“幼象”组织自安天在2020年初披露以来,其攻击活动的规模数量按年度呈倍数增长,攻击手法和攻击资源逐渐丰富,且攻击目标也从初期仅为南亚地区开始覆盖更多的地区。相比于早期我们定义的未成熟的“幼象”,如今该组织已成长为南亚地区最为活跃和成熟的攻击组织。本报告对2020年至今发现的“幼象”组织攻击活动、手法和工具做了一定程度的总结。
近5年以来,该组织典型的历史攻击活动有如:
2017年中开始,向巴基斯坦、斯里兰卡等国家的军队、政府机构投递针对性的自解压攻击文件。
2017年底开始,向巴基斯坦、尼泊尔等国家的教育、政府机构投递Office文档攻击文件。
2018年底开始,向巴基斯坦等国家的军队投递针对性的隔离网渗透木马。
2019年中开始,向南亚众多国家发起针对性的大规模钓鱼网站攻击。
2019年底开始,向巴基斯坦、斯里兰卡等国家的军队投递LNK类攻击文件。
本报告对2020年至今发现的幼象组织攻击活动、手法和工具做一定程度的总结,整体活动的特征可简要总结如下表:
表1-1整体攻击活动特征总结
2020年1月至今
攻击意图
持久化、持续控制、窃密
针对目标
南亚国家,如尼泊尔、马尔代夫、斯里兰卡以及阿富汗等。
针对行业/领域
政府、军事、国防
攻击手法
鱼叉邮件、钓鱼网站
目标系统平台
Windows、Android
攻击技术
纯脚本载荷、恶意宏、域名伪装等涉及ATT&CK框架中的23个技术点
诱饵类型
恶意宏文档、快捷方式、安卓应用程序等
开发语言
C++、Python、VBScript、Java和Go语言
武器装备
HTA下载器、C++后门木马,Python窃密组件、安卓远控
活动中攻击者使用的域名既有自行注册的也有免费动态的,仿造域名命名皆仿冒尼泊尔、马尔代夫、阿富汗以及巴基斯坦的政府机构、国企官方域名:
表2-1部分域名及其仿冒对象
域名
仿冒对象
对应机构
foreign-mv.*.net
foreign.gov.mv
马尔代夫外交部
cpanel-nctc.*.net
nctc.gov.mv
马尔代国家反恐中心
ncit-gov.*.net
ncit.gov.mv
马尔代夫国家信息技术中心
avas-mv.*.net
avas.mv
阿瓦斯(马尔代夫传媒公司)
mail-nepalgovnp.*.org
mail.nepal.gov.np
尼泊尔政府官方门户网站
mail-opmcmgavnp.*.org
mail.opmcm.gov.np
尼泊尔总理办公室和部长理事会
mail-ppmo.*.org
mail.ppmo.gov.np
尼泊尔公共采购监督办公室
mail.parliament.*.org
mail.parliament.gov.np
尼泊尔众议院
mail-modgovnp.*.net
mail.mod.gov.np
尼泊尔国防部
mail.ncp.*.org
mail.ncp.gov.np
尼泊尔国家计划委员会
mail-apfgavnp.*.org
mail.apf.gov.np
尼泊尔武装警察部队
mail-nepalpolice.*.org
mail.nepalpolice.gov.np
尼泊尔警察
mail-mofagagovnp.*.org
mail.mofaga.gov.np
尼泊尔联邦事务和总务部
mail-ntcnetnp.*.com
mail.ntc.net.np
尼泊尔电信
mail-kmgcom.*.net
mail.kmg.com.np
KantipurMediaGroup(尼泊尔第一大的媒体集团)
mail-mofagovpk.*.org
mail.mofa.gov.pk
巴基斯坦外交部
mail.aop.*.org
mail.aop.gov.af
阿富汗内政部
webmail.morr.*.org
mail.morr.gov.af
阿富汗难民和遣返部
webmail.mcit.*.org
webmail.mcit.gov.af
阿富汗通信和信息化部
webmail.moci.*.org
webmail.moci.gov.af
阿富汗工商部
imail.aop.*.org
webmail.afghanpost.*.org
webmail.afghanpost.gov.af
阿富汗邮报
表2-2钓鱼活动特征
账号密码窃取、情报收集、二次跳板攻击
印度
鱼叉式钓鱼邮件、钓鱼网站
2020年10月份至今
攻击目标
尼泊尔政府、军队、警察部门
经过统计整理,这些钓鱼网站可分为两大主要的类型:
图2-1仿冒尼泊尔军队邮件系统
