0x00 簡介

---

• 中國是 APT 攻擊的主要受害國，國內多個省、市受到不同程度的影響，其中北京、廣東是重災區，行業上科研教育、政府機構是 APT 攻擊的重點關注領域。
• APT 組織主要目的是竊取機構內的敏感資料，最長已持續 8 年，特別是微軟 Office 和WPS 等文件檔案。
• 針對中國的 APT 攻擊主要由低成本的攻擊組成，主要由於相關防禦薄弱導致低成本攻擊頻頻得手。
• 魚叉攻擊和水坑攻擊依然是 APT 組織最青睞的攻擊方式，其中魚叉攻擊佔主流，也發現透過硬體裝置進行網路劫持的攻擊。

• 攻擊者常常使用漏洞利用技術，意圖達到未授權安裝執行的目的，不僅如此，漏洞的使用還能保證二進位制 PE 程式能躲避防毒軟體的檢測。攻擊組織一般都掌握著或多或少的0day 漏洞，不過考慮到成本問題，他們更傾向使用 1day 和 Nday 漏洞展開攻擊。
• 攻擊組織一般透過公開的資源、竊取的資料、以及多組織之間的合作，逐步對被攻擊目標從瞭解到掌握。同時，被攻擊目標的供應鏈涉及到多個環節，這些環節往往也成為被攻擊的目標。
• 在 RAT（Remote Access Trojan，遠端訪問木馬）利用方式上，公開 RAT 的利用率呈現下降趨勢，更傾向自主開發或委託定製的 RAT。
• 初始攻擊中具有周期性的精確打擊逐步成為主流，另外針對非 Windows 作業系統的其他平臺（如 Mac OS X、Android）的攻擊也逐漸浮出水面。
• 攻擊者常常採用 C&C 域名進行通訊控制，其中絕大部分都是動態域名，本報告中所提到的 APT 組織所涉及的 C&C 域名，均為境外註冊的動態域名服務商。同時，也發現了利用雲盤儲存竊取的資料資訊，以及利用第三方部落格作為惡意程式碼的中轉平臺。
• 在初始攻擊達到效果進行橫向移動的過程中， 攻擊者偏向利用Windows系統自帶命令，進一步利用 PowerShell、WMI 進行橫向移動攻擊，不僅如此，第三方工具在橫向移動攻擊中也頻繁出現。
• 針對中國相關目標群體的攻擊手段常常“量身定製” ，主要體現在誘餌資訊內容製作、攻擊時間點往往發生在行業會議或國內重大節假日期間。 攻擊者傳送魚叉郵件主要使用國內第三方郵件服務商，透過 Web 郵箱傳送。附件壓縮包以 RAR 為主。同時，攻擊者與中國安全廠商進行了大量持續的攻防對抗，特別是針對 360 等安全廠商的安全產品。另一方面， 所竊取的資料關注 WPS 等中國特有的辦公軟體， 而在註冊 C&C 域名的時候，更傾向採用具備中國元素的關鍵字。
• APT 攻擊發展趨勢主要有：APT 組織的攻擊目標方面，將會持續以政治、經濟、科技、軍工等熱點相關的行業或機構為攻擊目標，如十三五規劃、一帶一路等相關領域，由商業競爭產生的 APT 攻擊將不斷增加，另外針對非 Windows 的攻擊出現頻率將會持續增高；APT組織的攻擊手法方面，安全威脅越來越難“看見” ，同時針對安全行業將從被動隱匿過渡到主動出擊；最後在反 APT 領域，針對中國的 APT 攻擊將越來越多的被曝光，另外反 APT 領域相關機構廠商將協作防守。

0x01 本報告的研究辦法

---

一、研究物件

截至 2015 年 11 月底，360 威脅情報中心監測到的針對中國境內科研教育、政府機構等組織機構發動 APT 攻擊的境內外駭客組織累計 29 個，其中 15 個 APT 組織曾經被國外安全廠商披露過，另外 14 個為 360 獨立發現並監測到的 APT 組織。

本報告後續內容主要就 360 首先發現並監控到的 APT 組織進行研究分析，其中相關事例主要從 APT-C-00、APT-C-01、APT-C-02、APT-C-05、APT-C-06 和 APT-C-12 這六個典型組織中選取。

二、方法思路

圖 1 洛克希德•馬丁公司的“殺傷鏈”模型【1】

為了便於讀者理解，我們主要基於洛克希德•馬丁公司的“殺傷鏈”模型，進一步從 APT組織發起攻擊的成本、 攻擊手法的更新發展和如何適應中國本土環境這三個方面展開研究分析。

首先我們從 APT 組織發動攻擊行動所需成本進行研究，在攻擊成本中我們主要對 APT的載體投遞手段：郵件（魚叉攻擊）和網站（水坑攻擊） ，APT 攻擊中的突防利用手段：已知漏洞和 0day 漏洞，這兩個方面展開研究分析。套用“殺傷鏈”模型，魚叉攻擊、水坑攻擊，已知漏洞、0day 漏洞分別歸屬於載荷投遞（Delivery）和突防利用（Exploitation）這兩個環節，這兩個環節也是完全決定一次攻擊行動成功與否的關鍵。

進一步我們會就 APT 組織的攻擊手法進行分析， 在 “The Pyramid of Pain”【2】 中提出了 TTPs（Tactics, Techniques and Procedures，戰術、技術與步驟） ，在本報告中可以將攻擊手法理解為 TTPs，這也是在研究 APT 組織中金字塔頂尖最難發現的部分。就針對中國攻擊的 APT 組織，我們從武器構建到橫向移動，對 APT 生命週期的每個環節進行剖析。

最後我們會就 APT 組織如何適應中國本土環境展開分析，主要從熟悉目標所屬行業領域、掌握目標作業環境、符合目標習慣偏好這三個方面進行詳細介紹，其中將逐一列舉針對中國的目標群體進行“量身定製”的諸多手法。

三、時間範圍

我們主要研究針對國內攻擊的APT組織在近一年的活躍情況， 相關時間範圍主要從2014年12月1日至2015年11月30日。

另外報告中某些觀點或結論， 需要結合一些非時間範圍內的歷史資料， 進行對比論證或介紹。例如：第四章中“三、APT 攻擊中的突防利用——漏洞”章節中在介紹 Nday 漏洞，會以 CVE-2012-0158 作為典型案例。

0x02 中國是 APT攻擊的主要受害國

---

中國是 APT（ Advanced Persistent Threats， 高階持續性威脅）攻擊的受害國， 國內多個省、市受到不同程度的影響，其中北京、廣東是重災區，行業上教育科研、政府機構是 APT攻擊的重點關注領域。

截至 2015 年 11 月底， 360 威脅情報中心監測到的針對中國境內科研教育、政府機構等組織單位發動 APT 攻擊的境內外駭客組織累計 29 個，其中 15 個 APT 組織曾經被國外安全廠商披露過，另外 14 個為 360 威脅情報中心首先發現並監測到的 APT 組織，其中包括我們在 2015 年 5 月末釋出的海蓮花（ OceanLotus） APT 組織【3】。

監測結果顯示，在這 29 個 APT 組織中，針對中國境內目標的攻擊最早可以追溯到 2007年，而最近三個月（ 2015 年 9 月以後）內仍然處於活躍狀態的 APT 組織至少有 9 個。統計顯示，僅僅在過去的 12 個月中，這些 APT 組織發動的攻擊行動，至少影響了中國境內超過萬臺電腦，攻擊範圍遍佈國內 31 個省級行政區。

另外 2013 年曝光的斯諾登事件，同年 Norman 公佈的 HangOver 組織，卡巴斯基在 2014年揭露的 Darkhotel 組織和 2015 曝光的方程式組織（ Equation Group） 等，這些國外安全廠商和機構發現的 APT 組織，都直接證明了中國是 APT 攻擊中的主要受害國。

本報告中主要就 360 威脅情報中心首先發現並監測到的 APT 組織展開介紹，進一步相關資料統計和相關攻擊手法， 主要就相關 APT 組織在 2015 年活躍情況進行分析。

以下是 360 威脅情報中心監控到的針對中國攻擊的部分 APT 組織列表，其中 OceanLotus（ APT-C-00）、 APT-C-05、 APT-C-06、 APT-C-12 是 360 截獲的 APT 組織及行動。

