2017年APT攻击技术呈现五大趋势

360威胁情报中心发布《2017中国高级持续性威胁（APT）研究报告》称，2017年的APT攻击呈现五大趋势，包括Office 0day漏洞成焦点、恶意代码复杂性的显著增强、移动端的安全问题日益凸显、针对金融行业的攻击手段多样化，以及APT已经影响到每一个人的生活。

360威胁情报中心每年均发布《中国高级持续性威胁（APT）研究报告》，对中国和全球的APT攻击进行了深入的研究，目前已连续发布3年，成为国内最有影响力的APT年度报告。

一、OFFICE 0day漏洞成焦点

Office漏洞的利用，一直APT组织攻击的重要手段。2017年中，先后又有多个高危的Office漏洞被曝出，其中很大一部分已经被APT组织所使用。Office 0day漏洞已经成为APT组织关注的焦点。

下表给出了2017年新披露的部分Office漏洞及其被APT组织利用的情况。

CVE编号	漏洞类型	披露厂商	0day利用情况	Nday利用情况
CVE-2017-0261	EPS中的UAF漏洞	FireEye	被Turla和某APT组织利用	摩诃草
CVE-2017-0262	EPS中的类型混淆漏洞	FireEye，ESET	APT28	不详
CVE-2017-0199	OLE对象中的逻辑漏洞	FireEye	被多次利用	被多次利用
CVE-2017-8570	OLE对象中的逻辑漏洞 (CVE-2017-0199的补丁绕过)	McAfee	无	不详
CVE-2017-8759	.NET Framework中的逻辑漏洞	FireEye	被多次利用	被多次利用
CVE-2017-11292	Adobe Flash Player类型混淆漏洞	Kaspersky	BlackOasis	APT28
CVE-2017-11882	公式编辑器中的栈溢出漏洞	embedi	无	Cobalt，APT34
CVE-2017-11826	OOXML解析器类型混淆漏洞	奇虎360	被某APT组织利用	不详

表5 Office 0day漏洞

我们还注意到APT28、APT34、摩诃草等组织利用了多个Nday。所以，及时更新补丁还是非常重要的。未来除了新的0day之外，像CVE-2017-11882，CVE-2017-0199，CVE-2017-8759等原理简单，易于构造，触发稳定的漏洞将会成为APT组织的首选。

二、恶意代码复杂性的显著增强

2017年，在高级攻击领域，听到最多的一个病毒不是WannaCry，而是FinSpy（又名FinFisher或WingBird）。CVE-2017-0199、CVE-2017-8759、CVE-2017-11292等多个漏洞都被用来投递FinSpy。FinSpy的代码经过了多层虚拟机保护，并且还有反调试和反虚拟机等功能，复杂程度可见一斑。此外，在2017年，海莲花专用木马的复杂性和对抗性也都明显增强。

此外，海莲花、APT34等组织都采用了DGA算法来逃避检测。目前来看，使用机器学习的方法对其进行检测还是一个不错的方法。

三、移动端的安全问题日益凸显

传统的APT行动主要是针对Windows系统进行攻击，而现今由于Android和iOS的发展带动了智能终端用户量的上升，从而导致黑客组织的攻击目标也逐渐转向移动端。对于移动平台来说，持久化和隐藏的间谍软件是一个被低估的问题。尽管移动设备上的网络间谍活动与台式机或个人电脑中的网络间谍活动相比可能少得多，攻击方式也不太一样，但它们确实发生了，而且可能比我们认为的更活跃。

2017年，iOS9.3.5更新修补了三个安全漏洞，即三叉戟漏洞，随后Citizen Lab发布文章指出这三个0day被用于针对特殊目标远程植入后门。