PART 1 網絡空間中的對抗

第1章 開篇故事：震網病毒

1.震網病毒的整體傳播思路：首先感染外部主機；然后感染U盤；再以U盤為擺渡，利用系統漏洞傳播到工業控制系統內部網絡中；之后再在內部網絡中通過多個系統漏洞實現連網主機之間的傳播；最后抵達安裝了WinCC系統的離心機控制主機，并展開攻擊。

2.APT攻擊的顯著特點：攻擊的高級性；攻擊的持續性；攻擊的針對性。

3.震網病毒的傳播除了自身原因外，還有一個重要的原因就是當時主流的安全防御技術是基于特征碼識別技術，只匹配自身的特征庫，只能進行孤立的自我防御。在云查殺技術普及的今天，就不太可能傳播數千臺了。另外如果輔以社會工程等非技術手段，可以以更小的代價完成。

第2章 什么是APT攻擊

1.APT：即高級持續性威脅，APT組織的背景、意圖和能力是三個重要方面。主要目的是情報的刺探、收集和監控。具有針對性、高度隱蔽、不以直接獲取經濟利益為目的、漏洞利用等特性。目標以政府、軍隊、科研究過、關鍵基礎設施和大型商業機構為主。

2.APT與威脅情報：威脅情報是安全機構所掌握的針對特定組織機構的各種網絡威脅信息，包括八個方面（源頭、目標、動機、工具、指標、表象、影響、方案），其意義在于威脅信息的擴展與延伸、威脅的預警與提前防御。

3.網絡空間對抗新形態：APT攻擊有自己的軍火庫，同時武器也有不同的搭載系統，不同的武器搭載系統與不同的武器結合能夠產生不同的網絡攻擊方式，還有各種戰略戰術。

第3章 關于APT的全球研究

1.研究機構與研究報告：從研究報告、研究機構及APT組織的數量上來看美國、俄羅斯屬于第一梯隊，中國屬于第二梯隊的排頭兵。

2.APT攻擊目標

1）目標行業前五：軍隊與國防、政府、金融、外交、能源。

2）目標地域前五：韓國、中東、美國、俄羅斯、巴基斯坦

3）APT攻擊者的來源前四：APT28、Lazarus、Group123、海蓮花

PART2 典型APT事件及其影響

第4章 針對工業控制系統的破壞

1.烏克蘭圣誕大停電事件：2015年12月23日，烏克蘭電力控制系統被惡意程序BlackEnergy感染，配電公司設備中還檢測除了破壞系統數據以延緩系統恢復過程的惡意程序KillDisk，以及被添加后門的SSH服務端程序。

2.沙特阿拉伯大赦之夜攻擊事件：2016年11月17日晚，沙特阿拉伯民航總局在內的6家重要機構遭到了惡意程序Shamoon2.0攻擊，大量文件數據被毀。Shamoon分為三個模塊，投放器、通信組件、擦除組件。

3.美國電網承包商攻擊事件：2018年美國乃至加拿大的電網的數百個承包商受到了攻擊，借助模仿和欺騙，利用可信任的業務關系，從供應鏈入手進行了攻擊。

第5章 針對金融系統的犯罪

1.多國銀行被盜事件：2016年年初，孟加拉國、厄瓜多爾等多個國家和地區的銀行的SWIFT銀行間轉賬系統遭受攻擊，攻擊過程主要由三個步驟，獲得目標銀行SWIFT權限，利用SWIFT向其他銀行發送轉賬指令，篡改MT9XX報文清除證據。

2.ATM機盜竊事件：針對ATM的主要攻擊有兩類：一是入侵銀行內部網絡，獲得ATM機控制權限；二是通過光驅、USB接口等直接對ATM機進行操作。

3.黃金眼行劫事件：黃金眼是國內首個針對商業機構的APT組織，其攻擊水平和反偵察能力達到了國際水平。黃金眼使用一整套惡意程序對目標系統實施入侵和控制，并可跨越所有Windows平臺發動攻擊。

