执行摘要

最近的报告已经明确地说明了中国是旨在窃取知识产权和其他敏感信息的网络攻击的主要驱动者。但是高级网络威胁并不局限于一个国家。相反，网络攻击是一种广泛传播的全球性活动。2012年，FireEye®监测到超过1200万次恶意代码通信事件，其在成千上万台受感染企业主机上执行寻觅指令或反弹连接，并捕获到了高级威胁的细节信息及更通用的变种。反弹连接活动揭露了很多关于攻击者的意图、兴趣和地理位置的信息。根据最终用户数据，FireEye发现了以下内容：

1. 恶意代码攻击已经成为一种跨国活动。在过去的一年中，反弹连接被发送到184个国家的指挥和控制（CnC）服务器，与2010年的130个国家相比，增长了42%。

2. 作为驱动高级网络威胁的热土，亚洲和东欧这两个地区“脱颖而出”。按国籍统计，每个公司的平均反弹连接数量中，包括中国、韩国、印度、日本和香港在内的亚洲国家和地区占24%。与之相差不多的是，东欧的俄罗斯、波兰、罗马尼亚、乌克兰、哈萨克斯坦和拉脱维亚共占22%（其中北美国家占44%，见发现6，将CnC服务器置于美国是为了帮助攻击者逃脱。）

3. 大多数高级可持续威胁（APT）反弹连接活动都与中国制造的或源自中国黑客团体的APT工具有关。将已知的APT恶意代码家族DNA与反弹连接联系起来，FireEye发现大部分APT反弹连接活动—89%—都与中国制造的或是源自中国黑客团体的APT工具（其中，大部分是一种被称作Gh0st RAT的工具）有关。

4. 越来越多的攻击者将初始反弹连接发送至受害者所在国家。这种做法不仅有利于网络罪犯的逃脱，同时也在攻击者最感兴趣的国家方面给企业以重要的提示。

5. 技术型组织是APT反弹连接活动最热门的攻击对象。拥有大量知识产权的技术公司很自然地成为了攻击者的目标，成为最热门的APT恶意代码活动攻击的对象。

6. 对于APT攻击来说，当今托管在美国的CnC服务器占据了66%，这是一个强有力的标志A：美国仍是攻击的头号目标国家。正如前面提到的一样，越来越多的攻击者将CnC服务器安置在目标所在国家以帮助自己逃避检测。托管的CnC服务器占总数量的比例如此之高，导致了美国遭受到的恶意代码攻击事件的比例也是最高的。这很可能是由于美国的知识产权和数字化数据高度集中的缘故。

7. 隐匿反弹连接通信的技术正在不断发展。为了逃避检测，CnC服务器正利用Facebook和Twitter等社交网站与受感染机器相互沟通。此外，为了掩盖过滤前的内容，攻击者在JPG等普通文件中嵌入信息；使网络扫描工具将之视为正常的流量。

8. 攻击模式在全球范围内大不相同：

a. 韩国公司中每个企业的平均事件发生率最高。因其强大的互联网基础设施，韩国已成为网络犯罪分子托管他们的CnC服务器基础设施的一块沃土。例如，FireEye发现，来自技术公司的反弹连接最可能流向韩国。

b. 在日本，87%的反弹连接起源于国内并停留在国内。这可能暗示了日本知识产权的高附加价值。

c. 加拿大和英国的退出率最高，分别为99%和90%。高退出率表明，攻击者并不在乎是否被检测到。在加拿大和英国，攻击者似乎不关心检测，其意在投机性更强且易于实现的目标而已。

FireEye的此篇报告凭借着来自成千上万台主机的数据和数以百万计的反弹连接通信为全球威胁全景提供更广阔的背景信息。

简介

想要根除腐败，新闻记者和侦探就要跟踪资金的流向。想要了解并打击新型的网络攻击，强烈建议安全团队跟踪从已沦陷设备到CnC服务器的反弹连接流量。
基于FireEye恶意代码防护系统（MPS）收集的最终用户数据，该报告提供了新型网络攻击相关的反弹连接活动的深入信息，包括复杂的恶意代码和那些规避传统防御、破坏企业的APT。针对目标企业的类型和位置、以及在这些攻击中所使用的CnC服务器的位置，该报告提供了前所未有的新情报。
如今，各种组织总是成为复杂网络攻击的受害者并为之困扰——包括零日漏洞和APT——而传统的IT安全防御提供的保护少之又少。这些攻击幕后的网络犯罪分子和国家在网络和电子邮件中利用有针对性的方法和高级恶意代码来绕过传统的基于签名的边界防护和终端安全防御，危及企业网络并窃取敏感机密数据。
这种新型的网络攻击通常包括几个独特又相互协作的阶段。这些阶段包括系统感染、恶意代码下载、反弹连接、数据过滤、以及横向运动。反弹连接是一个关键阶段，此时受感染机器正与外部的CnC服务器建立通信。一旦建立了通信，网络犯罪分子就能实现一系列恶意目标，包括修改恶意代码以规避检测、过滤数据以及在同一受害企业内部扩大攻击范围。

