曾經(jīng)，APT是網(wǎng)絡(luò)攻擊中的奢侈品，高端定制、手工打造、限量發(fā)售。但是，隨著APT工具技術(shù)的產(chǎn)品化和“民主化”，以及“APT即服務(wù)”的商業(yè)化和規(guī)?；?，APT這種過去針對高價值目標的高成本低頻次攻擊，門檻大幅降低，正呈現(xiàn)泛濫趨勢，很多過去沒有將APT納入威脅模型的用戶，例如中小企業(yè)，如今也正成為APT攻擊的目標。這意味著大量企業(yè)和機構(gòu)都應當根據(jù)APT的最新發(fā)展趨勢重新修訂其威脅模型。也許，針對網(wǎng)絡(luò)犯罪的“攻擊上云”趨勢，最佳防御策略正是“安全上云”。

　　安全公司卡巴斯基實驗室和Bitdefender在9月份分別發(fā)布了有關(guān)兩個APT雇傭軍組織的報告。其中一個針對律師事務(wù)所和金融領(lǐng)域的公司，而另一個針對建筑和視頻制作公司。這些只是過去幾年一系列類似報告中的最新示例。

　　Bitdefender的全球網(wǎng)絡(luò)安全研究員Liviu Arsene指出：“我們最近看到了一種趨勢，過去由國家贊助的APT團體使用的策略和技術(shù)現(xiàn)在已用于對小型公司的攻擊?！薄斑@可能意味著技術(shù)能力較強的黑客組織已經(jīng)開始提供的新的APT即服務(wù)模型。正如‘惡意軟件即服務(wù)’的到來標志著網(wǎng)絡(luò)犯罪行業(yè)的新篇章，在國家發(fā)起的攻擊中或作為其他更大的APT團體的一部分，不斷打磨技能的雇傭黑客群體所提供的‘APT即服務(wù)’都將成為新常態(tài)?！?/p>

　　DeathStalker和常用腳本語言

　　卡巴斯基的報告重點關(guān)注了被該公司命名為DeathStalker的黑客雇傭軍組織的近期活動，該組織的工具與最早可追溯至2012年的其他惡意軟件植入具有相似之處。該組織最近主要針對的目標是從事金融業(yè)或與金融業(yè)合作的實體，包括法律辦事處，財富咨詢公司和金融技術(shù)公司，經(jīng)確認的受害者遍布阿根廷、中國、塞浦路斯、以色列、黎巴嫩、瑞士、土耳其、英國和阿拉伯聯(lián)合酋長國。

　　DeathStalker當前的植入程序是用PowerShell編寫的Powersing。PowerShell是Windows附帶的一種經(jīng)常被濫用的腳本語言，用于自動執(zhí)行系統(tǒng)管理任務(wù)。該惡意軟件通過帶有包含惡意鏈接附件的魚叉式網(wǎng)絡(luò)釣魚電子郵件來投遞。格外值得注意的是，Powersing有效負載可以接觸到社交媒體網(wǎng)站上的各種“死角”，并從作者留下的帶有編碼文本的評論中獲取命令和控制（C＆C）服務(wù)器的URL。被用于“投毒”的站點包括Google +、Imgur、Reddit、Tumblr、Twitter、YouTube和WordPress。

　　Powersing會定期與C＆C服務(wù)器聯(lián)系以獲取命令，并具有兩個功能：定期從受害者的計算機捕獲屏幕截圖并將其發(fā)送到C＆C服務(wù)器，并執(zhí)行C＆C提供的任意Powershell腳本。這兩個簡單的功為攻擊者提供了強大的功能。一種允許他們對受害者進行偵察，另一種則允許通過手動黑客攻擊擴大攻擊范圍。

　　卡巴斯基實驗室（Kaspersky Lab）已經(jīng)確定了DeathStalker的分發(fā)方法（LNK文件），dead drops的使用以及與過去使用過的其他腳本語言（VBE和JavaScript）編寫的另外兩個惡意軟件家族Janicab和Evilnum的代碼相似性?？ò退够难芯咳藛T指出，雖然代碼比對沒有任何確切的證據(jù)，但是他們相信Powersing，Evilnum和Janicab來自同一團伙。