表1 針對中國攻擊的部分 APT 組織列表

一、地域分佈：北京、廣東是重災區

圖2 國內使用者受影響情況（2014年12月-2015年11月）

國內受影響量排名前五的省市是：北京、廣東、浙江、江蘇、福建。除北京以外， 受影響使用者主要分佈在沿海相關省市。 受影響量排名最後的五個省市是：西藏、青海、寧夏、新疆、貴州。

注：本報告中使用者數量主要指我們監控到的計算機終端的數量。

從上圖可見，近一年這些我們已知的 APT 組織就攻擊了中國境內上萬臺電腦，平均每月超過千臺電腦受影響。但隨著國外安全廠商的曝光， 360 監測到的整體感染量呈現下降趨勢，原因可能是部分 APT 組織攻擊行動暫停、延遲或終止， 也可能因為手段更加隱秘躲過了 360 的監測。但其他未曝光組織的攻擊勢態並未收斂，且在最近三個月（ 2015 年 9 月以後）有小幅上升趨勢。

二、行業分佈： 主要針對科研教育、政府機構領域

從近一年的統計來看，針對科研教育機構發起的攻擊次數最多，佔到了所有 APT 攻擊總量的 37.4%；其次是政府機構，佔 27.8%；能源企業排第三，佔 9.1%。其他被攻擊的重要領域還包括軍事系統、工業系統、商業系統、航天系統和交通系統等。

疑似瞄準安全行業

APT-C-00 組織將木馬構造偽裝為 Acunetix Web Vulnerability Scanner （ WVS）7 的破解版。WVS 是一款主流的 WEB 漏洞掃描軟體，相關使用人群主要為網路安全從業人員或相關研究人員。攻擊組織在選擇偽裝正常程式的時候選擇了 WVS 這款安全軟體，也能反映出該組織針對的目標對該軟體熟悉或感興趣，進一步我們推測針對的目標很有可能是網路安全從業人員、研究人員或者其他駭客組織。

從針對卡巴基斯的 duqu2.0【4】，可以看出針對安全廠商 APT 組織可能會從被動隱匿逐步過渡到主動出擊。

三、造成的危害：長期竊取敏感資料

APT 組織主要目的是竊取目標機器內的情報資料， 一旦攻擊獲得成功，首先會收集目標機器相關基本資訊，進一步會大量竊取目標機器上的敏感資料，如果橫向移動達到效果，則是竊取目標網路其他機器的敏感資料。本節首先介紹基本資訊的收集，之後主要就 APT 組織長期竊取敏感資料展開介紹。

(一) 收集基本資訊

這裡主要是指目標機器一旦被成功植入了相應惡意程式碼，一般惡意程式碼會自動或者等待C&C 指令，將被感染機器的相關基本資訊回傳，相關資訊主要包括以下資訊：

• 主機資訊： 主要包括作業系統資訊、主機名稱、本地使用者名稱等；
• 網路資訊： 主要包括 IP 地址、閘道器資訊等；
• 應用程式資訊： 相關版本資訊，主要包括 Microsoft Office 和 Microsoft Internet Explorer版本資訊；
• 另外還包括磁碟資訊、當前程式資訊等。

圖3 竊取的主機基本資訊示例（ APT-C-05 組織）

攻擊者主要依靠相關基本資訊來進行初步篩選， 包括識別目標機器的真偽（即是否為虛擬機器或蜜罐），進一步可以判斷目標的重要程度。

另外這裡的初步探測並收集目標的基本資訊，主要在相應機器被首次攻陷後，而不取決於具體攻擊環節，比如在初始攻擊和進一步橫向移動都會存在相關探測行為。

(二) 竊取敏感資料

APT 組織從中國科研、政府機構等領域竊取了大量敏感資料，對國家安全已造成嚴重的危害。其中 APT-C-05 組織是一個針對中國攻擊的境外 APT 組織，也是我們至今捕獲到針對中國攻擊持續時間最長的一個組織，該組織主要針對中國政府、軍事、科技和教育等重點單位和部門，相關攻擊行動最早可以追溯到 2007，至今還非常活躍。也就是從 2007 年開始APT-C-05 組織進行了持續 8 年的網路間諜活動。

相關 APT 組織竊取的具體資料內容有很大差異，但均涉及中國科研、政府等領域的敏感資料，其中竊取的敏感資料中以具備檔案實體形態的文件資料為主， 進一步會包括帳號密碼、截圖等，另外針對移動裝置的情況在下面會具體介紹。

表2 主要竊取的副檔名

上表是竊取的檔案型別和具體針對的副檔名，不同組織探測竊取的方式不同，如APT-C-05 組織只關注移動儲存裝置某一個時間段內的文件檔案，且相關檔名必須包含指定的關鍵字。 而 APT-C-12 組織，則沒有太多限制條件，在指定磁碟機代號下的所有文件檔案都會關注，回傳之後再進一步甄別。

APT 組織關注的敏感文件，除了主流的微軟 Office 文件， 更關注中國本土的 WPS Office相關文件，其中 APT-C-05 和 APT-C-12 組織都會關注以“ .wps”副檔名的文件， 這也是由於WPS Office 辦公軟體的使用者一般分佈在國內政府機構或事業單位。

APT 組織長時間潛伏竊取了大量敏感資料是我們可以看到的危害，另外從 APT 組織對目標所屬行業領域的熟悉、對目標作業環境的掌握，以及符合目標習慣偏好，這些適應中國本土化“量身定製”的攻擊行動完全做到有的放矢，則讓我們更是不寒而慄。相關內容我們在“第六章 APT 攻擊為中國本土‘量身定製’”章節會進一步詳細介紹。

針對行動通訊裝置

在 APT 攻擊中，除了針對傳統 PC 平臺，針對移動平臺的攻擊也越來越多。 如智慧手機等行動通訊裝置，天生有傳統 PC 不具備的資源，如通話記錄、簡訊資訊、地理位置資訊等。

表3 Android RAT 竊取相關資訊列表（ APT-C-01 行動）

上表內手機基本資訊進一步包括： 如 imsi，imei，電話號碼，可用記憶體，螢幕長寬，網路卡 mac 地址， SD 卡容量等資訊。

0x03 防禦薄弱導致低成本入侵頻頻得手

---

一、APT 攻擊的主要入侵方式

圖4 APT 攻擊組織的主要入侵方式

一次 APT 攻擊就像軍事上針對特定目標的定點打擊或間諜滲透， 其中很關鍵的步驟就是入侵過程， 其中分為所謂的載荷投遞與突防利用 。 從上圖內容看， 魚叉式釣魚郵件攻擊和水坑式攻擊屬於載荷投遞的過程， 而漏洞利用就是突防利用的過程。

(一) 載荷投遞的成本

從上圖最頂端是魚叉郵件攻擊，是 APT 攻擊中使用最為頻繁的投遞載體，攻擊者無論是發動一次精良的魚叉郵件攻擊，還是普通的刺探郵件，成本是上圖這四項中最低的。攻擊者只需知道目標郵箱地址即可發動一次攻擊，當然攜帶的攻擊程式有可能是 PE 二進位制可執行程式，也可能是漏洞文件，也可能是一個被作為水坑攻擊的網站 URL。而針對中國的攻擊中大多數都是直接攜帶 PE 二進位制可執行程式，這不僅與 APT 組織發動攻擊的成本有關係，而且與被攻擊目標本身的強弱有直接關係。一次 APT 攻擊的成功與否主要取決於 APT 組織針對目標的意圖（ Intent）和達到相關意圖的能力（ Capability），而不取決於目標本身的強與弱，目標本身的強弱只是決定了 APT 組織採用的攻擊方式。

針對中國的魚叉郵件攻擊主要是攜帶 PE 二進位制可執行程式，這一現象也從側面反應出中國相關目標領域的安全防禦措施、以及人員的安全意識比較欠缺。

上圖的第二層是水坑式攻擊，發動水坑攻擊較魚叉攻擊，其成本主要高在需要一個目標使用者經常關注的網站的許可權。水坑攻擊中的網站我們也可以理解為一個載體，上面可以放置PE 二進位制木馬（即需要使用者互動下載安裝執行），也可以放置漏洞檔案（即不需要使用者互動直接下載安裝執行）。

