0x00 OceanLotus概述

---

2012年4月起至今，某境外駭客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。該組織主要透過魚叉攻擊和水坑攻擊等方法，配合多種社會工程學手段進行滲透，向境內特定目標人群傳播特種木馬程式，秘密控制部分政府人員、外包商和行業專家的電腦系統，竊取系統中相關領域的機密資料。

根據該組織的某些攻擊特點，我們將其命名為OceanLotus。

目前已經捕獲的與OceanLotus相關的第一個特種木馬出現在2012年4月。在此後的3年中，我們又先後捕獲了與該組織相關的4種不同形態的特種木馬程式樣本100餘個，這些木馬的感染者遍佈國內29個省級行政區和境外的36個國家。此外，為了隱蔽行蹤，該組織還至少先後在6個國家註冊了用於遠端控制被感染者的C2（也稱C&C，是Command and Control的縮寫）伺服器域名35個，相關伺服器IP地址19個，伺服器分佈在全球13個以上的不同國家。

從OceanLotus發動攻擊的歷史來看，以下時間點和重大事件最值得關注：

1. 2012年4月，首次發現與該組織相關的木馬。OceanLotus組織的滲透攻擊就此開始。但在此後的兩年左右時間裡，OceanLotus並不活躍。
2. 2014年2月，OceanLotus開始透過魚叉攻擊的方法對我們國內目標發起定向攻擊，OceanLotus進入活躍期，並在此後的14個月內對我國多個目標發動了不間斷的持續攻擊。
3. 2014年5月，OceanLotus對國內某權威海洋研究機構發動大規模魚叉攻擊，並形成了過去14個月中魚叉攻擊的最高峰。
4. 同樣是在2014年5月，OceanLotus還對國內某海洋建設機構的官方網站進行了篡改和掛馬，形成了第一輪規模較大的水坑攻擊。
5. 2014年6月，OceanLotus開始大量向中國漁業資源相關機構團體發魚叉攻擊。
6. 2014年9月，OceanLotus針對於中國海域建設相關行業發起水坑攻擊，形成了第二輪大規模水坑攻擊。
7. 2014年11月，OceanLotus開始將原有特種木馬大規模的更換為一種更具攻擊性和隱蔽性的雲控木馬，並繼續對我國境內目標發動攻擊。
8. 2015年1月19日，OceanLotus針對中國政府某海事機構網站進行掛馬攻擊，第三輪大規模水坑攻擊形成。
9. 2015年3月至今，OceanLotus針對更多中國政府直屬機構發起攻擊。

透過對OceanLotus組織數年活動情況的跟蹤與取證，我們已經確認了大量的受害者。下圖為2014年2月至今，全球每月感染OceanLotus特種木馬的電腦數量趨勢分佈。

從地域分佈上看，OceanLotus特種木馬的境內感染者佔全球感染總量的92.3%。而在境內感染者中，北京地區最多，佔22.7%，天津次之，為15.5%。

下圖為境內OceanLotus特種木馬感染者數量地域分佈圖。

技術分析顯示，初期的OceanLotus特種木馬技術並不複雜，比較容易發現和查殺。但到了2014年以後，OceanLotus特種木馬開始採用包括檔案偽裝、隨機加密和自我銷燬等一系列複雜的攻擊技術與安全軟體進行對抗，查殺和捕捉的難度大大增加。而到了2014年11月以後，OceanLotus特種木馬開始轉向雲控技術，攻擊的危險性、不確定性與木馬識別查殺的難度都大大增強。

綜合來看，OceanLotus組織的攻擊週期之長（持續3年以上）、攻擊目標之明確、攻擊技術之複雜、社工手段之精準，都說明該組織絕非一般的民間駭客組織，而很有可能是具有國外政府支援背景的、高度組織化的、專業化的境外國家級駭客組織。

0x01 OceanLotus攻擊手法

---

1. 攻擊手法概述

---

OceanLotus主要使用兩類攻擊手法，一類是魚叉攻擊，一類是水坑攻擊。

魚叉攻擊（Spear Phishing）是針對特定組織的網路欺詐行為，目的是不透過授權訪問機密資料，最常見的方法是將木馬程式作為電子郵件的附件傳送給特定的攻擊目標，並誘使目標開啟附件。

