曾經(jīng)，APT是網(wǎng)絡(luò)攻擊中的奢侈品，高端定制、手工打造、限量發(fā)售。但是，隨著APT工具技術(shù)的產(chǎn)品化和“民主化”，以及“APT即服務(wù)”的商業(yè)化和規(guī)?；?，APT這種過(guò)去針對(duì)高價(jià)值目標(biāo)的高成本低頻次攻擊，門檻大幅降低，正呈現(xiàn)泛濫趨勢(shì)，很多過(guò)去沒(méi)有將APT納入威脅模型的用戶，例如中小企業(yè)，如今也正成為APT攻擊的目標(biāo)。這意味著大量企業(yè)和機(jī)構(gòu)都應(yīng)當(dāng)根據(jù)APT的最新發(fā)展趨勢(shì)重新修訂其威脅模型。也許，針對(duì)網(wǎng)絡(luò)犯罪的“攻擊上云”趨勢(shì)，最佳防御策略正是“安全上云”。

　　安全公司卡巴斯基實(shí)驗(yàn)室和Bitdefender在9月份分別發(fā)布了有關(guān)兩個(gè)APT雇傭軍組織的報(bào)告。其中一個(gè)針對(duì)律師事務(wù)所和金融領(lǐng)域的公司，而另一個(gè)針對(duì)建筑和視頻制作公司。這些只是過(guò)去幾年一系列類似報(bào)告中的最新示例。

　　Bitdefender的全球網(wǎng)絡(luò)安全研究員Liviu Arsene指出：“我們最近看到了一種趨勢(shì)，過(guò)去由國(guó)家贊助的APT團(tuán)體使用的策略和技術(shù)現(xiàn)在已用于對(duì)小型公司的攻擊?！薄斑@可能意味著技術(shù)能力較強(qiáng)的黑客組織已經(jīng)開始提供的新的APT即服務(wù)模型。正如‘惡意軟件即服務(wù)’的到來(lái)標(biāo)志著網(wǎng)絡(luò)犯罪行業(yè)的新篇章，在國(guó)家發(fā)起的攻擊中或作為其他更大的APT團(tuán)體的一部分，不斷打磨技能的雇傭黑客群體所提供的‘APT即服務(wù)’都將成為新常態(tài)?！?/p>

　　DeathStalker和常用腳本語(yǔ)言

　　卡巴斯基的報(bào)告重點(diǎn)關(guān)注了被該公司命名為DeathStalker的黑客雇傭軍組織的近期活動(dòng)，該組織的工具與最早可追溯至2012年的其他惡意軟件植入具有相似之處。該組織最近主要針對(duì)的目標(biāo)是從事金融業(yè)或與金融業(yè)合作的實(shí)體，包括法律辦事處，財(cái)富咨詢公司和金融技術(shù)公司，經(jīng)確認(rèn)的受害者遍布阿根廷、中國(guó)、塞浦路斯、以色列、黎巴嫩、瑞士、土耳其、英國(guó)和阿拉伯聯(lián)合酋長(zhǎng)國(guó)。

　　DeathStalker當(dāng)前的植入程序是用PowerShell編寫的Powersing。PowerShell是Windows附帶的一種經(jīng)常被濫用的腳本語(yǔ)言，用于自動(dòng)執(zhí)行系統(tǒng)管理任務(wù)。該惡意軟件通過(guò)帶有包含惡意鏈接附件的魚叉式網(wǎng)絡(luò)釣魚電子郵件來(lái)投遞。格外值得注意的是，Powersing有效負(fù)載可以接觸到社交媒體網(wǎng)站上的各種“死角”，并從作者留下的帶有編碼文本的評(píng)論中獲取命令和控制（C＆C）服務(wù)器的URL。被用于“投毒”的站點(diǎn)包括Google +、Imgur、Reddit、Tumblr、Twitter、YouTube和WordPress。

