APT攻擊特征及案例分析

網(wǎng)絡(luò)信息安全形勢、熱點、APT攻擊特征及案例分析

李強嬌--教授

重慶郵電大學(xué)企業(yè)信息化研究中心重慶網(wǎng)安計算機技術(shù)服務(wù)中心2013年5月9日一、目前我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢（一）基礎(chǔ)網(wǎng)絡(luò)防護能力明顯提升，但安全隱患不容忽視。（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶信息泄漏引發(fā)社會高度關(guān)注。（三）我國遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多。（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢。（六）手機惡意程序現(xiàn)多發(fā)態(tài)勢。（七）木馬和僵尸網(wǎng)絡(luò)活動越發(fā)猖獗。（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長趨勢。（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點。2（一）基礎(chǔ)網(wǎng)絡(luò)防護能力明顯提升，但安全隱患不容忽視

根據(jù)工信部組織開展的通信網(wǎng)絡(luò)安全防護檢查情況，基礎(chǔ)電信運營企業(yè)的網(wǎng)絡(luò)安全防護意識和水平較往年均有所提高，對網(wǎng)絡(luò)安全防護工作的重視程度進一步加大，網(wǎng)絡(luò)安全防護管理水平明顯提升，對非傳統(tǒng)安全的防護能力顯著增強，網(wǎng)絡(luò)安全防護達標(biāo)率穩(wěn)步提高，各企業(yè)網(wǎng)絡(luò)安全防護措施總體達標(biāo)率為98.78%，較2011年前呈逐年穩(wěn)步上升趨勢。但是，基礎(chǔ)電信運營企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險。如域名解析系統(tǒng)（DNS）、移動通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險。涉及基礎(chǔ)電信運營企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國家信息安全漏洞共享平臺（CNVD）收錄的漏洞統(tǒng)計，發(fā)現(xiàn)涉及電信運營企業(yè)網(wǎng)絡(luò)設(shè)備（如路由器、交換機等）的漏洞203個，其中高危漏洞73個；發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個,應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個。涉及基礎(chǔ)電信運營企業(yè)的攻擊形勢嚴(yán)峻。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）監(jiān)測，近年每天發(fā)生的分布式拒絕服務(wù)攻擊（DDoS）事件中平均約有7%的事件涉及到基礎(chǔ)電信運營企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊服務(wù)機構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致其負(fù)責(zé)解析的大運會官網(wǎng)域名在部分地區(qū)無法解析。8月18日晚和19日晚，新疆某運營商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊，造成局部用戶無法正常使用互聯(lián)網(wǎng)。3（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶

信息泄漏引發(fā)社會高度關(guān)注

據(jù)CNCERT監(jiān)測，中國大陸被篡改的政府網(wǎng)站大約為2000-3000個，比往年大幅下降39.4%。但從整體來看，近年網(wǎng)站安全情況并未改善，還有一定惡化趨勢，接收的網(wǎng)絡(luò)安全事件(不含漏洞)中，網(wǎng)站安全類事件占到61.7%；被植入網(wǎng)站后門的境內(nèi)網(wǎng)站已為12513個。涉及網(wǎng)站相關(guān)的漏洞占22.7%，較往年大幅上升。網(wǎng)站安全問題進一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫26個，涉及帳號、密碼信息2.78億條，嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn)，我國部分網(wǎng)站的用戶信息仍采用明文的方式存儲，相關(guān)漏洞修補不及時，安全防護水平較低。4(三）我國遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多

抽樣監(jiān)測發(fā)現(xiàn)，境外有近4.7萬個IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國境內(nèi)主機，其控制的境內(nèi)主機數(shù)量已由近500萬增加至近890萬，呈現(xiàn)大規(guī)?；厔?。其中位于日本（22.8%）、美國（20.4%）和韓國（7.1%）的控制服務(wù)器IP數(shù)量居前三位。在網(wǎng)站安全方面，境外黑客對境內(nèi)1116個網(wǎng)站實施了網(wǎng)頁篡改；境外11851個IP通過植入后門對境內(nèi)10593個網(wǎng)站實施遠(yuǎn)程控制；仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外，其中美國仍然排名首位——共有481個IP（占72.1%）仿冒了境內(nèi)2943個銀行網(wǎng)站的站點，中國香港（占17.8%）和韓國（占2.7%）分列二、三位。總體來看，近年位于美國、日本和韓國的惡意IP地址對我國的威脅最為嚴(yán)重。另據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報送的數(shù)據(jù)，在我國實施網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊。這些情況表明我國面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來越嚴(yán)重。5（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈

隨著我國網(wǎng)上銀行的蓬勃發(fā)展，廣大網(wǎng)銀用戶成為黑客實施網(wǎng)絡(luò)攻擊的主要目標(biāo)。全國范圍大面積爆發(fā)了假冒中國銀行網(wǎng)銀口令卡升級的騙局，據(jù)報道此次事件中有客戶損失超過百萬元。據(jù)CNCERT監(jiān)測，近年針對網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍,已發(fā)現(xiàn)針對我國網(wǎng)銀的釣魚網(wǎng)站域名3841個。全年要接收網(wǎng)絡(luò)釣魚事件舉報5459件，較往年增長近2.5倍。6（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運作，11月Stuxnet病毒轉(zhuǎn)變?yōu)閷ｉT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。CNVD已收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較往年大幅增長近10倍，涉及西門子、北京亞控和北京三維力控等國內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處治安全漏洞，但在處治過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。7（六）手機惡意程序現(xiàn)多發(fā)態(tài)勢隨著移動互聯(lián)網(wǎng)生機勃勃的發(fā)展，黑客也將其視為攫取經(jīng)濟利益的重要目標(biāo)。CNCERT已捕獲移動互聯(lián)網(wǎng)惡意程序6249個。其中，惡意扣費類惡意程序數(shù)量最多，為1317個，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機平臺來看，約有60.7%的惡意程序針對Symbian平臺，針對Android平臺的惡意程序較往年大幅增加，有望迅速超過Symbian平臺。近年境內(nèi)約超過712萬個上網(wǎng)的智能手機曾感染手機惡意程序，嚴(yán)重威脅和損害手機用戶的權(quán)益。8（七）木馬和僵尸網(wǎng)絡(luò)活動越發(fā)猖獗

CNCERT已發(fā)現(xiàn)近890萬余個境內(nèi)主機IP地址感染了木馬或僵尸程序，較往年大幅增加78.5%。其中，感染竊密類木馬的境內(nèi)主機IP地址為5.6萬余個，國家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報成員單位報告，位于較高水平的黑客在瘋狂制造新的惡意程序的同時，也在想方設(shè)法逃避監(jiān)測和打擊，例如，越來越多的黑客采用在境外注冊域名、頻繁更換域名指向IP等手段規(guī)避安全機構(gòu)的監(jiān)測和處治。9（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長趨勢

CNVD共收集整理并公開發(fā)布信息安全漏洞5547個，其中，高危漏洞有2164個。在所有漏洞中，涉及各種應(yīng)用程序的最多，占62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞則排到第三位，占8.8%。

除發(fā)布預(yù)警外，CNVD還重點協(xié)調(diào)處治了大量威脅嚴(yán)重的漏洞，涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁瀏覽器、手機應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對安全問題重視不夠，質(zhì)量控制不嚴(yán)格，發(fā)生安全事件后應(yīng)急處治能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大，因此一旦某個產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞，將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強了對軟件和網(wǎng)站漏洞的挖掘和攻擊活動。10（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點

DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一，表現(xiàn)出三個特點：一是DDoS攻擊事件發(fā)生頻率高，且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測發(fā)現(xiàn)，我國境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCPSYNFLOOD和UDPFLOOD等常見虛假源IP地址攻擊事件約占70%，對其溯源和處治難度較大。二是在經(jīng)濟利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大，難以防范。例如針對浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請求攻擊、UDPFLOOD、TCPSYNFLOOD、HTTP請求攻擊等多種方式，攻擊峰值流量達數(shù)10Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無辜者的情況屢見不鮮。2011年多家省部級政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊，且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭斗引起。11二、網(wǎng)絡(luò)安全值得關(guān)注的熱點問題

