防护的方案加密木马攻击海莲花.doc

PAGE 深度分析及防护加密木马攻击，海莲花？ PAGE21 | NUMPAGES35 Content TOC \o 1-2 \h \z \u HYPERLINK \l _Toc421909444 攻击：是谁？ PAGEREF _Toc421909444 \h 3 HYPERLINK \l _Toc421909445 海莲花 PAGEREF _Toc421909445 \h 3 HYPERLINK \l _Toc421909446 样本分析 PAGEREF _Toc421909446 \h 3 HYPERLINK \l _Toc421909447 攻击：是木马还是APT PAGEREF _Toc421909447 \h 27 HYPERLINK \l _Toc421909448 木马特性 PAGEREF _Toc421909448 \h 27 HYPERLINK \l _Toc421909449 APT特性 PAGEREF _Toc421909449 \h 27 HYPERLINK \l _Toc421909450 要关注的事情 PAGEREF _Toc421909450 \h 29 HYPERLINK \l _Toc421909451 防护：思路转换 PAGEREF _Toc421909451 \h 29 HYPERLINK \l _Toc421909452 怎么理解 PAGEREF _Toc421909452 \h 29 HYPERLINK \l _Toc421909453 怎么做 PAGEREF _Toc421909453 \h 31 HYPERLINK \l _Toc421909454 防护：NGTP方案 PAGEREF _Toc421909454 \h 31 HYPERLINK \l _Toc421909455 完整部署 PAGEREF _Toc421909455 \h 32 HYPERLINK \l _Toc421909456 简化部署 PAGEREF _Toc421909456 \h 32 HYPERLINK \l _Toc421909457 产品部署 PAGEREF _Toc421909457 \h 33 HYPERLINK \l _Toc421909458 终端防护 PAGEREF _Toc421909458 \h 34 HYPERLINK \l _Toc421909459 威胁情报 PAGEREF _Toc421909459 \h 34 HYPERLINK \l _Toc421909460 关于绿盟科技 PAGEREF _Toc421909460 \h 35 内容导读 随着匿名者攻击事件的跟踪分析走向深入，5月28日，又一系列针对中国的攻击行为浮出水面。这个被大家称为“海莲花”组织所实施的攻击，其攻击特性是怎样的，到底是单纯的木马，还是APT？随之而来的攻防思路会发生怎样的转变？用户又该如何应对？ 本报告从此次攻击事件中截获的典型木马样本入手，分析其攻击行为，对比木马及APT的特性，为用户思考下一步的应对方案，给出了转变思路的攻防模型，提出未来攻防战中胜负判断标准及发展方向，并推荐了应对此次攻击的解决方案及实施步骤。 在看完本报告后，如果您有不同的见解，或者需要了解更多信息，请联系： 绿盟科技威胁响应中心微博 HYPERLINK /threatresponse /threatresponse 绿盟科技微博 HYPERLINK /nsfocus /nsfocus 绿盟科技微信号 搜索公众号 绿盟科技 攻击：是谁？ 绿盟科技威胁响应中心一直在持续关注网络攻击事件并进行跟踪分析，这些攻击事件中有来自国内的，也有来自国外，如同现实社会中的恐怖主义一样，有些事件会有组织公开承认，比如匿名者（Anonymous），但也有一些事件是没有组织对其负责的，这些事件绿盟科技的专家会用相关的模型进行分类研究，其中的一个参考指标就是其攻击行为及惯用的攻击形式。 海莲花 2015年5月28日，一系列针对中国海事机构的攻击行为浮出水面，业界有传攻击事件涉及30多个国家，事后未有组织声称对这些攻击事件负责，但其中可以看到的是，相关海事机构的攻击大多数来自木马。如果说这些攻击是来自某个黑客组织，那么这个组织无疑是比较低调的，低调到没看到其公开的命名。可能是由于这些攻击目标常涉及中国的海事及相关机构，某公司将其命名为“海莲花”，但考虑到这些攻击的一些特性，1多采用木马，2多针对海事机构，3攻击有一定的数量，4如果存在这个组织，他们很低调，那可能使用海马（Seahorse）称呼他们更为贴切。 样本分析 绿盟科技威胁响应中心在日常监测中获取到了该