0x00 APT的历史起源背景 APT这个词汇最早起源于:2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名字.但 “先进的持续威胁”一词被广泛引用,2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人.后来,在Stuxnet震网事件就是专门针对伊朗的核计划的黑客攻击就是一个APT攻击例子.在计算机安全领域以及越来越多的媒体中,APT这个术语几乎总是用来指向针对政府,公司和政治活动…

前言 最近一直在考虑如何结合kill chain检测APT攻击.出发点是因为尽管APT是一种特殊.高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测.而kill chain就是个非常好的common feature描述. 在预研期间看到了一些觉得比较好的工作,这里和各位师傅一起分享下.如题所述,这篇文章是介绍如何如kill-chain的角度检测APT攻击的一个方案,其特点解决了三个痛点:1.在于针对大数据量的问题引入Pearson相关检验来减少…

3.0 第三章 网络接口层攻击基础知识 首先还是要提醒各位同学,在学习本章之前,请认真的学习TCP/IP体系结构的相关知识,本系列教程在这方面只会浅尝辄止. 本节简单概述下OSI七层模型和TCP/IP四层模型之间的对应关系,最后是本章教程需要的几个核心Python模块. 3.0.1 TCP/IP分层模型 国际标准化组织(ISO)在1978年提出了“开放系统互联参考模型”,即著名的OSI/RM模型(Open System Interconnection/Reference Model).它将计算机…

所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强.在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任.水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取…

APT攻击作为一种高效.精确的网络攻击方式,在近几年被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全最大的威胁之一. 近日,飞塔中国首席技术顾问X在谈及APT攻击时表示,随着云计算的不断发展普及,APT攻击将向云计算平台聚焦:“数据和计算越来越集中化,以往针对个人的分散式攻击变得越来越没有效率,黑客一定会聚焦于云计算平台,施以专注.专业的APT攻击,以期获取最大量.最核心的机密数据,从而造成最大的破坏,或获得最大的利益.” X认为,APT攻击具有较强的隐蔽性.专业性.持续性,黑客通过社交工…

随着企业对IT的依赖越来越强,APT攻击可能会成为一种恶意打击竞争对手的手段.目前,APT攻击目标主要有政治和经济目的两大类.而出于经济目的而进行的APT攻击可以获取竞争对手的商业信息,也可使用竞争对手的IT系统陷入瘫痪,因此任何企业都可能会成为目标,也是目前众多企业面临的最严峻的网络安全威胁之一. “和传统攻击方式相对,APT下的是一盘更大的棋.”近日,梭子鱼技术总监贾玉彬在接受记者采访时如是说道,“APT攻击不仅仅使用技术手段,更多的是结合非技术手段,例如通过社交网络获得被攻击目标内部关键人…

APT攻击就像一个孩子,你通过各种方式窃取他们的大脑要拿出饼干,为了防止恶意攻击,过失作为母亲未能发现和防止饼干盗窃贼如.于她仅仅监视厨房椅子.衣柜门或烤箱门的开启.建立起有效防御目标攻击与APT攻击的重点之中的一个是必须监控广泛的攻击范围.饼干窃贼有着贪婪的欲望和顽强的坚持,那些想入侵你的网络并窃取你资料的人也是,你仅仅要那边稍不注意,那么"饼干"就会从那里消失. 小孩子经常会去偷吃妈妈刚烤好的饼干,这个回顾和如今的目标攻击与APT-高级持续性渗透攻击 (Advanced Persi…

首发于i春秋 作者:joe     所属团队:Arctic Shell 团队博客地址:https://www.cnblogs.com/anbus/   0x1:关于APT的相关介绍:     APT是什么?       APT(AdvancedPersistent Threat)高级持续性威胁. 是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式.APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为. APT手法?       APT的攻…

原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻译整理,首发i春秋   引言;   这是一次来自遥远国度的APT攻击分析样本范例,本文作者将带领你体验二进制漏洞分析的乐趣.   过程非常详细,附带所需样本,适合新手.难度三颗星. 目标文件: http://mozillatm.com/A0Jst6jAd7CYerrqFmwb4wqDLa5XHPW_May_2017.doc VirusTotal: ht…

1.前言 在2016年左右研究人员发现一个与东南亚和中国南海问题的APT攻击,该APT攻击利用MS Offcie系列漏洞通过钓鱼邮件的形式欺骗受害者点击木马.以美国在内的各国政府和公司为目标发送了大量的恶意代码样本 . 其中木马上线的方式是利用了白名单网站的方式.攻击者将控制端的IP地址加密后发表文章到开放有博客.论坛的合法网站上.利用这类网站的RSS订阅服务作为受控主机访问的地址, 受害者的主机会读取RSS订阅中留存有攻击者C2加密信息的帖子地址将攻击者的C2信息解密后建立网络连接. 这种白名…