（一）網(wǎng)站安全面臨的形勢可能更加嚴(yán)峻，網(wǎng)站中集中存儲的用戶信息將成為黑客竊取的重點。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差，其中存儲的用戶信息極易被竊取，黑客在得手之后會進一步研究利用所竊取的個人信息，結(jié)合社會工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng)，可能導(dǎo)致更嚴(yán)重的財產(chǎn)損失。

（二）隨著移動互聯(lián)網(wǎng)應(yīng)用的豐富和3G、wifi網(wǎng)絡(luò)的快速發(fā)展，針對移動互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加，智能終端將成為黑客攻擊的重點目標(biāo)。由于Android手機用戶群的快速增長和Android應(yīng)用平臺允許第三方應(yīng)用發(fā)布的特點，運行Android操作系統(tǒng)的智能移動終端將成為黑客關(guān)注的重點。12

（三）隨著我國電子商務(wù)的普及，網(wǎng)民的理財習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移，針對網(wǎng)上銀行、證券機構(gòu)和第三方支付的攻擊將急劇增加。針對金融機構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化，可能集網(wǎng)絡(luò)釣魚、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體，實施更具威脅的攻擊。（四）APT攻擊將更加盛行，網(wǎng)絡(luò)竊密風(fēng)險加大。APT攻擊具有極強的隱蔽能力和針對性，傳統(tǒng)的安全防護系統(tǒng)很難防御。美國等西方發(fā)達國家已將APT攻擊列入國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)，近年APT攻擊將更加系統(tǒng)化和成熟化，針對重要和敏感信息的竊取，有可能成為我國政府、企業(yè)等重要部門的嚴(yán)重威脅。

13

（五）隨著ICANN正式啟動新通用頂級域名（gTLD）業(yè)務(wù)，新增的大量gTLD及其多語言域名資源，將給域名濫用者或欺詐者帶來更大的操作空間。ICANN（TheInternetCorporationforAssignedNamesandNumbers）互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)是一個非營利性的國際組織，成立于1998年10月，是一個集合了全球網(wǎng)絡(luò)界商業(yè)、技術(shù)及學(xué)術(shù)各領(lǐng)域?qū)＜业姆菭I利性國際組織，負(fù)責(zé)互聯(lián)網(wǎng)協(xié)議（IP）地址的空間分配、協(xié)議標(biāo)識符的指派、通用頂級域名（gTLD）以及國家和地區(qū)頂級域名（ccTLD）系統(tǒng)的管理、以及根服務(wù)器系統(tǒng)的管理。（六）隨著寬帶中國戰(zhàn)略開始實施，國家下一代互聯(lián)網(wǎng)啟動商用試點，以及無線城市的大規(guī)模推進和云計算大范圍投入應(yīng)用，IPv6網(wǎng)絡(luò)安全、無線網(wǎng)安全和云計算系統(tǒng)及數(shù)據(jù)安全等方面的問題將會越來越多地呈現(xiàn)出來。14

（七）工業(yè)控制系統(tǒng)信息安全工作將全面展開。

隨著計算機和網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是信息化和工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速推進，工業(yè)控制系統(tǒng)產(chǎn)品廣泛采用通用協(xié)議、通用硬件和通用軟件，越來越多地以各種方式與公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散。為了應(yīng)對工業(yè)控制系統(tǒng)信息安全日益嚴(yán)峻的形勢，工業(yè)和信息化部日前印發(fā)《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部451號文)，要求各地區(qū)、各有關(guān)部門、有關(guān)國有大型企業(yè)充分認(rèn)識工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，切實加強工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運行安全、國家經(jīng)濟安全和人民生命財產(chǎn)安全。15三、APT攻擊的特征及案例分析

（一）APT攻擊的定義

APT即高級可持續(xù)威脅（AdvancedPersistentThreat），也稱為定向威脅，是指某組織對某一特定對象展開的持續(xù)有效的攻擊活動和威脅。這種攻擊活動具有極強的隱蔽性和針對性，通常會運用受感染的各種介質(zhì)、供應(yīng)鏈和社會工程學(xué)等多種手段實施先進的、持久的且有效的威脅和攻擊。黑客個人的行為一般不能構(gòu)成APT攻擊，因為通常情況下沒有足夠的資源來開展這種先進且復(fù)雜的攻擊活動。16

