中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當(dāng)前的位置是:  首頁(yè) > 新聞 > 國(guó)內(nèi) >
 首頁(yè) > 新聞 > 國(guó)內(nèi) >

追蹤調(diào)查來(lái)自印度的針對(duì)中國(guó)和南亞國(guó)家的大規(guī)模APT攻擊

2016-08-26 08:56:10   作者:    來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊cti:


  2016年8月,F(xiàn)orcepoint 發(fā)布了一個(gè)APT攻擊的追蹤報(bào)告。該報(bào)告由Forcepoint安全實(shí)驗(yàn)室特別調(diào)查小組長(zhǎng)期獨(dú)立追蹤完成。該調(diào)查小組隸屬于Forcepoint安全實(shí)驗(yàn)室,由優(yōu)秀的惡意軟件逆向工程師和分析師組成,其職責(zé)是專(zhuān)門(mén)深入研究僵尸網(wǎng)絡(luò)和APT攻擊。他們與全球眾多值得信賴(lài)的機(jī)構(gòu)協(xié)作,以提供切實(shí)可見(jiàn)的決策為宗旨,向大眾、客戶(hù)以及合作伙伴等利益相關(guān)者傳遞相關(guān)信息,針對(duì)網(wǎng)絡(luò)安全問(wèn)題,警醒全球用戶(hù)。
  圖 誘餌文檔標(biāo)題組成的詞云
  Forcepoint安全實(shí)驗(yàn)特別小組這次發(fā)布的APT攻擊跟蹤報(bào)告被命名為MONSOON。 調(diào)查表明,這些攻擊活動(dòng)主要針對(duì)中國(guó)的各個(gè)行業(yè),以及南亞地區(qū)的一些國(guó)家政府機(jī)構(gòu)。MONSOON從2015年12月開(kāi)始發(fā)起攻擊,截至2016年7月攻擊活動(dòng)仍在持續(xù)。在調(diào)查MONSOON過(guò)程中所收集到的證據(jù)里,有一些指標(biāo)表明MONSOON和OPERATION HANGOVER存在高度相似。這些指標(biāo)包括相同的攻擊架構(gòu),類(lèi)似的戰(zhàn)術(shù)、技術(shù)與規(guī)程(即TTP),人口統(tǒng)計(jì)學(xué)意義上相似的受害者,以及都在印度次大陸進(jìn)行的地理屬性。
  總體來(lái)看, MONSOON所用的惡意軟件一般通過(guò)附有“武器化”文檔的電子郵件發(fā)送給特定目標(biāo)。這些文檔的主題幾乎都與政治相關(guān),大多選自近期的熱門(mén)政治事件。其所使用的惡意軟件包括Unknown Logger Public, TINYTYPHON, BADNEWS和AutoIt后門(mén)。其中非常獨(dú)特的是,BADNEWS利用RSS訂閱、GitHub、論壇、博客和動(dòng)態(tài)DNS主機(jī)向遠(yuǎn)程C&C服務(wù)器進(jìn)行通信。調(diào)查所收集到的證據(jù)表明, OPERATION HANGOVER這個(gè)團(tuán)體操縱MONSOON至少自2010年開(kāi)始活躍,在跟蹤的時(shí)間內(nèi),他們使用了至少72個(gè)誘餌文件中,大多數(shù)使用了當(dāng)前熱門(mén)新聞主題詞,并高度契合受害者的興趣,其中,用的最多的誘餌文件名為China_Military_PowerReport(中國(guó)軍事力量報(bào)告)。MONSOON的受害者遍布 110多個(gè)國(guó)家,被攻擊的IP地址多達(dá)6300多個(gè),其中,61%的受害者來(lái)自中國(guó),而攻擊則來(lái)自印度次大陸。
  該報(bào)告的追蹤調(diào)查采用的是Forcepoint公司獨(dú)特的APT攻擊七步曲方法論。具體分析攻擊全過(guò)程如下:
  一、 偵測(cè)
  Forcepoint安全實(shí)驗(yàn)室特別調(diào)查組在跟蹤調(diào)查中發(fā)現(xiàn),APT攻擊者起初通過(guò)對(duì)當(dāng)下中國(guó)和南亞地區(qū)關(guān)注的時(shí)事進(jìn)行分析,并針對(duì)受害人的關(guān)注點(diǎn),偽造相關(guān)“時(shí)事新聞”及報(bào)告誘使他們?nèi)c(diǎn)擊查看。在相關(guān)樣本的分析過(guò)程中,我們還發(fā)現(xiàn)APT攻擊者對(duì)受害者可能使用的防病毒軟件進(jìn)行猜測(cè)(例如360 Total Security)并通過(guò)Virus Total網(wǎng)站對(duì)惡意文件進(jìn)行防病毒軟件繞過(guò)檢測(cè)。
  二、釣魚(yú)