作者:joe       所属团队:Arctic Shell 本文编写参考: https://www.freebuf.com/vuls/175280.html https://www.freebuf.com/articles/security-management/111166.html https://www.freebuf.com/column/185149.html 0x1:关于APT的相关介绍: APT是什么? APT(Advanced Persistent Threat)高级持续性威胁…

趋势科技以前在2013年下半年度目标攻击综合报告里指出,发现了好几起APT攻击-高级持续性渗透攻击 (Advanced Persistent Threat, APT) /目标攻击相关的攻击活动. 趋势科技眼下正在监视一起专门针对行政单位的攻击活动. 趋势科技将这起特定攻击活动命名为PLEAD.来自于其相关恶意软件所发出后门指令的字母. 此次攻击活动的进入点是通过电子邮件.在PLEAD攻击活动里,攻击者利用RTLO(从右至左覆盖)技术来欺骗目标收件者将被解开的档案误认成非运行档. (编按:比方将文…

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt=""> APT攻击.即进阶持续性渗透攻击 (Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方式,因此要侦測它们是一大挑战. 正如我…

一封假冒的"二代医疗保险补充保险费扣费说明",导致上万家中小型企业的资料被窃;一封伪装银行交易纪录的钓鱼信件,让韩国爆发史上最大黑客攻击. APT攻击通常会以电子邮件的形式出现,邮件中可能会附加文件或网址来引诱收件者打开.一旦用户打开邮件里的文件或链接,那么攻击者就能取得用户的全部个人信息.商业秘密或无价的知识产权. watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill…

现在针对企业APT[1]攻击越来越多了,企业安全也受到了严重的威胁,由于APT攻击比较隐匿的特性[2],攻击并不能被检测到,所以往往可以在企业内部网络潜伏很长时间. APT的攻击方式多种多样,导致企业有时候防不胜防,所以综合提高企业人员安全意识和网络防御成为了企业网络安全的重中之重. 有些新锐企业随着规模的不断,大量扩招外部人员的同时,也随着带来了一些安全风险,企业没有安全培训,新人没有网络安全意识,增加了被入侵的风险,外部恶意人员也正是利用了这一点,恶意分子一旦得手,企业内部敏感信息也容易被窃…

结合知识图谱对网络威胁建模分析,并兼容MITRE组织的CAPEC(共享攻击模式的公共标准).MAEC和ATT&CK(APT攻击链路上的子场景非常细)等模型的接入,并从情报中提取关键信息对知识图谱进行扩展.…

APT与传统攻击 APT:团队作战,拥有自研工具集,意图明确,技术高超,拥有政府或商业背景,潜伏期多达数年. 传统攻击:脚本小子,水平参差不齐,短期攻击,直接获取利益为目标. 攻击目标 APT攻击链 银行安全 体系庞大 内部部门庞大 业务类型繁多 人员混杂/外包人员 外强里弱 各类老旧系统 业务.技术复杂 过于依赖安全设备 安全人员水平.... 钓鱼攻击 社会工程攻击的心理要素 钓鱼核心思路 邮件伪造:Swaks+smtp2go绕过SPF(以IP地址认证电子邮件发件人身份的技术) 钓鱼(用户敏感…

0x01. 什么是APT? 可以看出APT攻击,叫高级可持续威胁攻击,也称为定向威胁攻击:什么是定向,也就是指定目标行业而发起进攻 这边又提到供应链和社会工程学,那是什么? 社会工程学,也就是社工,通过观察别人的细微变化,心理,而套话,或者其他达成目标的一种物理攻击方式 当然你也可以理解成"骗子",但是这个比骗子更厉害,更有艺术感 供应链,就是在根源上面进行攻击,在源代码植入恶意代码等等,比如PHPstduy后门的事件~~ 0x02. APT28组织的一次攻击 可以看出攻击的都是国外政…

前言 APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控.检测和缓解技术,并分别进行梳理,介绍分析代表性技术.这一篇分析现有的监控技术. APT 这里不谈APT概念,就是分享两张最近看到的觉得描述APT非常契合的图. 如果我们把APT分成6个攻击阶段的话,一种经典的划分方式如下   或者也可以画成金字塔   这里我们假设攻击目标位于金字塔的顶端,侧面表示攻击进化的环境(如物理平面.用户平面.网络平面.应用平面等).金字塔平面依赖于…

在上个系列<你的DNS服务真的安全么?>里我们介绍了DNS服务器常见的攻击场景,看完后,你是否对ddos攻击忧心重重?本节我们来告诉你,怎么破局!! 首先回顾一下DDoS攻击的原理.DDoS是Distributed Denial of Service的简称,即分布式拒绝服务攻击,其利用处于不同位置的足够数量的僵尸主机产生数目巨大的数据包对一个或多个目标实施DoS攻击,耗尽受害端的网络带宽.系统资源,使受害主机或网络丧失提供正常网络服务的能力. [传统网络对DDoS攻击的防御] 那传统网络是怎么…

