《胡星儒-APT攻击中的虚假情报》由会员分享,可在线阅读,更多相关《胡星儒-APT攻击中的虚假情报(43页珍藏版)》请在金锄头文库上搜索。
1、兵者诡道:APT攻击中的虚假情报 360追日团队胡星儒 专注APT等高级威胁的研究。 致力于发现和披露更多的APT组织或行动。 截至目前已发现三十多个APT组织。 关于360追日团队(Helios Team) 关于360追日团队(Helios Team) 发布时间发布时间报告名称报告名称APT编号编号 2015.05.29海莲花:数字海洋的游猎者APT-C-00 2015.12.10007黑客组织及地下黑产活动分析报告 2016.01.182015年中国高级持续性威胁(APT)研究报告 2016.05.10洋葱狗:交通能源的觊觎者潜伏3年的定向攻击威胁APT-C-03 2016.05.30美人
2、鱼行动长达6年的境外定向攻击活动揭露APT-C-07 2016.06.03SWIFT之殇:针对越南先锋银行的黑客攻击技术初探APT-C-26 2016.07.01人面狮行动中东地区的定向攻击活动APT-C-15 2016.07.21台湾第一银行ATM机“自动吐钱”事件分析 2016.08.04摩诃草组织来自南亚的定向攻击威胁APT-C-09 2016.08.09关于近期曝光的针对银行SWIFT系统攻击事件综合分析APT-C-26 2016.08.11索伦之眼APT-C-16 关于360追日团队(Helios Team) 目录 APT发展现状 相关案例分析 影响和应对 目录 APT发展现状 相关
3、案例分析 影响和应对 攻击发展趋势 全球APT攻击依然活跃,针对中国的APT攻击持 续增长。 2016年新披露的: Lazarus:涉及中国地区 摩诃草(hangover、白象):主要针对中国地区 索伦之眼:主要针对中国地区 已披露且2016年活跃的: 海莲花、Darkhotel、APT28、Carbanak 攻击发展趋势 全球APT攻击领域关注政府、能源等,针对中国 主要是科研教育和政府机构。 攻击发展趋势 全球APT攻击依然活跃,针对中国的APT攻击持 续增长。 全球APT攻击领域关注政府、能源等,针对中国 主要是科研教育和政府机构。 针对金融领域的攻击不断出现。 攻击对抗由被动隐匿到主动
4、出击 主要讨论的问题 对抗手法-针对安全机构 主要讨论的问题 幕后组织 难以定性,另外存在嫁祸、假情报等情况: 客观陈述,避免主观臆断 一些关键词 False flag (假旗行动)(假旗行动) Disinformation (假情报) Feigned activity (佯动) Lure (诱饵) Mimicry (拟态) Deception (欺骗) Counterintelligence (反情报) Interference (干扰) Obfuscation (混淆) Mislead (误导) Disguise (伪装) 非技术概念 特殊背景 意图:攻击从未停歇 能力:攻击“不计成本”
5、关于定性APT 0day 针对性 不以获取经济利益为目的 高度隐蔽 窃取和破坏 针对不同平台 目录 APT发展现状 相关案例分析 影响和应对 预先设定:样本实体文件、C&C域名、特殊字符串、上 线密码、诱饵文档属性信息 事后掩盖:域名WHOIS、IP APT攻击案例预设陷阱 侦察 跟踪 武器 构建 载荷 投递 突防 利用 安装 植入 通信 控制 达成 目标 案例1:洋葱狗和ICEFOG APT攻击案例预设陷阱 不会释放并执行ICEFOG样本 ICEFOG事件已被披露 APT攻击案例预设陷阱 案例1:洋葱狗和ICEFOG APT攻击案例预设陷阱 案例1:洋葱狗和ICEFOG DUQU 2.0嫁祸
6、的嫁祸的目标目标 ugly.gorillaAPT1 CamelliaAPT1 romanian.antihacker罗马尼亚 LZJB算法算法MiniDuke APT攻击案例预设陷阱 案例2:DUQU2.0 APT攻击案例预设陷阱 案例3(疑似): SWIFT事件和Lazarus 安全删除函数:代码复用 疑似拼写错误: APT攻击案例预设陷阱 案例3(疑似): SWIFT事件和Lazarus SOA与WHOIS关联 C&C域名域名SOA RNAMEIP 178.162.210.245 178.162.210.246 95.211.205.166 95.211.205.164 178.162.2