图2-2仿冒尼泊尔武装警察部队邮件系统
图2-3仿冒尼泊尔海关邮件系统
图2-4仿冒尼泊尔选举委员会邮件系统
图2-5诱饵展示型钓鱼网站跳转流程
其中网页所嵌入的PDF、图片等资源文件大都存放在钓鱼页面的同级目录下:
图2-6嵌入的本地PDF文件
图2-7JournalofSecurityAffairs.pdf
图2-8NotetoEmbassyofPakistan.pdf
但也有少量案例是嵌入来自官方网站的新闻页面、文档文件等:
图2-9嵌入的官方新闻链接
图2-10嵌入的官方PDF文件链接
幼象组织基于社会工程技巧构造LNK文件名,通过恶意链接的方式进行攻击。
表2-3关联出的LNK类型样本
MD5
文件名
恶意HTA脚本挂载地址
针对国家
00648C4A077***************4B392D
CommandCentre.png.lnk
2019-11-1906:44:13+00:00
马尔代夫
DC7B7EB1A93***************508D00
info.pdf.lnk
2019-12-2406:31:07+00:00
斯里兰卡
图2-11包含info.pdf.lnk的压缩包info.zip
图2-12Flag_of_Sri_Lanka..png
通过安天样本关联分析平台对CommandCentre.png.lnk样本进行关联,可得到MNDF.jpg(MNDF全称为MaldivesNationalDefenceForce,即马尔代夫国防军)、MNDFMaleAreaCommandCentre.pdf这两个同源文件,通过对其内容进行分析后,可以确定上述文件是与CommandCentre.png.lnk在同一压缩包中的诱饵文件:
图2-13MNDF.jpg
图2-14MNDFMaleAreaCommandCentre.pdf
表2-4恶意安卓应用程序
病毒名称
Trojan/Generic.ASMalwAD.4B7
原始文件名
OpinionPoll_V2.0.apk
BC061428428***************9CBAFC
包名
com.example.opinionpoll
文件大小
1.84MB(1928373字节)
文件格式
AndroidAPK
证书有效期
2020-08-2512:17:58至2045-08-1912:17:58
证书指纹
0377e6b5f99***************59bbd40a06815d
VT检测结果
2/63
图2-15OpinionPoll_V2.0应用程序
图2-16要求受害者给予权限
图2-17OpinionPoll_V2.0包结构
图2-19根据事件类型回传指定数据
图2-20回传数据
C2服务器除开放多个安卓木马的控制端口外,攻击者还搭建了似乎供自身使用的聊天工具服务:
图2-21安卓C2的服务端口开放
幼象组织基于构造带有宏病毒的OFFICE文档,通过文件名社工欺骗的方式进行攻击。
表2-5恶意宏文档样例
Trojan[Downloader]/MSOffice.Agent.ccd
ListofNominationoftheCandidates1.xltm
6856AE442ED***************39F7B7
324.53KB(332316字节)
Document/Microsoft.XLTM[:xls2007-2013]
2006-09-1600:00:00Z
2021-07-2809:46:52Z
创建者
无
最后修改者
35/63
文档的宏代码被受害者启用后,会首先在宿主机%appdata%目录下创建WindowsSecurity.zip,并将UserForm1窗体中嵌入的数据提取出来,写入至WindowsSecurity.zip。
图2-22释放WindowsSecurity.zip的宏代码
图2-23嵌入UserForm1中的数据
图2-24WindowsSecurity.zip
然后宏代码会释放invisible.vbs至宿主机自启动目录下,invisible.vbs的作用是启动宏代码后续释放的a.bat与invisible1.vbs。
图2-25释放invisible.vbs的宏代码
图2-26invisible.vbs
接着,宏代码会继续释放a.bat与invisible1.vbs,invisible1.vbs的作用是从WindowsSecurity.zip中提取WindowsSecurity.exe至当前目录,而a.bat的作用则是删除invisible.vba以及创建每两分钟运行WindowsSecurity.exe的计划任务。