水坑攻擊（Water Holing）是指駭客透過分析攻擊目標的網路活動規律，尋找攻擊目標經常訪問的網站的弱點，先攻下該網站並植入攻擊程式碼，等待攻擊目標訪問該網站時實施攻擊。

下圖給出了OceanLotus使用魚叉攻擊和水坑攻擊的基本方法。

從目前受害者遭到攻擊的情況看，魚叉攻擊佔58.6%，水坑攻擊佔41.4%。

下圖給出了因魚叉攻擊或水坑攻擊而感染OceanLotus特種木馬的電腦數量歷史分佈。從圖中可以看出，魚叉攻擊的最高峰出現在2014年5月，而水坑攻擊的最高峰出現在2015年1月。此外，2014年5月和2014年9月也是兩個水坑攻擊的高峰期。

2. 魚叉攻擊

---

OceanLotus組織會非常有針對性地挑選目標機構，並收集目標機構人員的郵箱資訊，再透過向這些郵箱中投遞惡意郵件實現定向攻擊。當受害者不小心點選執行郵件附件後，電腦就會感染OceanLotus特種木馬，木馬與C2伺服器相連線後，使用者系統由此就落入OceanLotus組織的控制網路中。監測顯示，從2014年2月至今，OceanLotus的魚叉攻擊始終沒有停止，每個月都有新的受害者增加。

在OceanLotus用於進行魚叉攻擊的郵件中（以下簡稱“魚叉郵件”），附件通常是使用Microsoft Word程式圖示的.exe可執行檔案，為了提高攻擊的成功率，攻擊者通常會採用當前熱點事件或關乎使用者自身利益的話題為檔名，甚至有的檔名與所攻擊的目標機構看起來有密切關聯，形成非常顯著的定向APT攻擊的特徵。以下是兩個具體的例子：

新疆烏魯木齊暴恐事件相關魚叉郵件 2014年5月22日，中國新疆烏魯木齊發生了暴恐事件。而5月28日，我們就捕獲到了一個名為“最新新疆暴動照片與信.jpg.exe”的釣魚檔案透過電子郵箱進行傳送。

公務員工資改革相關內容魚叉郵件 2014年至2015年間，中國政府出臺了《公務員工資改革新方案》，該方案直接影響政府機關從業人員。中國約有700多萬公務員，公務員工資改革很長一段時間內，是政府機關人員輿論的熱點話題。

2014年9月9日，我們截獲名為“工資制度以及特殊津貼.exe”的惡意郵件附件；2014年11月5日，我們又截獲名為“工資待遇政策的通知.exe”的惡意郵件附件。在此期間，還有其他類似的惡意郵件附件被截獲。而分析顯示，這些郵件全部為OceanLotus組織向政府工作人員投遞的魚叉郵件。

透過不間斷地對該組織的魚叉郵件進行跟蹤分析，據最近的統計資料顯示，OceanLotus組織最常使用的附件存在一定的規律：郵件內容和附件的命名與海洋相關企事業機構建設、海洋資源、中國的黨政機關、科研院所等密切關聯，部分檔案列表如下（有關機構名稱及敏感內容用“*”代替）：

相關檔名
關於國家***研究中心工程建設的函.exe
國家**局的緊急通報.exe
最新新疆暴動照片與資訊.jpg.exe
本週工作小結及下週工作計劃.exe
***廳關於印發《2014年***應急管理工作要點》的通知.exe
2015年1月12日下發的緊急通知.exe
商量好的合同.exe
***部關於開展2015年***調查工作的通知.exe

一些特種木馬的惡意樣本之所以會使用很長的檔名，一個重要的原因是利用Windows的檔名顯示機制使檔案字尾“.exe”不會自動被顯示出來。所以，對於絕大多數檔案接受者來說，即使電腦系統設定為顯示檔案字尾名，也很有可能因為檔名過長而使檔案字尾名不能正常顯示。

統計還顯示，OceanLotus發動的魚叉攻擊也具有很強的時間性和週期性。在一週7天中，工作日，即星期一至星期五截獲的魚叉攻擊數量較多，而週末截獲的魚叉攻擊數量則往往不及工作日的1/5。

