近5年典型的的APT攻击事件

APT攻击

APT攻击是近几年来出现的一种高级攻击，具有难检测、持续时间长和攻击目标明确等特征。

本文中，整理了近年来比较典型的几个APT攻击，并其攻击过程做了分析

（为了加深自己对APT攻击的理解和学习）

Google极光攻击

2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月，并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。

原理图如下：

该攻击过程大致如下：

1) 对Google的APT行动开始于刺探工作，特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息，搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。

2) 接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样，该攻击故此得名)。

3) 接下来，攻击者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。

4) 最后，攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。

超级工厂病毒攻击(震网攻击)

著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。

遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。

在2011年，一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲，号称“震网二代”。 Duqu主要收集工业控制系统的情报数据和资产信息，为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制，并且采用私有协议与CC端进行通讯，传出的数据被包装成jpg文件和加密文件。

夜龙攻击

夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。

该攻击的攻击过程是：

1) 外网主机如Web服务器遭攻击成功，多半是被SQL注入攻击;

2) 被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描;

3) 内网机器如AD服务器或开发人员电脑遭攻击成功，多半是被密码暴力破解;

4) 被黑机器被植入恶意代码，多半被安装远端控制工具(RAT)，传回大量机敏文件(WORD、PPT、PDF等等)，包括所有会议记录与组织人事架构图;

5) 更多内网机器遭入侵成功，多半为高阶主管点击了看似正常的邮件附件，却不知其中含有恶意代码。

RSA SecurID窃取攻击

2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击，重要资料被窃取。在RSA SecurID攻击事件中，攻击方没有使用大规模SQL注入，也没有使用网站挂马或钓鱼网站，而是以最原始的网路通讯方式，直接寄送电子邮件给特定人士，并附带防毒软体无法识别的恶意文件附件。

其攻击过程大体如下：

1) RSA有两组同仁们在两天之中分别收到标题为“2011 Recruitment Plan”的恶意邮件，附件是名为“2011 Recruitment plan.xls”的电子表格;

2) 很不幸，其中一位同仁对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609);

3) 该主机被植入臭名昭著的Poison Ivy远端控制工具，并开始自C&C中继站下载指令进行任务;

4) 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;

5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹。

暗鼠攻击

2011年8月份，McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，渗透并攻击了全球多达70个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司，等等。

其攻击过程如下：

1) 攻击者通过社会工程学的方法收集被攻击目标的信息。

2) 攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议，以他同事或者HR部门的名义告知他更新通讯录，请他审阅某个真实存在的项目的预算，等等。

3) 当受害人打开这些邮件，查看附件(大部分形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls)，受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用，从而被植入木马。实际上，该漏洞不是0day漏洞，但是受害人没有及时打补丁，并且，该漏洞只针对某些版本的EXCEL有效，可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。

4) 木马开始跟远程的服务器进行连接，并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片，或者HTML文件)，不为安全设备所识别。

5) 借助恶意代码，受害人机器与远程计算机建立了远程Shell连接，从而导致攻击者可以任意控制受害人的机器。

Lurid攻击

2011年9月22日，TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门，还有科研机构APT攻击——Lurid攻击。

攻击者的主要是利用了CVE-2009-4324和 CVE-2010-2883这两个已知的Adobe Reader漏洞，以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。

用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序，就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中，并与C&C服务器进行通讯，收集的信息通常通过HTTP POST上传给C&C服务器。攻击者借助C&C服务器对木马下达各种指令，不断收集受害企业的敏感信息。

Nitro攻击

2011年10月底，Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。

APT攻击之Nitro攻击

该攻击的过程也十分典型：

1) 受害企业的部分雇员收到带有欺骗性的邮件;

2) 当受害人阅读邮件的时候，往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件，而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件，密码在邮件中注明，并且如果解压会产生一个可执行程序。

3) 只要受害人执行了附件中的可执行程序，就会被植入Poison Ivy后门程序。

4) Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯，将受害人的电脑上的信息上传，主要是帐号相关的文件信息。

5) 攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码，然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。

6) 所有的敏感信息会加密存储在网络中的一台临时服务器上，并最终上传到公司外部的某个服务器上，从而完成攻击。

Luckycat攻击

2012年3月份，TrendMicro发布的报告中披露了一个针对印度和日本的航空航天、军队、能源等单位进行长时间的渗透和刺探的攻击行动，并命名为Luckycat。

根据报告显示，这次攻击行动依然是通过钓鱼邮件开始的，例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对 pdf/rtf的漏洞，包括CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE- 2011-0611，CVE-2011-2462等。渗透进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS域名。