鉴于反弹连接在当今发动的新型网络攻击中起到举足轻重的作用，安全从业者和研究者很有必要了解它们。这种反弹连接活动对当今攻击的性质提供了重要的信息，包括恶意软件家族的细节信息、受攻击企业所属的国家和行业以及发动这些攻击的CnC服务器的位置。

此篇报告的数据来源

FireEye从一个特殊的角度阐明当今新型攻击相关的反弹连接活动。FireEye的恶意代码防御系统配置了防火墙、新一代防火墙、入侵防御系统（IPS）、其他安全网关、以及一条额外防线。当威胁已经绕过企业部署的传统的基于签名的安全防御时，FireEye平台被用来检测和防御高级威胁。
成千上万的FireEye的设备已在全球范围内广泛使用。这些设备可自动收集与当今新型网络攻击相关的威胁情报。然后，这些数据可被匿名化、汇总、分析、并通过FireEye的动态威胁情报（Dynamic Threat Intelligence）云共享1给大家。本报告利用了一份在2012年收集的反弹连接数据的分析。在过去的一年中，反弹连接信号被发送到了全球184个国家中，这些国家的成千上万的受感染机器上记录了超过1200万攻击事件。
在进行研究时，FireEye计算了每台装置中检测到的事件个数，为了能将不同地区和行业的反弹连接比例进行精确的对比，又根据每个终端用户的量度使数据平均化。通过这种方法，FireEye已经对最常受到攻击的公司位置有更深的洞察了解。这些数据告诉我们，一些来自特定国家的公司比其他地区的企业更有可能成为频繁攻击的目标。

发现1：恶意代码攻击已成为一种跨国活动

在2012年，反弹连接被发送至184个国家的CnC服务器——较FireEye在2010年发现的数量增长了41%。在2011年，在150个国家发现了CnC服务器，2010年为130个国家。网络犯罪分子和民族国家使用这些服务器来组织各种恶意活动。

图 1：全球托管CnC服务器国家的总数量

1 FireEye将情报与来自医疗业、财务服务业、技术业和加工业的终端用户共享。这些结果中不包括来自政府机构终端用户的数据。
FireEye, Inc. 高级网络攻击全景 6
所涉及的国家的分布情况也在发生变化。2011年时，美国、乌克兰和俄罗斯是托管CnC服务器最多的国家。在2012年，托管CnC服务器最多的20个国家是：

虽然乌克兰和俄罗斯在2011年位列托管CnC服务器最多国家的前三名，但在2012年这两国所占的比例已跌至不足5%。
由此，我们看到恶意代码问题的复杂性发生了爆炸式的增长，这给那些只依靠传统安全方法应对恶意代码的组织带来了新的挑战。例如，这次全球范围内不断发展的威胁环境给企业带来了巨大的挑战，这些企业都采用传统的基于地理位置的方法，用此方法网络管理员可以采用防火墙规则拦截可疑活动流向中国、俄罗斯等国家。随着越来越多的攻击者将他们的服务器托管在不太可疑的国家中，这些传统的防御在对抗复杂攻击时已经显得捉襟见肘。这些趋势表明，IT安全防御模型有待发展进化。

图 2：托管CnC服务器最多的20个国家

CnC服务器的全球分布

图3：分布图显示了随着时间的推移CnC服务器在全球的分布变化

发现2：两个地区作为热点地“脱颖而出”：亚洲和东欧

我们来看看每家公司跨不同地区的反弹连接总数，亚洲的中国、韩国、印度、日本和香港占世界总数的24%。俄罗斯、波兰、罗马尼亚、乌克兰、哈萨卡斯谈和拉脱维亚几国占据了22%。北美占据44%，但正如我们在发现#6中所说，这是因为将CnC服务器设在美国能帮助攻击者逃脱。

