2022 年，在网络攻击手段持续发展和国际局势复杂性加剧双重作用下，高级持续性威胁（APT）攻击数量再创新高，这些攻击活动具有明确的攻击目的，复杂的组织策划及高效的计划性，成为网络空间突出风险源。在此背景下，绿盟科技平行实验室继续联手广州大学网络空间安全学院，开展以 APT 攻击为代表的高隐蔽未知威胁智能检测与溯源技术相关研究，并正式发布《2022年APT组织研究年鉴》。

那么，2022年APT组织及其攻击手段有哪些新的变化和特点，采用哪些新的研究方法等，带着这些问题，本刊采访到绿盟科技平行实验室主任研究员肖岩军，接下来将由他为大家揭示此次年鉴的研究成果。

01 最新发布的《2022年APT组织研究年鉴》与2021年相比，内容上有哪些不同？有何亮点？

2022年的APT组织研究年鉴分析数据依托于绿盟科技平行实验室联手广州大学网络空间安全学院打造的SKG4APT，一个基于知识图谱的网络空间威胁建模平台，结合深度学习和专家知识对图谱数据进行补全和更新。

相比于2021年研究年鉴，2022年APT组织研究年鉴一方面在数据收集的广度上更具优势，在APT的活跃监控技术上更为成熟，从统计结果上就能看出差距。另一方面在数据的统计和分析维度上进行了扩展，提供更加深入的分析视角，例如对Cobalt Strike的危害追踪以及引入ATT&CK进行APT技战术分析。

02 2022年APT攻击呈现哪些新的特点和发展趋势？有哪些典型案例。

1、攻击技术和工具

从2022年公开披露的APT组织中分析发现，APT29组织具备极高的攻击技术水平，共掌握123项攻击技术且其中7项技术为该组织所独有。深入挖掘发现APT29其独有的攻击技术主要集中在获取初始权限之后的内网行为，包括：利用组策略首选项漏洞获取用户凭据（T1552.006）、利用已经窃取的账户密码信息进行MFA注册并接管MFA休眠账户（T1621）以及2022年才披露的“凭据跳跃”（Credential Hopping）技术，这些手法均极为少见且具备高度隐蔽性。

2、攻击行为和模式

本次APT研究年鉴基于公开情报数据，结合参考ATT&CK将APT攻击流程进行简单地抽象，大致分为6个攻击阶段，如下图。

APT组织的攻击策略主要体现在各阶段中使用的具体技术，如初始阶段从统计上看，70%的APT组织使用的各类钓鱼手法（附件、链接、社交媒体等钓鱼等），仅8%的组织通过暴露在互联网上的资产漏洞进行入侵。因此对于APT的初始阶段攻击仍将重点放在邮件防护上。

又如在命令与控制阶段（攻击者已经获取目标网络权限），相比2021年，越来越多组织利用合法Web服务（如Slack、Google Drive、Microsoft Graph、OneDrive、Dropbox等）将C2通讯流量隐藏其中。其次APT组织将编码加密后的C2信息存储在合法站点如：博客文章、推文、视频标题简介等，这样将C2配置信息隐藏在合法的Web请求中，也能十分便利地动态更新C2。由此可见APT组织与受控目标间的通讯不能只依靠传统异常流量检测思路，更需要结合业务场景进行深入分析。

3、攻击目标和受害者

我国在2022年遭受APT攻击22起，涉及APT组织16个。针对我国的APT组织主要集中在美国以及越南、印度等东南亚地区。其中披露最多的是APT-C-40，其次是老牌越南组织APT32。从行业分布看，APT组织攻击集中于政府、国防、科研等重要领域，结合报告中披露的攻击意图可以看出境外APT组织以窃取我国关键技术成果为主要目标。

4、APT组织间的关系

从2022年披露的组织情报数据分析发现，部分APT组织使用了恶意软件即服务（MaaS），如Tropical Scorpius和UAC-0132组织使用自定义后门分发Cuba勒索软件。MaaS的使用提高了APT组织的攻击效率，但同时为防守者提供了更多的特征信息进行追踪溯源。

5、防御策略

绿盟科技将APT组织画像特征以及基于情报和大数据的APT归因追踪技术集成到绿盟威胁情报平台（NTIP），提供APT/恶意家族/攻击团伙活跃情况的实时监控以及攻击链场景还原分析，支持自动化的攻击组织分析周报输出。

03 绿盟科技平行实验室提出的基于情报和大数据的 APT 归因追踪方法，请具体介绍该方法的特点、效果、战绩。

针对APT的追踪，基于情报和大数据构建的ISR情报监视侦察体系是国际通用的大流量下监测方法，美国DHS国土安全部的CISA关键信息基础设施安全局和MITRE合作，在美国NCPS国家网络空间保护系统（前身就是著名的爱因斯坦计划）上加载MITRE提供的ATT&CK GROUP情报和知识，进行APT组织实施追踪和有效处置。绿盟科技最近参与很多省部级课题。