(二) 突防利用的成本

上圖最底端的兩層：已知漏洞和 0day 漏洞，漏洞在 APT 組織中是最為耗費成本的，尤其是 0day 漏洞。只有當具備高價值的目標且已知漏洞攻擊在目標環境無效，攻擊者才會啟用 0day 漏洞。而在針對中國的攻擊中，我們更多看到的是 APT 組織選擇如 1day 或 Nday 的已知漏洞，但這並不代表 APT 組織不具備持有 0day 漏洞的能力。在 APT-C-00 和 APT-C-05組織的攻擊中，我們都捕獲到了 0day 漏洞，在 APT-C-05 組織發動的 0day 漏洞攻擊中，只是對特定幾個目標發動了攻擊，且啟用時間很短。

(三) 小結

從對我們已捕獲到的 APT 組織中的， 載荷投遞與突防利用的成本分析，我們可以得出以下幾點結論：

1. 結合上圖魚叉攻擊、水坑攻擊、已知漏洞和 0day 漏洞其攻擊成本是越來越高，且成本越高則使用頻率越低。
2. APT 組織針對中國的攻擊行動一般傾向採用低成本的攻擊方案，如魚叉郵件攜帶 PE 二進位制可執行程式或已知漏洞，只有在高價值目標的出現則會採用高成本的攻擊方案，如魚叉郵件攜帶 0day 漏洞。
3. 針對中國攻擊的 APT 組織一般都具備發起高成本攻擊的能力，如持有 0day 漏洞；
4. 中國相關目標領域的安全防禦措施、以及人員的安全意識整體都比較欠缺。

本章繼續會就 APT 攻擊中的主要載荷投遞：郵件和網站，以及 APT 攻擊中的突防利用：漏洞，進一步展開詳細分析。

二、APT 攻擊中的載荷投遞——郵件和網站

(一) 魚叉攻擊和水坑攻擊依然是 APT 組織最青睞的入侵方式

魚叉式釣魚郵件攻擊和水坑攻擊都是 APT 攻擊中常用的攻擊手法，主要在 APT 的初始攻擊環節。

上左圖是， 基於第三方資源 APTnotes【5】的資料進行相關統計，可以看出大於一半的 APT攻擊中都採用了魚叉式攻擊。上右圖是針對國內的 APT 攻擊，可以看出針對國內的 APT 攻擊更佳傾向採用魚叉攻擊。另外除了主流的魚叉和水坑攻擊以外，我們還捕獲到基於即時通訊工具、 手機簡訊和網路劫持等初始攻擊方式。

魚叉攻擊

圖5 針對科研機構的魚叉郵件（ APT-C-05 組織）

APT 組織主要以郵件作為投遞載體，郵件的標題、正文和附件都可能攜帶惡意程式碼。在使用者提供的原始郵件中，我們分析得出目前主要的方式是附件是漏洞文件、附件是二進位制可執行程式和正文中包含指向惡意網站的超連結這三種，進一步前兩種更為主流。

上圖是攜帶二進位制可執行程式， 可執行程式多為“ .exe”和“ .scr”副檔名。 一般這類可執行程式均進行壓縮，以壓縮包形態傳送。從我們發現的事件中存在極少數採用壓縮包加密後傳送的情況，這種一般透過正文或其他方式將壓縮包密碼提供給目標使用者。

水坑攻擊

表4 APT-C-00 中兩種水坑攻擊

• A 方式： APT-C-00 組織首先透過滲透入侵的攻擊方式非法獲得某機構的文件交流伺服器的控制權，接著，在伺服器後臺對網站上的“即時通”和“證書驅動”兩款軟體的正常安裝檔案捆綁了自己的木馬程式，之後，當有使用者下載並安裝即時通或證書驅動軟體時，木馬就有機會得到執行。攻擊者還在被篡改的伺服器頁面中插入了惡意的指令碼程式碼，使用者訪問網站時，會彈出提示更新 Flash 軟體，但實際提供的是偽裝成 Flash 升級包的惡意程式，使用者如果不慎下載執行就會中招。
• B 方式： APT-C-00 組織入侵網站以後修改了網站的程式，在使用者訪問公告資訊時會被重定向到一個攻擊者控制的網站，提示下載某個看起來是新聞的檔案，比如在新疆 522 暴恐事件的第二天網站就提示和暴恐事件相關的新聞，並提供“烏魯木齊 7 時 50 分發生爆炸致多人傷亡.rar”壓縮包給使用者下載，而該壓縮包檔案內含的就是 APT-C-00 組織的 RAT。

A 方式和 B 方式前提都是需要獲得目標所關注網站的許可權，主要區別是 A 方式中惡意程式碼直接放置在被入侵的目標網站伺服器上，而 B 方式是篡改替換了網站中的超連結，指向到攻擊者所控制的第三方網站，也就是惡意程式碼沒有放置在被入侵的目標網站上，而是放置在攻擊者所擁有的網站伺服器上。

(二) 高成本的載荷投遞： 物理接觸

APT-C-01 組織採用了一種新的攻擊方式，透過物理接觸的方式，在目標網路環境中部署硬體裝置， 透過中間人的方式劫持使用者的網路流量。攻擊者是透過劫持替換使用者系統中主流軟體（ 主要包括 QQ、搜狗輸入法等） 中的更新程式和微軟系統更新程式，達到植入惡意程式的目的。

攻擊者會判斷當更新的目標程式副檔名為 exe 可執行檔案時，劫持裝置會替換正常的更新程式為木馬。其中大多數情況是替換的惡意程式為獨立程式並未捆綁相應正常更新程式， 但在針對某幾種更新程式時，是採用了捆綁的方式，在植入惡意程式的同時也保證了更新程式能正常執行。

圖6 利用硬體裝置劫持流程示意圖（ APT-C-01 組織）

一般正常程式在更新和執行的過程中並不會有任何提示，更新過程一般不需要使用者操作。另外我們還發現大量正常程式在更新的過程中，並不進行更新程式的簽名校驗、檔案校驗等檢查，下載後便會直接執行。

透過中間人劫持的方式來進行攻擊，在著名的火焰病毒中也利用劫持微軟更新來進行傳播【6】，但火焰的高明之處除了劫持微軟更新，還採用 MD5 碰撞構造虛假簽名。

(三) 利用社工對載荷投遞的精心偽裝

自身偽裝

攻擊者除了對魚叉郵件的正文、標題等文字內容精心構造以外，其餘大量偽裝構造主要針對附件檔案，尤其是二進位制可執行程式。

主要從檔名、副檔名和檔案圖示等方面進行偽裝，具體參看下表所示：

表5 自身偽裝相關具體內容

圖7 RLO 偽裝副檔名（ APT-C-05 組織）

圖8 超長檔名和資料夾圖示（ APT-C-12 組織）

圖9 超長檔名和 excel 圖示（ APT-C-05 組織）

圖10 偽裝 360 軟體版本資訊和偽裝微軟系統檔案版本資訊（ APT-C-05 組織）

快捷方式（.lnk）攻擊

利用快捷方式（ .lnk）攻擊是除利用漏洞以外使用最多的一種攻擊方式，具體如下：

圖11 快捷方式攻擊樣本截圖（ APT-C-02 組織）

圖12 壓縮包解壓後相關檔案截圖（ APT-C-02 組織）

從相關攻擊事件中來看，這種攻擊方式主要還是以郵件為攻擊前導，附件是壓縮包檔案（如上圖，解壓後的檔案）。當使用者點選相關快捷方式圖示（ 文件或資料夾的），會執行“ cmd.exe /c system.ini”，其中 system.ini 是可執行木馬。這類攻擊手法非常具有迷惑性，一般使用者很難區分壓縮包內是否存在惡意可執行程式。

捆綁合法應用程式

APT 組織除了基於 RAT 本身進行自身偽裝以外，還會將 RAT 植入到合法應用程式中，攻擊者會針對不同的目標群體選擇不同的合法應用程式。

表6 捆綁合法應用程式的部分列表

三、APT 攻擊中的突防利用——漏洞

漏洞種類很多，產生漏洞的環節也多。除了針對系統應用程式的漏洞，人員管理也存在漏洞隱患等。攻擊者使用漏洞的主要目的是可以在目標系統進行未授權操作，如：讀寫使用者敏感資料、安裝惡意程式等。

APT 攻擊中利用漏洞主要目的是能達到未授權安裝執行，即本章節主要關注遠端程式碼執行漏洞，如攻擊者利用 CVE-2012-0158 漏洞構造一個 RTF 檔案格式以“ .doc”副檔名的漏洞文件，目標使用者當執行該漏洞文件後則有可能被植入 PE 惡意程式。另外比如我們在“ 網路劫持：利用硬體裝置”章節提到的正常應用進行常態更新時不進行簽名或檔案校驗這種問題，我們在本章節不會展開介紹。