　　Powersing會(huì)定期與C＆C服務(wù)器聯(lián)系以獲取命令，并具有兩個(gè)功能：定期從受害者的計(jì)算機(jī)捕獲屏幕截圖并將其發(fā)送到C＆C服務(wù)器，并執(zhí)行C＆C提供的任意Powershell腳本。這兩個(gè)簡(jiǎn)單的功為攻擊者提供了強(qiáng)大的功能。一種允許他們對(duì)受害者進(jìn)行偵察，另一種則允許通過(guò)手動(dòng)黑客攻擊擴(kuò)大攻擊范圍。

　　卡巴斯基實(shí)驗(yàn)室（Kaspersky Lab）已經(jīng)確定了DeathStalker的分發(fā)方法（LNK文件），dead drops的使用以及與過(guò)去使用過(guò)的其他腳本語(yǔ)言（VBE和JavaScript）編寫的另外兩個(gè)惡意軟件家族Janicab和Evilnum的代碼相似性?？ò退够难芯咳藛T指出，雖然代碼比對(duì)沒(méi)有任何確切的證據(jù)，但是他們相信Powersing，Evilnum和Janicab來(lái)自同一團(tuán)伙。

　　根據(jù)受害者的類型和黑客所關(guān)注的信息，卡巴斯基實(shí)驗(yàn)室認(rèn)為DeathStalker的背后是一個(gè)黑客雇傭軍組織，可以為私人客戶提供黑客出租服務(wù)，或者在金融界中充當(dāng)信息經(jīng)紀(jì)人的角色，出售竊取的數(shù)據(jù)。

　　卡巴斯基在報(bào)告中說(shuō)：“我們相信DeathStalkers純粹是根據(jù)他們的價(jià)值判斷或根據(jù)客戶要求選擇目標(biāo)。”“在這種情況下，我們?cè)u(píng)估，無(wú)論其地理位置如何，金融領(lǐng)域的任何公司都可能會(huì)是DeathStalker的獵物。”

　　黑客雇傭軍使用有針對(duì)性的攻擊媒介

　　Bitdefender在其最近的報(bào)告中記錄了對(duì)一家在全球設(shè)有辦事處，與紐約、倫敦、澳大利亞和阿曼的房地產(chǎn)開發(fā)商都有合作的公司最近遭遇了APT攻擊。該公司的客戶還包括知名建筑師和世界知名的室內(nèi)設(shè)計(jì)師。

　　值得注意的是，這個(gè)黑客組織將他們的惡意軟件植入程序以Autodesk 3DS Max（一個(gè)流行的3D動(dòng)畫和建模程序）流氓插件的形式投送。這表明該黑客組織確切地知道目標(biāo)是誰(shuí)、目標(biāo)數(shù)據(jù)有哪些以及可以利用哪些軟件來(lái)作為攻擊切入點(diǎn)。

　　該公司表示：“在調(diào)查過(guò)程中，Bitdefender研究人員還發(fā)現(xiàn)威脅行為者擁有強(qiáng)大而完整的間諜工具集?！薄盎贐itdefender的遙測(cè)技術(shù)，我們還發(fā)現(xiàn)了與同一命令和控制服務(wù)器通信的其他類似惡意軟件樣本，可追溯到不到一個(gè)月前。位于韓國(guó)、美國(guó)、日本和南非。該網(wǎng)絡(luò)犯罪集團(tuán)可能也將這些地區(qū)的特定受害者作為目標(biāo)?！?/p>

　　6月，Bitdefender曾發(fā)布過(guò)一份報(bào)告，涉及另一個(gè)被稱為StrongPity的可疑雇傭軍組織，該組織具備以財(cái)務(wù)和地緣政治為目標(biāo)的雇傭軍網(wǎng)絡(luò)犯罪集團(tuán)的特征。另一家代號(hào)Barium或Winnti的較早的APT組織也曾發(fā)起一系列涉及流行軟件的供應(yīng)鏈攻擊，其過(guò)往的運(yùn)營(yíng)和攻擊行為也顯示出對(duì)網(wǎng)絡(luò)間諜和財(cái)務(wù)利益的巨大興趣。