第6章 針對地緣政治的影響

1.DNC郵件泄露與美國總統大選

1）希拉里郵件門：希拉里在擔任美國國務卿的時間里，使用私人電子郵箱和位于家中的私人服務器收發公務郵件，其中包括一些涉及國家機密的絕密郵件。

2）DNC郵件泄露過程：2016年希拉里競選團隊主席John Podesta收到了一封釣魚郵件，打開了惡意鏈接，泄露了自己的郵箱密碼。

2.法國總統大選

2017年5月，馬克龍競選團隊遭到大規模網絡攻擊，數名成員的個人和工作郵箱遭到攻擊，攻擊者使用了偵查工具Seduploader，利用了兩個0day漏洞：word遠程代碼執行漏洞和windows的本地權限提升漏洞。

Part 3 APT組織的技術實戰

第7章 APT攻擊的目標與平臺

1.戰術目標：敏感情報信息與文件：竊密型攻擊的戰術目標是竊取情報信息，破壞型攻擊的戰術目標是破壞系統或設施。個人計算機上竊取文件的格式一般為Office文檔、WPS文檔等。智能移動終端上竊取文件的格式有音頻、照片等。因為攻擊者的活動越頻繁，被發現或監測到的概率越大，所以一般會先了解被攻擊者的行為習慣，再采取精準攻擊。

2.攻擊目標的系統平臺選擇： 無論是Windows、Android還是iOS、Mac OS X系統，都已經捕獲了大量的攻擊樣本。還有跨平臺的攻擊，海蓮花曾采取過跨平臺的水坑攻擊，當用戶訪問網站時，頁面彈出要求用戶更新Flash軟件的提示，用戶不慎下載就會被植入惡意程序，這個程序還會識別不同的操作系統平臺，返回不同平臺的惡意程序。

第8章 APT攻擊的武器搭載系統

1.綜述：APT實施攻擊的武器通常是攻擊文件、攻擊程序或攻擊代碼，但要將這些攻擊武器最終投放到目標系統中，則還需要一套精密設計的武器搭載系統。APT的武器搭載系統有魚叉郵件、水坑攻擊、中間人攻擊、PC跳板和第三方平臺跳板、即時通信工具、手機短信等。

2.導彈：魚叉攻擊：針對特定組織的網絡欺詐行為，目的是不通過授權訪問機密數據，最常見方法是將木馬程序作為電子郵件的附件發送給特定的攻擊目標，并誘使目標打開附件。與釣魚郵件的區別在于，前者多用于政企機構，瞄準了再攻擊，后者用于普通個人，愿者上鉤。魚叉郵件的實施過程分四個階段前期準備（完成目標人群的信息收集）、郵件制作（編寫帶迷惑性的含惡意程序的電子郵件）、郵件投遞（發送郵件給目標人群）、情報回收（通過C&C服務器回收竊取的情報信息）。魚叉攻擊的優點是目標投放精準，缺點是技術含量相對較低，易防范。

3.轟炸機：水坑攻擊：攻擊者通過分析攻擊目標的網絡活動規律，尋找攻擊目標經常訪問的網站的弱點，先攻下該網站并植入攻擊程序，在攻擊目標訪問該網站時實施攻擊。（在攻擊目標的必經之路設下埋伏）。2015年海蓮花發動了兩類水坑攻擊，一類是替換目標網站的可信程序或插入惡意javascript腳本，一類是替換目標網站指定鏈接。

4.登陸艇：PC跳板：攻擊智能移動終端系統最典型的方式是通過PC端來感染移動端。某個APT組織采用過如下方法：先攻陷目標人群額PC端，然后收集系統中的adb信息，之后檢測到移動智能終端連接到計算機上后就會利用某些軟件的adb工具將木馬文件安裝到智能移動終端上。

5.海外基地：第三方平臺：絕大多數APT組織都會使用完全由自己控制的C&C服務器，但也有一些組織為了更好的隱藏自己的身份，采用第三方平臺作為木馬的存儲空間或木馬回傳信息的收集空間例如APT-C-02和APT-C-05組織就層使用某第三方云存儲平臺作為數據回傳的收集平臺，還會對數據進行加密。還有一些APT組織會通過社交網站如Facbook、微博等來下發C&C指令。

6.特殊武器：惡意硬件的中間人劫持：某些APT組織會采用通過物理接觸的方式，在目標網絡中部署硬件設備，通過中間人的方式劫持用戶的網絡流量，并通過劫持替換用戶系統中常用軟件的更新程序，達到植入攻擊程序的目的。這種攻擊能夠實現的主要原因有兩點，一是許多軟件采用靜默更新，而是更新過程中不會對更新包的來源、簽名和文件內容做校驗。火焰病毒就是利用劫持微軟更新軟件進行傳播的，并且還采用MD5碰撞的方法來構造虛假簽名。