另外利用漏洞的目的就是躲避防毒軟體檢測，如 APT-C-00 組織中利用國內某影片應用0day 漏洞， 利用該溢位漏洞， 惡意程式碼能直接在白程式中執行，所以防毒軟體不會攔截。

(一) APT 組織具備持有 0day 漏洞的能力

表7 CVE-2014-6352 0day 漏洞（ APT-C-05 組織）

CVE-2014-4114 漏洞是 iSIGHT 公司【9】在 2014 年 10 月 14 日釋出相關報告，報告其中提到一個 0day 漏洞（ CVE-2014-4114）用於俄羅斯相關主要針對北約、歐盟、電信和能源相關領域的網路間諜活動。微軟也是在 10 月 14 日釋出相關安全公告。

而 CVE-2014-6352 是可以認為繞過 CVE-2014-4114 補丁的漏洞，微軟之前的修補方案首先在生成 Inf 和 exe 檔案後新增 MakeFileUnsafe 呼叫，來設定檔案 Zone 資訊，這樣隨後在漏洞執行 inf 安裝時，會有一個安全提示。而 CVE-2014-6352 漏洞樣本拋棄了使用 inf 來安裝exe，轉而直接執行 exe。因為 Windows XP 以上系統可執行檔案的右鍵選單第二項是以管理員許可權執行，這樣導致如果使用者關閉了 uac 會導致沒有任何安全提醒。所以微軟CVE-2014-6352 的補丁是在呼叫右鍵選單新增一個安全提示彈窗。

(二) APT 組織更傾向使用 1day 和 Nday

攻擊組織一般都掌握著或多或少的 0day 漏洞，不過考慮到成本問題，他們更傾向使用1day 和 Nday 漏洞展開攻擊。

CVE-2015-0097

圖13 CVE-2015-0097 漏洞執行流程（ APT-C-05 組織）

CVE-2015-0097微軟在2015年3月釋出補丁，在2015年7月下旬網際網路公開第一個 POC【10】，我們在 8 月初捕獲到 APT-C-05 組織開始使用該漏洞。 漏洞本身是微軟 Office 的一個邏輯漏洞，不需要傳統的漏洞利用流程（ 如堆噴，構建 ROP 鏈）。

一個微軟Office檔案如果包含有效的html程式碼，微軟Office會呼叫MSScriptControl.ScriptControl.1 控制元件在本地域去開啟 html，導致 html 中的指令碼也是在本地域執行，這樣就可以讀寫本地檔案，指令碼利用 ADODB.Recordset 在本機啟動目錄寫入了一個HTA 檔案。導致機器在下次重啟時將執行 HTA 中程式碼， HTA 指令碼功能負責下載惡意程式到本機執行。

另外比較典型的案例就是， 2013 年 CVE-2013-3906 0day 攻擊【11】出現不久， APT-C-05 組織在 2013 年 11 月中旬也開始使用該漏洞，但使用頻率較低。

CVE-2012-0158

CVE-2012-0158是被 APT組織利用次數最多的一個漏洞，在本報告所分析的 APT組織中，APT-C-00、 APT-C-05、 APT-C-12 組織均使用過該漏洞。實際上，在目前我們對境外 APT 的監測中發現，還有很多其他的 APT 組織也曾經利用過該漏洞。

CVE-2012-0158 是一個影響多個微軟 Office 版本的安全漏洞，利用這個漏洞，遠端攻擊者可以透過誘使使用者開啟一個經過特殊構造的.rtf 檔案，在使用者系統上執行任意指令，由於漏洞本身的特性利用非常穩定，被廣泛用於執行基於郵件附件的針對性攻擊。此漏洞被公佈於 2012 年 4 月，稱為“ Microsoft Visual Basic Windows Common Controls (MSCOMCTL.OCX)遠端程式碼執行漏洞”。顯然，改漏洞是一個發動魚叉郵件攻擊的有利武器。攻擊者可以將惡意構造的 Word 字尾的 RTF 檔案做為電子郵件的附件傳送給攻擊目標，一旦被攻擊者的電腦系統存在這個漏洞，並且開啟了附件，那麼惡意程式碼就可以被釋放並執行，而且很難被發現。

0x04 攻擊手法的不斷演進與蛻變

---

本章就針對中國攻擊的 APT 組織，我們從武器構建到橫向移動，對 APT 生命週期的每個環節進行剖析，詳細介紹攻擊手法不斷演進的過程。

一、偵查跟蹤： 從目標本身到供應鏈的延伸

在攻擊目標的選擇上， 不同組織和不同攻擊行動所關注的目標是具備一定共性，但也存在一定差異性，比如我們發現針對中國的 APT 攻擊中，幾乎所有的攻擊行動都會針對政府、科研機構，但到針對具體某單位或個人則有較大差異。

對目標從瞭解到掌握

發動一起攻擊行動，大部分時間會消耗在偵查跟蹤（即情報收集環節），為了能達到攻擊目的，攻擊者必須儘可能全面的收集到目標的相關情報資訊，從而逐步對目標從瞭解到掌握。

• 公開資源： 關注涉及目標領域或行業的相關人群， APT 組織主要透過一些公開資源（行業網站、學術期刊， 其中重點是關注行業峰會、 論壇等）收集相關具體到單位或個人的資訊
• 竊取的情報： 另外攻擊者透過以往自主或第三方 APT 組織竊取的情報資料中，進行分析篩選或提煉出目標具體資訊。在 APT-C-12 組織中大量目標疑似是透過這種方式獲得，而且獲取的情報資料還會作為誘餌文件進行後續攻擊使用。
• 組織之間合作： 另外在“造成的危害” 章節我們提到有幾個使用者不僅受 APT-C-01 組織相關攻擊行動影響，同樣也是 APT-C-12 組織的目標， 我們懷疑不同組織或許有共同的目標。由此現象和結合其他深入分析，我們懷疑在 APT-C-01 組織和 APT-C-12 組織之間或許有情報資源共享等協作的情況。

最後 APT 組織會從未知渠道（洩漏庫、傳統地下產業鏈等） 得到目標相關資訊。

另外在 APT 攻擊生命週期中，每個環節對目標的認識都是不一樣的，在初始攻擊成功後展開橫向移動，即需要對新的目標的研究分析，在掌握足夠多的情報資訊後才能判斷是否展開攻擊，以及如何發動攻擊。

針對供應鏈的攻擊

在偵查跟蹤過程中，攻擊者會對目標的防禦措施有一個初步的評估，該評估結果決定了初始攻擊中該採用何種攻擊方法。如果目標本身的防禦措施較為完備或者在對目標直接的初始攻擊中未達到預期效果，則攻擊者會採用間接的攻擊方式。

在 APT-C-00 早期攻擊行動中，攻擊者首先攻擊了國內某軟體公司，該公司核心產品主要的客戶是政府機構和企事業單位。攻擊者在攻陷了該公司後，對相關產品安裝和升級程式中植入了後門程式，該公司相關客戶透過網站或者其他途徑下載相關安裝包則會被感染。在我們回溯分析後確定攻擊者真正目標並非某軟體公司，而是國內某政府機構。 這也是典型的針對目標供應鏈的攻擊， 這種攻擊方式在其他 APT 攻擊中也出現過，比如 2014 年公開 Havex木馬【12】，也被稱作蜻蜓（ Dragonfly）和活力熊（ Energetic Bear）。相關攻擊透過攻擊與目標有密切業務聯絡的第三方企業或機構，來進行迂迴攻擊。 Havex 木馬的相關攻擊就是透過攻擊工業控制系統（ Industrial Control Systems）相關供應商的網站，進一步替換相關軟體安裝包來進行 Havex 木馬的傳播。

二、武器構建： 從公開 RAT 到委託定製

RAT（ Remote Access Trojan，遠端訪問木馬）的檔案格式、檔案形態、功能形態、惡意程式碼寄宿位置等變化都是比較大的。

其中，檔案格式整體趨勢是從 PE 到非 PE 轉變，檔案形態也由實體檔案逐步轉化為無實體檔案。單以常見的 PE 格式而言， RAT 的開發者逐漸將興趣轉移至非 VC 編譯環境，開始越來越多的使用 Delphi、 GCC、 NSIS、 AutoIt 等小眾編譯器或指令碼直譯器，從而進一步提升檢測和對抗成本。

