国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　APT報(bào)復(fù)打擊是近幾年來(lái)呈現(xiàn)的一種高級(jí)報(bào)復(fù)打擊，具有難檢測(cè)、延續(xù)時(shí)候長(zhǎng)和報(bào)復(fù)打擊方針明白等特點(diǎn)。本文中，小編帶你細(xì)數(shù)一下比來(lái)幾年來(lái)比較典型的幾個(gè)APT報(bào)復(fù)打擊，闡發(fā)一下它們的報(bào)復(fù)打擊過(guò)程。

　　Google極光報(bào)復(fù)打擊

　　2010年的Google Aurora(極光)報(bào)復(fù)打擊是一個(gè)十分聞名的APT報(bào)復(fù)打擊。Google的一名雇員點(diǎn)擊即時(shí)動(dòng)靜中的一條歹意鏈接，激發(fā)了一系列事務(wù)導(dǎo)致這個(gè)搜刮引擎巨人的收集被滲入數(shù)月，并且造成各類系統(tǒng)的數(shù)據(jù)被盜取。此次報(bào)復(fù)打擊以Google和其它大年夜約20家公司為方針，它是由一個(gè)有組織的收集犯法集體精心策劃的，目標(biāo)是長(zhǎng)時(shí)候地滲入這些企業(yè)的收集并盜取數(shù)據(jù)。

　　該報(bào)復(fù)打擊過(guò)程大年夜致以下：

　　1) 對(duì)Google的APT步履開(kāi)端于刺探工作，特定的Google員工成為報(bào)復(fù)打擊者的方針。報(bào)復(fù)打擊者盡可能地匯集信息，匯集該員工在Facebook、Twitter、LinkedIn和其它社交網(wǎng)站上發(fā)布的信息。

　　2) 接著報(bào)復(fù)打擊者操縱一個(gè)動(dòng)態(tài)DNS供給商來(lái)成立一個(gè)托管捏造照片網(wǎng)站的Web辦事器。該Google員工收到來(lái)自傲賴的人發(fā)來(lái)的收集鏈接并且點(diǎn)擊它，就進(jìn)進(jìn)了歹意網(wǎng)站。該歹意網(wǎng)站頁(yè)面載進(jìn)含有shellcode的JavaScript法度碼造成IE瀏覽器溢出，進(jìn)而履行FTP下載法度，并從遠(yuǎn)端進(jìn)一步抓了更多新的法度來(lái)履行(因?yàn)榇酥胁块T法度的編譯環(huán)境路徑名稱帶有Aurora字樣，該報(bào)復(fù)打擊故此得名)。

　　3) 接下來(lái)，報(bào)復(fù)打擊者經(jīng)由過(guò)程SSL安然地道與受害人機(jī)械成立了連接，延續(xù)監(jiān)聽(tīng)并最終獲得了該雇員拜候Google辦事器的帳號(hào)暗碼等信息。

　　4) 最后，報(bào)復(fù)打擊者就利用該雇員的憑證成功滲入進(jìn)進(jìn)Google的郵件辦事器，進(jìn)而不竭的獲得特定Gmail賬戶的郵件內(nèi)容信息。

　　超等工廠病毒報(bào)復(fù)打擊(震網(wǎng)報(bào)復(fù)打擊)

　　聞名的超等工廠病毒報(bào)復(fù)打擊為人所知首要源于2010年伊朗布什爾核電站遭到Stuxnet蠕蟲的報(bào)復(fù)打擊的事務(wù)暴光。

　　遭受超等工廠病毒報(bào)復(fù)打擊的核電站計(jì)較機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的，理論上不會(huì)遭受外界報(bào)復(fù)打擊。堅(jiān)毅的碉堡只有從內(nèi)部才能被攻破，超等工廠病毒也正充分的操縱了這一點(diǎn)。超等工廠病毒的報(bào)復(fù)打擊者并沒(méi)有遍及的往傳播病毒，而是針對(duì)核電站相干工作人員的家用電腦、小我電腦等可以或許接觸到互聯(lián)網(wǎng)的計(jì)較機(jī)倡議傳染報(bào)復(fù)打擊，以此為第一道報(bào)復(fù)打擊跳板，進(jìn)一步傳染相干人員的移動(dòng)設(shè)備，病毒以移動(dòng)設(shè)備為橋梁進(jìn)進(jìn)“碉堡”內(nèi)部，隨即暗藏下來(lái)。病毒很有耐煩的慢慢分散，一點(diǎn)一點(diǎn)的進(jìn)行粉碎。這是一次十分成功的APT報(bào)復(fù)打擊，而其最為可駭?shù)奶幩驮谟跇O其奇妙的節(jié)制了報(bào)復(fù)打擊范圍，報(bào)復(fù)打擊十分精準(zhǔn)。

