在攻防演练中,高质量的蓝队报告往往需要溯源到攻击团队、国内黑产犯罪团伙、国外APT攻击。
红队现阶段对自己的信息保护的往往较好,根据以往溯源成功案例来看还是通过前端js获取用户ID信息、mysql反制、高交互蜜罐诱饵投放等手段来获取。
除了红队,国内的黑产团伙和国外的APT攻击也是能够加分的,所以平时对APT组织的跟踪发现起到了重要的作用。
APT攻击(Advanced Persistent Threat,高级持续性威胁)是指组织(特别是***)或者小团体利用当下先进的攻击手法对特定目标进行长期持续性的网络攻击。APT攻击的高级体现在于精确的信息收集、高度的隐蔽性、以及使用各种复杂的网络基础设施、应用程序漏洞对对目标进行的精准打击。攻击人员的攻击形式更为高级和先进,称为网络空间领域***别的安全对抗。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为。
APT(高级长期威胁)包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击
APT组织架构图鱼叉攻击
水坑攻击
路过式下载
社会工程学
即时通讯工具诱骗
盘点那些攻击中国的APT组织Top5 APT-C-00 海莲花OceanLotus(海莲花)APT组织是一个长期针对中国及其他东亚、东南亚国家(地区)***、科研机构、海运企业等领域进行攻击的APT组织,该组织也是针对中国境内的最活跃的APT组织之一,该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分***人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料,通过追踪它这些年的攻击手法和攻击目标,OceanLotus很有可能是具有国外***支持背景的、高度组织化的、专业化的******黑客组织
APT-C-06 DarkhotelAPT-C-06组织是一个长期活跃的***APT组织,其主要目标为中国和其他国家。攻击活动主要目的是窃取敏感数据信息进行网络间谍攻击,其中DarkHotel的活动可以视为APT-C-06组织一系列攻击活动之一。 在针对中国地区的攻击中,该组织主要针对***、科研领域进行攻击,且非常专注于某特定领域,相关攻击行动最早可以追溯到2007年,至今还非常活跃。
APT-C-08 蔓灵花蔓灵花(APT-C-08)APT组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,主要攻击***、电力和军工行业相关单位,以窃取敏感信息为主,具有强烈的政治背景,是目前活跃的针对境内目标进行攻击的***APT组织之一。
APT-C-01 毒云藤APT-C-01组织是一个长期针对国内国防、***、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,团伙擅长对目标实施鱼叉攻击和水坑攻击,植入修改后的ZXShell、Poison Ivy、XRAT商业木马,并使用动态域名作为其控制基础设施。
APT-C-24 响尾蛇响尾蛇(SideWinder)组织是一个成熟的攻击组织,该APT组织擅长使用office漏洞、hta脚本、白加黑、VB木马等技术来实施攻击,并且攻击手法还在不断的进化中。目前该组织的攻击目标主要在巴基斯坦,但是由于地缘关系,也不排除针对中国境内的目标发起攻击,因此相关部门、单位和企业切不可掉以轻心。
通过安全设备告警,发现匹配的IOC或内网中的横向攻击,进一步分析取证溯源(一般很难发现)
内部主动上报通过被攻击人员的主动上报,如邮件钓鱼事件、终端异常事件。需加强对内的网络安全宣传
内部主动诱捕通过高交互蜜罐设备,或者引诱信息。诱捕相关组织攻击,进而捕获相关样本及组织信息。
外部开源情报 二手情报二手情报内容缺乏准确性研判,内容真实度待考量,只能作为参考
国内外安全厂商威胁分析报告、安全资讯和新闻资讯
安全厂商安全通告
社交网络,twitter、公众号等
APT历史报告整理站点
我们需要关注的情报类别
安全新闻
勒索软件、挖矿病毒、漏洞利用软件等恶意代码分析
0day漏洞和漏洞利用技术方式分析
攻击事件,定向攻击,恶意邮件投放,供应链攻击等
APT组织分析报告、APT事件分析、APT技术
一手情报恶意程序捕获分析
维基解密秘密文件披露