3. 水坑攻擊

---

OceanLotus組織在設定水坑時，主要採用兩類方式：一是入侵與目標關的Web應用系統，替換正常檔案或引誘下載偽造的正常應用升級包，以實現在目標使用者系統上執行惡意程式碼的目的；二是入侵與目標相關的Web應用系統後，篡改其中連結，使其指向OceanLotus設定的惡意網址，並在指向的惡意網址上設定木馬下載連結。

為了避免暴露，OceanLotus發動水坑攻擊的持續週期一般很短，通常是在3-5天之內，幾天之後攻擊完成，OceanLotus就會將篡改的內容刪除或恢復，將設定的水坑陷阱填平。因此，通常來說，想要事後復原水坑攻擊的現場比較困難。 下面是透過技術手段恢復的兩個OceanLotus組織設定的典型水坑案例。

水坑A

OceanLotus組織首先透過滲透入侵的攻擊方式非法獲得某機構的文件交流伺服器的控制權，接著，在伺服器後臺對網站上的“即時通”和“證書驅動”兩款軟體的正常安裝檔案捆綁了自己的木馬程式，之後，當有使用者下載並安裝即時通或證書驅動軟體時，木馬就有機會得到執行。攻擊者還在被篡改的伺服器頁面中插入了惡意的指令碼程式碼，使用者訪問網站時，會彈出提示更新Flash軟體，但實際提供的是偽裝成Flash升級包的惡意程式，使用者如果不慎下載執行就會中招。

下圖為使用者訪問該水坑站點時，攻擊者的JS程式碼生成的提示使用者下載執行偽造Flash升級包的頁面。

該組織的專業之處還體現在，水坑攻擊會識別訪問來源的作業系統平臺，並根據客戶端返回的系統資訊，返回針對不同平臺的惡意程式碼。在Windows平臺下我們使用不同的瀏覽器訪問該頁面都會提示下載名為“install_flashplayer.exe”的更新檔案；當作業系統為Mac OS時，水坑則向Safari瀏覽器推送能在MAC OS環境中執行的惡意更新程式“install_flashplayer_mac.zip”。

水坑B

被入侵的網站是一個政府站點，主要面向海洋相關研究類人員、專家提供文獻下載、研究專案發稿和相關時事通告等功能。OceanLotus組織入侵網站以後修改了網站的程式，在使用者訪問公告資訊時會被重定向到一個攻擊者控制的網站，提示下載某個看起來是新聞的檔案，比如在新疆522暴恐事件的第二天網站就提示和暴恐事件相關的新聞，並提供“烏魯木齊7時50分發生爆炸致多人傷亡.rar”壓縮包給使用者下載，而該壓縮包檔案內含的就是OceanLotus組織的特種木馬。

在該政府網站上，當使用者點選某個通告連結時會提示檔案下載，如下圖：

提示框中的download.mail-attach.net為組織控制的伺服器，將下載的“烏魯木齊7時50分發生爆炸致多人傷亡.rar”壓縮包檔案解壓後，可以看到資料夾內包含顯示為JPG圖片圖示的exe可執行檔案。若此時目標使用者點選該檔案，系統就會被感染。如下為部分下載回來的檔案列表：

與此同時，在該伺服器水坑檔案同級目錄下還發現存放了部分用於魚叉攻擊的惡意程式碼，證實了這起水坑攻擊與之前提及的魚叉攻擊為同一組織發起。如下是部分檔案列表：

透過對該組織水坑式攻擊手法的跟蹤分析，發現該組織如果有機會入侵與目標相關的伺服器，就會盡可能替換伺服器上可能被下載的正常程式，誘騙使用者下載並執行偽造的應用升級包。

