压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

8月8日，國(guó)內(nèi)新興的APT技術(shù)廠商?hào)|巽科技發(fā)布了一份題為《東巽科技2046Lab團(tuán)隊(duì)APT報(bào)告：“豐收行動(dòng)”》的安全報(bào)告。報(bào)告中提到，2016年7月，東巽科技2046Lab團(tuán)隊(duì)追溯到一起來(lái)自南亞某國(guó)隱匿組織的APT攻擊，目標(biāo)以巴基斯坦、中國(guó)等國(guó)的科研院所、軍事院校和外交官員為主，通過(guò)竊取文件的方式獲取與軍事相關(guān)情報(bào)。由于樣本的通信密碼含有“January14”關(guān)鍵詞，這一天正好是南亞某國(guó)盛行的“豐收節(jié)”，東巽把該APT事件命名為“豐收行動(dòng)”。

C&C服務(wù)器建立時(shí)間的分析

受害者群體、領(lǐng)域分析

據(jù)了解，事件的起因是東巽科技2046Lab團(tuán)隊(duì)在7月捕獲到一例疑似木馬的樣本，該木馬樣本偽裝成Word文檔，實(shí)為利用CVE-2015-1641漏洞(Word類(lèi)型混淆漏洞)的RTF格式文檔，以郵件附件的形式發(fā)給攻擊目標(biāo)，發(fā)動(dòng)“魚(yú)叉式攻擊”。在將文件提交到多引擎殺毒平臺(tái)檢測(cè)后，發(fā)現(xiàn)54款殺軟僅8款可以檢出威脅，說(shuō)明木馬做了大量的免殺處理。隨后，研究人員對(duì)樣本進(jìn)行了深入的人工分析，發(fā)現(xiàn)其C&C服務(wù)器依然存活，于是對(duì)其進(jìn)行了跟蹤溯源和樣本同源分析，又發(fā)現(xiàn)了其他兩處C&C服務(wù)器和更多樣本。

失竊文件截圖

失竊數(shù)據(jù)截圖

與友商用大量樣本統(tǒng)計(jì)來(lái)分析APT方式不同，2046Lab針對(duì)“豐收行動(dòng)”的分析雖也利用了樣本分析手法，但更多是利用跟蹤溯源的方式。這種跟蹤溯源和分析過(guò)程，剝離出了更多的真相。“從一個(gè)樣本到一個(gè)C&C服務(wù)器，再到另一個(gè)樣本，到另一個(gè)C&C服務(wù)器，每跟蹤溯源一次，我們對(duì)攻擊者的了解就加深一些，包括攻擊者的目標(biāo)對(duì)象、使用工具、C&C服務(wù)器據(jù)點(diǎn)、慣用手法，最后云開(kāi)霧散，終于發(fā)現(xiàn)了攻擊者的具體IP，找到了其在南亞某國(guó)的幕后大本營(yíng)。這一過(guò)程不免讓我們?cè)俅胃袊@，“人與人”的對(duì)抗確實(shí)是APT防護(hù)對(duì)抗的本質(zhì)所在。”東巽科技CTO李薛表示。

本次“豐收行動(dòng)”，再一次證明了APT攻擊的存在和長(zhǎng)期活躍，而導(dǎo)致攻擊成功的主要因素是：防守在明、攻擊在暗，受害者的防御措施與攻擊者攻擊手段存在能力差距，尤其是未知威脅的檢測(cè)和預(yù)警能力。

李薛還認(rèn)為，本次的揭露只是全球APT攻擊事件的冰山一角，中國(guó)也是APT攻擊的受害者之一。需要警醒的是，攻擊者并不會(huì)因?yàn)楸敬蔚慕衣抖N(xiāo)聲匿跡，至多是偃旗息鼓一段時(shí)間，然后以更隱蔽的方式卷土重來(lái)，并用上新的免殺技術(shù)、新的漏洞或者新的攻擊方式。所以，通過(guò)本報(bào)告希望能給用戶(hù)，尤其是可能遭受APT攻擊的重要機(jī)構(gòu)一些提醒和建議，落實(shí)習(xí)總書(shū)記4.19講話(huà)精神，樹(shù)立正確的網(wǎng)絡(luò)安全觀，充分識(shí)別自己的防御措施和攻擊技術(shù)之間的差距，加快構(gòu)建安全保障體系提前部署防御措施，尤其是未知威脅的檢測(cè)和識(shí)別方面的能力建設(shè)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力，防患于未然。