全球高级持续性威胁（APT）2019年报告.pdfVIP

序 言 过去的一年，在网络威胁（Cyber Threat）领域度过了颇为不平静的 一年。网络威胁和攻击似乎更为广泛的应用于地缘政治和军事冲突之下， 其作为除了军事打击之外更为有效的手段。通常，实行军事行动或军事打 击，往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素， 而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。 网络行动（CNO）在美国军事领域被视为信息作战的核心能力之一，其 由网络攻击（CNA）、网络防御（CND）和网络利用（CNE）组成。过去我们 讨论的更多的APT 威胁都属于CNE 范畴，其主要的意图在于收集目标系统 或网络的情报数据并加以利用。因此，持久化和隐匿性是实施CNE 的重要 基础。 而CNA 的主要目的在于干扰（Disrupt）、拒绝（Deny）、降级（Degrade）、 破坏（Destroy）目标的设施、设备、网络甚至数据信息。当下像政务系统、 电力能源、医疗、工业制造等具备更高的信息化和智能化，导致一旦出现 网络攻击，其不仅仅是面临财产的损失，而且对社会和民生造成极大的影 响。由于CNA 所造成的影响和现象是明显的，其类似于现代军事行动具备 在较短时间范围就能达到行动目标，而实施CNA 的基础则在于对潜在目标 的了解程度和网络武器的装备化，所以其往往依赖于历史的网络利用活动， 或是结合网络利用。像震网事件、乌克兰停电事件、WannaCry 爆发都是较 为典型的网络攻击的形态。 过去，我们在分析、发现、识别和跟踪网络攻击和利用活动时，不仅 关注于攻击的战术技术特点，以及总结和归纳其攻击来源和攻击组织的手 法和变化，从而提高对对手的了解程度以及研究APT 威胁的趋势。结合过 去我们对APT 威胁的研究基础，APT 威胁正在变得更加复杂化，其不光体 现在对手的策略和能力的提升，而且更加注重对自身的操作安全（OPSEC）， 通过隐藏、伪装、误导、模仿的方式减少留下自身的行为指纹，对APT 威 胁的归因分析带来挑战。APT 组织寻求更高维度的攻击链路，包括对广域 网的流量劫持，基础设施劫持，供应链攻击等等，导致对于APT 威胁分析 依赖于更广维度的数据来源和元数据类型。 我们在每次全球高级持续性威胁的研究总结报告中对近一年内全球 APT 威胁活动和APT 研究成果的分析和总结，并提出我们对APT 威胁的变 化趋势的看法。也寄希望于对业内的APT 研究和防御提供一些基础性思路。 概 要 结合2019 年全年高级持续性威胁活动情况来看，我们认为近一年来 高级威胁活动呈现出如下的趋势。  2019 年，奇安信威胁情报中心收录了高级威胁类公开报告总共 596 篇，其中涉及了136 个命名的攻击组织或攻击行动，被认为活跃在东 亚半岛范围的3 个APT 组织被披露的频率最高。政府、防务行业的目 标依然是APT 威胁的主要目标，而不可忽视的是，能源和通信行业也 已经成为APT 威胁的重要针对对象。  在此次报告中，我们依然围绕地缘特征总结了6 大地区总共22 个APT 组织在近一年的攻击活动情况以及使用的主要攻击工具。按照地缘特 征划分来研究APT 威胁活动：一方面是因为按地域划分下其通常拥有 较为相似的地缘政治因素，导致APT 活动和APT 组织的意图和动机具 备相似性和可比性；另一方面也是为了在归因困难和攻击TTP 出现重 叠的情况下，对同一地域范围的威胁活动进行类比分析。  在报告中，我们也从行业视角分析了针对金融、能源和电信行业在 2019 年面临的高级威胁问题，并且总结了一年来主要的攻击组织和 攻击活动。我们也认为未来 APT 类威胁活动可能会更多的扩展到金 融、能源和电信行业，并且更具有针对性。  在文中我们也总结了全年公开披露的在野0day 攻击情况，无论从披 露的在野漏洞攻击案例还是利用0day 漏洞的攻击组织数量都较去年 有所增长。在漏洞类型上，未发现公开披露新的文档类 0day 漏洞案 例，而针对PC 和移动终端的浏览器的完整漏洞利用链数量大大增加。  我们在此次的报告中也讨论了网络攻击造成的破坏性影响以及疑似 网络战相关的活动，我们也认为网络攻击破坏活动相对于军事行动来 说，