文档讨论了高级持续性威胁（APT）的案例，包括极光行动、夜龙攻击、rsa securid窃取攻击、超级工厂病毒攻击和暗鼠行动，展示了针对特定组织的渗透攻击的复杂性和多样化手段。内容涵盖攻击背景、过程及其影响，强调APT的特点如信息收集的周密性、利用0day漏洞与长期攻击的趋势。通过统计数据，也展示了有目的性攻击事件的比例及其在不同机构和行业中的影响。

1. APT攻击案例分享
黄鑫<huangxin@unnoo.com>
深圳市大成天下信息技术有限公司

2. APT简述
• APT全称：Advanced Persistent Threat
• APT简述：
– APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻
击；
– APT不是一种新的攻击手法，因此也无法通过阻止一次攻击就让问
题消失。
第2页

3. 案例——极光行动（2009-2010）
• 极光行动简介：
– 极光行动（Operation Aurora）是2009年12月中旬可能源自中国
的一场网络攻击，其名称“Aurora”（意为极光、欧若拉）来自
攻击者电脑上恶意文件所在路径的一部分。
– 2010年1月12日，Google在它的官方博客上披露了遭到该攻击的时
间。此外还有20多家公司也遭受了类似的攻击（部分来源显示超
过34家）
第3页

4. 案例——极光行动（2009-2010）
• 攻击过程回放：
搜集Google员工在Facebook、Twitter等社交网站上发布的信息；
利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到
来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造
成IE浏览器溢出，远程下载并运行程序；
通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访
问Google服务器的帐号密码等信息；
使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定
Gmail账户的邮件内容信息。
第4页

5. 案例——极光行动（2009-2010）
• 攻击的关键环节：
第5页

6. 案例——夜龙攻击（2007-2011）
• 夜龙攻击简介：
– 据美国《华尔街日报》2011.2.10报道，美国网络安全公司McAfee
发表报告称，5家西方跨国能源公司遭到“来自中国”的黑客“有
组织、隐蔽、有针对性”的攻击。超过千兆字节的敏感文件被窃，
包括油气田操作的机密信息、项目融资与投标文件等。McAfee的
报告称这场网络间谍行动代号为“夜龙”（Night Dragon），最
早可能开始于2007年，目前攻击行动仍在持续。
第6页

7. 案例——夜龙攻击（2007-2011）
• 攻击过程回放：
通过SQL注入，入侵外网Web服务器；
以Web服务器为跳板，对内网其他服务器及终端电脑进行扫描；
通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑；
向被入侵电脑植入恶意代码，并安装远端控制工具；
禁用被入侵电脑的IE代理设臵，建立直连通道，传回大量机敏文件
（包括所有会议记录与组织人事架构图）；
更多内网电脑遭到入侵，多半为高阶主管点击了看似正常的邮件附
件，却不知其中含有恶意代码。
第7页

8. 案例——夜龙攻击（2007-2011）
• 攻击步骤示意图：
第8页

9. 案例——RSA SecurID窃取攻击（2011）
• RSA SecurID窃取攻击简介：
– 2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术
及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建
立VPN网络的公司受到攻击，重要资料被窃取。
第9页

10. 案例——RSA SecurID窃取攻击（2011）
• 攻击过程回放：
攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，
附件名为“2011 Recruitment plan.xls”；
其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的
Adobe Flash的0day漏洞（CVE-2011-0609）命中；
该员工电脑被植入木马，开始从BotNet的C&C服务器下载指
令执行任务；
首批受害的使用者并非“位高权重”人物，紧接着相关联的
人士包括IT与非IT等服务器管理员相继被黑；
RSA发现开发用服务器（Staging server）遭入侵，攻击方
立即撤离，加密并压缩所有资料并以FTP传送至远程主机，
随后清除入侵痕迹；
在拿到SecurID信息后，攻击者开始对使用SecurID的公司展
开进一步攻击。
第10页