下表為部分水坑伺服器中出現的惡意檔案：

檔名 檔案MD5
install_flashplayer.exe 7e68371ba3a988ff88e0fb54e2507f0d
rtx.exe 0529b1d393f405bc2b2b33709dd57153
sinopec.exe 9fea62c042a8eda1d3f5ae54bad1e959
報表外掛安裝程式.exe    486bb089b22998ec2560afa59008eafa
USBDeview.exe   b778d0de33b66ffdaaf76ba01e7c5b7b
DSC00229.exe    53e5718adf6f5feb2e3bb3396a229ba8
install_flashplayer13x37.exe    d39edc7922054a0f14a5b000a28e3329
NetcaEKeyClient.exe 41bced8c65c5822d43cadad7d1dc49fd

從目前截獲OceanLotus發動的水坑攻擊的情況來看，每週的週一和週二感染者數量最多。分析認為，這可能是因為攻擊者認真研究了政府和科研機構等工作人員的上網習慣。由於水坑攻擊容易將組織資訊洩漏，因此，OceanLotus每發動一次水坑攻擊的週期一般都不會超過3天。而如果要使3天的攻擊更加有效，就需要考慮攻擊目標會在一週中的哪些天更容易訪問水坑網站。由於中國政府和研究機構的工作人員往往有在星期一、二登入辦公系統查詢重大內部新聞和通知的習慣，所以在一週的前兩天發動水坑攻擊，效果相對更好。

4. 域名變換

---

為了隱藏自己的真實身份，OceanLotus組織經常變換下載伺服器和C2伺服器的域名和IP。統計顯示，在過去的3年中，該組織至少使用了C2伺服器域名35個，相關伺服器IP地址19個。而且大多數域名為了抵抗溯源都開啟了Whois域名隱藏，使得分析人員很難知道惡意域名背後的註冊者是誰。下圖給出了OceanLotus註冊各個域名時間點資訊。

透過對攻擊活動相關域名的統計，我們按註冊時間的先後順序對各個域名做了排序。時間線疏密程度顯示該組織在2014年2月至2014年4月申請了大量的新域名。域名的生命週期如下圖所示：

這些惡意域名的註冊地和伺服器也分佈在世界各地。從註冊地來看，最大的註冊地是巴哈馬10個，其次是美國4個，奈及利亞3個。從伺服器實際所在地來看，美國和烏克蘭最多，各5個，其次是瑞典4個，以色列3個。

按時間先後順序排列，部分較活躍的域名詳情如下：

#!bash
域名  繫結IP    註冊時間    用途
pad.werzo.net   185.29.8.39 2012/4/17   C2，Mac OS
shop.ownpro.net 185.29.8.39 2012/4/17   C2，Mac OS
ssl.sfashi.com  176.31.22.77    2012/11/7   C2
kiifd.pozon7.net    173.208.157.117 2013/1/8    C2，Mac OS
cdn.libjs.co    62.113.238.135  2013/9/6    C2
sin04s01.listpaz.com    193.169.244.73  2013/11/12  C2
high.expbas.net 91.229.77.179   2014/1/22   C2
img.fanspeed.net        2014/2/8    C2
active.soariz.com   193.169.244.73  2014/2/20   C2
zone.mizove.com 193.169.244.73  2014/2/20   C2
dc.jaomao69.info    146.0.43.107    2014/3/14   Downloader
cdn.jaomao69.info   146.0.43.107    2014/3/14   C2
download.mail-attach.net        2014/4/2    Downloader
cnf.flashads.org    128.127.106.243 2014/4/3    釣魚伺服器
cn.flashads.org 128.127.106.243 2014/4/3    釣魚伺服器，
Downloader，DNS
cv.flashads.org 128.127.106.243 2014/4/3    釣魚伺服器
cp.flashads.org 128.127.106.243 2014/4/3    釣魚伺服器
fpdownload.shockwave.flashads.org   128.127.106.243 2014/4/3    Downloader
authen.mail.hairunaw.com.l.main.userapp.org 192.187.120.45  2014/4/8    Downloader
jsquery.net     64.62.174.176   2014/4/8    C2
gs.kroger7.net  167.114.184.117 2014/5/16   C2
autoupdate.adobe.com            透過域名劫持偽造的Adobe子域名，用於繞過安全檢查措施，更新受感染系統上的惡意程式

