近期网络安全APT攻击事件分析汇总

随着2018年的到来,回顾了一下我的2017年,除了肚子大了点,胖了点,酒量多了点以外,好像17年并没有特别出彩的事情,还是一如既往,勤勤恳恳埋头苦干的一年,值得庆幸的是我们自己研发的威胁情报分析平台总算是上线了。

今天分享给大家的,是一篇2017年末至2018年初的网络安全事件分析报告汇总,我将会结合我们的威胁情报分析平台,对这些安全事件进行一次汇总分析!(文中超链、 附件等阅读原文可见)

团队介绍

我们团队目前致力于基于机器学习算法,来帮助个人用户以及企业用户判断文件中是否存在恶意代码,并且目前已经推出了威胁分析平台Vxcube,欢迎大家使用。

功能介绍

  1. 平台对用户提交的文件提供全面威胁检测并展示结果。
  2. 平台对用户提交的文件提供多引擎杀毒软件的检测结果。
  3. 平台提供域名和 IP 的 whois 信息、whois 历史记录、IP 关联域名、类似网站、相关威胁情报、相关威胁模型等信息的查询服务。
  4. 目前支持文件类型有:exe、pdf、eml、dll、doc、docx、xls、xlsx、ppt、pptx 等。

安全事件分析报道

2018-01-02:伊朗威胁组织利用钓鱼攻击巴林石油(Twitter)

(巴林王国会议记录)

MD5:2bf8099845f805a1d9d09af1527d12be SHA-1:5e03c07bac8bbd49ac4ac32e1034229db6c813e5 SHA-256:2d71ae51af7e7baf4bd2cb24a3cd9bf7ceed9afbf77a9ac2f6d591d277f749cc

C2:

Window5 \ .win

185.181.8.246

通过我们的威胁分析平台,对C2服务器进行分析,我们可以看出该IP存在很多个网络攻击行为。

更多基础信息点这里

2018-01-01:土耳其网络攻击组织以假意购买订单的方式对目标进行诱导式攻击(Twitter)

通过发送邮件添加恶意文件附件来诱导目标,文件内容为:

“你好:请查看我们的订单列表,准时交货。产品型号和价格请你详细通知我。

嵌入式JAR:

C2:

gorevleriyok.com

文件名:

Liste_333.DOCX Liste_442.DOCX Liste_432.DOCX Liste_414.DOCX

Vxcube平台分析结果:

分析出了该域名存在多个网络攻击行为,并且关联到了该组织位于浪漫的土耳其。

具体样本数据见附件:

附件

2017-12-21:以kemmetal-company.000webhostapp.com的网络攻击事件

具体样本数据见附件:

附件

2017-12-10:Oilrig-APT34

在FireEye对伊朗的APT组织APT34报道之后,Cylance在PassiveTotoal上发布了一个项目,其中包含了指向Oilrig的指标:

在与FireEye的分析报告对比中,又发现了APT34组织的另外三个域名:

ressume.site opendns-server.com Poison-frog.club

具体攻击样本数据见附件:

附件

总结

随着网络的迅猛发展,个人以及企业所面临的网络安全风险愈演愈烈。从以上的几个案例中,我们可以看出网络攻击的发展方向更倾向于利用恶意文件对目标发起诱导式的钓鱼攻击。从企业安全角度考虑,除了做好自己网络边界的安全性之外,提高恶意软件的检测以及识别能力,会大大提高网络的安全性。未来的网络安全发展方向又会是什么样,值得大家深思。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏刘望舒

Android网络编程(十)Retrofit2后篇[注解]

前言 在上一篇Android网络编程(九)Retrofit2前篇[基本使用]中我们了解了Retrofit的最基本的GET方式访问网络的写法以及请求参数的简单介绍...

22860
来自专栏腾讯研究院的专栏

深度链接行为入罪化问题

深度链接行为入罪化问题 王冠  上海市静安区人民检察院        链接是通过计算机资源定位技术,在两个不同的文档或同一文档的不同部分建立联系,使访...

228100
来自专栏企鹅号快讯

互联网群组信息服务管理规定解读

互联网群组信息服务管理规定解读 ? ? ? ? ? ? ? ? ? 互联网群组信息服务管理规定 (全文) 第一条 为规范互联网群组信息服务,维护国家安全和公共利...

216100
来自专栏FreeBuf

新发现Yahoo邮箱存在XSS漏洞,4千万邮箱用户面临威胁

美国时间1月6日,Youtube上出现一个名为Yahoo Mail Hacking 2013的视频,展示了利用XSS漏洞,获取受害人Yahoo邮箱的权限。视频是...

22390
来自专栏企鹅号快讯

区块链又放大招,助力农产品溯源技术节节高!

经过两个多月的反复研究和测试,由上海指旺信息科技有限公司(以下简称“指旺金科”)与中兴能源公司通力合作,精心打造的“大米链”系统正式上线运营。 这是国内第一个正...

48490
来自专栏企鹅号快讯

如何成为一个渗透测试员

短版本: 一个渗透测试人员探测?基于web的应用、网络、系统的安全漏洞。 用另一种话说,就是你被付薪水来做合法hack。在这个很酷的工作,你将会使用一系列的渗透...

30280
来自专栏企鹅号快讯

“刷脸取款”来了,要和银行卡说“再见”?

黑客可以不需要你的人脸生物特征数据,就能完成人脸进行身份认证,这就对“刷脸取款”提出了更高的安全要求。 ? 消费者在农业银行取款机前体验“刷脸取款”。 图/视...

22490
来自专栏刘望舒

Java虚拟机(二)对象的创建与OOP-Klass模型

前言 在前一篇文章中我们学习了Java虚拟机的结构原理与运行时数据区域,那么我们大概知道了Java虚拟机的内存的概况,那么内存中的数据是如何创建和访问的呢?这篇...

288100
来自专栏企鹅号快讯

什么是多域名通配符SSL证书?

多域名通配符SSL – 安全多域名和子域名 多域名通配符SSL证书是结合通配符SSL和多域名SSL两者的组合特征而成。在多域名通配符SSL证书下,用户可以保护多...

69180
来自专栏大数据

大数据企业安全管理平台分析与应用

大数据的通俗定义为用现有的一般技术难以管理的大量数据的集合,广义定义为一个综合性概念,它包括因具备4V(海量/多样/快速/价值,Volume/Variety/V...

27550

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励