微信号:linuxprobe

介绍:专注于Linux运维技术培训,让您学习的每节课都有所收获,订阅本号后可每天获得最新运维行业资讯、最实用的Linux免费教程以及独家Linux考证资料,三十多万技术小伙伴的选择,Linux就该这么学!

这53个黑客组织竟敢攻击政府和国防

2019-02-03 11:00 Linux就该这么学


近日,一波黑客干了一票大的,直接将德国政界人士、记者和大批名人一锅端,这些有头有脸人物的个人信息被放在 Twitter 上供众人“欣赏”,其中就包括德国总理默克尔。

你以为这些黑客已经足够大胆,敢正面刚上政界人员和知名人士?

不,他们可能还是小儿科,有一些更加胆大包天的黑客在过去一年中冲击着 79 个国家核地区的 政府、外交、军队和国防,对,编辑说的就是高级持续性威胁(APT)。

除了这些传统目标,雷锋网(公众号:雷锋网)还了解到,能源、电力、医疗、工业等国家基础设施性行业也正面临着 APT 攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁,如 MageCart、Cobalt Group 等等,其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击,这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外,电子商务、在线零售等也是其攻击目标。

最近,雷锋网从 360 威胁情报中心发布的《全球高级持续性威胁(APT)2018 年报告》(以下简称报告)中,还发现了更多的料。

1. 高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域

中国并不是这些黑客的唯一目标,你可以看到,韩国、中东、美国等兄弟的日子也不好过。

2. 胆大包天的黑客组织还挺多,有名有姓的就有 53 个

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称,并对同一背景来源进行归类处理后的统计情况如下,总共涉及 109 个命名的威胁来源命名。基于全年公开披露报告的数量统计,一定程度可以反映威胁攻击的活跃程度。

从上述威胁来源命名中,360 威胁情报中心认为,明确的 APT 组织数量有 53 个。

其中,明确的针对中国境内实施攻击活动的,并且依旧活跃的公开 APT 组织,包括海莲花、摩诃草、蔓灵花、Darkhotel、Group 123、毒云藤和蓝宝菇。

3.手段更多样,丧心病狂地利用在野漏洞

文档投放的形式多样化

在过去的 APT 威胁或者网络攻击活动中,利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式,通常投放的文档大多为 Office 文档类型,如 doc、docx,xls,xlsx。

针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷,例如针对韩国人员投放 HWP 文档,针对巴基斯坦地区投放 InPage 文档,或者针对工程建筑行业人员投放恶意的 AutoCAD 文档等等。

利用文件格式的限制

APT 攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以 LNK 文件为例,LNK 文件显示的目标执行路径仅 260 个字节,多余的字符将被截断,可以直接查看 LNK 文件执行的命令。

而在跟踪蓝宝菇的攻击活动中,该组织投放的 LNK 文件在目标路径字符串前面填充了大量的空字符,直接查看无法明确其执行的内容,需要解析 LNK 文件结构获取。

利用新的系统文件格式特性

2018 年 6 月,国外安全研究人员公开了利用 Windows 10 下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧,并公开了 POC。而该新型攻击方式被公开后就立刻被黑客和 APT 组织纳入攻击武器库用于针对性攻击,并衍生出各种利用方式:诱导执行、利用 Office 文档执行、利用 PDF 文档执行。

利用旧的技术实现攻击

一些被认为陈旧而古老的文档特性可以被实现并用于攻击,360 威胁情报中心在下半年就针对利用 Excel 4.0 宏传播商业远控木马的在野攻击样本进行了分析。

该技术最早是于 2018 年 10 月 6 日由国外安全厂商 Outflank 的安全研究人员首次公开,并展示了使用 Excel 4.0 宏执行 ShellCode 的利用代码。Excel 4.0 宏是一个很古老的宏技术,微软在后续使用 VBA 替换了该特性,但从利用效果和隐蔽性上依然能够达到不错的效果。

从上述总结的多样化的攻击投放方式来看,攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节,从而逃避或绕过检测。

0day 漏洞和在野利用攻击

0day 漏洞一直是作为 APT 组织实施攻击所依赖的技术制高点,在这里我们回顾下 2018 年下半年主要的 0day 漏洞和相关 APT 组织使用 0day 漏洞实施的在野利用攻击活动。

所谓 0day 漏洞的在野利用,一般是攻击活动被捕获时,发现其利用了某些 0day 漏洞(攻击活动与攻击样本分析本身也是 0day 漏洞发现的重要方法之一)。而在有能力挖掘和利用 0day 漏洞的组织中,APT 组织首当其冲。

在 2018 年全球各安全机构发布的 APT 研究报告中,0day 漏洞的在野利用成为安全圈最为关注的焦点之一。其中,仅 2018 年下半年,被安全机构披露的,被 APT 组织利用的 0day 漏洞就不少于 8 个。

4.新的一年,它们还可能演变成这样:

从 2018 年的 APT 威胁态势来看,360 威胁情报中心推测,APT 威胁活动的演变趋势可能包括如下:

1)APT 组织可能发展成更加明确的组织化特点,例如小组化,各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的,但其整体可能共享部分攻击代码或资源。

2)APT 组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具,对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

3)APT 组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构,随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点,以及其可能面临的供应链攻击。

4)APT 组织进一步加强 0day 漏洞能力的储备,并且可能覆盖多个平台,包括 PC,服务器,移动终端,路由器,甚至工控设备等。

让您学习到的每一节课都有所收获

《Linux就该这么学》是一本由资深运维专家刘遄老师及国内多名红帽架构师(RHCA)基于最新RHEL7系统共同编写的高质量Linux技术自学教程,极其适合用于Linux技术入门教程或讲课辅助教材。荣获双11、双12购物狂欢节IT品类书籍销量冠军,2017年、2018年国内读者增速最快的技术书籍,您可以在京东、当当、亚马逊及天猫搜索书名后购买,亦可加刘遄老师微信交流学习(手指按住下图3秒钟即可自动扫描)~


刘遄老师QQ:5604215

☀ Linux技术交流群:560843新群,火热加群中……

☀ 官方站点:www.linuxprobe.com

☀ 书籍在线学习(电脑在线阅读效果更佳

http://www.linuxprobe.com/chapter-00.html

《Linux就该这么学》是一本基于最新Linux系统编写,面向零基础读者的技术书籍。从Linux基础知识讲起,然后渐进式地提高内容难度,详细讲解Linux系统中各种服务的工作原理和配置方式,以匹配真实生产环境对运维人员的要求,突显内容的实用性。想要学习Linux系统的读者可以点击"阅读原文"按钮了解这本书,同时这本书也适合专业的运维人员阅读,作为一本非常有参考价值的工具书!

 
Linux就该这么学 更多文章 教你如何在CentOS 6.5下部署Open-Falcon监控系统 Linux中Postfix邮件原理介绍(一) 我是怎样和Linux系统结缘并通过红帽RHCE认证的 Linux中Postfix邮件安装配置(二) Linux中Postfix邮件发送配置(三)
猜您喜欢 IT从业者减肥指南——上 20种 IT 职业明年将大幅涨薪 “数据科学”相关占三分之一 Docker会是改变世界的那只“箱子”吗? Spark Streaming 和 Kafka Stream比较,哪个更适合你 浪曦狂欢夜——年轻人专属的活力四射