（1）持續(xù)性：攻擊者為了重要的目標(biāo)長時間持續(xù)攻擊直到攻破為止。攻擊成功用上一年到三年，攻擊成功后持續(xù)潛伏五年到十年的案例都有。這種持續(xù)性攻擊下，讓攻擊完全處于動態(tài)發(fā)展之中，而當(dāng)前我們的防護體系都是強調(diào)靜態(tài)對抗能力很少有防護者有動態(tài)對抗能力，因此防護者或許能擋住一時的攻擊，但隨時間的發(fā)展，系統(tǒng)不斷有新的漏洞被發(fā)現(xiàn)，防御體系也會存在一定的空窗期：比如設(shè)備升級、應(yīng)用需要的兼容性測試環(huán)境等等，最終導(dǎo)致系統(tǒng)的失守。（二）APT攻擊的主要特征17

（2）終端性：攻擊者雖然針對的是重要的資產(chǎn)目標(biāo)，但是入手點卻是終端為主。再重要的目標(biāo)，也是由終端的人來訪問的。而人在一個大型組織里，是難以保證所有人的安全能力與安全意識都處于一個很高水準(zhǔn)之上的。而做好每個人的終端防護比服務(wù)器端防護要困難很多。通過SQL注入攻擊了WEB服務(wù)器，一般也是希望利用他攻擊使用這些WEB服務(wù)器的終端用戶作為跳板滲透進內(nèi)網(wǎng)。（二）APT攻擊的主要特征18

（3）廣譜信息收集性：攻擊者會花上很長的時間和資源，依靠互聯(lián)網(wǎng)搜集，主動掃描，甚至真實物理訪問方式，收集被攻擊目標(biāo)的信息，主要包括：組織架構(gòu)，人際關(guān)系，常用軟件，常用防御策略與產(chǎn)品，內(nèi)部網(wǎng)絡(luò)部署等信息。（4）針對性：攻擊者會針對收集到的常用軟件，常用防御策略與產(chǎn)品，內(nèi)部網(wǎng)絡(luò)部署等信息，搭建專門的環(huán)境，用于尋找有針對性安全漏洞，測試特定的木馬是否能饒過檢測。（二）APT攻擊的主要特征19（二）APT攻擊的主要特征（5）未知性：

攻擊者依據(jù)找到的針對性安全漏洞，特別是0DAY，根據(jù)應(yīng)用本身構(gòu)造專門的觸發(fā)攻擊的代碼。并編寫符合自己攻擊目標(biāo)，但能饒過現(xiàn)有防護者檢測體系的特種木馬。這些0DAY漏洞和特種木馬，都是防護者或防護體系所不知道的。20（二）APT攻擊的主要特征（6）滲透性社工：

攻擊者為了讓被攻擊者目標(biāo)更容易信任，往往會先從被攻擊者目標(biāo)容易信任的對象著手，比如攻擊一個被攻擊者目標(biāo)的電腦小白好友或家人，或者被攻擊者目標(biāo)使用的內(nèi)部論壇，通過他們的身份再對組織內(nèi)的被攻擊者目標(biāo)發(fā)起0DAY攻擊，成功率會高很多。再利用組織內(nèi)的已被攻擊成功的身份再去滲透攻擊他的上級，逐步拿到對核心資產(chǎn)有訪問權(quán)限的目標(biāo)。21（二）APT攻擊的主要特征(7)隱蔽合法性：

攻擊者訪問到重要資產(chǎn)后，往往通過控制的客戶端，分布使用合法加密的數(shù)據(jù)通道，將信息竊取出來，以饒過我們的審計和異常檢測的防護。(8)長期潛伏與控制：

攻擊者長期控制重要目標(biāo)獲取的利益更大。一般都會長期潛伏下來，控制和竊取重要目標(biāo)。當(dāng)然也不排除在關(guān)鍵時候破壞型爆發(fā)。22三、案例分析