　　根據(jù)受害者的類型和黑客所關(guān)注的信息，卡巴斯基實驗室認為DeathStalker的背后是一個黑客雇傭軍組織，可以為私人客戶提供黑客出租服務(wù)，或者在金融界中充當信息經(jīng)紀人的角色，出售竊取的數(shù)據(jù)。

　　卡巴斯基在報告中說：“我們相信DeathStalkers純粹是根據(jù)他們的價值判斷或根據(jù)客戶要求選擇目標。”“在這種情況下，我們評估，無論其地理位置如何，金融領(lǐng)域的任何公司都可能會是DeathStalker的獵物?！?/p>

　　黑客雇傭軍使用有針對性的攻擊媒介

　　Bitdefender在其最近的報告中記錄了對一家在全球設(shè)有辦事處，與紐約、倫敦、澳大利亞和阿曼的房地產(chǎn)開發(fā)商都有合作的公司最近遭遇了APT攻擊。該公司的客戶還包括知名建筑師和世界知名的室內(nèi)設(shè)計師。

　　值得注意的是，這個黑客組織將他們的惡意軟件植入程序以Autodesk 3DS Max（一個流行的3D動畫和建模程序）流氓插件的形式投送。這表明該黑客組織確切地知道目標是誰、目標數(shù)據(jù)有哪些以及可以利用哪些軟件來作為攻擊切入點。

　　該公司表示：“在調(diào)查過程中，Bitdefender研究人員還發(fā)現(xiàn)威脅行為者擁有強大而完整的間諜工具集。”“基于Bitdefender的遙測技術(shù)，我們還發(fā)現(xiàn)了與同一命令和控制服務(wù)器通信的其他類似惡意軟件樣本，可追溯到不到一個月前。位于韓國、美國、日本和南非。該網(wǎng)絡(luò)犯罪集團可能也將這些地區(qū)的特定受害者作為目標?！?/p>

　　6月，Bitdefender曾發(fā)布過一份報告，涉及另一個被稱為StrongPity的可疑雇傭軍組織，該組織具備以財務(wù)和地緣政治為目標的雇傭軍網(wǎng)絡(luò)犯罪集團的特征。另一家代號Barium或Winnti的較早的APT組織也曾發(fā)起一系列涉及流行軟件的供應鏈攻擊，其過往的運營和攻擊行為也顯示出對網(wǎng)絡(luò)間諜和財務(wù)利益的巨大興趣。

　　雇傭APT成為趨勢？

　　互聯(lián)網(wǎng)的暗黑社會中一直存在著可供出租的黑客。甚至有證據(jù)表明，俄羅斯等國還會從網(wǎng)絡(luò)犯罪圈子招募黑客從事情報活動。然后，這些黑客學習復雜的APT風格的技術(shù)、策略和程序（TTP），這些技術(shù)、策略和程序也可用于其犯罪活動?；蛘撸麄兛梢猿闪⒐蛡蜍妶F體，并將其技能出售給想要監(jiān)視競爭對手或操縱金融市場的私人實體。

　　一些團體甚至受到向第三方客戶出售黑客服務(wù)的國家的資助、培訓和支持。朝鮮就是這種情況。4月，美國國務(wù)院、財政部、國土安全部和聯(lián)邦調(diào)查局發(fā)布了有關(guān)朝鮮網(wǎng)絡(luò)威脅的聯(lián)合咨詢報告，其中提到：“朝鮮網(wǎng)絡(luò)參與者DPRK也接受第三方客戶付費入侵網(wǎng)站并勒索第三方。”

　　《網(wǎng)絡(luò)雇傭兵：國家，黑客和權(quán)力》一書的作者，美國外交政策智囊機構(gòu)卡內(nèi)基國際和平基金會網(wǎng)絡(luò)政策倡議的聯(lián)合主任蒂姆·莫拉爾（Tim Maurer）表示：“我發(fā)現(xiàn)這是一個令人著迷的故事，確實提醒了人們網(wǎng)絡(luò)威脅形勢的復雜性，而且我認為報紙或政策制定者目前的討論并未考慮到這一點”?！拔艺J為很少有人真正意識到這些不同類型的維度。朝鮮必須賺很多錢，因此他們的行為舉止獨特。但這也引發(fā)了一些有趣的問題，即朝鮮的網(wǎng)絡(luò)攻擊方式是否會在國際上擴散?！?/p>

