最近，fireeye发布了2012年的高级威胁分析报告。根据对超过8900万获取的恶意代码事件进行分析，Fireeye认为：

1）平均一个组织和单位每三分钟就会遭受一次恶意代码***，特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件。

2）在所有遭受***的企业和组织中，拥有核心关键技术的技术类企业占比最高；

3）有的企业反复遭受***，有的则飘忽不定；

4）在定向钓鱼邮件（spear phishing email）中经常使用通用的商业术语，具有很大的欺骗性；

5）92%的***邮件都使用zip格式的附件，剩下的格式还有pdf等；

6）恶意代码越来越精巧，想方设法逃避检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行，从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行，那么恶意代码的制作者就会想办法去欺骗虚拟机。

7）越来越多的***使用DLL文件来提升恶意代码执行的频度和隐蔽性。

最后，Fireeye还剖析了一个称作“Beebus行动“的APT***案例。

个人体会，要对付新型威胁，还有很长的路要走。