APT攻擊中，除了針對傳統PC平臺，針對移動平臺的攻擊也越來越多。如智能手機等移動通信設備，天生有傳統PC不具備的資源，如通話記錄、短信信息、地理位置信息等。

　　表3 Android RAT竊取相關信息列表(APT-C-01行動)

上表內手機基本信息進一步包括：如imsi、imei、電話號碼、可用內存、屏幕長寬、網卡mac地址、SD卡容量等信息。