图 4：按区域总结的每家公司的平均总反弹连接数

发现3：大多数APT反弹连接活动都与中国制造的或源自中国黑客团体的APT工具有关

通过将已知的APT恶意代码家族DNA与APT相关的反弹连接联系起来，FireEye发现大部分APT反弹连接活动—89%—都与中国制造的或是源自据点在中国的黑客团体的APT工具有联系。但与这些工具相关的反弹连接中，只有相对小部分直接到达设在中国的CnC服务器。那些主要的开发中国的工具，被称为Gh0st RAT。
此外，FireEye发现日本和韩国的大部分流行的非APT反弹连接活动也与中国制造的或是源自中国的黑客团体的APT工具有关。正如前面提到的，这其中只有一小部分反弹连接到达了设在中国的CnC服务器上。

发现4：越来越多的攻击者将初始反弹连接发送至受害者所在国家的服务器中

反弹连接数据清楚地表明，APT攻击者已经越来越擅长开展攻击活动了。为了更好的规避检测，越来越多的攻击者将CnC服务器安置在目标所在的国家内。网络犯罪分子常常在他们的位置和CnC基础设施之间设置多重网络跳转。因此，虽然受损系统将与CnC服务器在同一位置进行通信，但网络犯罪分子很可能在其他地方。
此外，过去CnC服务器可能被托管在离会引起怀疑的目标组织很远的地方。这种方法已经越来越不常见了。攻击者可能会用大篇幅尽可能将攻击和CnC流量做到正常摸样。起源和终止于一个国家内的反弹连接流量比例之高正说明了这一点，比如日本和韩国，但那是以中国黑客团体开发的恶意代码为基础的。
我们确实发现了例外情况。在防御方法落后的国家，相当大比重的反弹连接立即退出了目标国家（详见发现#8C）。

发现5：技术型组织正经历着APT反弹连接活动的最高峰

在过去的2012年里，技术型组织成为了与下一代网络攻击有关的反弹连接活动的最热门攻击对象。无论目标是窃取或破坏知识产权，还是修改能够支持进一步刑事犯罪的源代码，这都明确显示了技术公司是显著一致的目标。APT活动最感兴趣的行业包括：

技术
医疗保健 医疗保健
商业服务 商业服务
银行、金融和保险 银行、金融和保险 银行、金融和保险 银行、金融和保险
娱乐和媒体 娱乐和媒体
零售业
制造业
能源和公共事业 能源和公共事业 能源和公共事业
统计和运输业 统计和运输业 统计和运输业
电信业

此外，虽然这些统计中不包括来自政府机构的数据，但只需要读一读行业刊物的头条新闻，就可知道这些机构也是常被攻击的目标。

图 5：最易受APT攻击的行业

发现6：对于APT攻击，托管在美国的CnC服务器占66%，这是一个强有力的标志：美国仍是攻击的头号目标国家

2012年的数据表明，美国存储的服务器最多，这些服务器能够接收与源自中国的RAT工具有关的反弹连接。鉴于此，这些攻击的大多数受害者的总部是设在美国的，很显然，攻击者将CnC服务器安置在目标所在的同一国家内，以帮助其避免引起他人怀疑。FireEye发现有66%的CnC服务器都被托管在美国。美国成为首要目标，是因其拥有大量的知识产权和数字化数据。

图6：托管以APT为重点的CnC的国家比例

发现7：隐匿反弹连接通信的技术正在发展

如今，攻击者花费大量精力去创新CnC通信方法2。两项最新进展突出显示了攻击者采用的方法：
 利用社交网络：攻击者使用社交网络以便捷地匿名地接收漏洞更新。类似Facebook和Twitter等网站经常被利用。然而，在中国则使用本地的社交网络。百度，作为中文社交网站（详见图7a），经常被攻击者用来获取恶意代码的更新信息。
 避开网络检测：为了以正常网络流量呈现并避开网络深度包检测技术，现在攻击者都将命令或窃取的信息嵌入在看似标准的文件中。图7b就是一个被截获的包含攻击者命令的JPG文件的例子。

发现8：攻击模式在全球范围内大不相同
发现8A：韩国公司中每个企业的平均事件发生率最高

2012年，韩国公司中平均每个企业遭受的事件发生率最高。近些年中，韩国已经成为一块供犯罪分子托管基础设施的沃土，而且这些罪犯更加专注于将本地企业作为目标。
韩国的制造企业和其它具有敏感知识产权的机构高度集中。似乎那些寻求利用这些知识产权的网络犯罪分子已经在韩国境内设立了重要的CnC 基础设施。
2 对于这个话题的深入信息，FireEye近期的一篇博客文章中有更详细的介绍：
http://blog.fireeye.com/research/2012/11/more-phish.html。

