首页 > 传媒 > 关键词  > 深信服最新资讯  > 正文

第五届看雪安全开发者峰会 | 如何发现并阻断APT攻击?深信服蓝军与海莲花“交手”成功案例分享

2021-10-23 19:59 · 稿源:站长之家用户

想象一下,有一个团伙,一直在监视你,你在明他在暗,他长期潜伏,收集关键情报,只为找准机会,对你发起“袭击”……害怕吗?在网络世界里,这种事情在默默上演,受害者可能是个人、可能是组织、可能是企业,而后果可能是“致命”的……怎么办?你只能一筹莫展?当然不是!

10月23日,在第五届看雪安全开发者峰会(2021SDC)中,深信服蓝军高级威胁攻防研究员闫忠进行了主题为《多维度视角下APT挖掘实践》的分享,以追踪海莲花APT组织攻击活动的实战经验为例,详细分析了反向追踪APT组织的实战思路。

2021SDC现场:深信服蓝军高级威胁攻防研究员闫忠

恶意文件的挖掘是反向追踪APT攻击者的关键

闫忠在分享时提到,APT 整个攻击链中,存留时间最长的数字类型证据是恶意文件,恶意文件在整个网络安全领域里存留时间最长,且因外因变化而改变的概率小,不易被篡改。因此,在反向追踪APT攻击者的过程中,恶意文件的挖掘是关键。

在恶意文件的挖掘中,可以充分利用 PE 文件元数据来追踪APT攻击者的更多样本,然后再对APT攻击者的样本进行研究扩展,从而递归找到APT攻击者更多的恶意文件与 IOC 情报。闫忠提到,可以从文件名、imphash 值、Rich header 哈希值、数字证书、模糊哈希(SSDEEP、TLSH、VHASH)等多个维度,挖掘到更多所属攻击者的恶意文件。

实战!一步步反向追踪并成功阻断海莲花APT攻击

据深信服发布的《2020年网络安全态势洞察报告》,2020年,海莲花主要对东南亚地区相关国家以及本国海内外异见人士进行攻击与信息监听,十分活跃,因此其也成为深信服蓝军高级威胁攻防研究团队监控的主要目标之一。

通过对海莲花在文件侧与网络侧进行多维度挖掘实践,深信服蓝军高级威胁攻防研究团队挖掘到了海莲花大量文件侧与网络侧的 IOC 情报,从而发现并阻断了好几起海莲花组织的攻击事件……

文件侧:深信服蓝军高级威胁攻防研究团队充分利用 PE 文件元数据以及样本独特的特征来追踪海莲花的更多样本,并在更高维度采用了代码同源性分析来挖掘更多样本。

网络侧:因为从定制化的攻击样本中,无法挖掘到海莲花组织的更多情报,深信服蓝军高级威胁攻防研究团队为了突破这个限制,将以网络资产为核心的挖掘作为新的拓展方向。

捕获海莲花网络资产方式1:异常数据分析

通过深信服蓝军高级威胁攻防研究团队的持续观察,对大量控制命令服务器网络交互数据 Server 字段的查看,“Apache/2.4.34(Red Hat) OpenSSL/1.0.2k-fips”引起了研究人员的注意,因为这组数据的标题为“Welcome to nginx!”,依据这个异常数据,深信服蓝军高级威胁攻防研究团队挖掘到一批网络资产,确定了其中属于海莲花组织的网络资产。

捕获海莲花网络资产方式2:多个特征结合关联

除了上述提到的方法,依据 SSL 证书的强关联特性,深信服蓝军高级威胁攻防研究团队发现海莲花组织的 C&C 服务器往往采用自签名证书,通过“筛查自签名证书的网络资产,限定选择返回的数据长度501字节,且服务端组件为‘nginx1.8.0’”的方式,深信服蓝军高级威胁攻防研究团队又发现了其中属于海莲花组织的网络资产。

捕获海莲花网络资产方式3:利用掌握的运营特征指纹扩大战果

此外,深信服蓝军高级威胁攻防研究团队结合从文件侧挖掘到的恶意攻击文件,提取到属于海莲花的网络资产,发现国内失陷主机,这些IP资产成为了海莲花攻击的跳板,深信服蓝军高级威胁攻防研究团队利用掌握的运营特征指纹,再次关联到其他国内失陷主机,从而扩大了战果。依据这些特征,针对海莲花组织,深信服蓝军高级威胁攻防研究团队在几个月的时间里,最终挖掘到了海莲花大量文件侧与网络侧的 IOC 情报。

一直以来,以情报搜集、破坏、或经济利益为目的APT攻击,是深信服蓝军高级威胁攻防研究团队重点关注的领域,因为APT组织的每一次动作,都将可能给个人、企业、社会机构甚至是国家安全带来严重影响。通过攻击和防御双方的视角,从多维度分析和解决网络安全问题,未来,深信服将不断提高专业技术造诣,深度洞察网络安全威胁,持续为网络安全赋能。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 定义托管式安全时代,深信服的格局与胜局

    摘要:近日,深信服创始人何朝曦在深信服智安全创新峰会上宣布托管式安全运营服务进入MSS2. 0 时代,打造随需可得的托管式安全运营能力。1) 提前入局,踩准托管式安全服务的时代节拍在 2018 年,看到了云时代的企业在网络安全上的新态势和新需求,深信服开始提前探索MSS的技术和服务模式,成为了托管式安全服务领域的“先行者”,并成功于当年发布了业内首款面向中国市场的托管式安全运营服务。如今,深信服又率先将MSS升级到2. 0

  • 深信服托管式安全运营服务,让安全不再“脱管”