從功能形態而言，從早期的單個檔案聚合多種功能逐漸演變為功能單一的主、子模組間互相呼叫的模式，甚至開始引入“雲控”的概念，針對目標環境差異，有針對性的下發特定功能模組達成不同的目的。

而惡意程式碼最終寄宿的位置也從常見的系統目錄逐漸進入到更加難以追蹤的 MBR、 VBR、磁碟韌體、 EFI、 BIOS 乃至於移動儲存裝置中的隱藏分割槽中。以方程式 RAT 為例， RAT 開發者使用竊取來的磁碟韌體格式文件，將惡意程式碼寫入到磁碟韌體中，導致除了磁碟生產商外，沒有任何安全廠商可以實現檢測及惡意程式碼提取。

利用公開 RAT 呈現下降趨勢

目前使用公開的 RAT 呈現下降趨勢，公開的 RAT 主要以 Poison Ivy、 ZxShell 和 Gh0st 為主，但基於公開的 RAT，基本都會進行修改新增一些其他輔助功能（如竊取 Outlook、指定文件副檔名等）。

更傾向自主開發或委託定製

2015 年主流是未知 RAT，其中有明顯組織自行開發的，如 APT-C-05 相關母體結構和加密演算法的相似性，其主要功能是竊取指定副檔名文件並加密分片回傳。 另外就是商業化的問題， 如依託 Cobalt Strike 平臺生成的惡意程式碼，另外 APT-C-00 組織使用的 RAT 型別眾多，而且是非公開型別，懷疑不是自行開發，或許是向第三方委託定製開發。

除了已知商業和公開原始碼的後門程式以外， 在 APT-C-00、 APT-C-06、 APT-C-12 等組織，針對 win32 平臺的未知 RAT 還有 Fake Tools、 Plutonium、 NL2、 Encryptor、 Cloudrunner 等。這些 RAT 之間差異都較大，單從程式碼結構我們很難將這些歸屬為同一組織所使用，其中這些型別大部分都是在同一時期內投入使用，也就是有可能相關 APT 組織在開發這些後門程式有多個團隊或個人獨立開發維護，另外就是從網際網路地下產業鏈購買第三方的，或委託第三方定製開發的。

三、載荷投遞： 低成本和週期性

週期性精確打擊

在常態攻擊中 APT 組織更傾向在工作日（即星期一至星期五）發動攻擊，其中水坑攻擊更傾向在星期一和星期二發動攻擊。另外部分集中攻擊會選擇在一些特殊的時間節點，如某行業會議召開之際，或某單位釋出緊急通知等，另外就是一些中國的大型節日，如國慶、春節等展開攻擊。

以 APT-C-00 為例， 由於中國政府和研究機構的工作人員往往有在星期一、二登入辦公系統查詢重大內部新聞和通知的習慣，所以在一週的前兩天發動水坑攻擊，效果相對更好。另外 APT-C-00 組織發動水坑攻擊持續週期比較短，一般為 3-5 天，而且在這期間也不是一直將惡意程式碼放置在被攻陷網站上，在一天內也有選擇時間段進行攻擊。在完成攻擊後，APT-C-00 組織會將篡改的內容刪除或恢復。

圖14 水坑攻擊一週分佈（ APT-C-00 組織）

魚叉郵件在一週 7 天中，工作日，即星期一至星期五截獲的魚叉攻擊數量較多，而週末截獲的魚叉攻擊數量則往往不及工作日的 1/5， 相關具體攻擊時間是符合中國東八區時區。

圖15 魚叉攻擊一週分佈（ APT-C-00 組織）

低成本的載荷投遞

在大部分的 APT 攻擊中載荷投遞部分，都涉及到了魚叉郵件與水坑網站兩種形式， 針對中國境內的定向攻擊， 這兩種方式的成本非常低， 在第四章已經做了詳盡的描述， 這裡不再贅述。

不過值得關注的是， 載荷投遞也存在其他類似於網路劫持甚至物理接觸等方式， 由於成本較高， 所以在我們所發現的 APT 攻擊中， 數量較少，不過一旦發生，其背後所隱匿攻擊組織的整體能力也相對較強。

四、突防利用： 從 Windows 到多種作業系統

針對Mac OS X作業系統

APT 組織較早就開始關注 Mac OS X 作業系統，比如早期的 Luckycat【13】、Icefog【14】等 APT組織都有針對 Mac OS X 的攻擊。在 APT-C-00 組織浮出水面之前，我們尚未發現有針對 MacOS X 的 APT 攻擊。

我們將 APT-C-00 這類針對 Mac OS X 的木馬命名為 OceanLotus MAC 木馬。下表是 MAC木馬是基本功能：

表8 MAC 木馬功能列表（ APT-C-00 組織）

另外 MAC 木馬也具有較強對抗能力，具體包括以下幾個方面：

1. 對其自身做了非常強的加密，分析時需要進行手工解密。
2. 木馬會修改蘋果瀏覽器的安全屬性，使下載的程式直接執行而沒有安全風險提示。
3. 木馬會定時使用/bin/launchctl 上傳操作。
4. 木馬會讀取作業系統的版本。
5. 木馬會檢測 Parallels 虛擬機器。

針對 Android 作業系統

在 APT 攻擊中，除了針對傳統 PC 平臺，針對移動平臺的攻擊也越來越多。如智慧手機等行動通訊裝置，天生有傳統 PC 不具備的資源，如通話記錄、簡訊資訊、地理位置資訊等。

將惡意 APK木馬植入 Android系統的方式有很多，其中比較典型就是透過 PC感染 Android手機，我們捕獲到的一起 APT 攻擊中，攻擊者在攻陷了 PC 機器後，進一步會收集感染機 adb資訊，並利用 QQ 等軟體的 adb 工具將名為 androidservice.apk 的 Android 木馬檔案安裝到被感染機器連線的手機終端中。

竊取的資訊主要包括： 錄音、拍照、電話錄音、錄影、通話記錄、通訊錄、簡訊、 SD卡中檔案、手機基本資訊、地理位置資訊，進一步手機基本資訊包括如 imsi， imei，電話號碼，可用記憶體，螢幕長寬，網路卡 mac 地址， SD 卡容量等資訊。

另外在 2015 年的 Hacking Team【15】 "軍火庫"洩漏事件中，我們也看到針對中國的一些網路攻擊，其中就利用 Android 漏洞進行的相關攻擊。

五、安裝植入：無自啟動，如何持久？

在持續化攻擊對抗中， APT 組織比較難解決的問題之一是開機啟動。因為一旦木馬透過修改登錄檔、服務、計劃任務等方式實現自啟動，往往也觸發防毒軟體的主動防禦功能，會給使用者以警覺，並且木馬會很容易進入防毒軟體的視野。

修改快捷方式

在 APT-C-12 中，釋放的 RAT 首先會修改開始選單的程式裡面的所有快捷方式，指向rundll32，載入起來後門 dll， 同時實現快捷方式的正常功能，所以很難發現異常。

圖16 實現相關功能的惡意批處理指令碼部分截圖（ APT-C-12 組織）

利用 DLL 劫持

在 Windows作業系統中，可執行檔案 EXE在執行過程中，往往需要載入動態連結庫 DLL，載入優先順序是：當前目錄、系統目錄、環境變數。在 WindowsXP 作業系統中，並沒有對系統 DLL 加以特殊限制，使得木馬可以在當前可執行 EXE 目錄中偽裝系統 DLL，在可執行檔案 EXE 執行過程中，正因載入順序機制，會優先載入當前目錄下同名偽裝的 DLL。（在Windows7 等後期作業系統中，載入系統 DLL 時預設從系統目錄載入，預設情況下無法使用該漏洞）

在 APT-C-01 攻擊中， 攻擊者先偽造一個系統同名的 DLL，提供同樣的輸出表，每個輸出函式轉向真正的系統 DLL。程式呼叫系統 DLL 時會先呼叫當前目錄下偽造的 DLL，完成相關功能後，再跳到系統 DLL 同名函式里執行。木馬作者將用於劫持的 DLL 釋放到事先預知的開機會啟動的第三方程式目錄中，實現開機啟動木馬的目的。