　　雇傭APT成為趨勢(shì)？

　　互聯(lián)網(wǎng)的暗黑社會(huì)中一直存在著可供出租的黑客。甚至有證據(jù)表明，俄羅斯等國(guó)還會(huì)從網(wǎng)絡(luò)犯罪圈子招募黑客從事情報(bào)活動(dòng)。然后，這些黑客學(xué)習(xí)復(fù)雜的APT風(fēng)格的技術(shù)、策略和程序（TTP），這些技術(shù)、策略和程序也可用于其犯罪活動(dòng)?；蛘?，他們可以成立雇傭軍團(tuán)體，并將其技能出售給想要監(jiān)視競(jìng)爭(zhēng)對(duì)手或操縱金融市場(chǎng)的私人實(shí)體。

　　一些團(tuán)體甚至受到向第三方客戶出售黑客服務(wù)的國(guó)家的資助、培訓(xùn)和支持。朝鮮就是這種情況。4月，美國(guó)國(guó)務(wù)院、財(cái)政部、國(guó)土安全部和聯(lián)邦調(diào)查局發(fā)布了有關(guān)朝鮮網(wǎng)絡(luò)威脅的聯(lián)合咨詢報(bào)告，其中提到：“朝鮮網(wǎng)絡(luò)參與者DPRK也接受第三方客戶付費(fèi)入侵網(wǎng)站并勒索第三方?！?/p>

　　《網(wǎng)絡(luò)雇傭兵：國(guó)家，黑客和權(quán)力》一書的作者，美國(guó)外交政策智囊機(jī)構(gòu)卡內(nèi)基國(guó)際和平基金會(huì)網(wǎng)絡(luò)政策倡議的聯(lián)合主任蒂姆·莫拉爾（Tim Maurer）表示：“我發(fā)現(xiàn)這是一個(gè)令人著迷的故事，確實(shí)提醒了人們網(wǎng)絡(luò)威脅形勢(shì)的復(fù)雜性，而且我認(rèn)為報(bào)紙或政策制定者目前的討論并未考慮到這一點(diǎn)”?！拔艺J(rèn)為很少有人真正意識(shí)到這些不同類型的維度。朝鮮必須賺很多錢，因此他們的行為舉止獨(dú)特。但這也引發(fā)了一些有趣的問(wèn)題，即朝鮮的網(wǎng)絡(luò)攻擊方式是否會(huì)在國(guó)際上擴(kuò)散?！?/p>

　　根據(jù)毛勒（Maurer）的說(shuō)法，不同黑客或黑客團(tuán)體戴著不同顏色的帽子，而政府人員和雇工黑客則使組織很難知道黑客攻擊的真正意圖是什么，以及黑客會(huì)如何處理和使用失竊的數(shù)據(jù)。

　　提供雇傭黑客服務(wù)的雇傭兵組織的數(shù)量正在不斷增加，這是過(guò)去過(guò)去幾年APT技術(shù)和工具商品化和公開發(fā)布所推動(dòng)的。許多網(wǎng)絡(luò)犯罪集團(tuán)和勒索軟件幫派使用手動(dòng)黑客和無(wú)文件執(zhí)行技術(shù)，濫用腳本語(yǔ)言和雙重用途工具（系統(tǒng)管理員或IT安全專業(yè)人員也使用這些工具），在網(wǎng)絡(luò)內(nèi)部進(jìn)行長(zhǎng)達(dá)數(shù)月的偵察和橫向移動(dòng)操作，為每個(gè)受害者開發(fā)自定義的有效載荷等等。

　　即使是中小型公司也面臨APT的風(fēng)險(xiǎn)

