汇报考试大纲
一、分析和简介
二。详细说明
三。统计分析方法
四。危险类别
动词(verb的缩写)分析结果
不及物动词攻击方法
七。恶性事件总结
八。安全建议
九。参考
(一),简要分析
-乌克兰的APT组织可以利用通用企业办公模块、Windows电脑 *** 作系统及其IE电脑浏览器等微软产品中的漏洞(可利用漏洞总数占55%)攻击整体目标客户。他们针对常用商品设计的攻击方式,可以大大简化网络黑客组织(中国支持)的攻击全过程。
-目前,包括APT28在内的几个乌克兰APT组织将利用微软office企业版Office模块中的漏洞进行鱼叉式钓鱼攻击。其中,攻击者在钓鱼邮件中有意附加的附件一般是Excel文档或Word文本文档。
-据统计,APT28与俄罗斯军事情报局(GRU)有着千丝万缕的联系,他们利用漏洞的特殊工具可以利用现阶段已知的二十二个漏洞进行以攻击为主题的活动。特别是7个安全漏洞的利用方式现阶段还没有公布。
-APT29与瑞士联邦监督局密切相关。APT29利用了现阶段已知的五个安全漏洞,而这五个安全漏洞与APT28利用的完全不同(22个漏洞)。
-乌克兰APT组织利用的安全漏洞中,73%的漏洞已经公布,来到互联网技术的“每个角落”,如Metasploit、ExploitDatabase及其GitHub。
-在乌克兰APT组织可以利用的漏洞中,46%的漏洞正在被应用为其他网络欺诈组织的特殊工具。
(2)详细说明
RecordedFuture对乌克兰网络黑客的主题活动做了详细分析,发现目前各类APT网络黑客在窃取信息内容或入侵整体目标互联网时需要应用的漏洞有33个。27个漏洞与APT28和APT29相关。
2016年英国总统大选期间,英国民主党派全国联盟(DNC)经历了乌克兰网络黑客前所未有的强烈冲击。乌克兰网络黑客声称攻击了民主党派全国联合会的电脑软件,随后泄露了大量商业机密数据信息。2016年6月,安全企业Crowdstrike在DNC的计算机软件中发现了APT28和APT29的主题活动足迹。根据调查取证分析的数据,APT28自2016年4月起取得DNC计算机软件的浏览权。更可怕的是,APT29早在2015年夏天就已经获得了DNC电脑软件的浏览权。
这类网络黑客组织(包括声称得到俄罗斯政府支持的EnergeticBear和Turla)可以利用微软中国的几款产品(Office、IE电脑浏览器及其Windows电脑 *** 作系统)中的漏洞实施攻击。据权威安全专家分析,网络黑客之所以经常选择这种商品,很可能是因为它拥有庞大的消费群体(如办公软件),可以轻松利用邮件附件实施攻击。这个网络黑客组织利用的漏洞有55%来自微软集团旗下的产品。
(3)统计分析方法
在这份数据分析报告中,我们将分析一些由俄罗斯政府支持的APT组织和恶意程序。因此,RecordedFuture分析了博客、社区论坛、代码共享平台、代码/恶意程序库、社交网络和一些相关参考资料。所以大家的统计分析方法类似于meta分析(元分析)。
我们没有分析恶意程序的初始样本。这种分析的目的是为了更好地突出乌克兰网络黑客组织在新兴阶段的发展趋势以及他们在整个攻击过程中选择的入侵对策。在整个情报收集过程中,“识别恶性攻击的特征”和“识别攻击者的意图和方案”是最困难的事情。
这里不得不提的是记录未来。RecordedFuture可以通过扫描分析无数网站、博客、twitter账号的信息内容,找到当前和未来的人、组织、主题活动、事件之间的关联性。英国密苏里州个体户公司RecordedFuture的首席执行官克里斯多佛·阿尔贝里(CEOChristopherSchmidt)的研究表明,这个东西的强大之处在于它能够预测和分析许多情况下恶性事件的发展趋势曲线。RecordedFuture不仅是一家拥有16名剑桥大学博士生的公司,而且已经吸引了谷歌集团投资管理公司GoogleVentures的项目投资,另一家投资方是CIA集团的In-Q-Tel投资管理公司。
(4)危险类别
在RecordedFuture的协助下,我们对乌克兰一些与APT相关的网站进行了科学研究。为了更好地保证数据的有效性,对2012年1月1日至2016年7月31日发布的网站内容进行分析很重要。