表9 第三方程式目錄示例（ APT-C-01 組織）

當使用者下次開機或重啟時進入系統時，第三方軟體會自動啟動，但是由於 DLL 劫持漏洞的存在，也就自動載入了木馬。作業系統在執行 EXE 之前，先會初始化 DLL 環境， DLLMain函式會在 EXE 程式 Main 函式執行之前優先被執行。木馬作者正是利用了這點，把惡意程式碼編寫到 DLLMain 中，這樣做就能在很大機率上保證木馬比防毒軟體的 EXE 程式優先執行。而在開機啟動的瞬間，防毒軟體有可能還沒有完成初始化過程，主動防禦和自我保護功能往往還沒有生效。木馬正是利用這短暫的時機，釋放並啟動下一步所需要的另一個驅動級木馬。

無自啟動

卡巴斯基釋出的 Duqu2.0 報告中，我們可以看到 Duqu2.0 只存活在記憶體當中，為了達到其永續性攻擊者選擇長時間執行的伺服器。從 Duqu2.0 這個例項，我們不僅僅看到了從單一機器突破到感染整個網路的過程，另外也體會到攻擊者的自信。

我們發現的如 APT-C-00、 APT-C-05、 APT-C-12 等 APT 組織中，所使用的部分 RAT 也是沒有自啟動功能的，這些 RAT 並非單一的功能模組，而是完整獨立的後門程式。沒有自啟動，被感染機器在重啟之後，惡意程式碼則無法在自動執行，那是這些 APT 組織如同 Duqu2.0 放棄了永續性？還是另有其他途徑可以重新感染？目前我們推測大概有以下幾種可能性：

1. 人工職守：也就是一旦初始攻擊成功之後，攻擊者會第一時間判斷目標的價值，是否需要保留進行下一步橫向移動，還是放棄。也就是當人工介入該環節，則可以下發另一種完全不同具備持久化的 RAT。我們更傾向於這種推測。
2. 依賴原始母體檔案： RAT 的釋放和植入一般由另一個 PE 惡意程式或利用漏洞，其中PE 惡意程式一般偽裝為文件形態。從我們監控的情況來看，部分母體程式在釋放了 RAT 後，本身並無變化，如果被感染使用者沒有察覺，則還會將該母體認為是正常的文件。也就是攻擊者需等待被感染使用者再次執行母體程式，才能造成二次感染。但我們認為攻擊者以這種初衷的可能比較少。
3. 其他方法再次感染：或者藉助一些其他方法進行感染，且攻擊者有信心保證能成功再次感染。相關方法如利用 0day 漏洞、獲得篡改網路流量許可權等。

六、通訊控制：依託第三方平臺隱藏

通訊控制（C&C，Command and Control）， 也就是攻擊者與 RAT 之間的通訊。幾乎所有的 APT 攻擊行動都會有此環節，一般目的是更新惡意程式碼本身或配置檔案；接受相關控制指令；以及回傳竊取的資料資訊等。

傾向動態域名

APT 組織在選擇 C&C 域名的時候，更傾向採用動態域名，且從我們捕獲到針對國內的APT 攻擊行動來看，均採用境外動態域名服務商，其中主要的服務商有： ChangeIP、 DynDNS、No-IP、 Afraid（ FreeDNS）、 dnsExit 等

對於攻擊者而言採用動態域名的主要好處是，相關注冊資訊不對外公開（即無 whois資訊），安全研究人員很難關聯回溯。如果想知道某個動態域名的具體註冊資訊，則需要該域名持有者許可權才可以在相應動態域名服務商進行查詢。

利用雲盤儲存竊取的資料資訊

針對國內的 APT 攻擊中， APT-C-02 是採用了 Dropbox， APT-C-05 組織是藉助國內某網盤進行竊取資料的回傳。

APT-C-05 網盤版木馬會每隔一小時將竊取的最新資料打包加密後進行回傳， C&C 地址是網盤地址，透過網盤官方提供的 API 進行檔案上傳。

利用第三方部落格中轉

透過部落格或社交網路（ SNS）進行 C&C 指令下發，在 APT 攻擊中不算是一個新手段了，但主要出現在境外的一些攻擊行動中，主要藉助 Facebook、 Twitter 等社交網路。

在國內利用社交網路進行 C&C 通訊的攻擊還是較少。在針對國內的 APT 攻擊中，我們監控到 APT-C-05組織在 2015年 8月開始依託第三方部落格作為中轉平臺，進行惡意程式碼傳播，這裡主要是依託國內第三方某知名部落格，攻擊者首先會註冊部落格帳號，發表的每篇部落格文章會包含 shellcode 形態的惡意程式碼， shellcode 是以博文形式存放。

另外在 10 月左右我們發現 APT-C-05 組織已經放棄使用這種方法，轉而使用攻擊者自己所屬的伺服器進行惡意程式碼的中轉傳輸。

七、達成目標： 橫向移動以擴大戰果

---

我們在 APT-C-00 組織和 APT-C-12 組織中都發現了橫向移動相關跡象，攻擊者會從受感染機器中選擇部分機器進行橫向移動，一個典型案例就是 APT-C-12 組織中一臺被感染機器被先後植入了數十種不同功能，用於橫向移動的指令碼程式或可執行程式

一般首先是偵察和識別網路拓撲，獲取域計算機資訊，獲取當前計算機相關主機資訊，另外包括網路卡資訊、路由資訊等；檢視遠端計算機服務及狀態。獲取指定 IP 的共享資訊，獲取共享目錄。掃描內網機器遠端埠。

另外是進一步的竊取資料資料，主要補充 RAT 原本沒有的功能，相關資料主要偏向文件資料、帳號密碼和本機環境資訊。比如 APT-C-12 組織目的是竊取使用者 Outlook 密碼、桌面截圖等，另外獲取本地安裝軟體資訊、磁碟資訊等，而 APT-C-00 組織主要是竊取指定敏感文件資料。

“就地取材”：利用系統本身功能

APT 組織採用“就地取材”的方式利用 Windows 系統自帶命令對受感染目標機器的內部網路環境進行偵查，下表是 APT-C-12 組織在實際攻擊中使用的部分命令，相關命令多以VBS 和 BAT 指令碼交替執行。

表10 相關命令列表（ APT-C-12 組織）

下表是 APT-C-00 組織在實際攻擊中使用的部分命令。

表11 相關命令列表（ APT-C-00 組織）

步驟 1： 引數“-nop”不載入預設的 PowerShell 配置檔案，“-w hidden”沒有視窗，“-c”執行命令從URL： 'http://XXXXXX:8080/images/XXXXXX'，下載並且隱藏執行。

另外值得注意的是下載的檔案就是 APT-C-00組織的 Encryptor木馬衍生 PowerShell指令碼，這個 PowerShell 指令碼透過我們分析得出該指令碼是由 Cobalt Strike【16】自動化測試攻擊平臺生成的。攻擊者只需透過 Cobalt Strike 平臺簡單配置 C&C 地址即可生成。該 PowerShell 指令碼後續會釋放出 Beacon RAT。

步驟 2： 檢視網路資訊、 檢視內網主機 10.3.XX.XXX 的 NetBIOS 名稱、 檢視當前主機啟動的服務、 檢視網路連線狀況、 檢視域中的管理員帳戶列表、 檢視本機的使用者帳戶。

第三方工具

在該環節， APT 組織除了採用目標系統自帶命令以外，更傾向與藉助大量第三方工具來進行擴充攻擊。 第三方工具的優勢在於相關功能不僅可以滿足攻擊需求，而且由於相關工具本身作為正常用途，所以不會被安全軟體所檢測。 以下是我們發現的 APT 攻擊中常用的第三方工具。

表12 部分第三方工具列表（ APT-C-00\APT-C-12 等組織）

0x05 APT 攻擊為中國本土“量身定製”

---

一、熟悉目標所屬行業領域

誘餌資訊內容

精心構造郵件和誘餌文件內容，尤其誘餌文件疑似二次利用（一些未公開文件資料作為誘餌）。內容絕大多數為中文簡體，如果涉及具體單位會傳送英文資訊。

另外部分誘餌資訊時效性極強，如某行業技術有重大突破，在訊息剛在業內公開， 相關誘餌資訊則就已構造完成。為了規避對術語或行業用語的不熟悉或暴露攻擊者相關資訊，某些誘餌資訊直接從國內主流新聞網站複製相關新聞報告內容放到誘餌文件中。