　　那么，不論行業(yè)和組織的規(guī)模大小，是否可以承受威脅模型中不包含APT的后果嗎？答案越來(lái)越傾向于“不”，但這對(duì)中小型企業(yè)提出了一個(gè)嚴(yán)峻問(wèn)題，因?yàn)樗鼈兺鶝](méi)有檢測(cè)和響應(yīng)此類攻擊所需的安全產(chǎn)品，預(yù)算或熟練的人員。

　　Bitdefender的Arsene表示：“ 中小型企業(yè)將必須徹底改革其威脅模型，建立新的安全策略，并重新調(diào)整其安全預(yù)算?！薄斑^(guò)去，大多數(shù)APT攻擊中‘躺槍’的中小型企業(yè)實(shí)際上屬于對(duì)更大目標(biāo)的供應(yīng)鏈攻擊的一部分，而APT雇傭服務(wù)的興盛極大降低了此類攻擊的門檻，意味著中小型公司也將成為APT攻擊的獵物。”

　　“我確實(shí)認(rèn)為，對(duì)于大多數(shù)組織而言，遷移到云是有意義的，因?yàn)檫@樣云服務(wù)提供商的安全團(tuán)隊(duì)能夠更有效地檢測(cè)和防御APT，因此可以得到更好的保護(hù)，”Maurer表示?！叭绻且患倚⌒凸?，并且可能只有一個(gè)人忙于更新補(bǔ)丁，那么您就沒(méi)有足夠的帶寬來(lái)有效地防御更高級(jí)的威脅。過(guò)去十年中，具有攻擊性網(wǎng)絡(luò)能力的國(guó)家黑客組織的的國(guó)家數(shù)量就從六個(gè)增加到現(xiàn)在的30多個(gè)，APT攻擊知識(shí)和能力的擴(kuò)散持續(xù)超過(guò)國(guó)家（和組織）有效防御的能力?！?/p>

　　Maurer還認(rèn)為，云提供商在不斷投資提高安全性并保護(hù)其客戶方面享有聲譽(yù)，因?yàn)槿魏斡锌蛻舻脑瀑Y產(chǎn)遭到破壞的新聞報(bào)道也會(huì)提及云提供商的名稱，無(wú)論他們是否負(fù)責(zé)。話雖如此，但大多數(shù)云安全問(wèn)題都是由于配置不安全導(dǎo)致的，最終責(zé)任還是客戶自己承擔(dān)?？傊M管遷移到云可能會(huì)減輕某些組織的網(wǎng)絡(luò)監(jiān)視負(fù)擔(dān)，但他們?nèi)孕枰_保安全配置其云服務(wù)器和資產(chǎn)。

　　Arsene認(rèn)為，中小企業(yè)對(duì)抗APT還可以考慮端點(diǎn)檢測(cè)和響應(yīng)（EDR）以及托管檢測(cè)和響應(yīng)（MDR）解決方案，這些解決方案對(duì)于中小型企業(yè)來(lái)說(shuō)也是負(fù)擔(dān)得起的，并且可以提供企業(yè)級(jí)安全運(yùn)營(yíng)中心的很多服務(wù)。

　　Arsene指出：“對(duì)于小型企業(yè)而言，尤其是在競(jìng)爭(zhēng)激烈且財(cái)務(wù)驅(qū)動(dòng)的垂直行業(yè)中，最大的挑戰(zhàn)是缺乏合格的安全和IT人員，以及缺乏能夠發(fā)現(xiàn)可疑行為的安全工具?！薄爸行⌒凸静粌H需要檢測(cè)惡意軟件的安全軟件，而且在端點(diǎn)和網(wǎng)絡(luò)層都需要可見性工具來(lái)增強(qiáng)其安全性?？梢酝ㄟ^(guò)以下方式來(lái)解決安全人才短缺的問(wèn)題：選擇托管的檢測(cè)和響應(yīng)團(tuán)隊(duì)，不僅評(píng)估公司的基礎(chǔ)結(jié)構(gòu)，并提出安全和強(qiáng)化工具，還充當(dāng)專門的威脅獵人小組，對(duì)可疑事件進(jìn)行威脅溯源?！?/p>