发现8B：在日本，87%的反弹连接源自日本并停留在本国

多个国家的企业都受到了大量的复杂网络攻击活动，但将日本区分开来的因素是源自本国并终止于本国境内的反弹连接流量比例。FireEye发现有87%的反弹连接流量源自日本并终止于本国境内，这是国家内部反弹连接流量的最高比例了。韩国拥有第二高的国家内部流量比例，82%的流量源自并终止于本国。美国是排名中的第三位，有47%的反弹连接流量源自美国并终止于此。这些结果的一大部分可以归因于一个事实，即网络犯罪分子试图利用跨多个地点通信来掩饰他们的行踪。
像韩国一样，日本的制造企业和其他带有敏感知识产权的机构也都高度聚集。这一特点可能使那些将CnC基础设施安置于日本境内的攻击者卷入其中。

发现8C：加拿大和英国的流出率最高，分别为99%和90%

根据地理位置的不同，一些公司的大部分流量停留在本国内，而其他公司的大部分流量流出了本国国内。总部设在加拿大的企业属于后一类。加拿大的公司遭遇了大量的攻击活动，其99%反弹连接流量流出了本国。在英国，90%的反弹连接停留在本国内（注：原文为90 percent of callbacks stayed in the country，原文可能有误）。有趣的是，在其他国家的公司中，比如土耳其、沙特阿拉伯、阿拉伯，也有90%或更多的反弹连接流量流出国内。
有很多因素影响着CnC服务器的设置地点、流量流出企业的目标国家的原因。在有些情况下，攻击不太集中，也不太注重隐身，对于投机取巧的网络犯罪分子来说，锁定的目标都是易于实现的——不考虑企业所处的位置。在其他情况下，CnC服务器的位置是由设立恶意CnC基础设施的相对难易程度决定的。最后，有时网络犯罪分子会将CnC服务器设置在特定的地区以试图规避检测。

发现8D：技术型组织的反弹连接很可能流向韩国

当评估起源于特定行业的反弹连接的目的地时，惊人的趋势出现了，这说明这些高级趋势涉及了最活跃的网络犯罪分子的所处位置和意图。
很显然，大部分以技术型组织为目标的网络犯罪分子将他们的CnC服务器安置在韩国。事实上，指向韩国的来自技术型组织的反弹连接活动比第二大目的地——美国——多三倍。然而，大部分流向被安置在韩国的CnC服务器的活动都与开发于中国的工具有关。
对于那些针对的金融服务，这是一次以美国为第一和韩国紧随其后的两国竞赛。在包括制造业、医疗保健、能源和公共事业等在内的其他行业中，美国是绝大多数反弹连接的目的地。
从某种意义来说，韩国受到了RAT的困扰。从2012年的数据可以明显看出，韩国是世界上热门反弹连接目的地之一，而且一些韩国的反弹连接活动都与那些采用RAT的更有针对性的攻击有关。最可能的原因之一是，韩国是亚洲国家中拥有最佳互联网基础设施的国家之一，使其成为那些寻求托管CnC服务器的攻击者的首选之地。
到目前为止，我们已知，向韩国发送反弹连接的流行RAT是Gh0st。与Gh0st相关的反弹连接并不是韩国独有的，但由于某些原因，这种RAT常被那些在韩国设置CnC服务器的攻击者所使用，这似乎预示着一个大型群体或多个群体已经将这种工具作为他们的选择。Gh0st恶意代码源自于一个中国的黑客团体，并已经在很长一段时间内成为据点在中国的黑客团体的热门工具。

总结

根据企业的行业属性和位置，其遭遇的攻击的范围、频率和性质会大有不同。通过评估反弹连接信息，您能以更加客观的角度来看待贵企业将要面对的威胁及对抗这些威胁需采取的步骤。欲了解更多信息，请参阅FireEye的《高级网络攻击全景》【http://www.fireeye.com/cyber-attack-landscape/】。这些交互式态势图可以使您选择独特的视角，包括按照国籍和行业类别，来看待以FireEye收集的数据为基础的反弹连接流量细节。

[感谢 billy投递  安天实验室译]