第9章 APT軍火庫中的武器裝備

APT攻擊中最常用的攻擊武器是專用木馬、漏洞利用型文件和0day漏洞。真正決定最終攻擊效果的就是這些搭載系統搭載的具體武器或彈頭。

1.常規武器：專用木馬（非漏洞利用型）：所采用的專業技術手段包括開機自啟動、加密技術等。

1）木馬的開機自啟動：APT組織比較難解決的問題之一是開機自啟動，因為一旦木馬通過修改注冊表、服務、計劃任務等方式實現自啟動，往往能觸發殺毒軟件的主動防御功能，最常用的方式有兩種，修改快捷方式和DLL劫持。以APT-C-01組織的一個專用木馬樣本為例，會首先尋找一個能夠開機自啟動的第三方應用，如輸入法等，之后構造一個與系統同名的DLL文件

2）木馬的加密與自解密：對自身及運行過程中的模塊進行隨機加密，是現代APT專用木馬對抗安全軟件查殺和安全研究人員分析的一個重要手段。以海蓮花的一個木馬家族Encryptor為例，其主要作用是打包和向C&C服務器上傳計算機中存在的各種Office文檔，Encryptor會對自己的數據區進行隨機遞歸加密處理，從而增加安全軟件對其進行識別的難度。

2.生化武器：1day、Nday漏洞的利用：攻擊者使用漏洞的主要目的是可以在目標系統中進行未授權的操作。CVE-2012-0158是最受APT攻擊者青睞的一個漏洞，稱為“MSCOMCT;.OCX遠程代碼執行漏洞”。遠程攻擊者可以利用這個漏洞誘使用戶打開一個經過特殊構造的RTF文件，可以在用戶系統上執行任意命令。CVE-2015-0097是微軟Office的一個邏輯漏洞，腳本通過利用ADODB.Recordset在本機啟動目錄寫入一個HTA文件，下次重啟時執行HTA代碼將惡意程序下載到本機并執行。

3.核武器：0day漏洞的在野利用：0day漏洞即已經被發現，但官方還沒有相關補丁的漏洞，一般無法防御。

4.APT組織武器使用的成本原則：一般而言，沒有利用任何漏洞的木馬的自造和使用成本最低，武器搭載系統中，魚叉郵件的使用成本最低，因此攜帶惡意二進制可執行文件的魚叉郵件是成本最低也是最廣泛的攻擊形式。而0day漏洞的使用成本是最高的，一方面需要很高的技術水平，一方面使用風險也較大，一旦使用被發現就有可能被修復，那就失去了最大殺傷力。一般在滿足以下三個條件時才會使用0day漏洞，首先是攻擊目標具有足夠的攻擊價值，且一般的專用木馬攻擊無效或無法達到預期，而且1day、Nday漏洞也無法達到預期目的。

5.APT攻擊武器研發的趨勢：1）從PE到非PE，從有實體文件到無實體文件 2）小眾編程語言日漸流行 3）模塊互動，云控技術漸成主流 4）惡意程序寄宿位置越藏越深 5）獨立研發與委托定制成主流。

第10章 APT攻擊的前線指揮部 C&C

C&C服務器主要作用有兩個方面：一是向感染了目標機的木馬程序發送控制命令，提供下載資源，二是回收木馬程序收集到的情報信息，包括文件、郵件等多種形式。

1.C&C服務器的地域分布：2015年監測到的全球APT組織的數百個C&C服務器分布在全球至少26個不同的國家和地區，分布最多的前三分別是美國、中國，然后是俄羅斯、西班牙、德國并列第三。

2.C&C服務器域名注冊機構：APT組織傾向于采用動態域名，相關注冊信息不對外公開，安全研究人員很難回溯。

3.C&C服務器域名注冊偏好：通常會選擇一些具有迷惑性的關鍵字，如126mailserver、360sc2、baidu2等。

Part4 APT組織的戰術布陣

第11章 APT組織的戰術

本章介紹APT組織在實際攻擊中采用的各種戰略戰術方法展開分析，包括攻擊初期的情報收集、火力偵查、假旗行動，攻擊過程中的供應鏈攻擊、周期性騷擾，攻擊成功后為擴大戰果進行的橫向移動，以及多種復雜的偽裝術、反偵察術等。