全球最危险的十大APT攻击事件

一、丰收行动

2016年7月，东巽科技2046Lab捕获到一例疑似木马的样本，该木马样本伪装成Word文档，实为包含CVE-2015-1641（Word类型混淆漏洞）漏洞利用的RTF格式文档，以邮件附件的形式发给攻击目标，发动鱼叉式攻击。将文件提交到多引擎杀毒平台，发现54款杀毒软件仅8款可以检出威胁，说明攻击者对木马做了大量的免杀处理。随后，2046Lab研究人员对样本进行了深入的人工分析，发现其C&C服务器依然存活，于是对其进行了跟踪溯源和样本同源分析，又发现了其他两处C&C服务器和更多样本。

从溯源和关联分析来看，种种迹象表明，该样本源于南亚某国隐匿组织的APT攻击，目标以巴基斯坦、中国等国家的科研院所、军事院校和外交官员为主，通过窃取文件的方式获取与军事相关情报。由于样本的通信密码含有“January14”关键词，这一天正好是南亚某国盛行的“丰收节”，故把该APT事件命名为“丰收行动”。

二、摩诃草事件

摩诃草组织（APT-C-09），又称 HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一个来自于南亚地区的境外 APT 组织，该组织已持续活跃了 7 年。摩诃草组织最早由 Norman 安全公司于 2013 年曝光，随后又有其他安全厂商持续追踪并披露该组织的最新活动，但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击，相反从 2015年开始更加活跃。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动，其中以窃取敏感信息为主。相关攻击活动最早可以追溯到 2009 年 11 月，至今还非常活跃。在针对中国地区的攻击中，该组织主要针对政府机构、科研教育领域进行攻击，其中以科研教育领域为主。

本次攻击行动也安全厂商被称为“Patchwork”或“The Dropping Elephant”，从 2015 年初开始持续至今的攻击，其中从 2015 年 8 月开始至 2016 年 6 月攻击非常频繁。本次行动的攻击目标主要是中国地区，期间使用了大量文档型漏洞，以 CVE-2014-4114 使用最多。我们主要通过本次攻击行动中 C&C 的 SOA 关联到第一次攻击行动中相关 C&C 历史域名注册人，由于 SOA 本身可以被 DNS 管理者修改，所以存在被刻意修改的可能性，但从我们的分析推断来看这种可能性很低，另外结合相关行动意图和幕后组织的发起方，我们更倾向本次攻击行动属于摩诃草组织的最新一次攻击行动。在本报告后续章节的研究分析，会将本次攻击行动作为摩诃草组织的第四次攻击行动进行描述。

三、蔓灵花行动

美国网络安全公司Forcepoint 近期发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的AndroRAT，意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关，而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。

从恶意样本的时间戳来看，国外样本最早出现在2013年11月，样本编译时间集中出现在2015年7月至2016年9月期间。

国内感染用户的样本的编译时间集中在2016年5月到9月期间，其网络活动的活跃时间集中在9月份，其CC至今依然存活。

主要受影响单位：中国某国家部委、中国某工业集团、中国某电力单位。

四、 MONSOON事件

2016年8月，Forcepoint 发布了一个APT攻击的追踪报告。该报告由Forcepoint安全实验室特别调查小组长期独立追踪完成。该调查小组隶属于Forcepoint安全实验室，由优秀的恶意软件逆向工程师和分析师组成，其职责是专门深入研究僵尸网络和APT攻击。他们与全球众多值得信赖的机构协作，以提供切实可见的决策为宗旨，向大众、客户以及合作伙伴等利益相关者传递相关信息，针对网络安全问题，警醒全球用户。此次APT事件来自印度的针对中国和南亚国家。

六、白俄罗斯军事通讯社事件

最近，互联网上出现一起针对白俄罗斯军事网站的渗透活动，攻击者通过电子邮件做为诱饵，在电子邮件的附件中嵌入漏洞利用的文档，在受害者打开文档后，文档中嵌入的shellcode得以执行，实现对目标系统的控制。在受害者重启计算机后，通过操作系统的启动项加载PE文件，进行后续的渗透攻击。从我们最初得到的email来看，攻击者针对是白俄罗斯共和国国防部武装部队军事通讯社进行的定向攻击。

攻击者第一步是向白俄罗斯共和国国防部武装部队军事通讯社发送邮件。邮件主题“Куда идёт Беларусь”翻译成中文是”白俄罗斯将何去何从？”

七、APT28 Roskosmos事件

2016年6月在DNC电脑系统中曾发现APT28的渗透痕迹，其实早在过去，网络安全公司火眼曾把APT28与2007年检测到的一起攻击联系起来，该起攻击的目标是格鲁吉亚、波兰、匈牙利、土耳其和波罗的海各国，以及欧洲安全合作组织(OSCE)。而现在更有研究指出该组织一直将注意力转移到世界反兴奋剂(WADA)等西方政府或军事机构，而这次他们使用了新型木马Komplex来感染苹果系统设备。

