全球安全分析师峰会(SAS)落幕,知道创宇独家揭秘APT PatchWork 组织武器库!

2023-10-31 15:11:08     来源:

近日,由国际著名信息安全领导厂商卡巴斯基(Kaspersky Labs)举办的全球安全分析师峰会(Security Analyst Summit,简称 SAS)于泰国普吉岛落下帷幕,知道创宇受邀参加了本次峰会。

作为汇集了知名的 IT 安全研究人员、全球执法机构、学者和政府官员的年度盛会,全球安全分析师峰会旨在加强打击网络犯罪方面的合作,使其成为参与讨论、交流宝贵信息以及展示研究和技术最新进展的理想平台。受疫情影响,全球安全分析师峰会近几年均以线上形式举办,而今年成功举办线下会议,引起了业内的广泛关注和热议。

峰会上,基于对 APT PatchWork 组织长期的追踪和研究,知道创宇 404 实验室 APT 高级威胁情报团队成员 K&NaN 为峰会带来了题为《APT PatchWork's "Herbminister Operation"》的演讲,揭秘了该组织“Herbminister”行动的武器库。

洞悉“杀手”,揭秘 PatchWork 攻击链

本次分享着重介绍了知道创宇在对 APT PatchWork 组织 “Herbminister”行动攻击链和武器库方面的最新研究成果。

Patchwork 是一个自 2015 年 12 月以来一直活跃在南亚地区的 APT 组织。他们使用一套定制的攻击工具,针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。该组织长期针对外交官和经济学家发起攻击,这些攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。

在武器库方面,PatchWork 组织武器库大量采用开源红队工具,并在此基础上进行二次开发工作,其武器库存在多套攻击手法,全流程武器库包括不限于:信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型(武器数目共计:76 款)。

在攻击链方面,可以将其划分为 3 个类型,分别是:

Post exploitation toolkits(后渗透工具包)

Herbminister Chain(Herbminister 链)

PatchInfecter Chain(PatchInfecter 链)

1.后渗透工具包

后渗透工具被 PatchWork 组织用于在目标网络内立足后,完成内网渗透的目标,其可以划分为 6 大类别,分别是:

扫描器

受害者信息收集工具

凭证访问工具

AD 渗透工具

代理/端口转发工具

数据窃取工具

2.Herbminister 链

Herbminister 链(其套件名称与武器库重名),是由 Python 开发的 C/S 架构的窃密套件,支持 HTTP&HTTPS 上传,支持 XOR&RC4 加解密传输,同时套件支持 Socks 代理功能。

简而言之,Herbminister 链是一个远程命令与控制工具包,具备经典 RAT 功能。通过它,攻击者能够实现对受害者计算机的远程控制,并在目标系统中下载其他黑客工具,进一步扩大其攻击范围。

3.PatchInfecter 链

受害者的联系人也是 PatchWork 组织攻击的目标,PatchInfecter 链被攻击者用来传播 RAT(远程访问工具)给受害者的联系人。

跟常见的钓鱼文档不同,此种感染白文件的方式,完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况,那么会极大地提高恶意文档的点开率。

锁定“杀手”,创宇云图-猎幽流量监测系统预警可疑活动

在过去的两年里,知道创宇 404 实验室的 APT 高级威胁情报团队多次提前和即时发现 Patchwork 组织针对国内重点高校、研究院、科研所等相关研究组织机构发起的攻击活动,并多次成功发出预警。这一成绩的背后,离不开创宇云图-猎幽流量监测系统的高级持续性威胁(APT)预警能力。

创宇云图-猎幽流量监测系统是知道创宇针对当今严峻的APT攻击形势,自主研发的一款高效流量检测分析工具,采用深度流检测(DPI)技术,结合大数据处理架构、机器学习、威胁情报、资产扫描等新一代技术,对攻击中广泛采用的0day、Nday漏洞、特种木马、渗透入侵等技术进行深度分析,挖掘网络空间中已知和未知的威胁。