11. 案例——RSA SecurID窃取攻击（2011）
• 那封倒霉的电子邮件：
第11页

12. 案例——超级工厂病毒攻击（2010）
• 超级工厂病毒攻击简介：
– 超级工厂病毒（Stuxnet）在2010年7月开始爆发。它利用了微软
操作系统中至少4个漏洞，其中有3个全新的0day漏洞，为衍生的
驱动程序使用有效的数字签名，通过一套完整的入侵和传播流程，
突破工业专用局域网的物理限制，利用WinCC系统的2个漏洞，对
其开展攻击。
– 它是第一个直接破坏现实世界中工业基础设施的恶意代码。据赛
门铁克公司的统计，目前全球已有约45000个网络被该蠕虫感染，
其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什
尔核电站遭到Stuxnet的攻击。
第12页

13. 案例——超级工厂病毒攻击（2010）
• 攻击过程回放：
感染外部主机；
通过感染可移动存储设备对物理隔离网络实现“摆渡”攻击，利用
快捷方式文件解析漏洞（ MS10-046 ），传播到内部网络；
在内部网络中，通过快捷方式解析漏洞、RPC远程执行漏洞
（ MS08-067 ）、打印机后台程序服务漏洞（ MS10-061 ），
实现联网主机之间的传播；
抵达安装了WinCC软件的主机，展开进一步攻击。
第13页

14. 案例——超级工厂病毒攻击（2010）
• Stuxnet“摆渡”攻击示意图：
第14页

15. 案例——暗鼠行动（2006-2011）
• 暗鼠行动简介：
– 2011年8月份，McAfee和Symantec公司发现并报告了暗鼠行动
（ Operation Shady RAT）。该攻击从2006年启动，在长达数年
的持续攻击过程中，渗透并攻击了全球多达72个公司和组织的网
络，包括美国政府、联合国、红十字会、武器制造商、能源公司、
金融公司等等。
第15页

16. 案例——暗鼠行动（2006-2011）
• 攻击过程回放：
通过社会工程学的方法收集被攻击目标的信息；
向目标公司的特定人发送极具诱惑性的、带有附件的邮件（例如邀请他参
加行业会议，以他同事或者HR部门的名义告知他更新通讯录，请他审阅
某个真实存在的项目的预算，等等）；
当受害人打开邮件查看附件时触发CVE-2009-3129 漏洞利用程序，从而被
植入木马。该漏洞并非0day漏洞，只针对某些版本的EXCEL有效，可见
被害人所使用的EXCEL版本及补丁信息也被攻击者知悉；
木马从远程服务器下载恶意代码，且这些恶意代码被精心伪装（例如图片
或HTML文件），不为安全设备所识别；
借助恶意代码，受害人电脑与远程电脑建立了Shell连接，攻击者可以任意
控制受害人的电脑。
第16页

17. 案例——暗鼠行动（2006-2011）
• 受害组织覆盖范围：
第17页

18. 案例——暗鼠行动（2006-2011）
• 受害国家分布：
第18页

19. 案例——攻击事件统计数据
• 已知遭受入侵的机构/企业比例：
– CSI 《2010/2011 Computer Crime and Security Survey》
– 41.1%的机构/企业遭遇到了计算机安全事件，9.1%无法确定
调查范围：
• 世界351位计算机安全
从业人员；
• 涉及咨询、金融、教
育、政府机构、零售
业、制造和信息行业；
• 所在公司的人数从100
到50000不等。
第19页

20. 案例——攻击事件统计数据
• 有目的性的攻击事件比例：
– CSI 《2010/2011 Computer Crime and Security Survey》
– 21.6%的安全事件是有目的性的攻击事件，24.0%无法确定
第20页

21. 案例——攻击事件统计数据
• 攻击方式比例：
– 根据CSI统计，政府机
构或企业各种泄密方
式的比例如图所示：
第21页

22. 案例——APT总结
• APT特点及趋势：
– 周密完善且目标明确的信息搜集；
– 不计成本挖掘/购买0day漏洞；
– 多种方式组合渗透、定向扩散；
– 长期持续攻击。
第22页