1.情報收集：APT組織沒發動一次攻擊，絕大部分時間都會消耗在情報收集上，一般有兩個主要渠道：一是公開情報（包括官方網站、行業網站、行業會議、新聞報道、社交網絡等），二是地下情報（例如黑市上購買的社工庫資料包、入侵第三方網站以獲取目標人群的情報信息、向其他APT組織購買情報信息等）。

2.火力偵察：在收集到足夠的情報后，正式發起大規模攻擊前，某些APT組織還會進行一定程度的火力偵察，具體形式是先向預設的目標人群投放一些惡意行為不太明顯的木馬程序，收集目標網絡或設備的基本信息（如主機信息、網絡信息、應用程序信息、磁盤信息、進程信息等），用以輔助判斷目標機器的真偽、防御能力、攻擊價值等。火力偵察的手段也可能用在橫向移動等需要對新的目標機器進行攻擊的場景。

3.供應鏈攻擊：當攻擊目標本身防御措施較完備或初始攻擊未能達到預期效果時，對與目標相關的周邊企業、人員或供應鏈進行攻擊，就有可能取得良好的效果。震網病毒、Havex惡意軟件等就是供應鏈攻擊的案例。

4.假旗行動：是指通過其他組織的旗幟、制服等手段誤導公眾。假旗行動一般有兩種類型，一類是預設陷阱（樣本實體文件、C&C服務器域名、特殊字符串、上線密碼、誘餌文檔等），一類是事后掩蓋（在攻擊過程中或攻擊成功后，對域名、IP地址等信息進行偽裝）。洋蔥狗、SWIFT事件等就是假旗行動的案例。與欺騙技術相關的策略有6個：暗區、蜜令、蜜罐、密網、假旗行動、效果。

5.周期性襲擾：APT組織的攻擊傾向于在工作日發起。以海蓮花為例，因為中國政府和研究機構人員往往在周一、周二登錄辦公系統查詢重大內部新聞和通知，所以經常在周一、周二發動水坑攻擊。

6.橫向移動：當初始攻擊成功后，APT攻擊者就會嘗試擴大戰果，進行橫向移動，目的主要包括兩個方面：一是進一步在受感染的目標機器上獲取更多有價值的信息，二是借助受感染的目標機器探測周邊其他設備的情況或向其他設備發動攻擊。橫向移動的攻擊過程一般分為以下幾個步驟：1）偵查和識別網絡拓撲 2）查看遠程計算機服務及狀態 3）補充專用木馬原本沒有的功能。

7.偽裝術：包括社會工程學偽裝（郵件內容偽裝、郵箱身份偽裝）、文件視覺偽裝（構造超長文件名來隱藏文件擴展名、使用雙擴展名、文件圖標偽裝等）、快捷方式偽裝、捆綁合法程序、壓縮包外殼。

8.反偵察術：APT組織還會采用反偵察的技術，針對國內的安全軟件包括360衛士、360殺毒、瑞星殺毒、金山毒霸、QQ軟件管家等。還有一些專用木馬程序會判斷自身所處環境，當發現殺毒軟件時，就會選擇放棄執行后續的功能代碼，或者設法繞過殺毒軟件的監測。

PART5 APT攻擊與防御技術趨勢

第12章 APT攻擊的特點與趨勢

1.APT組織的發展越來越成熟：APT的發展經歷四個階段：初學乍練、廣泛撒網、收縮攻擊、無形攻擊。

2.APT攻擊技術越發高超：非PE文件攻擊越來越多、開源工具和自動化攻擊框架提高了APT攻擊的效率。

3.國際沖突地區的APT攻擊更加活躍：2018年，針對韓國、中東、美國、俄羅斯、巴基斯坦等地區的APT活動最為活躍，也被披露的最多。

4.網絡空間已經成為大國博弈的新戰場：無論是發動APT攻擊，還是披露APT攻擊，已成為國際關系中，大國政治與戰略博弈的重要棋子。整個網絡空間就是大國戰略博弈的新戰場。