另外從誘餌資訊來判斷，攻擊者不僅僅關注目標所屬行業，也會關注目標愛好、生活等等。 我們對部分特殊誘餌檔案的檔名進行了相關調查分析，均為真實存在的內容，絕非杜撰。

表13 部分誘餌文件檔名列表

竊取敏感資料

竊取的敏感資料中主要以文件為主，APT 組織更關注 WPS Office 相關文件，其中 APT-C-05和 APT-C-12 組織都會關注以 “ .wps”副檔名的文件，進一步 APT-C-12 還會關注副檔名為 “ .et”、“ .dps” 的另外兩種 WPS Office 文件，這兩種文件相當於微軟 Office 的 Excel 表格文件和PowerPoint 幻燈片文件， WPS Office 辦公軟體的使用者一般分佈在國內政府機構或事業單位。

另外針對特定行業或單位，會關注特定內容的文件，而不是所有的文件都關注。主要從檔名和副檔名兩個方面來區分。如：只關注副檔名為“ .doc”的文件，且檔名中包含“測試”字樣的文件。

通訊控制

使用雲盤儲存竊取的資料資訊，針對國內的雲盤。攻擊者透過使用國內某網盤官方提供的 API 進行檔案上傳。另外就是藉助第三方部落格進行惡意程式碼傳播，這裡主要是依託國內第三方某知名部落格，攻擊者首先會註冊部落格帳號，發表的每篇部落格文章中會包含 shellcode 惡意程式碼， 相關惡意程式碼是以博文形式存放。

域名註冊偏好

在本章“一、 APT 生命週期的剖析：從武器構建到橫向移動”中，我們介紹了攻擊者在選擇 C&C 域名的時候，更傾向採用動態域名，均採用境外動態域名服務商。但在註冊具體子域名的時候，更傾向採用具備中國元素的關鍵字，具體如下表所示：

表14 部分註冊名稱列表

二、掌握目標作業環境

劫持主流應用

主要針對目標環境中主流應用程式進行劫持。一般正常程式在更新和執行的過程中並不會有任何提示， 更新過程一般不需要使用者操作。另外我們還發現大量正常程式在更新的過程中，並不進行更新程式的簽名校驗、檔案校驗等檢查，下載後便會直接執行。關於網路劫持攻擊其他技術細節，在本報告“第四章 防禦薄弱導致低成本入侵頻頻得手”中的“高成本的載荷投遞：物理接觸”章節中進行了詳細描述，請參看具體章節。

表15 部分被劫持軟體

壓縮包

在魚叉式釣魚郵件攻擊、水坑式攻擊、基於即時通訊工具攻擊等方式中，惡意程式碼一般都首先會進行壓縮，以壓縮包形態進行傳輸。在針對國內的 APT 攻擊中，我們發現大多數壓縮包格式為 RAR，其餘主要是 ZIP 格式（具體參看下圖）。在國內壓縮包軟體中 WinRAR還是佔據主流。

圖17 壓縮包使用比例

隱匿對抗

APT 攻擊中的 RAT 採用了大量對抗手法，其中針對國內的安全軟體主要包括：360 衛士、360 防毒、 瑞星防毒、 金山毒霸、金山衛士、 QQ 軟體管家、東方微點等。

在對抗的過程中如果發現防毒軟體，惡意程式碼會選擇放棄執行後續的功能程式碼，或者會選擇繞過防毒軟體的檢測。其中在 APT-C-00 的攻擊中利用了一個 0day 溢位漏洞來躲避防毒軟體的檢測， APT-C-06 的 RAT 在針對 360 安全軟體的時候，透過新增靜態路由的方式，疑似遮蔽 360 雲查殺檢測。如下表內具體操作：

#!bash
route add 220.x.x.x mask 255.255.255.0 192.168.1.254 && route add 220.x.x.x mask 255.255.255.0 192.168.1.254

另外大多數 RAT 會偽裝 360、 QQ 等國內主流應用路徑或版本資訊。

三、符合目標習慣偏好

定時攻擊

APT 組織在對目標進行大量研究分析後，制定了具體發動攻擊行動的時間安排，主要從目標使用者作息時間、行業相關重大會議和國內大型節日等時間，另外水坑攻擊更加嚴謹，在完成攻擊後會將篡改的內容刪除或恢復。具體內容我們在“第五章攻擊手法的不斷演進與蛻變”中進行了詳細介紹。

郵件服務商

初始攻擊環節，傳送魚叉郵件是該環節最後的步驟， 我們發現相關組織主要傾向使用網易、新浪等國內第三方郵箱，其中以網易郵箱為主， 進一步包括： 163、 126 和 yeah 郵箱。註冊的使用者名稱與針對的目標和偽裝的發件人身份是有較強對應關係，如 APT-C-05 組織發動的攻擊行動中， 以某會議舉辦方名義給相應行業專家傳送攻擊郵件時，郵箱註冊的使用者名稱採用相關會議官方網站主域名；另外偽裝某政府人員，採用的使用者名稱是相應人員姓名的拼音全拼，如果使用者名稱被註冊（如： zhangsan）則會在全拼後追加部分數字內容（如： zhangsan123）。

0x06 針對中國 APT 攻擊的趨勢預測

---

一、APT 組織的攻擊目標

(一) 緊密圍繞政治、 經濟、 科技、 軍工等熱點領域及事件

APT 組織將會持續以經濟、政治、科技等熱點相關的行業或機構為攻擊目標，如十三五規劃、一帶一路、軍工製造等相關領域。 中華人民共和國國民經濟和社會發展第十三個五年規劃綱要，簡稱“十三五”規劃（ 2016－2020 年），主要闡明國家戰略意圖，明確政府工作重點，引導市場主體行為，是 2016－2020 年中國經濟社會發展的宏偉藍圖。國家的發展規劃和戰略意圖一直以來都是 APT 組織關注的重點領域， 穩步推進“一帶一路”建設合作是中國“十三五”規劃的重要內容， 在 11 月、 12 月期間我們已經捕獲到針對相關目標的攻擊行動，相關攻擊行動主要以“一帶一路”、“ 21 世紀海上絲綢之路”等誘餌資訊攻擊相關領域的目標群體。

(二) 由商業競爭產生的 APT 攻擊將不斷增加

APT 組織多數具備國家背景，以探測目標國家戰略意圖為主。但我們發現某些無國家背景，主要以牟利為目的的境內外駭客組織開始利用 APT 攻擊手法的攻擊逐漸出現。在 2015年 4 月份，我們捕獲到一個針對中國外貿行業的境外駭客組織，該組織利用 APT 初始攻擊中常用的魚叉式郵件發起攻擊，攜帶附件有 PE 二進位制木馬、漏洞文件等，而且攻擊者在傳送郵件之後還透過多次回覆的形式與目標使用者進行互動，透過持續跟蹤分析我們初步判定該駭客組織主要是以欺詐貨款為目的。

我們推測未來由商業競爭產生的以 APT 攻擊手法，針對商業領域的攻擊將會頻繁出現。

(三) 針對非 Windows 的攻擊頻率持續增高

在 2015 年針對中國的 APT 攻擊中，我們可以看到針對 Android、 Mac OS X 等非 Windows系統的攻擊逐漸出現。 Windows 不在是 APT 攻擊的主戰場，相關攻擊會從只針對 Windows作業系統逐步過渡到針對如 Linux、 Android、 Mac OS X 和工業控制系統相關攻擊出現的頻率和次數將會持續增高。另外攻擊的目標不再侷限於敏感資料竊取，而如同震網（ Stuxnet）蠕蟲以破壞系統導致癱瘓為目的的 APT 攻擊將不斷浮出水面。

二、APT 組織的攻擊手法

(一) APT 攻擊越來越難被“看見”

在 2015 年 RAT 的發展趨勢中，我們提到 RAT 檔案格式整體趨勢是從 PE 到非 PE 轉變，檔案形態也由實體檔案逐步轉化為無實體檔案。從功能形態而言，從早期的單個檔案聚合多種功能逐漸演變為功能單一的主、子模組間互相呼叫的模式。而惡意程式碼最終寄宿的位置也從常見的系統目錄逐漸進入到更加難以追蹤的 MBR、 VBR、磁碟韌體、 EFI、 BIOS 乃至於移動儲存裝置中的隱藏分割槽中。其中方程式組織（ Equation Group）將惡意程式碼寫入到磁碟韌體中，導致除了磁碟生產商外，沒有任何安全廠商可以實現檢測及惡意程式碼提取。