图2-27释放a.bat与invisible2.vbs的宏代码
图2-28invisible2.vbs
图2-29a.bat
最后,宏代码会弹出“MicrosoftOfficeExcel:ThisVersionisn'tCompatiblewithThisfile.",vbCritical,"MicrosoftError”的弹窗,伪装成office软件错误以便迷惑受害者。
图2-30伪装成office错误弹窗
幼象组织主要利用恶意快捷方式执行远程HTA脚本文件。HTA脚本文件的功能主要是下载诱饵文件以及后续的恶意载荷,然后通过创建计划任务对恶意载荷进行持久化操作。
表2-6HTA下载器样例1
Trojan[Downloader]/Scripts.Agent.hta
latest.hta
39BCCFE10FC***************BEF3A7
1.31KB(1347字节)
解释语言
VBScript
图2-31下载后续载荷
图2-32创建计划任务启动下载的载荷
表2-7HTA下载器样例2
mod.hta
89E8FBAF59F***************EA7D4A
3.87KB(3967字节)
同时,攻击者还将脚本字符转化成ASCII码以达到逃避杀毒软件检测的目的。
图2-33被混淆的HTA源码
图2-34解混淆后的HTA代码
幼象组织使用Python编写的木马窃取各种文档文件、浏览器缓存密码和其他一些主机系统环境信息。
表2-8Python窃密木马早期版本样例
Trojan[PSW]/Python.Stealer
python.exe
A38B3051097***************B37EF0
处理器架构
AMDAMD64
10.7MB(11,236,530bytes)
BinExecute/Microsoft.EXE[:X86]
2020-11-1808:53:29+00:00
编译语言
MicrosoftVisualC/C++(2015v.14.0)[-]
7/72
图2-35预定义的变量
图2-36窃密木马整体流程
图2-37解析文件功能
图2-38解析Docx类型文件
图2-39解析PDF类型文件
同时,通过在代码中还有未使用的功能函数,可以看出当时该窃密木马正处于开发完善之中。
图2-40获取文件元组信息
后期,窃密木马经过攻击者完善后,在代码结构、功能方面相较之前有所改变。如,可以窃取宿主机Chrome浏览器所保存的网站账户密码信息以及Desktop、Downloads、Documents目录下txt、docx、pdf、xlsx、pptx、snt、jpg、png类型的文件。
表2-9Python窃密木马完善版本样例
ch.txt
6213D95F582***************B30E7E
Intel386orlater,andcompatibles
11.1MB(11,736,460bytes)
2021-03-2210:43:24+00:00
43/69
图2-41获取桌面文件列表
图2-42获取Chrome浏览器所保存的网站账号密码信息
图2-43获取主机名、内网IP、外网IP
图2-45攻击者所要窃取文件的类型
图2-46收集指定目录中指定类型文件的完整路径
图2-47攻击者C2服务器IP
图2-48将窃取的文件回传至C2服务器
表2-10Python键盘记录器木马样例
图2-49整体流程
图2-50键盘记录功能
图2-51记录键盘按键
图2-53获取当前用户名
图2-54将自身拷贝至自启动目录下并重命名为“Windowssystem.exe”进行持久化
接下来对不同版本的C++木马进行具体分析:
2.8.1早期版本
早期版本的木马功能十分简单只有执行CMD命令以及下载后续攻击载荷,同时攻击者对C2域名、URL以及CMD命令等字符串进行Base64编码,以逃避杀毒软件的检测。
表2-11C++木马早期版本样例
Backdoor/Win32.Agent.myucfu
host.exe
FC2221F653E***************503B01
285,184字节
2021-03-2210:43:24
MicrosoftVisualC/C++
34/70
木马运行后,会循环地向C2服务器发送请求获取命令,当接收到C2服务器下发的命令,则会通过CMD执行,反之,则跳出本次循环,重新发送请求获取命令。同时,当从C2服务器接收的命令为“exit”,木马就结束自身进程。