5.針對基礎設施的破壞性攻擊日益活躍：烏克蘭停電事件、沙特阿拉伯Shamoon2.0事件、孟加拉國央行被竊事件、泰國郵政儲蓄銀行ATM被竊事件等都屬于非常典型的針對基礎設施的破壞性攻擊。

6.針對特定個人的移動端攻擊顯著增加：移動端存儲敏感或機密文件的可能性要比C端小，因此針對移動端設備的攻擊真正目的往往不是移動設備本身，而是其使用者，主要是獲取目標人群的關系網信息。

第13章 APT攻擊的監測與防御

1.如何發現APT攻擊：傳統的安全技術更加注重對已知威脅的防御能力，典型的監測方法就是用各種已知樣本對安全產品或防御系統進行測試，以查殺率和誤殺率作為產品能力的平平指標。但APT攻擊屬于位置威脅，應以“一定防不住”為出發點，利用大數據技術、威脅情報等技術提高安全能力。

1）大數據技術：包括數據采集、數據分析、數據呈現等多個方面

2）威脅情報技術：威脅情報是某種基于證據的知識，包括上下文、機制、標志、含義和可行的建議，這些知識與資產所面臨的已有的或醞釀中的威脅或危害，可用于資產相關主體對威脅或危害的響應或為處理決策提供信息支持。

3）流量威脅檢測技術：流量分析包括流量威脅分析（對網絡中的所有行為從多個維度特征進行建模，設定相應的安全基線，彌補單純依賴特征的不足）、流量日志存儲（確保從時間軸和空間軸上實現網絡內設備和應用的歷史流量關聯，從而做到實時檢測）與威脅回溯分析（隨時分類查看及調用任意時間段的數據，從不同維度、不同時間區間，提供不同層級的數據特征和行為模式特征，從而確定事件發生的根源）。

4）網絡檢測響應技術：NDR是指通過對網絡流量產生的數據進行多手段檢測和關聯分析，主動感知傳統防護手段無法發現的高級威脅，進而執行高效的分析和回溯，并智能地協助用戶完成處置。在完整的NDR架構中，一般包括傳感器、分析平臺和執行器三種部件。

5）終端檢測響應技術：EDR是基于終端大數據分析的新一代終端安全產品，能夠對終端行為數據進行全面采集，實時上傳，對終端進行持續檢測和分析。

2.如何分析APT攻擊

1）網絡殺傷鏈模型：Cyber Kill Chain用來描述針對性攻擊的各個階段，分為七個部分：偵察、武器化、散布、惡用、設置、命令與控制、目標達成。反殺傷鏈模型包括六個步驟：發現、定位、跟蹤、瞄準、打擊和評估。

2）鉆石模型：每個入侵事件有四個基本元素：攻擊者、受害者、能力及基礎設施。

3）自適應安全架構：是Gartner在2014年提出的面向未來的下一代安全架構，從預測、防御、檢測和響應四個維度，強調安全防護是一個持續處理、循環的過程。

3.協同聯動的縱深防御體系：包括兩個部分：高級威脅的判定、安全威脅的處置。

Part6 典型的APT組織概述

第14章 全球知名的APT組織

1.方程式：由卡巴斯基在2015年披露，“影子經紀人”曾披露包括“永恒之藍”等漏洞是出自方程式之手。該組織不僅針對軍用，還針對民用。

2.索倫之眼：APT-C-16，由賽門鐵克和卡巴斯基披露，該組織專門針對俄羅斯、中國、比利時、伊朗、瑞典等國家進行攻擊。

3.APT28：其主要目標包括國防工業、軍隊、政府組織和媒體。

此外還有Lazarus、Group123等

第15章 國內安全廠商獨立發現的APT組織

有海蓮花、摩訶草、黃金眼、蔓靈花、美人魚、黃金鼠、人面獅、雙尾蝎、藍寶菇、肚腦蟲、毒云藤、盲眼鷹、拍拍熊等。

附錄A APT組織的人員構成

一個來自境外的APT組織至少會由5個專業小組（情報收集小組、社會工程學小組、研發小組、C&C運維小組、情報分析小組）和1個指揮協調組成，有些甚至還有人工間諜。

附錄B APT組織的命名規則

一般有以下原則：1）誰發現，誰命名 2）APT組織攻擊方式或C&C服務器的特點 3）APT組織可能的政治及地緣背景猜測。