　　根據(jù)毛勒（Maurer）的說法，不同黑客或黑客團體戴著不同顏色的帽子，而政府人員和雇工黑客則使組織很難知道黑客攻擊的真正意圖是什么，以及黑客會如何處理和使用失竊的數(shù)據(jù)。

　　提供雇傭黑客服務(wù)的雇傭兵組織的數(shù)量正在不斷增加，這是過去過去幾年APT技術(shù)和工具商品化和公開發(fā)布所推動的。許多網(wǎng)絡(luò)犯罪集團和勒索軟件幫派使用手動黑客和無文件執(zhí)行技術(shù)，濫用腳本語言和雙重用途工具（系統(tǒng)管理員或IT安全專業(yè)人員也使用這些工具），在網(wǎng)絡(luò)內(nèi)部進行長達數(shù)月的偵察和橫向移動操作，為每個受害者開發(fā)自定義的有效載荷等等。

　　即使是中小型公司也面臨APT的風險

　　那么，不論行業(yè)和組織的規(guī)模大小，是否可以承受威脅模型中不包含APT的后果嗎？答案越來越傾向于“不”，但這對中小型企業(yè)提出了一個嚴峻問題，因為它們往往沒有檢測和響應此類攻擊所需的安全產(chǎn)品，預算或熟練的人員。

　　Bitdefender的Arsene表示：“ 中小型企業(yè)將必須徹底改革其威脅模型，建立新的安全策略，并重新調(diào)整其安全預算?！薄斑^去，大多數(shù)APT攻擊中‘躺槍’的中小型企業(yè)實際上屬于對更大目標的供應鏈攻擊的一部分，而APT雇傭服務(wù)的興盛極大降低了此類攻擊的門檻，意味著中小型公司也將成為APT攻擊的獵物?！?/p>

　　“我確實認為，對于大多數(shù)組織而言，遷移到云是有意義的，因為這樣云服務(wù)提供商的安全團隊能夠更有效地檢測和防御APT，因此可以得到更好的保護，”Maurer表示?！叭绻且患倚⌒凸荆⑶铱赡苤挥幸粋€人忙于更新補丁，那么您就沒有足夠的帶寬來有效地防御更高級的威脅。過去十年中，具有攻擊性網(wǎng)絡(luò)能力的國家黑客組織的的國家數(shù)量就從六個增加到現(xiàn)在的30多個，APT攻擊知識和能力的擴散持續(xù)超過國家（和組織）有效防御的能力?！?/p>

　　Maurer還認為，云提供商在不斷投資提高安全性并保護其客戶方面享有聲譽，因為任何有客戶的云資產(chǎn)遭到破壞的新聞報道也會提及云提供商的名稱，無論他們是否負責。話雖如此，但大多數(shù)云安全問題都是由于配置不安全導致的，最終責任還是客戶自己承擔。總之，盡管遷移到云可能會減輕某些組織的網(wǎng)絡(luò)監(jiān)視負擔，但他們?nèi)孕枰_保安全配置其云服務(wù)器和資產(chǎn)。

　　Arsene認為，中小企業(yè)對抗APT還可以考慮端點檢測和響應（EDR）以及托管檢測和響應（MDR）解決方案，這些解決方案對于中小型企業(yè)來說也是負擔得起的，并且可以提供企業(yè)級安全運營中心的很多服務(wù)。

　　Arsene指出：“對于小型企業(yè)而言，尤其是在競爭激烈且財務(wù)驅(qū)動的垂直行業(yè)中，最大的挑戰(zhàn)是缺乏合格的安全和IT人員，以及缺乏能夠發(fā)現(xiàn)可疑行為的安全工具?！薄爸行⌒凸静粌H需要檢測惡意軟件的安全軟件，而且在端點和網(wǎng)絡(luò)層都需要可見性工具來增強其安全性。可以通過以下方式來解決安全人才短缺的問題：選擇托管的檢測和響應團隊，不僅評估公司的基礎(chǔ)結(jié)構(gòu)，并提出安全和強化工具，還充當專門的威脅獵人小組，對可疑事件進行威脅溯源?！?/p>