0x02 特種木馬技術

---

從具體的攻擊技術來看，OceanLotus先後使用過4種主要形態的特種木馬，其中3種是Windows木馬，一種是MAC系統木馬。雖然這4種形態的木馬均是以竊取感染目標電腦中的機密資料為目的的，但從攻擊原理和攻擊方式來看，卻有著很大的區別。特別是針對Windows系統的3種特種木馬形態，其出現時間有先有後，危險程度不斷升級，攻擊方式從簡單到複雜、從本地到雲控，可以讓我們清楚的看到該組織木馬的技術發展脈絡和攻擊思路的不斷轉變。

根據這4種木馬形態的攻擊特點，我們將其分別命名為：OceanLotus Tester，OceanLotus Encryptor，OceanLotus Cloudrunner，OceanLotus MAC。

下面就針對OceanLotus特種木馬的4種基本形態逐一進行技術分析。

1. OceanLotus Tester

---

OceanLotus Tester最早被捕獲於2012年，是一種比較簡單的木馬，與民用領域所見的一般間諜程式差別不大，安全軟體也比較容易將其識別出來。從歷史監測的資料來看，Tester的感染量微乎其微，在早期被捕獲以後，長期處於不活躍的狀態，在當時屬於孤立出現的木馬樣本。

但是，在我們對OceanLotus特種木馬的其他幾個形態進行關聯性分析時發現，早期出現的Tester木馬在攻擊物件、檔案偽裝特徵、連線的C2伺服器域名和竊取檔案的特徵等方面，與後來捕獲的其他3種木馬形態的樣本存在諸多交集和共同點。我們因此判定，早期的Tester木馬樣本也屬於OceanLotus這個組織所有。

我們猜測，Tester可能並不是OceanLotus組織正式使用的數字武器，很有可能僅僅是該組織成立初期，用以進行模擬攻擊演練，以確定攻擊體系可行性時所使用的一些測試程式碼。

2. OceanLotus Encryptor

---

Encryptor木馬最早被截獲於2014年2月。當時，安全人員截獲了一批將自身圖示偽裝成Word文件或JPG文件的“.exe”檔案，而且這些檔案都還使用了一些頗具迷惑性的社工類檔名。下圖就是Encryptor木馬的某個樣本偽裝成檔名為“商量好的合同”的Word文件後，檢視檔案屬性時的截圖。其實仔細觀看不難發現，檔案的真實型別是應用程式（.exe）。

Encryptor木馬的主要作用是打包和向C2伺服器上傳電腦中存在的各種Office文件，包括Word、PPT、Outlook郵箱檔案等。而從攻擊技術上來看，Encryptor木馬最明顯的特點就是會對自己的資料區進行隨機遞迴加密處理，從而大大增加安全軟體對其進行識別的難度。

一旦有人下載並開啟了Encryptor木馬檔案，這個木馬就會透過以下一系列複雜的過程來進行自我釋放。以偽裝成Word文件的樣本為例： 木馬會首先釋放出一個檔案內容與檔名相符的Word文件，並在桌面上生成快捷方式，以迷惑受害者，接著解密釋放出真正的木馬程式，解密過程中使用了64位強金鑰來繞過傳統防毒軟體。木馬一旦執行，就會自我刪除釋放程式碼的母體，因此很難捕獲到這個木馬的樣本。

木馬程式會用2種方法嘗試載入名為Bundle.rdb的通訊模組：自身載入或注入到一個系統程式，而Bundle.rdb木馬模組一旦載入起來，就會和控制端通訊完成C2通道的建立。這個程式也經過了一些精心的偽裝。單獨看其檔案屬性，稍不注意也會以為它就是QQ軟體。整個木馬的載入過程實際上就是一個木馬與安全軟體進行對抗的過程。不過，除了上述內容外，Encryptor還採用了填充垃圾資料的方法與安全軟體進行對抗。例如用0x00或其他隨機字元填充了十幾M的檔案內容，使得檔案體積過大，從而避免樣本被雲系統上傳。

3. OceanLotus Cloudrunner

---

Cloudrunner木馬最早被截獲於2014年11月。與之前的Encryptor木馬不同，Cloudrunner木馬只是一個體量很小的可執行檔案，木馬本身不顯現任何惡意特徵，在完成初始的感染以後，卻會自動從指定的伺服器上將其他木馬程式下載到被感染的電腦上。這種攻擊方式具有明顯的雲控特點。攻擊者可以根據不同的需要，向被感染的電腦上傳送各種不同的木馬，從而使攻擊更加隱蔽，也更具危險性。下圖為檢視該類木馬檔案的屬性截圖。

