歌者之眼： 国内APT事例揭秘 奇虎360 胡星儒 报告提纲 概述 事例揭秘 组织分析 经验想法 什么是APT 一些关键词 Spear Phishing （鱼叉式钓鱼攻击） Cybersecurity （网络空间安全） Targeted Malicious Email （针对性恶意邮件） Advanced Targeted Attacks （高级针对性攻击） Threat Intelligence （威胁情报） Advanced Persistent Threats （高级持续性威胁） Cyber Espionage （网络间谍） Remote Access Trojan （远程访问木马） Watering Hole （水坑式攻击） Indicators of Compromise （威胁指标） Targeted Attacks （针对性攻击、定向攻击） 什么是APT 一些数据统计 公开报告数量 120 100 80 60 数量 40 20 0 2008 2009 2010 2011 2012 2013 2014 2015 注：相关数据基于第三方公开资源APTnotes，https://github.com/kbandla/APTnotes 一些数据统计 攻击方式 8% 10% 55% 27% 鱼叉邮件 水坑 其他 未知 注：相关数据基于第三方公开资源APTnotes，https://github.com/kbandla/APTnotes 一些数据统计 漏洞数量 18% 27% 利用漏洞 47% 没有利用漏洞 CVE 0day 未知 26% 82% 注：相关数据基于第三方公开资源APTnotes，https://github.com/kbandla/APTnotes 报告提纲 概述 事例揭秘 组织分析 经验想法 监控并发现的APT APT活动 境内感染量 首次发现时间 最近发现时间 影响省份数 影响行业 感染方式 APT-C-00 1047 2012/4 2015/5/22 30 政府、海洋、海事 鱼叉邮件、水坑 APT-C-01 235 2014/2/15 2015/4/5 28 政府 鱼叉邮件 APT-C-04 17 2014/4/3 2014/6/29 3 科研、教育 鱼叉邮件 APT-C-02 180 2014/8/1 2015/4/14 9 教育 鱼叉邮件 APT-C-03 5 2014/11/3 2014/12/15 2 非政府组织 鱼叉邮件 APT-C-05 12 2015/2/12 2015/3/24 3 政府 鱼叉邮件 APT-C-06 4 2015/2/24 2015/3/7 3 科研 鱼叉邮件 监控到第三方披露的 APT活动 境内感染量 首次发现时间 最近发现时间 影响省份数 影响行业 感染方式 Desert_Falcon 3 2014/4/30 2015/3/3 3 教育 鱼叉邮件、水坑 GDATA_TooHash 4 2014/6/1 2014/8/31 3 科研 鱼叉邮件 Darkhotel 334 2014/6/1 2015/3/19 29 教育、能源、电信 DarkSeoul 4 2014/6/5 2015/1/5 3 电信 鱼叉邮件、网络层 劫持 鱼叉邮件 Epic Turla 14 2014/6/12 2015/3/21 6 科研、教育 鱼叉邮件 NGO_Attack 6 2014/6/18 2015/3/13 6 非政府组织 鱼叉邮件 Dragonfly 2 2014/7/15 2014/8/19 1 能源 鱼叉邮件、水坑 APT28 1 2014/8/7 2014/8/7 1 鱼叉邮件 Anunak 383 2014/9/28 2015/3/26 26 CARETO 1 2014/10/28 2014/10/28 1 航空 金融、电信、政府 科研 政府 XSLCmd_OSX 1 2014/10/30 2014/10/30 1 金融 鱼叉邮件 Waterbug 1 2014/12/31 2014/12/31 1 政府 鱼叉邮件、水坑 Snake 1 2015/2/15 2015/2/15 1 金融 U盘 Equation 1 2015/4/16 2015/4/16 1 军工 U盘 鱼叉邮件 鱼叉邮件 回顾5月海莲花 抛砖引玉 由海莲花的攻击方式展开 国内APT事例揭秘 两个典型实例 H组织 • 2011年-2015年，持续4年 • 针对中国等其他国家 • 涉及政府、科研等领域 B组织 • 2007年-2015年，持续8年 • 只针对中国，涉及31个省级行政区 • 涉及政府、国防、科研、教育等领域 H组织概述 5月阶段性分析情况 描述项 具体内容 攻击时间 2014年-2015年5月 漏洞利用情况 无 是否利用0day漏洞 无 针对的国家 中国 关注的行业 政府、科研 RAT种类 4 RAT主流类型的种类 无 C&C是否有动态域名 无 意外乊旅 新组织？已知组织？ 1、传输压缩算法 接收数据（参数相似） 2、对抗（分析工具） 3、C&C选择方式 4、接收数据（参数相似） 随机选择C&C的方式 对抗手法（结构不同） 意外乊旅 答案：H组织涉及行动中的历史样本 后门代码 结构相似 扩大战果 基于H组织样本的主动发掘 共用0day 追本溯源 H组织同源样本发现过程 捆绑类： 1、捆绑国内某款办公应用程序 2、捆绑国外某款主流漏洞扫描器 发现H组织 （5月阶段性分析） HTA-A类，HTA-B类 漏洞文档类 未知RAT 横向移动 未知攻击载体-pri类 未知攻击载体-intelwifi类 0day漏洞-未知RAT 0day漏洞-gh0st类 能力背后 海量情报数据 全球唯一的主防库 • 覆盖5亿客户端 • 总日志数50000亿条 • 每天新增100亿 全球独有的样本库 • 总样本95亿 • 每天新增900万 最大的中文漏洞库 • 总漏洞数超过40万 • 每天新增达500个 360云端 最大的存活网址库 • 每天查询300亿条 • 每天处理100亿条 • 覆盖国内96%客户端 互联网域名信息库 • 50亿递归解析 • 每天新增100万 H组织回顾 样本汇总（5月后补充） 按载体和特性划分 按功能划分（后门类型） 未知攻击载体1（Intel Wifi类） Fake Tools 0day漏洞-未知RAT 未知RAT 0day漏洞-gh0st类 Gh0st修改版 未知攻击载体2（PRI类） 捆绑可信应用类 文档漏洞类 plutonium HTA类（类型1） HTA类（类型2） H-窃密-A类 2015未知RAT类 H-窃密-A类（5月） 未知RAT