压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在2014中國互聯網安全大會第二天的APT防御技術論壇中，南京翰海源安全研究員何淼分享APT GROUPS揭開"潘多拉魔盒"主題演講，何淼首先回顧一下我們身邊發生的APT Groups攻擊事件。講到，“這一封是針對政府部門發動的定向攻擊郵件，運行這個郵件，通過WPS2012或者是2013打開以后，會釋放出正常的doc文件，加載dll文件，竊取政府部門的機密信息，并上傳。”

　　何淼表示，“查詢網絡資料可以看到有70家政府部門和60多家國企在使用國產辦公軟件，潛在的APT威脅數量很大。這個是我同事出差時捕獲的攻擊郵件。打開文件以后可以從攻擊者網站下載特定zbot感染型木馬。“

　　另外，何淼認為，”這兩次APT事件很難關聯起來，如果是有其他的APT樣本搭橋牽線，是不是就可以找到它們之間的關聯關系呢？就好比是兩個不同的案發現場，采用不同的作案手段，如果留下了兇手的指紋信息，我們是不是可以順藤摸瓜的抓出兇手呢？APT Groups可以幫我們找出意想不到的結果，并且找到背后隱藏的秘密。

　　何淼認為，“首先要進行多緯度基因數據的組建。這些信息需要通過沙盒系統獲取樣本的動態信息，比如竊取網銀的密碼行為、用戶的游戲帳號信息或者是郵箱帳號等等。一些威脅信息，比如文件的啟動項、進程的啟動信息。文件的靜態信息是文件的導入信息、文件的資源目錄。如此多的樣本信息中，要找到自己感興趣的信息。通過相似度計算，可以看到這兩個攻擊是同一個作者所為。”

　　此外，何淼分享了一個組名叫APT-malicious-dw20，特點就是樣本繁多，大部分都是使用自己的簽名。主要分布在美國、法國、波蘭、韓國等國家。攻擊者是某黑客團體的APT攻擊。這個攻擊組織常用的數字簽名比較多。這個組織的C&C服務器分布，美國的分布占42%。

　　何淼講到，“APT-RAT-DNSWATCH主要利用DOS的路徑攻擊。我們重點看一下APT-phanonra-shenzhen。這個攻擊者參與了多次APT攻擊事件，特點是到處簽名，動態劫持dll文件。用到的CVE是2011-2462、2011-0611、2012-0158，最后追蹤到是美國的APT攻擊團隊。尾部都有一個明顯的download的特征。我們要演示的樣本暴露了攻擊者的行蹤，并且順藤摸瓜，追蹤到了攻擊者的博客地址。攻擊活動生命周期主要是集中在2012到2013，也是APT事件發生的高峰時期。未來在2013到2014期間也會發動多起攻擊事件。這個組織的C&C服務器主要分布在香港、法國、澳大利亞、美國等地。”

　　最后，何淼表示，“PT Groups在上傳樣本文件，通過信息查詢所在的APT家族，定位到攻擊者所在的APT家族。通過這個樣本可以找到攻擊者的來源。找到和WPS的樣本相互關聯的原因。展示了服務器所在國。樣本的靜態信息。也可以通過查詢樣本的C&C信息查詢域名信息，通過樣本的時間軸可以查到樣本的攻擊活動生命周期，了解攻擊組織或者是作者制作樣本的時間。”