從木馬特點上來看，此木馬採用了Shellcode加密，解密執行，然後從網路下載接收第二階段的木馬功能模組，使木馬在使用者系統上的痕跡儘可能最小化，以逃避防惡意程式碼工具的查殺，並實現類似雲控制的靈活性。具體的資訊收集及其他惡意操作以外掛的方式投放到受感染的系統上並執行，功能包含如下表所列：

#!bash
上傳類別    具體內容
即時通訊記錄  Yahoo、QQ、Skype等
郵件資料    ThunderBird、Foxmail、Mailease、MS Live、Outlook
檔案資訊    安裝程式、近期訪問、驅動器目錄
系統資訊    賬戶、IP、共享、程式列表、網路連線
螢幕監控    
網路流量監視

4. OceanLotus MAC

---

OceanLotus MAC與OceanLotus Encryptor大致出現在同一時期，二者都屬於OceanLotus使用的第二代木馬程式。MAC木馬主要針對Mac OS系統，主要作用是在水坑網站中誘騙使用者下載執行。在APT攻擊中，使用針對蘋果作業系統的木馬並不多見。

下面以某個樣本為例來具體介紹MAC木馬的攻擊過程。

例子樣本MD5：9831a7bfcf595351206a2ea5679fa65e 檔案FlashUpdate.app\Contents\MacOS\EmptyApplication是一個Loader，

負責解密以下兩個檔案： FlashUpdate.app\Contents\Resources\en.lproj.en_icon FlashUpdate.app\Contents\Resources\en.lproj.DS_Stores .en_icon相當於木馬自身的副本，.DS_Stores是真正的執行體，解密並執行完這兩個檔案後,EmptyApplication會刪除自身。 .DS_Stores程式會連線如下3個C2伺服器域名：kiifd.pozon7.net，pad.werzo.net，shop.ownpro.net，並實現如下一系列的遠端控制功能：

#!bash
功能  命令
列目錄 ls [path]
進入目錄    cd [path]
獲取當前目錄  Pwd
刪除檔案    rm <file_path>
複製檔案    cp <srcppath> <dstpath>
移動檔案    mv <srcpath> <dstpath>
獲取程式資訊  p {info:pid | ppid | name}
殺掉程式    kill <pid>
執行命令    cmd <command system>
抓取通訊    capture <saved_path>
顯示檔案    cat path [num_byte]
下載檔案    download fromURLsavePath

MAC木馬也具有較強對抗能力，具體包括以下幾個方面：

1. 對其自身做了非常強的加密，分析時需要進行手工解密。
2. 木馬會修改蘋果瀏覽器的安全屬性，使下載的程式直接執行而沒有安全風險提示。
3. 木馬會定時使用/bin/launchctl上傳操作。
4. 木馬會讀取作業系統的版本。
5. 木馬會檢測Parallels虛擬機器。

0x03 OceanLotus能力分析

---

透過對OceanLotus組織所使用的惡意程式碼、攻擊載荷和誘餌資料的分析，該組織內部可能有多個小組，每個小組有自己的分工。組織中各組可能針對性地收集社工資訊、開發定製的工具以及對竊取的情報進行集中二次處理挖掘，各個環節緊密配合，並在其內部共享竊取的情報資訊和攻擊載荷。概括來說，要達到目前已知的攻擊效果，該組織至少應該具備如下能力：

1. 精通目標國家的語言，跟蹤相關的新聞時事；識別和分析需要進行攻擊的目標人員，收集其相關的基本資訊，確定攻擊目標人員，設計針對性的攻擊方式。
2. 網路滲透和入侵能力，投遞魚叉郵件，設定水坑，抽取敏感資料，保持長期控制。
3. 能夠開發或者獲取繞過當前主流防病毒工具的特種木馬，持續改進和對抗。