7、10.247 178.162.210.248 178.162.210.243 178.162.210.242 46.165.229.9 APT攻击案例预设陷阱 其他:摩诃草 C&C域名域名年份年份域名注册邮箱域名注册邮箱 extrememachine.org 2011 2012域名保护 2014sinkhole pizzapalace.org 2011 2012域名保护 2014sinkhole 2012 域名保护 APT攻击案例预设陷阱 其他:摩诃草 SOA与WHOIS关联 进一步拓展: 针对中国攻击的组织: APT-C-00、APT-C-05、 APT-C-12 涉及RAT: ZXShel
8、l、灰鸽子、Gh0st、 PlugX Guccifer 2.0 APT28 XTunnel APT攻击案例预设陷阱 其他:DNC邮件泄露事件 APT攻击案例主动出击 案例4:美人鱼攻击行动 相关疑点: 疑点1:相关C&C窃取信息回传或传输恶意程序; 疑点2:与另外8个C&C域名注册邮箱相同; 疑点3:与其他C&C一样,都没有WEB服务; 疑点4:名下另外3个C&C域名目前已被sinkhole。 其他: APT攻击案例主动出击 案例4:美人鱼攻击行动 APT攻击案例主动出击 案例5(非APT):007组织 完全模仿:Cloud Atlas模仿红色十月相关攻击行动。 不同签名:APT28采用不同的
9、签名等来干扰。 C&C通信:Carbanak相关 APT攻击案例主动出击 其他厂商研究成果 CountryCountrySIGINTSIGINT Australia Australia Australian Signal Directorate - ASD Canada Canada ComunicationsComunications Security Establishment Security Establishment - - CSECSE New New Zealand Zealand Government Communications Security Bureau - GCSB
10、United United Kingdom Kingdom Government Communcations Headquarters - GCHQ United United States States National Security Agency - NSA 国家情报机构 FiveEye(五眼) CSEC 网络威胁能力-通信情报和信息技术安全:端对端攻击方式 国家情报机构 CSEC (Communications Security Establishment Canada) 国家情报机构 CSE Cyber Activity Spectrum 国家情报机构 Deception Tech
11、niques(欺骗技术) False Flag Operations - Create unrest - 假旗攻击 - 制造动荡局面 一种典型的利用心理学的战术,假旗指的是某个国家或组 织发起一次攻击后,却使之看起来像是另有其他国家或者 组织所为,目的是为了引起攻击目标和被嫁祸国或被嫁祸 组织间的紧张敌对气氛,或者是为了以某种方式使真正的 攻击者受益。 国家情报机构 False Flag Operations(假旗行动) 安全公司 Norse Attack Map 宫一鸣 安全威胁情报与基础数据 安全公司 Norse Attack Map 目录 APT发展现状 相关案例分析 影响和应对 顶尖APT:Stuxnet、Duqu、Flame、Equation、 Regin、Sauron 针对银行SWIFT系统:孟加拉央行、越南先锋银行、 厄瓜多尔银行、索纳莉银行。 发现同源 我们的目的 一些方法或依据: 语言、工作时区、IP地理位置、地缘政治等 我们的目的 判断归属 造成的影响 无论是发现同源还是判断归属,其核心还是关联溯源。 基本方法 交叉验证:多维度、来源和时间 协同联动:政府机构、企业用户和安全厂商 人的价值:安全、数据和业务 一些思考 Email: 联系我们 Thank You!