DNS服务器,即域名服务器,它作为域名和IP地址之间的桥梁,在互联网访问中,起到至关重要的作用.每一个互联网上的域名,背后都至少有一个对应的DNS.对于一个企业来说,如果你的DNS服务器因为攻击而无法使用,整个企业的网站.邮箱.办公系统将全部瘫痪,这意味着对你造成的是成千上万个用户的不可访问,将产生不可估量的影响.你的DNS服务器是否受到过安全威胁,它现在真的安全么? DNS面临着各种各样的网络安全威胁,它一直是网络基础架构中较弱的一环. 我们先来看看DNS服务器的威胁之一:DDoS攻击.DDo…

Android BLE与终端通信(二)--Android Bluetooth基础搜索蓝牙设备显示列表 摘要 第一篇算是个热身,这一片开始来写些硬菜了,这篇就是实际和蓝牙打交道了,所以要用到真机调试哟,这篇我会把基本上要讲的概念都通俗易懂的来一遍,这样我们脑子里先有个逻辑,我们就好操作了,先看一下我们的剖析图 下面概念相关的可去原文查看:http://www.epx.com.br/artigos/bluetooth_gatt.php 一.蓝牙简介 蓝牙这个名称来自于第十世纪的一位丹麦国王哈拉尔蓝牙…

一个网站,不管多么的帅气,多么的风骚,如果你不安全,那始终都是一个弟弟啊~ 今天又看了下XSS和CSRF攻击的文章,我也想发点什么普及下大家的安全意识,毕竟作为一名拥有伟大梦想的程序员,基本的安全意识还是一定要有的,话不多说,跑起来~   本文参考的文章地址:https://juejin.im/post/59dc2b7a6fb9a0451869ae3a 一.XSS攻击跨站脚本攻击(Cross Site Scripting),一般是在输入的时候,攻击者输入脚本,来进行攻击. 案例: 一个正常的输入…

跨站脚本攻击(XSS)是客户端脚本安全的头号大敌.本文章深入探讨 XSS 攻击原理,下一章(XSS 攻击进阶)将深入讨论 XSS 进阶攻击方式. 本系列将持续更新. XSS 简介 XSS(Cross Site Script),全称跨站脚本攻击,为了与 CSS(Cascading Style Sheet) 有所区别,所以在安全领域称为 XSS. XSS 攻击,通常指黑客通过 HTML 注入 篡改网页,插入恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击行为.在这种行为最初出现之时,所有的演…

引言 前两讲我们介绍了 DNS 相关的攻击类型,以及针对 DDoS 攻击的防范措施.这些都是更底层的知识,有同学就来问能否讲讲和我们的日常操作相关的知识点,今天我们就来说说和我们日常 DNS 操作相关的安全风险和防范措施. 账号安全 在平台上管理域名解析,就需要登陆,进行权限的认证.但域名在企业中可能会有多人需要操作,比如购买和续费.解析的操作管理,更有可能会将某些业务外包而要合作伙伴来操作域名.而我们知道,多个共用一个账号和密码是一种有很大安全风险的管理方式.在现在的复杂场景下,就需要有一个灵…

http://netsecurity.51cto.com/art/201211/363040.htm…

本文链接网址:http://blog.csdn.net/qq1084283172/article/details/45690529 一.事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常.发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包.经过该安全工程师的分析和反编…

使用NB Exploit Kit攻击的APT样本分析 from:https://cloud.tencent.com/developer/article/1092136 1.起因 近期,安恒工程师在某网络中部署的APT威胁分析设备中发现一条高危告警,该告警包含了较多可疑行为,包含在沙箱运行环境中进行增加自启动.创建网络套接字连接.读取网络文件.收集磁盘信息.获取当前用户名信息等敏感内容,并通过对原始报文分析发现该样本的下载链接也存在较大的可疑性,经过对告警内容的初步分析,基本可以推测可能是一种网页…

APT是指高级持续性威胁, 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集. 高级持续渗透后门是指高级持续性后渗透权限长期把控,利用先进的后渗透手段对特定目标进行长期持续性维持权限的后攻击形式,高级持续渗透后门的原理相对于其他后门形式更为高级和先进,其高级性主要体现在持续渗透后门在发动持续性权限维持之前需要对攻击对象的业务流程和目标系统进行精确的…

科来 做流量分析,同时也做了一些安全分析(偏APT)——参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 安全防御的能力取决于安全感知能力 随着互联网的飞速发展,IT基础架构.移动互联网等技术的发展和变化,外部网络安全状况日趋严峻,传统安全防御技术手段和思路面临着诸多挑战.攻击数量越来越多,攻击方式越来越复杂,安全防御容易被绕过:具有针对性的高级攻击(如0-Day攻击.APT攻…