由高级持续性威胁apt引发的防御思考-安天.pdfVIP

由高级持续性威胁（APT ）引发的防御思考 安天 高喜宝 提纲 01 “魔窟”是网络战的预演 02 从战争视角看APT攻击 03 不同水平的APT攻击 04 布防、支撑与全域融合 “魔窟”是网络战的预演 • 勒索蠕虫事件背景 • 安全厂商做了什么 • 暴露出来什么问题 “魔窟”(WannaCry) 勒索蠕虫横扫全球 4  2017年5月12日20时左右，全球爆发大规模勒索软件 感染事件，我国大量用户受到感染，文件被加密  蠕虫利用微软SMB漏洞MS17-010 ，由445端口传播  2017年4月14日黑客组织Shadow Brokers （影子经纪 人）公开一批NSA使用的网络攻击工具，其中包含了 该漏洞的利用程序  安天在2015年 《一例针对中方机构的准APT攻击样本 分析》报告提出：拥有全球最顶级能力的超级大国，对 于有效控制网络攻击武器扩散，应该负起更多的责任  安天CERT在2017年4月14日发布的 《2016年网络安全 威胁的回顾与展望》预测：勒索模式带动的蠕虫的回潮 不可避免 安全厂商与时间赛跑 5 安天启动A级（最高级）响应 6 做出威胁预测 第一时间通报处置 再次发布报告，提供扩展补丁包 发布报告，推出专杀 5:02 发布解密工具 5月20日 3月 5月12日 5月13日 5月14日 5月15-16日 进驻用户现场 正式命名，更新工具 启动A级响应 勒索软件 7 作者欧阳某某于2007年在广州落 网，共借助Redplus木马勒索款项 95笔，合计人民币7061.05元。法 院考虑到其自首情节，最终判其 有期徒刑4年。 2006年Redplus 文件 文件 隐藏 加密 勒索 文件 勒索 文件 赎金 恢复 赎金 恢复 早期勒索 当前勒索 银行 软件 短信 比特 软件 洋葱 转账 确认 币 网络 支付