深度分析和防护.PDFVIP

深度分析及防护 加密木马攻击，海莲花 ？ Content 内容导读 随着匿名者攻击事件的跟踪分析走向深入，5 月28 日， 攻击：是谁？ 3 又一系列针对中国的攻击行为浮出水面。这个被大家称为 “海 海莲花 3 莲花”组织所实施的攻击，其攻击特性是怎样的，到底是单纯 的木马，还是APT？随之而来的攻防思路会发生怎样的转变？ 样本分析 3 用户又该如何应对？ 攻击：是木马还是 APT 27 本报告从此次攻击事件中截获的典型木马样本入手，分析 木马特性 27 其攻击行为，对比木马及 APT 的特性，为用户思考下一步的 APT 特性 27 应对方案，给出了转变思路的攻防模型，提出未来攻防战中胜 要关注的事情 29 负判断标准及发展方向，并推荐了应对此次攻击的解决方案及 实施步骤。 防护：思路转换 29 在看完本报告后，如果您有不同的见解，或者需要了解更 怎么理解 29 多信息，请联系： 怎么做 31 • 绿盟科技威胁响应中心微博 防护：NGTP 方案 31 • /threatresponse 完整部署 32 • 绿盟科技微博 简化部署 32 • /nsfocus 产品部署 33 • 绿盟科技微信号 终端防护 34 • 搜索公众号 绿盟科技 威胁情报 34 关于绿盟科技 35 2 | 35 攻击：是谁？ 绿盟科技威胁响应中心一直在持续关注网络攻击事件并进行跟踪分析，这些攻击事件中有来自国内的，也有来自国外，如同 现实社会中的恐怖主义一样，有些事件会有组织公开承认，比如匿名者（Anonymous），但也有一些事件是没有组织对其负责 的，这些事件绿盟科技的专家会用相关的模型进行分类研究，其中的一个参考指标就是其攻击行为及惯用的攻击形式。 海莲花 2015 年5 月28 日，一系列针对中国海事机构的攻击行为浮出水面，业界有传攻击事件涉及30 多个国家，事后未有组织声 称对这些攻击事件负责，但其中可以看到的是，相关海事机构的攻击大多数来自木马。如果说这些攻击是来自某个黑客组织，那 么这个组织无疑是比较低调的，低调到没看到其公开的命名。可能是由于这些攻击目标常涉及中国的海事及相关机构，某公司将 其命名为“海莲花”，但考虑到这些攻击的一些特性，1 多采用