除了 RAT 以外，如：初始攻擊方式逐步發展為週期性攻擊、事後恢復； C&C 域名大量採用動態域名，非動態域名採用域名 WHOIS 資訊保護，進一步依託可信網站、 SNS、第三方雲盤等傳輸指令、檔案等這些手法都讓防禦裝置和安全分析人員很難定位追蹤。

(二) 對安全廠商從被動隱匿到主動出擊

在 APT 攻擊行動中從初始攻擊到橫向移動，各個環節都存在大量對抗手法，其目的是保證攻擊成功且不留痕跡。在具體的攻擊中遇到防禦措施，攻擊者一般會選擇放棄、等待、繞過或主動突破等方法，而這些基本都是針對具體目標環境中部署的防禦措施。

然而 2015 年我們發現的 APT-C-00 組織將木馬構造偽裝為 Acunetix Web VulnerabilityScanner（ WVS） 7 的破解版，進一步我們推測針對的目標很有可能是網路安全從業人員、研究人員或者其他駭客組織。 另外針對卡巴基斯攻擊的 duqu2.0 曝光， 以及卡巴斯基在對 2016年安全趨勢的預測報告【17】中也提出“針對安全廠商的攻擊”，從各方面都可以看出 APT 組織針對安全行業將會從被動隱匿過渡到主動出擊。

三、反 APT 領域的發展

(一) 更多針對中國的 APT 攻擊將曝光

360 在 2015 年 5 月末釋出了海蓮花（ OceanLotus） APT 組織，這也是中國安全廠商首次曝光針對中國攻擊的境外 APT 攻擊組織。 中國在反 APT 的相關研究還是起步階段，針對我國的 APT 攻擊更是鮮為人知， 而隨著中央網路安全和資訊化領導小組的成立，以及習近平主席在中美網際網路論壇強調“ 中國倡導建設和平、安全、開放、合作的網路空間”， 我們相信針對中國的 APT 攻擊將越來越多的被曝光。

(二) 反 APT 領域的防守協作持續增強

隨著 APT、網路間諜等越來越引起政府、企業的關注和重視，國外的威脅情報共享迅速發展，期間形成如 IOC（ Indicators of Compromise，威脅指標）、 STIX（ Structured ThreatInformation Expression）等標準。

在國內政府機構、目標行業和安全廠商三者如何協作，在國際上我們如何與境外機構廠商建立良好的溝通和合作方式則是重點。 在對抗 APT 等新威脅， 360 一直堅持開放、 合作的態度， 願意與中國及國際安全廠商在威脅情報共享以及 APT 監測與響應方面形成協作。 2015年末， 360 威脅情報中心（https://ti.360.com）正式釋出， 也是在威脅情報共享方面做出的實質性動作。

0x07 本報告涉及的 APT 組織

---

本研究報告中涉及到了 4 個 APT 組織或攻擊行動， 除了 APT-C-00 部分內容已經解密，其他相關組織的攻擊行為和手法也會逐步在 2016 年透過特定報告的方式進行解密。

除此之外， 我們還掌握了其他數十個 APT 組織， 由於涉及到較多的敏感資訊， 會在後期逐步進行解密。

一、APT-C-00 組織

APT-C-00 組織是我們 2015 年 5 月釋出的針對中國攻擊的某著名境外 APT 組織，該組織主要針對中國政府、科研院所和海事機構等重要領域發起攻擊。基於海量情報資料和研究分析，我們還原了 APT-C-00 組織的完整攻擊行動，相關攻擊行動最早可以追溯到 2011 年，期間不僅針對中國，同時還針對其他國家發起攻擊。該組織大量使用水坑式攻擊和魚叉式釣魚郵件攻擊，攻擊不限於 Windows 系統，還針對其他非 Windows 作業系統，相關攻擊至今還非常活躍。

二、APT-C-05 組織

APT-C-05 組織是隻針對中國攻擊的境外 APT 組織，主要對中國政府、軍事、科技和教育等重點單位和部門進行了持續 8 年的網路間諜活動，相關攻擊行動最早可以追溯到 2007年。期間我們先後捕獲到了 13 種不同的後門程式，涉及樣本數量上百個。該組織在初始攻擊環節主要採用魚叉式釣魚郵件攻擊，進一步使用了大量已知漏洞和 0day 漏洞發起攻擊，這些木馬的感染者遍佈國內 31 個省級行政區。

三、APT-C-06 組織

APT-C-06 組織是境外 APT 組織，其主要目標除了中國，還有其他國家。該組織主要針對政府領域進行攻擊，且非常專注於某特定領域，相關攻擊行動最早可以追溯到 2007 年。該組織利用的惡意程式碼非常複雜，相關功能模組達到數十種，涉及惡意程式碼數量超過 200個。另外該組織發動初始攻擊的方式並非傳統的魚叉式和水坑式攻擊等常見手法，而是另一種特殊的攻擊方法。

四、APT-C-12 組織

APT-C-12 組織是境外 APT 組織，主要對中國軍事、政府、工業等領域發起攻擊。相關攻擊行動最早可以追溯到 2011 年，我們捕獲到的惡意程式碼數量超過 600 個。相關攻擊行動至今還非常活躍，我們監控到近期該組織進行了大量橫向移動攻擊， 相關橫向移動惡意程式碼從功能區分至少有 6 種。該組織針對的具體目標分佈在中國數十個省級行政區，其中北京、上海、海南是重災區。

關於 360 天眼實驗室（ 360 SkyEye Lab）

天眼實驗室（ SkyEye Labs）正式成立於 2014 年 1 月，是 360 公司旗下專門利用大資料技術研究未知威脅的技術團隊。該實驗室依託 360 公司多年來積累的海量多維度安全大資料和資料探勘技術，實現對全網未知威脅的發現、溯源、監測和預警，及時準確地為客戶提供安全檢測和防護裝置所需要的威脅情報。

關於 360 追日團隊（ 360 Helios Team）

360 Helios Team 是 360 天眼實驗室旗下專門從事高階威脅研究的團隊，從事 APT 攻擊發現與追蹤、網際網路安全事件應急響應、駭客產業鏈挖掘和研究等工作。團隊成立於 2014 年12 月，在短短的一年時間內整合 360 公司海量安全資料，實現了威脅情報快速關聯溯源，首次發現並追蹤數十個 APT 組織及駭客產業鏈，擴大了駭客產業研究視野，填補了國內 APT研究的空白，併為大量企業和政府機構提供安全威脅評估及解決方案輸出。

0x08 參考連結

---

1. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains，http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
2. “The Pyramid of Pain”，http://detect-respond.blogspot.tw/2013/03/the-pyramid-of-pain.html
3. 海蓮花（ OceanLotus） APT 組織報告，https://skyeye.360safe.com/
4. “The Mystery of Duqu 2.0: a sophisticated cyberespionage actor returns”，https://securelist.com/blog/research/70504/the-mystery-of-duqu-2-0-a-sophisticated-cyberespionage-actor-returns/
5. APTnotes，https://github.com/kbandla/APTnotes
6. “W32.Flamer: Microsoft Windows Update Man-in-the-Middle”，http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-man-middle
7. RLO，http://en.wikipedia.org/wiki/Unicode_character_property
8. http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html
9. “iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign”，http://www.isightpartners.com/2014/10/cve-2014-4114/
10. https://packetstormsecurity.com/files/cve/CVE-2015-0097
11. “Microsoft Office Zeroday used to attack Pakistani targets”，https://www.alienvault.com/open-threat-exchange/blog/microsoft-office-zeroday-used-to-attack-pakistani-targets
12. “Havex Hunts For ICS/SCADA Systems”，https://www.f-secure.com/weblog/archives/00002718.html
13. “Adding Android and Mac OS X Malware to the APT Toolbox”，http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_adding-android-andmac-osx-malware-to-the-apt-toolbox.pdf
14. “THE ‘ICEFOG’ APT: A TALE OF CLOAK AND THREE DAGGERS”，http://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/icefog.pdf
15. Hacking Team“軍火庫”洩漏企業需高度警惕漏洞攻擊，http://bobao.360.cn/news/detail/1740.html
16. Cobalt Strike 官方網站，https://www.cobaltstrike.com/
17. “Kaspersky Security Bulletin. 2016 Predictions”，https://securelist.com/analysis/kaspersky-security-bulletin/72771/kaspersky-security-bulletin-2016-predictions/