在过去一些分析中认为APT28主要依赖3种不同的攻击途径来感染他们的目标：用恶意Word和Excel文档作为附件的钓鱼邮件，钓鱼网站，会导致Java和Flash 0-day漏洞的恶意iFrame代码。在过去的两年中出现了许多活跃的黑客组织，比如APT28、Sofacy、Pawn Storms、Fancy Bear以及Sednit等。

而在近期美国民主党委员会遭到网络攻击一事中，英国伦敦国王学院的教授Thomas Rid曾就此事件写了一篇最权威的文章，列出所有迹象和证据表明俄罗斯政府就是DNC网络攻击背后的黑手，而后经过调查，美国安全公司CrowdStrike已经确认，第一起攻击其网络的时间为2015年，第二个黑客组织于2016年发起攻击，而在这种就发现该组织痕迹。然而恶意软件Komplex是如何快速感染目标用户？其实方法也不是很复杂，主要是通过钓鱼邮件的方式，引诱不知情的用户感染木马病毒，伪装的信息一般是俄罗斯即将推出的太空计划或最新项目，而这些会有多少人不感兴趣，于是感染的用户越来越多。

八、Patchwork 事件

最近，一个与东南亚和中国南海问题相关的APT攻击被发现，该APT攻击以包括美国在内的各国政府和公司为目标。经安全专家分析，该APT攻击所使用的全部工具代码都是通过复制-粘贴互联网公开代码组合而成，相对于其它APT特有的攻击工具而言，比较独特。

该APT攻击于今年5月在针对欧洲政府部门的一起钓鱼活动中被发现，攻击目标为一个中国政策研究机构的工作人员，其以PPT文档为诱饵发起网络攻击，文档内容为中国在南海的一系列活动。

Patchwork现如今的攻击目标有了极大范围的扩展，不过主要还是针对公共部门和企业。近期Patchwork的一些攻击针对的行业包括：航空、广播、能源、金融、非政府组织、制药、公有企业、出版、软件。

攻击目标的地理位置则也扩展到了美国之外，虽然大约有半数攻击仍然针对美国，但其余攻击针对的国家地区则相对已经比较分散了，包括中国、日本、东南亚、英国等。而其攻击方式看来并没有太大变化，仍然是向目标发出时事新闻邮件。邮件中会包含攻击者的网站链接，这些网站的内容主要都是中国相关。

九、BlackEnergy

去年年底的时候，一波网络攻击的其中几个部分经鉴定是针对乌克兰的。而对这些攻击比较广泛的说法是，此次攻击是著名的BlackEnergy木马并且增加了一些新的模块。

BlackEnergy木马是著名的黑客Cr4sh创造的。在2007年，他声称不再开发这款木马，并且卖出木马的源码，估价在$700。刚开始，在2008年它被一些黑客们用来针对格鲁吉亚进行DDOS攻击。这些不知名的黑客在随后的几年里持续进行DDOS攻击。

大概在2014年，一个特别的BlackEnergy组织开始引起大家的注意，他们开发了监测控制和数据采集类的插件来威胁ICS并且在全世界范围都非常活跃。这显示出BlackEnergy还存在的一些特别的能力，不仅仅局限于DDOS攻击。因此，我们称他们为BlackEnergy APT组织。

这些组织的其中的一个APT攻击的目标就是乌克兰。自从2015年中期开始，乌克兰就开始存在通过Excel宏病毒进行BlackEnergy攻击，如果用户打开此类文档脚本就会释放木马至本地硬盘。

最近，我们发现了一种新型的针对乌克兰的BlackEnergy APT文档类攻击。不像以前采用Excel工作簿进行攻击，此次采用的是Word文档。该文档通过提及乌克兰“Right Sector”反对派政府来达到迷惑的效果。

十、SWIFT系统攻击事件

2016年2月孟加拉国央行被黑客攻击导致8100万美元被窃取的事件被曝光后，如越南先锋银行、厄瓜多尔银行等，针对银行SWIFT系统的其他网络攻击事件逐一被公开。

在分析孟加拉国央行和越南先锋银行攻击事件期间，我们发现近期曝光的这4起针对银行的攻击事件并非孤立的，而很有可能是由一个组织或多个组织协同发动的不同攻击行动。

另外通过对恶意代码同源性分析，我们可以确定本次针对孟加拉国央行和越南先锋银行的相关恶意代码与Lazarus组织（APT-C-26）有关联，但我们不确定幕后的攻击组织是Lazarus组织（APT-C-26）。

该部分来源于：>

阿里聚安全

阿里聚安全（http://jaq.alibaba.com）由阿里巴巴安全部出品，面向企业和开发者提供互联网业务安全解决方案，全面覆盖移动安全、数据风控、内容安全等维度，并在业界率先提出“以业务为中心的安全”，赋能生态，与行业共享阿里巴巴集团多年沉淀的专业安全能力。