  為了吸引受害者的注意,APT攻擊者采用第三方郵件服務(wù)器向受害者發(fā)送魚(yú)叉式釣魚(yú)郵件,并偽裝郵件發(fā)送者,其釣魚(yú)郵件的主題多與中國(guó)時(shí)事政治相關(guān),以吸引受害者查看閱讀郵件及相關(guān)連接。與此同時(shí),攻擊者通過(guò)建立多個(gè)虛假新聞網(wǎng)站、操控多個(gè)發(fā)布虛假新聞的社交軟件(FACEBOOK、TWITTER、Google Plus)發(fā)布虛假新聞以引誘受害者點(diǎn)擊和注冊(cè)等。
  三、再定向
  通過(guò)對(duì)釣魚(yú)郵件的分析,我們發(fā)現(xiàn)APT攻擊者會(huì)在郵件中附加一個(gè)或多個(gè)惡意連接,這些鏈接指向惡意文檔的下載地址,以此利用受害者的好奇心誘使他們?nèi)ラ喿x和下載惡意文檔。
  四、漏洞攻擊包
  通過(guò)分析相關(guān)惡意文檔的樣本,我們發(fā)現(xiàn),這些文檔均包含了多個(gè)已知的微軟Office漏洞(具體參看相關(guān)報(bào)告中涉及CVE編號(hào))。 同時(shí),惡意站點(diǎn)還會(huì)探測(cè)受害者的計(jì)算機(jī)是否安裝了Silverlight軟件,并對(duì)該關(guān)鍵漏洞進(jìn)行滲透。
  五、木馬下載
  一旦受害者訪(fǎng)問(wèn)了包含漏洞的惡意文檔,攻擊者將會(huì)利用漏洞將多個(gè)木馬及后門(mén)程序植入到目標(biāo)計(jì)算機(jī)中。然后這些惡意程序會(huì)通過(guò)偽裝系統(tǒng)進(jìn)程、軟件加密、隱藏免殺、DLL注入、修改注冊(cè)表等多種技術(shù)在受害者計(jì)算機(jī)中駐留。
  六、回傳通信
  通過(guò)對(duì)惡意軟件的逆向分析,我們獲取了大量包含惡意C&C服務(wù)器的地址及指令。其中包括:RSS訂閱、GitHub、論壇、博客及動(dòng)態(tài)DNS等。攻擊者在這些渠道發(fā)布加密的惡意指令,以控制受害者的計(jì)算機(jī),并同時(shí)更新升級(jí)惡意軟件。
  七、數(shù)據(jù)竊取
  攻擊者通過(guò)C&C方式控制受害者的計(jì)算機(jī),并利用本地惡意軟件對(duì)受害者的資料實(shí)施檢索、鍵盤(pán)記錄、截屏等操作,最終將獲取的機(jī)密文檔上傳至遠(yuǎn)程惡意C&C服務(wù)器中。據(jù)初步估計(jì),我們所掌握的C&C服務(wù)器中就有上千份被竊取的文檔,大部分為政府機(jī)構(gòu)文檔,還有一些高度涉秘文檔,如海關(guān)清關(guān)文檔、金融數(shù)據(jù)、技術(shù)說(shuō)明文檔等。
  來(lái)自印度的針對(duì)中國(guó)和南亞國(guó)家的大規(guī)模APT攻擊的調(diào)查追蹤分析表明,OPERATION HANGOVER這個(gè)團(tuán)體所采用的攻擊方案更加隱蔽,攻擊技術(shù)不斷升級(jí),用戶(hù)畫(huà)像越來(lái)越精準(zhǔn),所以,用戶(hù)在使用網(wǎng)絡(luò)時(shí)應(yīng)該時(shí)刻防范惡意軟件的加載和攻擊。Forcepoint安全實(shí)驗(yàn)室會(huì)持續(xù)提供安全的見(jiàn)解、技術(shù)和專(zhuān)業(yè)知識(shí),使客戶(hù)專(zhuān)注于自己的核心業(yè)務(wù)發(fā)展,而不必太過(guò)在安全性上花費(fèi)時(shí)間和精力。Forcepoint也會(huì)不斷加強(qiáng)和主流機(jī)構(gòu)的合作,繼續(xù)追蹤和調(diào)查各種攻擊的狀況,努力識(shí)別新出現(xiàn)的網(wǎng)絡(luò)威脅并對(duì)其進(jìn)行深入了解,并提供實(shí)用的決策方案,向包括客戶(hù)、合作伙伴及大眾等在內(nèi)的廣大利益相關(guān)者傳遞有用的安全警醒信息,為廣大網(wǎng)絡(luò)用戶(hù)保駕護(hù)航。
  關(guān)于Forcepoint
  Forcepoint的產(chǎn)品系列,覆蓋了安全威脅的全過(guò)程,極大地保障了用戶(hù)、數(shù)據(jù)和網(wǎng)絡(luò)免受最強(qiáng)悍的對(duì)手、意外或惡意的內(nèi)外部威脅與攻擊。Forcepoint保護(hù)云中、路上或者辦公室里等所有時(shí)點(diǎn)的數(shù)據(jù)安全,簡(jiǎn)化合規(guī)性,優(yōu)化決策并實(shí)施有效修復(fù)。在世界各地,有超過(guò)20,000家機(jī)構(gòu)在使用Forcepoint。Forcepoint總部設(shè)在美國(guó)德克薩斯州的Austin,我們的銷(xiāo)售業(yè)務(wù)、服務(wù)業(yè)務(wù)、安全實(shí)驗(yàn)室和產(chǎn)品開(kāi)發(fā)部門(mén)遍布世界各地。

專(zhuān)題