2021年APT态势预测：医疗行业成焦点 “APT即服务”或成体系

2020 年爆发的新冠疫情对全球造成了巨大影响，许多攻击组织假借疫情之口对相关目标肆意进行攻击。国内网络安全形势面临巨大考验，南亚、东南亚、朝鲜半岛、东欧、美国等某些国家和地区背景的威胁组织持续对我国境内进行网络攻击，高级威胁持续处于白热化状态。

近日，安恒信息威胁情报中心猎鹰实验室发布《2020年度高级威胁态势研究报告》（以下简称《报告》），从攻击地域、攻击组织、攻击手法、黑灰产攻击、在野漏洞利用等方面分析了2020年整体高级威胁情况，并预测了2021年的攻击态势。

《报告》通过对 2020 年全球发现和披露的高级威胁事件，研究分析认为：

1、政府、金融、军工仍是高级威胁的重点关注目标，攻击事件占比分别达到 30.3%、12.6%、10.4%。而受全球疫情影响，医疗行业成为高级威胁攻击目标的事件占比上升至第四位。此外，针对数字货币交易所及其相关的攻击活动有一定的热度。


2、报告经过对全球高级威胁攻击事件中所用到的 IP 资产进行了统计，观察到攻击资产来源所在地为美国的资产，在总攻击资产来源中的占比遥遥领先，比重达到 29.9%，中国境内（包含中国香港、中国台湾）排在第二，占比 9.2%，荷兰、德国、俄罗斯、法国、新加坡、加拿大、韩国、英国分别排在三到十位。


3、在野漏洞利用方面，基于易利用的文档类型攻击的漏洞较去年没有什么新的变化，而与模板注入技术搭配使用的攻击活动呈明显上升趋势。浏览器方面出现了一些 0day 利用事件，且 Internet Explorer、FireFox、Chrome 三大主流浏览器都有涉及。


4、除了传统的鱼叉式网络攻击、水坑式网络攻击等基础攻击外，以物联网入口的攻击、基于软件供应链替换非可信源的攻击、针对隔离网络的定制化攻击也是关注焦点。同时 Linux、MacOS、移动端等多平台也时有攻击事件的发生和披露。

《报告》基于黑客攻击手法、受攻击目标行业划分、攻击惯用漏洞等角度综合分析，给出了对 2021 年高级威胁的态势预测：

01 疫情原因医疗行业将持续增加关注度
地缘政治和经济利益是较为强烈的出发点，政府、国防、金融、科技依然会在名单前列。今年新冠病毒 Covid-19 相关主题的攻击活动频发，由于疫情的延续，明年疫情为主题的攻击活动仍不会缺席，医疗行业、疫苗研究的相关机构成高风险目标。

02 “APT即服务”新模式可能形成体系
除了常规 APT 组织外，网络犯罪市场上还出现了雇佣黑客组织的趋势，这些黑客组织具有一定实力，不亚于其他 APT 组织，甚至在某些方面更具有优势。对雇佣的黑客组织来说，攻击目标可以是全球范围内的任何目标实体。对于雇主来说，将攻击服务外包出去既能节省大量的资源和时间，而且由于没有固定的攻击目标和地理位置限制，研究人员难以追溯到雇主真实的攻击意图，这也间接保护了雇主的真实身份。雇佣形式让原本没有能力的雇主能够参入到 APT 攻击当中。随着勒索软件(RaaS) 在犯罪市场上的成功，将来也可能出现“APT 即服务”。

03 国产化进程下利用国产软件漏洞的攻击将呈上行趋势
国产软件漏洞会有上行趋势，随着国产化办公网络的一些要求的提出，原来一部分通用型软件已经失去了漏洞针对性，而我国又是遭到 APT 攻击较为严重的国家之一，国产化软件将面临挑战。

04 软件供应链各个环节仍将是攻击重点突破口
软件供应链方面会越来越重视，由于防御方检测与保护的逐渐增强，一些常规攻击手段的效果下滑明显，软件供应链这个入口突破成功率相对来说会高一些，与企业单位合作的软件供应商尤其得到攻击者关注，在供应链的各个环节都可能有机会进行攻击。

05 专门针对隔离网络的攻击将不断加强
针对隔离网络的攻击会不断加强，2019 年、2020 年已经披露出了几例非常有针对性的且具有较高水准的案例。针对特定目标隔离内网重要资料的需求度，相信在突破隔离内网窃取重要资料的目的驱使下，一些特殊背景的组织会在这方面下功夫。

06 易利用的文档类型新漏洞产生概率不高
由于文档类漏洞都没有爆出新的比较好用的漏洞，随着 Office 等主流软件能有效利用漏洞的挖掘难度提升，以及漏洞挖掘人员工作重心可能有转移的情况，在短时间内出现优质可利用漏洞的几率并不是很大，所以大概率依然会延续之前的使用情况，或者使用相关环节的替代手法。

07 利用浏览器类漏洞的攻击会持续活跃
浏览器和提权方面的漏洞有所披露，相对较为活跃，主流浏览器 Internet Explorer、FireFox、Chrome 的漏洞都有在野利用情况，从趋势上看 Chrome 的漏洞会成为一个关注点。

08 鱼叉式网络钓鱼是主流
鱼叉式钓鱼攻击所使用的惯用手法仍是主流，投递附件形式可能仍会多样化。水坑攻击也会占据一定数量。

09 仍需警惕利用会议型主题作为题材的攻击
大型会议主题也是攻击者乐于利用的题材。2021 年并不缺乏这类大型会议。相关参会单位、国家或地区的人员需提高警惕。

10 数字货币行业攻击事件将持续披露
数字货币这几年热度较高，针对数字货币交易所或相关从业人员的攻击活动不在少数，毕竟数字货币带来的直接经济利益颇为丰厚，以及获取利益后追踪难度大，针对这类攻击一些组织团伙乐此不疲，明年大概率会再出现此类攻击事件的披露。

11 多平台、移动端仍是攻击重要途径
在 Linux、MacOS、手机移动端等的高级威胁攻击尽管并不是特别多，但也呈稳定增长趋势，如移动端的攻击中，可以获得手机中的联系人、短信、通话记录、位置、照片、录音等重要信息，这部分情报数据的窃取，有时候往往能起到关键作用。针对多平台尤其是移动端的攻击仍是关注点。

12 可能将有少量以物联网为入口的高级威胁披露
物联网上披露出的攻击目的大多为挖矿和 DDoS，明年必然还会保持这类攻击活动。通过物联网形成窃密型的僵尸网络被曝光的数量并不多，但这类僵尸网络形成的危害巨大，情报收集的量级惊人。另一方面针对特定目标通过物联网入口进行的攻击这块存在很大盲区，目前发现的案例可能只是冰山一角。随着物联网检测体系的完善和发力，威胁发现数量可能会有一定提升。

随着攻击组织的技术演变和攻击能力的加强，安恒信息威胁情报中心给出相关防御建议：

防御体系的建立需要全方位把控与部署，应纳入动静态综合检测机制、智能防护设施。精准应用海量情报，映射出真实的网络安全动态。在威胁处置阶段，也应形成一套推荐的处理流程和行动参考。防御者应该在更高的维度去掌握整个拓扑结构，只有这样才能从高维打击低维，让低维态的攻击行动暴露在高维态空间中。