经过多年的技术积累与实战经验,创宇云图-猎幽流量监测系统已多次荣获行业奖项:2022年成功摘得“金帽子”年度优秀安全产品奖、云南省滇峰对决赛二等奖,以及“2022年网络安全优秀创新成果大赛”三等奖,这些荣誉充分证明了创宇云图-猎幽流量监测系统的卓越实力和创新能力。

与时俱进,构建安全防线

APT高级持续威胁是目前网络空间中最具威胁性的攻击之一,它们悄无声息、难以察觉,往往能够长期潜伏在系统中,窃取机密信息,造成严重的损失和影响。

创宇云图-猎幽流量监测系统是针对活跃 APT 组织的流量检测分析工具,通过实时、回放分析网络流量,涵盖知道创宇漏洞能力的规则;再结合知道创宇基于全球网络空间测绘系统ZoomEye打造的特色能力——APT情报测绘能力,通过对APT组织的互联网基础设施提前发现,能够更高效地发现APT风险、预防APT攻击行为,实现对APT攻击的提前预警,达到向前防御的效果。

与此同时,配合知道创宇404高级威胁情报团队的专业服务,可以对APT攻击及相关联的APT组织进行更深入的溯源和跟踪分析,协助政府企业客户建立针对APT攻击的完善防御体系。

未来,知道创宇将持续关注新兴安全威胁,继续深化在网络安全领域的研发与创新,积极响应国家网络安全战略,提升产品性能与服务品质,加强预警与响应能力,为客户提供全面、高效的安全防护,为推动网络安全行业的发展贡献力量。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

标签:

猜你喜欢

易价到底,给利狂欢,IM-BODY双11大促火热开启
盖亚、母亲与巫女:时光门艺术中心开馆展
浪潮信息智能研发获《哈佛商业评论》鼎革奖 开启服务器个性化定制时代
当数据治理成为金融数字化的关键驱动力,金融科技应如何创新赋能?
华为云张修征:AI重塑千行万业,将广泛影响智慧城市建设
共赴百年匠心之旅,博奥真溯源活动探秘抗衰魅力!
无惧时间流逝,博奥真168小时溯源活动开启逆龄之旅
国内首家“长寿诊所”即将开业!时光派携TIMECURE时光诊所重磅而来
高压氧舱1.5个标准大气压以上不安全?听听专家怎么说
TimeShop还原型辅酶Q10:抗氧化的佼佼者,守护时间的变化
荣登2023西安设计周!瑞健未来“时光珠”第6代民用智能中高压氧舱创未来
挺入进博会!瑞健未来“时光珠”第6代民用智能中高压氧舱引来广泛关注
TimeShop虾青素:打开时光隧道,回溯青葱时光
美的联手重庆动物园开展国宝美好生活计划,助力熊猫健康成长
上海VR/AR产业博览会举行 梁志辉:360大模型产品重塑人机交互体验
小鹏“1024”科技日给智驾圈再添猛料,城市NOA开启智驾新篇章
Soul CEO张璐团队创新反诈科普模式
熊猫外卖积极推动文化交流,携手澳华博物馆助力海外华人社区共建
创意不止于画布: 艾美奖获奖艺术家Mike Perry谈三星ViewFinity S9显示器
《个人信息保护法》两周年,华为浏览器隐私守护始终在线
MTSC2023:测试工程师在AI时代的未来与质量保障挑战
统信软件与湖北大学签署全面合作协议
腾讯云与中钢网签署战略合作协议,共创钢铁产业数字新未来
爱企查显示:华为申请注册“遥遥领先”商标
双11开门红惊喜福利 ROG掌机到手4699元 晒单更返E卡
潜心开发场景应用两年 矿鸿第一份成绩单终出炉
爆款3D打印机半价开抢!ELEGOO爱乐酷双十一钜惠大促
网易云音乐与张杰达成全新战略合作,多张精品专辑上线云村
智造新潮,乘风而上,慕尼黑华南电子生产设备展昨日盛大开幕!
拥抱用户成长和崛起,第7届永洪科技全国用户大会圆满落幕