高级可持续攻击（APT）攻防分析.pptVIP

检测手段 基于已知病毒木马的检测 通过特征匹配的方式定位已知病毒木马 检测手段 基于文件的恶意代码分析 通过检测文件的溢出漏洞点，和溢出攻击的特点发现基于文件的0day恶意攻击 检测手段 动态行为分析技术 通过动态分析的，对目标进行行为特征分析，发现其中的恶意行为，从而发现攻击 文件操作行为 网络行为 进程行为 注册表行为 检测手段 基于流量的行为分析 通过对流量的变化的行为特征分析，发现网络中的异常流量，从而发现恶意攻击 多维度检测（源目 IP 分布、访问频度、协议类型等） 基于黑域名黑IP检测 合规协议的检测 About Me About Me 目前就职于杭州安恒信息技术有限公司，任信息安全服务部副总监、研究院安全分院(dbappseclab@)负责人、高级安全研究员。 从事多年的web应用安全领域研究。擅长漏洞发掘、代码审计。 THINK YOU 高级可持续攻击（APT）攻防分析 杭州安恒-吴卓群 演讲提纲 1、APT攻击介绍 2、APT攻击案例分析 3、APT攻防分析 APT攻击 什么是APT Advanced Persistent Threat APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击； APT不是一种新的攻击手法，因此也无法通过阻止一次攻击就让问题消失 APT攻击增长情况 网络犯罪集团与APT攻击的区别 APT攻击的常见流程 * 演讲提纲 1、APT攻击介绍 2、APT攻击案例分析 3、APT攻防分析 APT攻击-韩国大规模MBR攻击 1 FIRST组织和APCERT组织了解到韩国主要广播电视台KBS、MBC、YTN，以及韩国新韩银行（ShinNan Bank）、农协银行（NongHyup Bank）等部分金融机构疑似遭受黑客攻击，相关网络与信息系统突然出现瘫痪 2 月中事件调查出炉，报导说朝鲜至少用了 8 个月来策划这次攻击，成功潜入韩国金融机构 1500 次，以部署攻击程序，受害计算机总数达 48000 台，这次攻击路径涉及韩国 25 个地点、海外 24 个地点，部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共有 76 种，其中 9 种具有破坏性，其余恶意软件仅负责监视与入侵之用。 攻击行为分析 邮件植入木马 病毒传播 病毒在3月20日下午2：00以后激活 taskkill /F /IM pasvc.exe [AhnLab client] taskkill /F /IM Clisvc.exe Vista以上系统覆盖文件、其他的破坏引导扇区 shutdown -r -t 0 对美国无人机厂商的 “Beebus” APT攻击 黑客团队利用钓鱼式攻击窃取美国无人机的相关信息，该行为被命名为“Beebus” 在2012年初就在一些国防和航空航天客户系统上发现了一些可疑行为，在发现的261次攻击行为中，其中有123次是针对无人机或系统供应商。这些攻击一般通过电子邮件发送DOC、PDF等文件到客户邮箱，当用户打开附件，恶意软件立即会感染用户电脑，该恶意软件主要目标是美国和印度的政府机构、航空航天、国防和电信行业。 对美国无人机厂商的 “Beebus” APT攻击 使用包含http代理功能的mutter后门程序 和服务器通讯：Mutter version#-campaign marker?-victim hostname-victim IP address 没有使用0day，只使用了一些老的漏洞 利用Twitter进行APT攻击 国外安全实验室监测到一例通过Twitter来进行APT攻击攻击的行为。并且其中用到了CVE-2013-0634 Adobe Flash SWF exploits 利用Twitter进行APT攻击 搜集目标人员Twitter账户 使用@的方法使目标人员访问特定页面 其中利用了CVE-2013-0634 Flash SWF来加载漏洞 2011年NASA遭受APT入侵报告 在2011财政年度，美国宇航局（NASA）的报道，这是47个APT攻击的受害者，其中13成功破坏机构的电脑。在一个成功的攻击，入侵者窃取用户凭据NASA的员工超过150个，证书可能已被用来获得未经授权的访问NASA系统。 入侵者可以做什么： （1）修改，复制，或删除敏感文件； （2）添加，修改，或删除用户帐户的关键任务的喷气推进实验室系统； （3）上传黑客工具盗取用户的凭据和妥协的NASA系统； （4）修改系统日志来掩饰他们的行动。 换句话说，袭击者在这些网络的全功能控制。 利用爆炸案热点的新APT攻击 黑客利用民众对波士顿马拉松爆炸案和德州化肥厂爆炸案的关注开展组合拳式的攻击。攻击方式