目前APT攻擊發(fā)布細(xì)節(jié)出來的案例，基本都是以美國公布的。但是不代表APT攻擊只針對歐美，主要原因在于，美國由于IT技術(shù)的發(fā)達成為APT攻擊的首要目標(biāo)，而且很多高科技公司也是民營的，而美國公司把針對安全事件發(fā)生后的調(diào)查和公布看作一種公司的誠信行為，而其他很多國家因為被攻擊后更習(xí)慣捂蓋子的做法公開的很少。另一個原因是，美國在APT檢測和防御技術(shù)上具備一定的先進性,使他們具備針對部分APT攻擊能及時發(fā)現(xiàn)，因此可以在攻擊一開始時就配合取證了解完整的攻擊過程與手法，而其他國家在這方面比較落后，發(fā)現(xiàn)時都是后期階段，只能清除而很難分析取證溯源了解整個攻擊過程與手法了。23APT攻擊案例中比較著名的有：1）針對GOOGLE等三十多個高科技公司的極光攻擊：

攻擊者通過FACEBOOK上的好友分析，鎖定了GOOGLE公司的一個員工和他的一個喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的機器，然后偽造了一個照片服務(wù)器，上面放置了IE的0DAY攻擊代碼，以電腦小白的身份給GOOGLE員工發(fā)送IM消息邀請他來看最新的照片，其實URL指向了這個IE0DAY的頁面。GOOGLE的員工相信之后打開了這個頁面然后中招，攻擊者利用GOOGLE這個員工的身份在內(nèi)網(wǎng)內(nèi)持續(xù)滲透，直到獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問權(quán)限。竊取了MAIL系統(tǒng)中的敏感信息后，攻擊者通過合法加密信道將數(shù)據(jù)傳出。事后調(diào)查，不止是GOOGLE中招了，三十多家美國高科技公司都被這一APT攻擊搞定，甚至包括賽門鐵克這樣牛比的安全廠商。24APT攻擊案例中比較著名的有：2）針對美國能源部的夜龍攻擊：

攻擊者首先收集了很多能源部門的WEB服務(wù)器的SQL注射的漏洞，攻擊并控制了這些WEB服務(wù)器。但這并不是攻擊者想要的，攻擊者在這些WEB站點上一些供內(nèi)部人員訪問的頁面上放置了針對IE和OFFICE應(yīng)用的0DAY掛馬攻擊代碼，因為針對內(nèi)部站點的，靠掛馬檢測難以檢測，傳播范圍不大，而且上來的都基本是目標(biāo)。于是很快搞定了一些個人終端，滲透進能源部門的內(nèi)網(wǎng)。竊取和控制了大量的有價值的主機。25APT攻擊案例中比較著名的有：3）針對RSA竊取SECURID令牌種子的攻擊：

攻擊者首先搞定了RSA一個外地的小分支機構(gòu)人員的郵箱或主機，然后以這個人員的身份，向RSA的財務(wù)主管發(fā)了一封財務(wù)預(yù)算的郵件請求RSA的財務(wù)主管進行審核，內(nèi)部附屬了一個EXCEL的附件，但是里面嵌入了一個FLASH的0DAY利用代碼。RSA的財務(wù)主管認(rèn)為可信并是自己的工作職責(zé)，因此打開了這個EXCEL附件，于是攻擊者成功控制了RSA的財務(wù)主管，再利用RSA的財務(wù)主管的身份逐步滲透，最后竊取走了SECURID令牌種子，通過IE的代理傳回給控制者，RSA發(fā)現(xiàn)被入侵后一直不承認(rèn)SECURID令牌種子也被竊取走，直到攻擊者利用竊取的SECURID令牌種子攻擊了多個美國軍工企業(yè)RSA才承認(rèn)SECURID令牌種子被偷走。26APT攻擊案例中比較著名的有：4）針對伊朗核電站的震網(wǎng)攻擊：

伊朗核電站是一個物理隔離的網(wǎng)絡(luò)，因此攻擊者首先獲得了一些核電站工作人員和其家庭成員的信息，針對這些家庭成員的主機發(fā)起了攻擊，成功控制了這些家庭用的主機，然后利用4個WINDOWS的0DAY漏洞，可以感染所有接入的USB移動介質(zhì)以及通過USB移動介質(zhì)可以攻擊接入的主機。終于靠這種擺渡攻擊滲透進了防護森嚴(yán)物理隔離的伊朗核電站內(nèi)部網(wǎng)絡(luò)，最后再利用了3個西門子的0DAY漏洞，成功控制了控制離心機的控制系統(tǒng)，修改了離心機參數(shù)，讓其發(fā)電正常但生產(chǎn)不出制