    科技云报道原创。安全人能有多“苦逼”?有人戏称“随时加班、昼夜抢险,却依然换不来岁月静好”。当夜深人静的时候,别人都已进入梦乡,安全人在排查漏洞、应急抢险;当生产环境受到攻击时,最先受到质疑的还是安全人员。无休止的加班,加上长期承受着无形的压力,令多少安全人“头秃”!即便如此,企业安全还是可能随时“脱管”。为什么安全工作这么难?云化趋势下,政企安全何以解忧?在国内政企机构纷纷“上云”的今天,网络安

  • 深信服向全行业发出掷地有声的零信任落地之音

    10 月 28 日,由深信服、云安全联盟大中华区(CSA GCR)、Intel英特尔携手,“落地有声·首届零信任用户分享大会”云端直播顺利举办,深信服向全行业发出掷地有声的零信任落地之音。大会特邀云安全联盟CSA SDP和零信任工作组联席组长/AppGate首席产品官Jason Garbis献上精彩致辞,并提出了有效落地零信任的主要指导方针。江苏银行网络安全团队负责人王心玉、零信任证券用户代表、锦江酒店(中国区)网络管理经理及IT标委会委员沈俊超

  • 向云而生 深信服智安全创新峰会11月12日举办!

    云化时代,企业数字转型怎么做?业务上云!传统安全模式能足够保护云化业务的安全吗?不够!云上业务,到底应该如何保护?深信服智安全创新峰会给你答案!11 月 12 日 15 点整,深信服智安全创新峰会将在云端拉开帷幕,作为年末的安全盛会,四个理由让这个峰会加入数字化转型人的“必看清单”:四大必看理由●趋势风向:中国科学院院士郑建华、Gartner高级总监分析师Nat Smith、深信服科技CEO 何朝曦等知名专家,将以多个视角解读?

  • 深信服应用交付AD发新版本:构建全局负载下的绝对竞争力

    深信服应用交付AD,自推出市场,一直广受用户与市场认可。自 2014 年至 2020 年,连续 7 年成为市场占有率第一的中国品牌。 2020 年Q4,第一次反超国际厂商,完成了从“国产品牌市场第一”到“市场第一”的里程碑式跨越。(数据来源:IDC2014- 2020 年中国应用交付市场跟踪报告)日前公布的IDC《 2021 年Q2 中国应用交付市场跟踪报告》显示,深信服AD的市占率依旧是第一。数据来源:IDC《 2021 年Q2 中国应用交付市场跟踪报告》然?

  • 深信服桌面云vGPU助力软控股份终端云化升级

    10 月 29 日,在青岛市工业与信息化局指导下,由软控股份有限公司和深信服共同发起的“解码3D 设计终端建设创新之路——共筑安全高效办公空间研讨会”在青岛举行。此次活动青岛市工信局领导应邀出席,来自全国各地的 35 位企业CIO赴产业园进行参观,并共同探讨了工业互联网与信息化建设的实践经验。软控股份有限公司(简称“软控”)是依托青岛科技大学发展起来的国际化高科技企业集团。主营业务和技术优势集中在橡胶机械领域,同?

  • 稳坐领导者地位!深信服入围IDC MarketScape 态势感知报告

    近日,《IDC MarketScape: 中国态势感知解决方案市场 2021 年厂商评估》报告新鲜出炉,深信服再次稳坐『领导者』地位,保持战略与能力双项领先的强大优势。报告中指出,从战略维度,深信服态势感知解决方案在未来功能规划、未来交付模式、重点行业拓展及收入成长性、用户侧创新领导力评价等表现突出;在能力方面,深信服态势感知解决方案在行业用户普遍认知度、产品交付模式、用户满意度、产品协同和生态建设等具有突出的竞争力。?

  • 全面清理整顿挖矿病毒,如何防止被通报?深信服挖矿病毒防护解决方案出炉

    为有效防范及处置虚拟货币挖矿活动盲目无序发展带来的风险隐患,助力实现碳达峰、碳中和目标,近日,国家发改委举行新闻发布会,重点提及虚拟货币挖矿的全链条治理工作。这几天,各省级、市级、区县级政府和相关行业纷纷响应,通报了多家单位,要求相关单位及行业针对挖矿行为进行清理整顿。01整治高压下,仍有恶意黑客顶风作案国家对虚拟货币的管控愈发严格,打击此类挖矿活动也将成为近期整治的重点。挖矿行为不仅仅会导致组织的

  • 深信服NDR:构建专用AI模型与创新突破分层多流检测技术,精准检测高级威胁

    这些题目考验了企业用户,在高级威胁检测能力上的布局与思考,您也来看看到底能得多少分?答案马上揭晓: 在这场“全球高级威胁检测能力考试”中,深信服全流量高级威胁检测系统NDR(Network Detection And Response,网络检测与响应),能答对90%以上难题,7*24h全年无休随时解题。 深信服NDR“学霸”人设,最近也获得了国内外公认: 深信服在国际权威研究机构IDC 2021年中国态势感知解决方案市场评估中处于『领导者地位』,NDR?

  • 首次跨越象限!深信服下一代防火墙AF强势入围Gartner魔力象限“远见者”

    深信服下一代防火墙AF首次跨越Gartner魔力象限强势入围『远见者』新架构新能力重磅发布近日,全球权威IT研究与咨询机构Gartner发布了《 2021 年全球网络防火墙魔力象限报告》,深信服下一代防火墙AF首次入围“远见者”象限,实现全新突破。这也是深信服AF连续 7 年入围Gartner魔力象限,展现出源源不断、创新强大且充满活力的产品与技术能力。△深信服入围Gartner2021 年全球网络防火墙魔力象限Gartner在评审意见中指出:“深信服?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天