序 言 过去的一年，在网络威胁（Cyber Threat）领域度过了颇为不平静的一年。网络威胁和攻击似乎更为广泛的应用于地缘政治和军事冲突之下，其作为除了军事打击之外更为有效的手段。通常，实行军事行动或军事打击，往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素，而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。 网络行动（CNO）在美国军事领域被视为信息作战的核心能力之一，其由网络攻击（CNA）、网络防御（CND）和网络利用（CNE）组成。过去我们讨论的更多的APT威胁都属于CNE范畴，其主要的意图在于收集目标系统或网络的情报数据并加以利用。因此，持久化和隐匿性是实施CNE的重要基础。 而CNA的主要目的在于干扰（Disrupt）、拒绝（Deny）、降级（Degrade）、破坏（Destroy）目标的设施、设备、网络甚至数据信息。当下像政务系统、电力能源、医疗、工业制造等具备更高的信息化和智能化，导致一旦出现网络攻击，其不仅仅是面临财产的损失，而且对社会和民生造成极大的影响。由于CNA所造成的影响和现象是明显的，其类似于现代军事行动具备在较短时间范围就能达到行动目标，而实施CNA的基础则在于对潜在目标的了解程度和网络武器的装备化，所以其往往依赖于历史的网络利用活动，或是结合网络利用。像震网事件、乌克兰停电事件、WannaCry爆发都是较为典型的网络攻击的形态。 过去，我们在分析、发现、识别和跟踪网络攻击和利用活动时，不仅关注于攻击的战术技术特点，以及总结和归纳其攻击来源和攻击组织的手法和变化，从而提高对对手的了解程度以及研究APT威胁的趋势。结合过去我们对APT威胁的研究基础，APT威胁正在变得更加复杂化，其不光体现在对手的策略和能力的提升，而且更加注重对自身的操作安全（OPSEC），通过隐藏、伪装、误导、模仿的方式减少留下自身的行为指纹，对APT威胁的归因分析带来挑战。APT组织寻求更高维度的攻击链路，包括对广域网的流量劫持，基础设施劫持，供应链攻击等等，导致对于APT威胁分析依赖于更广维度的数据来源和元数据类型。 我们在每次全球高级持续性威胁的研究总结报告中对近一年内全球APT威胁活动和APT研究成果的分析和总结，并提出我们对APT威胁的变化趋势的看法。也寄希望于对业内的APT研究和防御提供一些基础性思路。 概 要 结合2019年全年高级持续性威胁活动情况来看，我们认为近一年来高级威胁活动呈现出如下的趋势。  2019年，奇安信威胁情报中心收录了高级威胁类公开报告总共596篇，其中涉及了136个命名的攻击组织或攻击行动，被认为活跃在东亚半岛范围的3个APT组织被披露的频率最高。政府、防务行业的目标依然是APT威胁的主要目标，而不可忽视的是，能源和通信行业也已经成为APT威胁的重要针对对象。  在此次报告中，我们依然围绕地缘特征总结了6大地区总共22个APT组织在近一年的攻击活动情况以及使用的主要攻击工具。按照地缘特征划分来研究APT威胁活动：一方面是因为按地域划分下其通常拥有较为相似的地缘政治因素，导致APT活动和APT组织的意图和动机具备相似性和可比性；另一方面也是为了在归因困难和攻击TTP出现重叠的情况下，对同一地域范围的威胁活动进行类比分析。  在报告中，我们也从行业视角分析了针对金融、能源和电信行业在2019年面临的高级威胁问题，并且总结了一年来主要的攻击组织和攻击活动。我们也认为未来APT类威胁活动可能会更多的扩展到金融、能源和电信行业，并且更具有针对性。  在文中我们也总结了全年公开披露的在野0day攻击情况，无论从披露的在野漏洞攻击案例还是利用0day漏洞的攻击组织数量都较去年有所增长。在漏洞类型上，未发现公开披露新的文档类0day漏洞案例，而针对PC和移动终端的浏览器的完整漏洞利用链数量大大增加。  我们在此次的报告中也讨论了网络攻击造成的破坏性影响以及疑似网络战相关的活动，我们也认为网络攻击破坏活动相对于军事行动来说，更加具有隐蔽性和溯源难的特点，从而攻击源头可以进行否认。由此可以预见未来网络攻击破坏活动可能更加频繁。 研究方法 在此报告的开始，我们列举了本研究报告所依赖的资料来源与研究方法，其中主要包括：  内部和外部的情报来源，其中内部的情报来源包括奇安信威胁情报中心旗下红雨滴团队对APT威胁的持续分析跟踪及相关的威胁情报[参考链接[1]；外部的情报来源包括主要发布APT类情报200多个公开数据源，涉及安全厂商、博客、新闻资讯网站、社交网络等。  以MITRE ATT&CK框架[2]和NSA/CSS CTF框架[3]为基础，作为对威胁组织攻击战术技术的标准化表达。  基于网络杀伤链模型（Kill-Chain）对攻击步骤的定义，我们结合APT威胁分析中易于观测到的阶段进行简化和合并：筹备阶段、攻击入口和立足阶段、持久化维持和横向移动阶段、命令控制和数据渗出阶段。  基于钻石模型，我们总结对APT威胁组织画像依赖的重要要素：攻击活动、目标（地域目标、行业目标）、能力（恶意程序、工具、漏洞利用程序）、资源（网络基础设施）。  对于APT组织的评判和定义，我们参考了ATT&CK Groups[6]，MISP项目[4]、国外安全研究人员Florian Roth的APT组织和行动表格[5]等等。  APT组织的国家和地域归属判断是综合了外部情报的结果，并不代表奇安信威胁情报中心自身的判定结论。 目 录 第一章 全球高级持续性威胁趋势 .................................................................. 1 一、 数量和来源 ......................................................................................... 