图2-55Base64编码的C2域名
图2-56获取C2服务器下发命令
图2-57创建CMD管道执行命令
图2-58判断是否退出程序
在循环次数为20次后,木马通过硬编码的URL下载后续攻击载荷,将攻击载荷命名为filename.txt保存至Temp目录。
图2-59解密下载URL
图2-60下载后续攻击载荷
下载完成后,通过CMD执行解密后的命令,该命令功能为利用系统工具certutil将filename.txt进行解密为WindowsUpdate.exe,并且创建每天11点运行计划任务对WindowsUpdate.exe进行持久化操作。
图2-61解密CMD命令
图2-62执行CMD命令
2.8.2Telegram版本
表2-12C++木马Telegram版本样例
Trojan/Generic.ASMalwS.3395B44
WindowsSecurity.exe
04F7EE1AA5E***************D20709
659KB(675,331字节)
2021-05-2804:45:41
MicrosoftVisualC/C++(-)[-]
50/69
Telegram版本木马在早期版本的基础上增加了如下功能:
图2-63通过宿主机逻辑处理器数量、运行内存大小判断自身是否处于沙箱
图2-64获取鼠标移动距离
利用合法服务回传数据,攻击者利用自建的TelegramBot将数据回传至TelegramChat,回传数据通过Base64进行编码。同时,当回传数据字符长度超过4096,则会将回传数据进行分段回传。最后,回传“END_OF_FILE”字符来与后续的数据做区分。
图2-66判断回传字符长度是否大于4096
图2-67对回传信息Base64编码以及对URL进行解密
图2-68发送数据
图2-69回传字符“END_OF_FILE”
图2-70攻击者创建的TelegramBot
图2-71攻击者创建的TelegramChat
持久化手段,通过将自身拷贝至当前目录并命名为“WindowsSecurity.exe”,同时创建每天11点运行“WindowsSecurity.exe”的计划任务来实现持久化。
图2-72将自身拷贝至当前运行目录并命名为“WindowsSecurity.exe”
图2-73创建计划任务进行持久化操作
采用文本文件传递命令,攻击者提前将命令写入C2服务器的tele.txt文本文件中,而木马只需通过获取tele.txt的内容,便可以执行相应功能。可执行的命令如下:
图2-74可执行的命令
图2-75获取命令以及执行命令
下载功能,木马可以获取攻击者在tele.txt文本文件中写入的URL链接,下载对应文件至宿主机Temp目录。
图2-76通过URL链接下载文件
图2-77存放至Temp目录
执行CMD命令功能,木马可以执行攻击者在tele.txt文本文件中写入的CMD命令,且在命令执行完毕后关闭CMD窗口,并将执行结果通过TelegramBot回传至TelegramChat。
图2-78执行下发的CMD命令
图2-79执行CMD命令,且在运行完成后关闭CMD窗口
图2-80休眠功能
2.8.3ICMP版本
安天在7月份发现一例ICMP版本C++反弹Shell木马,其主要通过利用ICMP协议实现反弹Shell,以便逃避防火墙检测。
表2-13C++木马ICMP版本样例
Trojan/Generic.ASMalwS.348CACD
A5CB519B803***************30F651
629KB(644,608字节)
BinExecute/Microsoft.EXE[:X64]
2021-07-0609:56:09+00:00
42/70
图2-81判断自身是否处于沙箱
图2-82Base64编码的C2域名
图2-83获取域名解析的IP地址
图2-84建立CMD匿名通道
图2-85执行失败
图图2-86回传CMD命令执行结果
2.8.4最新版本
在最新版本中,其功能基本没有太大变化,只是攻击者摒弃了采用TelegramBot回传数据,而是采用通过URL参数传递加密后的数据,回传的数据存储在C2服务器Apache访问日志access.log中。攻击者可以利用与之配套的后台Python脚本可以实现对访问日志进行读取、过滤以及解密,同时还可以实现下发命令操作。
表2-14C++木马最新版本样例
WindowSecurity.exe
