近日，網絡安全企業安天發布了一篇名為《白象的舞步——來自南亞次大陸的網絡攻擊》的報告，披露了兩組針對我國多領域的高頻度APT攻擊事件。

安天對這一系列針對中國教育、科研、軍事等領域的攻擊行動，進行了近四年時間的持續監測、捕獲、跟蹤、分析，并發布本報告。在安天過去多次的會議報告中如《APT的線索、關聯與樣本集度量》、《A2PT與“準APT”事件中的攻擊武器》中，曾對其 “第一攻擊波”做過較為詳細的介紹，稱之為輕量級的APT攻擊，但令人扼腕的是，這種輕量級的攻擊，對中國的信息系統依然形成了有效侵害。而從第二攻擊波中，可以看到其攻擊能力水平的快速成長，以及帶來的更全面的威脅。

白象一代攻擊特點

2012年~2013年，安天陸續捕獲了來自白象組織的多次載荷投放，此后依托關聯信息同源分析，找到了數百個樣本，這些樣本多數投放的目標是巴基斯坦，少數則針對中國的高等院校和其他機構。隨后安天逐步對其進行了披露，并在2014年完成報告《白象的舞步——HangOver攻擊事件回顧及部分樣本分析》。

為區分兩個不同的攻擊波，安天將2012~2013年高度活躍的這組攻擊稱為 “白象一代”。“白象一代”投放了至少近千個不同HASH的PE樣本，使用了超過500個C&C域名地址；其開發人員較多，開發團隊技能混雜，樣本使用了VC、VB、.net、Autoit等多種環境開發編譯；同時其未使用復雜的加密算法，也未發現使用0day漏洞和1day的漏洞，而更多的是采用被部分中國安全研究者稱為“亂扔EXE”的簡易社會工程學——魚叉式網絡釣魚攻擊。PE免殺處理是該攻擊組織所使用的主要技巧，這也是使這組攻擊中的PE載荷數量很大的原因之一。根據以上情況安天把這組攻擊劃分為輕量級APT攻擊，即缺乏足夠的0day儲備，很少使用0day；二進制載荷編碼質量非常低下；嚴重依賴網絡投放；沒有采用必要的Rootkit手段；缺少必要的持久化能力；主要針對Windows系統平臺作業的APT。

白象二代攻擊特點

2015年年底，安天又發現一組來自“西南方向”的攻擊在進一步活躍，主要目標依然是中國和巴基斯坦，通過安天監控預警體系分析可以發現，中國的受攻擊者主要為教育、軍事、科研等領域。而且此次攻擊已擺脫了“白象一代”雜亂無章的攻擊手法，整體攻擊行動顯得更加“正規化”和“流程化”，安天將這組攻擊稱為“白象二代”。

“白象二代”普遍使用了具有極高社工構造技巧的魚叉式釣魚郵件進行定向投放，至少使用了CVE-2014-4114和CVE-2015-1641等三個漏洞；其在傳播層上不再單純采用附件而轉為下載鏈接、部分漏洞利用采取了反檢測技術對抗；其相關載荷的HASH數量則明顯減少，其中使用了通過Autoit腳本語言和疑似由商業攻擊平臺MSF生成的ShellCode；同時其初步具備了更為清晰的遠程控制的指令體系。從整體上來看，“白象二代”相比“白象一代”的技術手段更為高級，其攻擊行動在整體性和技術能力上的提升，可能帶來攻擊成功率上的提升。而其采用的更加暴力和野蠻的投放方式，使其攻擊次數和影響范圍遠遠比“白象一代”更大。”

APT防御需要信息化基本環節和安全能力的共同完善

在過去數年間，中國的信息系統和用戶遭遇了來自多方的網絡入侵的持續考驗，從安天針對“白象”的分析可以看到，來自地緣利益競合國家與地區的網絡攻擊，將是中國信息化的重大風險和挑戰。同時，“白象”系列攻擊也反映出了我國在網絡安全防御上的種種不足。

首先可以看到中國在信息化發展上的不足，在“白象二代”組織所投放的目標電子郵箱當中，其中很大比例是免費個人郵箱，而國內免費信箱的安全狀況已高度不容樂觀。在啟動信息高速公路建設二十年后，國內依然沒有對官方機構和政務人員實現有效的安全電子郵件服務的覆蓋。

其次，還能看到中國大量基礎的信息安全環節和產品能力還不到位，“白象一代”曾被安天定性為輕量級APT攻擊，但卻成功入侵了中國的高等學府。“白象二代”組織盡管在手法上有很大提高，但亦未見其具備0day儲備，其所使用的三個漏洞，在為“白象組織”使用時，微軟已經將其修補，而其中兩個并未經過免殺處理。而類似這樣的攻擊依然能夠大行其道，也是當前補丁、系統加固等基礎安全環節不到位、產品能力不足的體現。

反APT是一種綜合的體系較量

反APT是一種綜合的體系較量，要求對抗攻擊者在人員、機構、裝備、工程體系方面的綜合投入，是一場成本較量。要求對抗攻擊者具有堅定、持續的攻擊意志，既要有曝光對手的勇銳，也要有戍邊十載、不為人知的意志與沉穩。說到底大國防御力，由設計所引導、以產業為基礎、與投入相輔相成，但最終其真實水平，要在與攻擊者和窺探者的真實對壘中來檢驗。

報告鏈接：http://www.antiy.com/response/WhiteElephant/WhiteElephant.html