以下数据图表显示了受影响商品的信息(按APT组织分类):
下图显示了受影响的生产商(按APT组织分类):
下图是受影响的制作者的信息(按照APT组织分类,其中用不同的颜色来区分是否可以公布和获取剥削方式):
(5)分析结果
根据RecordedFuture的分析数据,下面数据图表中列出的商品是乌克兰最容易受到网络黑客攻击的商品:
如果按公司名称进行分类,您将获得以下数据信息:
以下目录的内容是与乌克兰APT组织相关的33个安全漏洞:
(6)攻击方法(利用已知漏洞进行攻击)
乌克兰APT选择的攻击对策与其他很多网络诈骗组织基本相同。这种攻击方式包括钓鱼叉、根据网站域名欺骗窃取客户凭据、钓鱼技术、水涝攻击等。
此外,乌克兰的APT组织将继续利用Office和AdobePDF等产品中的安全漏洞进行更有针对性的互联网攻击。但特别需要注意的是,这种网络攻击一般都是中国支持的。像勒索软件这种常见的互联网犯罪只是简单的“猜数字”,因为他们的关键目的只是为了得到钱。而中国支持的互联网攻击主题活动则大相径庭。这类攻击通常针对特殊组织和特殊情报工作。
在RecordedFuture此前发布的数据分析报告中,AdobeFlashPlayer中的漏洞是许多网络欺诈组织的关键利用工具。相对而言,数据图表中列出的三十三个安全漏洞中,只有五个漏洞与AdobeFlashPlayer有关。有八个漏洞会损害Office/Acrobat。攻击者通常在电子邮件的有意附件中利用此漏洞。
RecordedFuture分析了APT28和APT29应用的漏洞,没有发现重复的漏洞。这一发现也印证了很多安全权威专家明确提出的观点——这两个组织很可能与GRU和FSB有关,不会相互合作,不会共享资源、信息工作和基础设施建设。但有趣的是,根据Crowdstrike的报告,这两个APT组织无意中窃取了相同的DNC凭据。
(七)恶性事件总结
调查显示,如今,每天有15亿人使用Windows电脑 *** 作系统进行各种主题活动,其中有12亿人在电脑中安装了Office产品。这也许可以解释为什么乌克兰的APT组织如此“迷恋”微软的产品。由于微软产品的普及层面如此之广,即使选择一些“看运气”的攻击方式,也能产生非常好的实际效果。
现在非常流行的Java和Adobe也是如此。美国89%的计算机软件都安装了Java,2015年Adobe产品打开了超过500亿个PDF文档。如果能合理利用这种商品的安全漏洞,互联网嫌疑人的攻击和入侵可能会越来越畅通无阻。
(8)安全建议
建议众多客户尽快采取以下对策,保护自身安全:
-尽快恢复文中提到的所有安全漏洞;
——开展企业官网和电子邮件安全意识的学习培训;
-尝试开通在线客服账号双因素认证功能;
-敏感信息必须按数据传输时,VPN应该尽可能多地应用;
-强制隔离客户账户的管理权限;
-在浏览器工具中打开AdobeFlashPlayer软件的“点击播放”功能;
-考虑应用其他PDF阅读软件;
九。参考
-记录未来官网:
www.recordedfuture.com
-关于袭击民主党派全国委员会的恶性事件的报道;
http://motherboard.vice.com/read/all-signs-point-to-Russia-behind-the-DNC-hack
-Crowdstrike关于DNC电脑软件恶性攻击的调查报告:
https://www.crowdstrike.com/blog/bears-middle-intrusion-democratic-national-Committee/
-诺顿防病毒实验室关于APT恶意程序的数据分析报告:
https://USA.Kaspersky.com/internet-security-center/threats/crouching-yeti-energetic-bear-malware-threat#.v57clzmrjo4
-乌克兰APT恶意程序数据分析报告:
https://www.recordedfuture.com/russian-malware-analysis/
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)