E07C8D25CD0***************7105A8
886KB(907,265字节)
2021-09-1010:38:52
20/68
相较于之前的版本,在最新版本中攻击者采用了多个C2域名进行备用,来保证木马的通讯正常运行。当需要连接C2服务器时,木马则会随机选择一个C2域名,若该C2域名失效,则重新选择C2域名。
图2-87随机选择C2
图2-88“NPA”字符密钥加密
图2-89拼接完整URL
在C2服务器后台,攻击者会利用后台Python脚本根据标识符在C2服务器创建对应目录,并且在相应目录下创建d.txt文本文件,d.txt文本文件的作用是传递攻击者命令。木马只需读取对应目录下d.txt文本文件中命令,执行相应操作。
图2-90获取对应文件夹d.txt文本文件中的命令
图2-91下发的命令
当获取不到对应目录中的命令时,木马则会采用备用方案,即获取C2服务器“@/@/h31l0”目录下的d.txt文本文件中命令。
图2-92执行备用方案
图2-93@/@/h31l0目录下的d.txt
攻击者利用与之配套的后台Python脚本可以实现对访问日志进行读取、过滤以及解密,从而获取受害者机器回传的信息。
图2-94后台Python脚本可执行的操作
图2-95对access.log进行过滤、解密
图2-96对access.log中的信息进行解密
同时,攻击者还可以通过唯一标识符对特定主机进行下发命令,下发命令的方式为在相应目录下的d.txt文本文件中写入需要下发的命令。在最新版本后台Python脚本中,下发的命令是通过Base64以及“APN”字符密钥进行加密。
图2-97唯一标识符
图2-98经过加密的命令
图2-99对特定主机进行操作
图2-100对sessionsid进行解密
图2-101将命令写入对应文件夹下的d.txt
图2-102将命令写入@/@/h31l0/d.txt
安天CERT对攻击者的载荷、使用的C2等攻击基础设施等进行关联拓线,其部分资源的关联关系如图:
图3-1幼象攻击组织载荷与C2等攻击基础设施关联图(部分)
幼象攻击者通过向国际公开的安全资源上传自己编写的木马,来测试木马逃逸杀毒软件的能力,但也因此暴露了其所在位置。通过资源检索,至少一名样本的上传者来自印度德里,其在2020-11-23至2020-11-24期间一共上传了8个测试性的恶意文件,而这些测试文件与已知的幼象样本在代码内容上也存在高度同源。
表3-1ID为106481a3-web(IN)所上传的测试样本
B7E5BC46E82D7*************770D53
None
hhh.hta
2020-11-2307:36:41
A38B30510978C*************B37EF0
2020-11-2308:53:24
EFC865C91F266*************8D43EE
2020-11-2309:04:44
CE9D6FE4F889D*************29FC54
1.exe
2020-11-2310:28:58
5CE14E7305EB8*************93B9E5
2020-11-2310:31:17
5C48467FD3E19*************C5E916
anyname.exe
2020-11-2310:49:56
2D01425976F60*************6B3641
2020-11-2310:54:10
156A3B7370FBC*************206E44
2020-11-1808:53:02+00:00
driver.exe
2020-11-2410:54:43
图3-2内网C2的测试样本
图3-3内网C2的测试样本
图3-4上传者大致地理位置
安天CERT通过对该起攻击活动的分析研判,发现其在攻击目标、技战术、诱饵类型以及武器装备等方面与幼象组织有许多相似之处,具体相似之处如下:
1)两者的攻击目标高度重叠,如尼泊尔、斯里兰卡、马尔代夫、巴基斯坦、阿富汗等印度周边国家。
表3-2使用部分域名对比
以往攻击活动
本次攻击活动
gov-pk.org
gov-af.org
mail.paec.gov-pk.org
mail.arg.gov-af.org
ntc-pk.sytes.net
cpanel-nctc.sytes.net
pakcert.hopto.org
covid19mndf.hopto.org
ncit-gov.sytes.net
support-gov.myftp.org