1 二、 受害目标的行业与地域 ...................................................................... 2 三、 活跃的威胁攻击者 ............................................................................. 3 第二章 地缘下的APT组织、活动和趋势 ...................................................... 5 一、 地缘下的活跃APT组织 ...................................................................... 5 二、 广域网下的APT威胁.........................................................................22 三、 利用供应链攻击实施APT活动 .........................................................23 四、 网络军火、0DAY与APT威胁..............................................................24 五、 网络战与CNA .....................................................................................25 六、 移动终端场景的APT威胁 .................................................................27 第三章 针对行业性的高级威胁活动 .............................................................28 一、 金融行业 ...........................................................................................28 二、 能源行业 ...........................................................................................31 三、 电信行业 ...........................................................................................33 第四章 2020年高级持续性威胁预测 ........................................................34 一、 APT威胁归因困难导致攻击归属命名更加碎片化 ............................34 二、 出现更多的在野0DAY攻击案例 .........................................................34 三、 针对行业性的APT威胁越发凸现 ......................................................35 四、 5G商业化和物联网或为APT威胁提供新的控制基础设施 ...............35 五、 更加频繁和隐蔽的网络攻击破坏活动 ..............................................35 第五章 针对高级持续性威胁的分析和对抗 ..................................................37 一、 元数据是应对高级威胁的数据基础 ..................................................37 二、 构建高级威胁组织知识库 .................................................................38 三、 高级威胁对抗需要人机结合 .............................................................38 附录1 奇安信威胁情报中心简介 .................................................................39 附录2 红雨滴团队（RED DRIP TEAM）简介 ................................................40 附录3 参考链接 ...........................................................................................41 附录4 全球主要APT组织列表 .....................................................................46 全球高级持续性威胁（APT）2019年报告 1 第一章 全球高级持续性威胁趋势 奇安信威胁情报中心在2018年的全球高级威胁总结报告中就基于公开来源APT情报的收集数据对APT威胁趋势进行图表可视化展示。在2019年的总结报告中，我们沿用了相同的方式。本章内容是基于奇安信威胁情报中心对200多个主要发布APT类情报来源渠道的数据收集、统计和分析结果，其中包括但不限于以下类型： APT攻击团伙报告、APT攻击行动报告、疑似APT的定向攻击事件、和APT攻击相关的恶意代码和漏洞分析，以及我们认为需要关注的网络犯罪团伙及其相关活动。 国内外安全厂商、安全研究