　　在2011年，一種基于Stuxnet代碼的新型的蠕蟲Duqu又呈此刻歐洲，號(hào)稱“震網(wǎng)二代”。 Duqu首要匯集財(cái)產(chǎn)節(jié)制系統(tǒng)的諜報(bào)數(shù)據(jù)和資產(chǎn)信息，為報(bào)復(fù)打擊者供給下一步報(bào)復(fù)打擊的需要信息。報(bào)復(fù)打擊者經(jīng)由過(guò)程僵尸收集對(duì)其內(nèi)置的RAT進(jìn)行長(zhǎng)途節(jié)制，并且采取私有和談與CC端進(jìn)行通信，傳出的數(shù)據(jù)被包裝成jpg文件和加密文件。

　　 夜龍報(bào)復(fù)打擊

　　夜龍報(bào)復(fù)打擊是McAfee在2011年2月份發(fā)現(xiàn)并定名的針對(duì)全球首要能源公司的報(bào)復(fù)打擊行動(dòng)。

　　該報(bào)復(fù)打擊的報(bào)復(fù)打擊過(guò)程是：

　　1) 外網(wǎng)主機(jī)如Web辦事器遭報(bào)復(fù)打擊成功，多半是被SQL注進(jìn)報(bào)復(fù)打擊;

　　2) 被黑的Web辦事器被作為跳板，對(duì)內(nèi)網(wǎng)的其他辦事器或PC進(jìn)行掃描;

　　3) 內(nèi)網(wǎng)機(jī)械如AD辦事器或開(kāi)辟人員電腦遭報(bào)復(fù)打擊成功，多半是被暗碼暴力破解;

　　4) 被黑機(jī)械被植進(jìn)歹意代碼，多半被安裝遠(yuǎn)端節(jié)制東西(RAT)，傳回大年夜量機(jī)靈文件(WORD、PPT、PDF等等)，包含所有會(huì)議記實(shí)與組織人事架構(gòu)圖;

　　5) 更多內(nèi)網(wǎng)機(jī)械遭進(jìn)侵成功，多半為高階主管點(diǎn)擊了看似正常的郵件附件，卻不知此中含有歹意代碼。

　　RSA SecurID盜取報(bào)復(fù)打擊

　　2011年3月，EMC公司部屬的RSA公司蒙受進(jìn)侵，部門SecurID手藝及客戶資料被盜取。厥后果導(dǎo)致良多利用SecurID作為認(rèn)證根據(jù)成立VPN收集的公司——包含洛克希德馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商——遭到報(bào)復(fù)打擊，首要資料被盜取。在RSA SecurID報(bào)復(fù)打擊事務(wù)中，報(bào)復(fù)打擊方?jīng)]有益用大年夜范圍SQL注進(jìn)，也沒(méi)有益用網(wǎng)站掛馬或垂釣網(wǎng)站，而是以最原始的網(wǎng)路通信編制，直接寄送電子郵件給特定人士，并附帶防毒軟體沒(méi)法辨認(rèn)的歹意文件附件。

　　其報(bào)復(fù)打擊過(guò)程大年夜體以下：

　　1) RSA有兩組同仁們?cè)趦商飚?dāng)中別離收到標(biāo)題問(wèn)題為“2011 Recruitment Plan”的歹意郵件，附件是名為“2011 Recruitment plan.xls”的電子表格;

　　2) 很不幸，此中一名同仁對(duì)此郵件感應(yīng)歡愉愛(ài)好，并將其從垃圾郵件中掏出來(lái)瀏覽，卻不知此電子表格其實(shí)含有那時(shí)最新的Adobe Flash的0day縫隙(CVE-2011-0609);

　　3) 該主機(jī)被植進(jìn)臭名昭著的Poison Ivy遠(yuǎn)端節(jié)制東西，并開(kāi)端自C&C中繼站下載指令進(jìn)行任務(wù);

　　4) 首批受害的利用者并不是“位高權(quán)重”人物，緊接著相聯(lián)系關(guān)系的人士包含IT與非IT等辦事器治理員接踵被黑;