mail-argaf.myftp.org
综合以上几点,我们判断这些攻击活动归属于幼象组织。
本次系列攻击活动共涉及ATT&CK框架中12个阶段的23个技术点,具体行为描述如下表:
表4-1近期幼象攻击活动的技术行为描述表
ATT&CK阶段
具体行为
注释
侦察
搜集受害者网络信息
搜索受害者自有网站
资源开发
获取基础设施
购买服务器
初始访问
网络钓鱼
猜测攻击者通过鱼叉邮件投递恶意链接和恶意文件
执行
利用命令和脚本解释器
如文档类和LNK类诱饵皆有通过命令执行载荷
诱导用户执行
对Windows和安卓平台的诱饵皆有诱导用户执行文件
持久化
如击键窃密组件会拷贝自身至系统的启动目录
利用计划任务/工作
如综合窃密组件和后门组件会添加系统任务计划执行自身
防御规避
仿冒
如恶意宏文档会弹出虚假的报错窗口降低目标的防备心;
再如钓鱼网站最后会返回貌似官方的文件迷惑攻击目标
虚拟化/沙箱逃逸
如后门组件会判断是否处于虚拟机或沙箱中
凭证访问
从存储密码的位置获取凭证
如综合窃密组件会从浏览器的固定文件中提取账号密码
输入捕捉
如击键窃密组件会收集目标的击键行为可供获取凭证
发现
发现文件和目录
如综合窃密组件会对指定目录下指定后缀的文件进行收集
横向移动
执行内部鱼叉式钓鱼攻击
收集
自动收集
如综合窃密组件通过脚本自动化执行搜索和回传工作
收集配置库的数据
如综合窃密组件从浏览器的固定配置数据库中获取凭证
如击键窃密组件会收集目标的击键行为
命令与控制
使用应用层协议
本次活动大多工具皆使用如HTTP/HTTPS等应用层协议
编码数据
如综合窃密组件和后门组件会在数据回传前做Base64编码
使用备用信道
如最新版的后门组件硬编码了多个备用的C2域名
使用合法Web服务
如后门组件有利用合法的Telegram聊天机器人做C2通讯
数据渗出
自动渗出数据
本次活动大多工具皆自动向外传输窃取的数据
使用Web服务回传
如后门组件会利用Web服务向聊天机器人传输窃密数据;
再如钓鱼网站会利用Web服务向指定域名传输账号密码;
图4-1幼象组织攻击活动对应ATT&CK威胁框架映射图
安天坚持借鉴吸收杀伤链、ATT&CK威胁框架等思路,通过持续跟踪、全量自动化分析、攻击技术提炼遍历等工作,正在逐步实现对安全威胁的知识图谱化运营,不断驱动产品能力提升,形成对威胁的形式化评价和认知能力。
与此同时,安天也坚持希望让防御能力也走入形式化评价和运营的轨道,安天基于二十余年的一线威胁对抗经验,在吸收和部分借鉴NISTCSF框架、SHIELD积极防御框架和D3FEND知识图谱等安全理念的基础之上,提出了安天防御技术框架,特别强调“塑造”环节,发挥建设方和运营方的先发优势,加大纵深防御、构筑欺骗环境,让安全保护措施与关键信息基础设施同步规划,同步建设,同步使用。
5.2.1能力体系建设
5.2.1.1建设与运营建议
(2)提升端点对钓鱼攻击的有效防护能力,利用类似安天智甲终端防御系统产品家族等产品,完善恶意代码检测防护能力环境,对待邮件中的恶意附件、恶意链接地址,进行告警,并对可疑文件进行隔离;在隔离环境下对附件进行深度分析。
(3)强化统一端点防御能力,加强网络安全管理基础,建立对存在重大风险隐患的拒绝访问策略,屏蔽外联风险;同时建立黑、白名单机制,保障系统环境的安全性;监测用户行为,分析网络活动,避免攻击者通过合法的WEB服务做C2通讯;对系统进行加固配置,强化基线防护能力。这些工作可以依靠有经验的网管手动完成,同时可以利用类似安天智甲终端防御系统进行统一分组设定、批量化执行完成。
(4)进一步加强网络环境管控能力,增强积极防御主动性。在日常流量监测过程中,监测是否有自动收集信息的流量,避免攻击者通过脚本等自动化执行搜索和回传工作;监测是否有收集配置库数据,避免攻击者从流量器的固定配置数据中获取凭证;监测是否有WEB服务异常流量,及时上报,并留存流量。这些工作可以以来安天探海威胁检测系统完成。
(5)提升防护技术措施运营水平:通过规划、执行、检查和改进(PDCA环)构成闭合循环过程,持续驱动安全能力建设得到不断提升;通过观察、定位、决策和执行(OODA环)构成闭合循环过程,持续驱动技术措施的开发、部署和运营能力提升。追寻比攻击者更快的循环,以快速响应、协同联动的目标为指导,建立更快的响应处置闭环。这些工作可以由安天战术型态势感知平台来承载。
5.2.1.2处置建议
(2)在隔离环境下对疑似载荷进行全面综合分析,产出私有威胁情报并在机构内进行安全预警,防止恶意样本落地与大面积传播。分析工作可以由安天追影威胁分析系统承载,情报输出给安天智甲终端防御系统联动完成。