基于情报和大数据的APT归因追踪方法集成到绿盟威胁情报平台（NTIP），结合囊括海量APT组织和其他攻击团伙情报知识的攻击团伙档案库和BSA大数据运算组件，构建了情报驱动的大数据场景下的团伙归因框架。该框架基于海量团伙情报知识，结合大数据流式实时计算实现对海量异构实时告警日志进行范式化理解、攻击链构建以及威胁上下文富化及团伙归因关联计算。

攻击者进行实际的入侵活动时往往不会只利用一种攻击手段，而是在更广的时间域内利用一系列相互关联的攻击方法进行攻击，以达成攻击目标。因此，在进行攻击行为的监测和追踪时，需要将更大时间范围内的事件按照时空上下文进行关联，从而获得更加全面和准确的攻击行为场景。由Lockheed Martin公司从美国军方引入信息安全领域的攻击链（kill chain）模型是目前最广泛运用于攻击入侵行为场景描述的模型之一。NTIP将一定时间周期内针对同一目标资产进行攻击的多个安全事件进行自动化整合生成攻击链，从而实现对攻击场景更为准确和有效地还原，攻击链视角下能够提供针对目标主机的更加全面的攻击场景。

通过大数据快速关联，NTIP可以自动化基于档案库知识对安全事件进行情报拓线，并基于事件扩充的威胁语义进行团伙自动化归因关联计算，从而实现事件以及攻击链的团伙归因。具体做法是将包含事件上下文语义的语义攻击链按照不同威胁维度进行特征抽取组成特征向量，并同对应的团伙档案库的威胁特征向量进行相似度计算，不同特征维度被赋予的权重不同，如下图。

关联计算完成之后，NTIP会将归因结果作为标签标注于对应的攻击链和安全事件上，并且会同时将团伙标签和所有相关威胁语义进行展示，以供研判人员进行参考。

绿盟威胁情报平台（NTIP）在APT、黑灰产情报和攻击组织归因监测能力上，应用效果显著，持续监测到境外组织对我关基设施的攻击活动和重要信息窃取。同时，基于AI知识图谱构建的威胁情报平台NTIP也获得了国际知名咨询机构的认可，入选Gartner《2023全球威胁情报市场指南》，成为唯一连续三年入选的中国厂商。

04 结合2022年APT组织研究年鉴中提到的APT攻击技术手段分析、入侵套路等内容，给用户提一些预防措施和建议。

1、多层次防御：采取多层次的安全措施，包括防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）。这些工具可以监控和阻止异常流量和潜在攻击。

2、安全意识培训：培训员工识别社交工程和钓鱼攻击，并加强他们对安全最佳实践的认识。人员是网络安全防护的一个重要环节。

3、监控和审计：实施全面的网络流量监控和日志审计，以及实时监控安全事件。这样可以及早发现和响应异常行为。

4、加密和认证：使用强大的加密技术来保护数据的传输和存储。同时，采用双因素认证（2FA）或多因素认证（MFA）可以增加账户和系统的安全性。

5、及时更新和补丁：及时更新操作系统、应用程序和安全软件，确保系统处于最新和安全的状态。漏洞的修复和安全补丁的及时安装是防范攻击的关键。

6、威胁情报：定期获取和分析威胁情报，了解最新的攻击技术和APT组织的行为模式，以便更好地调整防御策略。

05 绿盟科技与广州大学网络空间安全学院的合作开创了产教融合的新模式，在与田志宏老师团队合作中有哪些收获？

依托落地广州的绿盟科技平行实验室、梅花K战队和工程研发队伍，绿盟科技和广州大学共建网络安全威胁情报分析联合实验室。这种产教融合的新模式根据校内课程安排，定期赴绿盟科技进行实践学习，由校外导师指导，参与绿盟科技相关的科研学术工作。一方面将安全领域面临的实际问题放到学生面前，给他们提供现实业务场景并进行解决思路探索；另一方面学生从科研学术角度进行深度思考，通过与企业导师的多轮研讨确定解决方案并进行实际场景的落地验证，从而提升企业技术水平。

通过与田志宏老师团队合作，联手打造基于知识图谱的网络空间威胁建模平台SKG4APT并发表高水平学术论文，通过对平台的APT组织监测数据分析连续两年发布《APT组织情报研究年鉴》。

转载声明

本文转载自《信息安全研究》。经协商绿盟科技官方公众账号已获得该文章转载资格，特此声明。