對應到以上的3種能力，我們推測OceanLotus組織很可能存在3個小組，其基本能力及任務分工大致如下：

此外，考慮到OceanLotus組織製作的特種木馬大多使用中文名稱，而且往往緊貼中國國內最新時政變化，所以，該組織中一定有精通中文、瞭解中國國情的人專門從事有針對性的社會工程學研究。  

0x04 OceanLotus攻擊的捕獲

---

隨著“網際網路+”時代的到來，越來越多的政府機構和企事業單位實現了網路化辦公，並將內部的辦公網路與外部的網際網路相連。企業的網際網路化在提高企業辦公效率的同時，也使內部網路面臨著越來越多的來自全球各地不同目的攻擊者的網路攻擊。

事實上，針對政府、機構和企業的APT攻擊每天都在發生，甚至可以說，APT攻擊就潛藏在我們每一個人的身邊。OceanLotus也只不過是我們目前已經捕獲到的數十起APT事件中的一個典型案例而已。

目前，已經有一些國際知名的安全企業，如FireEye、卡巴斯基等針對APT攻擊展開了相關研究，併發布了相關的研究報告。而在國內，關於APT攻擊的專業研究資料目前還非常有限。

造成這種狀況的原因之一，是APT攻擊具有很強的隱蔽性、針對性和對抗性特點，使用一般民用防禦手段和木馬查殺技術很難發現。針對APT攻擊的捕獲和檢測技術也成為了近年來國內外安全公司和研究機構關注的焦點。

天眼實驗室藉助360公司多年在木馬病毒、漏洞攻擊的對抗過程中積累的經驗，針對特種木馬、0day/Nday漏洞攻擊的檢測和對抗等方面都進行了大量的探索和實踐，使得運用這些特種木馬或漏洞進行的APT攻擊在我們的天眼系統中現形。

當然，除了針對特定的高階APT攻擊過程的檢測和防禦外，目前捕獲和研究APT攻擊還面臨著一個更大的挑戰：如何將不同時間、不同地點、不同人群遭到的各種不同形式的網路攻擊事件關聯起來，形成一個APT攻擊的全貌。目前國外關於APT攻擊的研究也大多集中在對個別目標實體的、短週期攻擊過程的研究上，很少有機構能夠進行較大時間尺度和較大地域範圍內的APT攻擊研究。

OceanLotus所發動的APT攻擊，攻擊週期長達3年之久，攻擊地域遍佈國內29個省級行政區和境外的36個國家，魚叉攻擊、水坑攻擊，前後不下幾十個輪次，被黑網站也多達十幾個。而且在這3年多里，OceanLotus還先後使用了至少4種不同程式形態、不同編碼風格和不同攻擊原理的木馬程式，惡意伺服器遍佈全球13個國家，註冊的已知域名多達35個。

因此，對於OceanLotus發動的這種範圍大、時間長，但目的明確、目標精準的APT攻擊，如果單獨依靠傳統的各種區域性檢測與防禦技術，即便能夠發現一些零星的攻擊事件和病毒樣本，也很難復原整個APT攻擊的全貌。

天眼實驗室此次捕獲的OceanLotus組織及其攻擊，主要使用了多維度大資料關聯分析的方法。我們將百億級的惡意程式樣本庫、數億級的安全終端的防護資料、PB級的搜尋引擎的全網抓取資料以及其他多個維度的網際網路大資料進行了關聯分析和歷史檢索，最終在每天海量的網路攻擊事件中定位出與OceanLotus相關的各種攻擊事件和攻擊元素，最終繪製出OceanLotus組織對我國境內目標發動APT攻擊的全貌。

目前，能夠在實踐中使用大資料方法分析定位APT攻擊的研究機構並不多，同時，具有網際網路大資料的處理與分析能力和高階攻防對抗經驗的安全企業寥寥。天眼實驗室針對未知威脅和APT攻擊的研究是建立在360公司多年積累的安全大資料和網際網路安全技術方法的基礎之上的，因此能夠捕獲一些以往國內外其他研究者無法發現的威脅元素，並進行事件關聯分析。我們也希望能夠透過這種新的基於大資料的網際網路安全研究成果，給其他網路安全工作者提供一些有益的參考和幫助。