5.2.2人员意识提升
由于钓鱼攻击存在大量社工技巧,有可能存在针对性设计,在改善安全能力建设与运营、处置之外,要注意全员的安全意识提升:
(2)加强机构员工的针对钓鱼攻击的安全演练,模拟钓鱼攻击的场景,检查员工的网络安全意识,并形成专项活动的报告,验证员工的安全素质,以及应对该安全事件时的处置流程的正确性。
当然从目前看到的攻击装备图谱上看,其攻击载荷工具体系性不强,技术栈相对庞杂混乱,高度依赖社会工程学技巧,尚未看到具备0DAY漏洞的挖掘和利用能力,甚至很少看到对已知漏洞的使用。但这并不表明,幼象带来的攻击就是低成功率的。这种攻击能力一定真实反应了被攻击方真实的低水平防护和较弱的人员安全意识。这也和我们一致以来保持的观点一致,即APT(高级持续性威胁)的关键要素是P(持续性),因为P体现了攻击方的意图和意志,是判定APT攻击中决定性要素。而A是一种相对性要素,攻击方并不需要绝对“高级”的攻击技术,只要能构建出相对于防御水平包括意识短板的“位势差”或与攻击方脆弱性敞口碰撞,就能形成有效的攻击。这种攻击能频繁奏效,实际上真实体现了南亚国家、包括更多发展中国家真实的面临的网络安全风险挑战。
产品品牌
产品定位
部署方式
智甲
终端防御系统
UES
统一端点防御
覆盖
EPP\EDR\CWPP
安装(或原厂预装)在系统主机上。
智甲基于边界防护、浏览器防护以及邮件客户端防护等机制,实时检测、防护钓鱼邮件攻击行为,依托安天AVLSDK反病毒引擎进行精准的扫描、检测、告警,可及时检测出邮件中的钓鱼文件、网站的非法URL和下载的可疑应用,对文件、应用进行自动扫描,对钓鱼URL进行自动识别,判断是否为钓鱼类攻击,并对用户进行告警。
智甲通过主机配置加固、补丁管理、分布式防火墙与黑白双控等机制形成对系统侧防御环境的主动“塑造”,建立防御主动性,收缩可攻击面,限制攻击路径和执行成功率。
智甲统一端点防御针对易受钓鱼攻击的移动办公终端,通过wifi安全识别与管控手段,识别出私自搭建的WIFI基站并向管理平台进行告警,保障用户有效地防范钓鱼攻击。
同时,智甲在系统侧捕获的邮件附件可以与追影威胁分析系统实时联动,对邮件附件进行深度分析,揭示潜在的漏洞利用、恶意攻击行为,生产威胁情报同步至端侧、流量及边界侧形成协同防御效果。
探海
威胁检测系统
NDR
网络检测响应
在政企网出口、关键网段等位置旁路部署,可以作为云资源池部署。
探海基于细粒度协议解析、多维度检测与全要素记录等机制,实现对网络钓鱼活动进行精准检测与告警。探海能够对邮件通讯实现网络元数据(如IP、域名、端口等),应用层传输要素(如HTTPURI、USER-AGENT、邮件收发件人、主题等),载荷对象要素(如邮件附件名、HASH、文件格式等)、载荷行为要素(如下载器、加密、发送版本信息等)、威胁判定要素(如威胁检出对象、威胁名称、攻击组织等)、内置大量知识化标签(如DDoS、跨境通讯、带链接邮件)及自定义标签等要素信息,并进行全要素的留存,更有效地支撑威胁研判、追踪溯源、线索挖掘与情报生产,更易于分析和关联,有效提高用户现场高级威胁的发现和识别能力。
探海基于自定义场景化规则,帮助用户构建攻击者难以预知的检测策略,例如针对网络钓鱼类攻击,结合客户场景特点,通过设定“跨境通讯”标签、“邮件通讯”标签、“文件格式为文档”、“载荷具有启动powershell的行为能力”这些要素的组合,可以构成基于邮件投放的无实体文件攻击的场景检测规则。
捕风
蜜罐系统
威胁欺骗捕获
支持企业内网、隔离网、私有云、公有云等部署场景。
追影
威胁分析系统
FA
文件分析
旁路部署,联动设备与查询结果终端路由可达即可。
追影可以与智甲、探海等安天全线产品以及邮件应用系统联动使用,或安全工程师手工交互,基于深度静态分析和高仿真沙箱环境执行双重机制分析文件对象,针对钓鱼攻击文件中的载荷,可以有效分析标定非法网络连接、后门程序、转发程序、木马植入、远程控制等行为,协助用户生产威胁情报,联动威胁响应和处置。
拓痕
应急处置工具箱
应急处置
基于U盘、光盘、便携设备与场景连接使用。
拓痕基于对系统层面进行深度威胁检测分析,包括进程、服务、扇区等对象的全要素提取解析,调用安天AVLSDK反病毒引擎进行更为精准的检测,检出和留存攻击载荷,提取可疑对象。从而有效发现钓鱼攻击在端点侧的活动,并通过底层处置能力,清除钓鱼文件、软件等威胁,完成威胁发现、分析、取证、处置业务闭环。