近期网络安全APT攻击事件分析汇总
随着2018年的到来,回顾了一下我的2017年,除了肚子大了点,胖了点,酒量多了点以外,好像17年并没有特别出彩的事情,还是一如既往,勤勤恳恳埋头苦干的一年,值得庆幸的是我们自己研发的威胁情报分析平台总算是上线了。
今天分享给大家的,是一篇2017年末至2018年初的网络安全事件分析报告汇总,我将会结合我们的威胁情报分析平台,对这些安全事件进行一次汇总分析!(文中超链、 附件等阅读原文可见)
团队介绍
我们团队目前致力于基于机器学习算法,来帮助个人用户以及企业用户判断文件中是否存在恶意代码,并且目前已经推出了威胁分析平台Vxcube,欢迎大家使用。
功能介绍
- 平台对用户提交的文件提供全面威胁检测并展示结果。
- 平台对用户提交的文件提供多引擎杀毒软件的检测结果。
- 平台提供域名和 IP 的 whois 信息、whois 历史记录、IP 关联域名、类似网站、相关威胁情报、相关威胁模型等信息的查询服务。
- 目前支持文件类型有:exe、pdf、eml、dll、doc、docx、xls、xlsx、ppt、pptx 等。
安全事件分析报道
2018-01-02:伊朗威胁组织利用钓鱼攻击巴林石油(Twitter)
(巴林王国会议记录)
MD5:2bf8099845f805a1d9d09af1527d12be SHA-1:5e03c07bac8bbd49ac4ac32e1034229db6c813e5 SHA-256:2d71ae51af7e7baf4bd2cb24a3cd9bf7ceed9afbf77a9ac2f6d591d277f749cc
C2:
Window5 \ .win
185.181.8.246
通过我们的威胁分析平台,对C2服务器进行分析,我们可以看出该IP存在很多个网络攻击行为。
更多基础信息点这里
2018-01-01:土耳其网络攻击组织以假意购买订单的方式对目标进行诱导式攻击(Twitter)
通过发送邮件添加恶意文件附件来诱导目标,文件内容为:
“你好:请查看我们的订单列表,准时交货。产品型号和价格请你详细通知我。
嵌入式JAR:
C2:
gorevleriyok.com
文件名:
Liste_333.DOCX Liste_442.DOCX Liste_432.DOCX Liste_414.DOCX
Vxcube平台分析结果:
分析出了该域名存在多个网络攻击行为,并且关联到了该组织位于浪漫的土耳其。
具体样本数据见附件:
附件
2017-12-21:以kemmetal-company.000webhostapp.com的网络攻击事件
具体样本数据见附件:
附件
2017-12-10:Oilrig-APT34
在FireEye对伊朗的APT组织APT34报道之后,Cylance在PassiveTotoal上发布了一个项目,其中包含了指向Oilrig的指标:
在与FireEye的分析报告对比中,又发现了APT34组织的另外三个域名:
ressume.site opendns-server.com Poison-frog.club
具体攻击样本数据见附件:
附件
总结
随着网络的迅猛发展,个人以及企业所面临的网络安全风险愈演愈烈。从以上的几个案例中,我们可以看出网络攻击的发展方向更倾向于利用恶意文件对目标发起诱导式的钓鱼攻击。从企业安全角度考虑,除了做好自己网络边界的安全性之外,提高恶意软件的检测以及识别能力,会大大提高网络的安全性。未来的网络安全发展方向又会是什么样,值得大家深思。