　　5) RSA發(fā)現(xiàn)開(kāi)辟用辦事器(Staging server)遭進(jìn)侵，報(bào)復(fù)打擊方隨即進(jìn)行撤離，加密并緊縮所有資料(都是rar格局)，并以FTP傳送至遠(yuǎn)端主機(jī)，又敏捷再次搬離該主機(jī)，斷根任何蹤跡。

　　暗鼠報(bào)復(fù)打擊

　　2011年8月份，McAfee/Symantec發(fā)現(xiàn)并陳述了該報(bào)復(fù)打擊。該報(bào)復(fù)打擊在長(zhǎng)達(dá)數(shù)年的延續(xù)報(bào)復(fù)打擊過(guò)程中，滲入并報(bào)復(fù)打擊了全球多達(dá)70個(gè)公司和組織的收集，包含美國(guó)當(dāng)局、結(jié)合國(guó)、紅十字會(huì)、兵器制造商、能源公司、金融公司，等等。

　　其報(bào)復(fù)打擊過(guò)程以下：

　　1) 報(bào)復(fù)打擊者經(jīng)由過(guò)程社會(huì)工程學(xué)的編制匯集被報(bào)復(fù)打擊方針的信息。

　　2) 報(bào)復(fù)打擊者給方針公司的某個(gè)特定人發(fā)送一些極具***性的、帶有附件的郵件例如聘請(qǐng)他拜見(jiàn)某個(gè)他地點(diǎn)行業(yè)的會(huì)議，以他同事或HR部門的名義奉告他更新通信錄，請(qǐng)他核閱某個(gè)真實(shí)存在的項(xiàng)目標(biāo)預(yù)算，等等。

　　3) 當(dāng)受害人打開(kāi)這些郵件，查看附件(大年夜部門形如：Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls)，受害人的EXCEL法度的FEATHEADER長(zhǎng)途代碼履行縫隙(Bloodhound.Exploit.306)被操縱，從而被植進(jìn)木馬。實(shí)際上，該縫隙不是0day縫隙，可是受害人沒(méi)有及時(shí)打補(bǔ)丁，并且，該縫隙只針對(duì)某些版本的EXCEL有效，可見(jiàn)被害人所利用的EXCEL版本信息也已為報(bào)復(fù)打擊者所悉知。

　　4) 木馬開(kāi)端跟長(zhǎng)途的辦事器進(jìn)行連接，并下載歹意代碼。而這些歹意代碼被精心假裝(例如被假裝為圖片，或HTML文件)，不為安然設(shè)備所辨認(rèn)。

　　5) 借助歹意代碼，受害人機(jī)械與長(zhǎng)途計(jì)較機(jī)成立了長(zhǎng)途Shell連接，從而導(dǎo)致報(bào)復(fù)打擊者可以肆意節(jié)制受害人的機(jī)械。

　　 Lurid報(bào)復(fù)打擊

　　2011年9月22日，TrendMicro的研究人員發(fā)布了一路針對(duì)前獨(dú)聯(lián)體國(guó)度、印度、越南和中國(guó)等國(guó)度的當(dāng)局部門、交際部門、航天部門，還有科研機(jī)構(gòu)APT報(bào)復(fù)打擊——Lurid報(bào)復(fù)打擊。

　　報(bào)復(fù)打擊者的主如果操縱了CVE-2009-4324和 CVE-2010-2883這兩個(gè)已知的Adobe Reader縫隙，和被緊縮成RAR文件的帶有歹意代碼的屏幕呵護(hù)法度。

　　用戶一旦瀏覽了歹意PDF文件或打開(kāi)了歹意屏幕呵護(hù)法度，就會(huì)被植進(jìn)木馬。木馬法度會(huì)變換多蒔花腔駐留在受害人電腦中，并與C&C辦事器進(jìn)行通信，匯集的信息凡是經(jīng)由過(guò)程HTTP POST上傳給C&C辦事器。報(bào)復(fù)打擊者借助C&C辦事器對(duì)木馬下達(dá)各類指令，不竭匯集受害企業(yè)的敏感信息。

　　Nitro報(bào)復(fù)打擊

　　2011年10月底，Symantec發(fā)布的一份陳述公開(kāi)了首要針對(duì)全球化工企業(yè)的進(jìn)行信息盜取的Nitro報(bào)復(fù)打擊。

　　該報(bào)復(fù)打擊的過(guò)程也十分典型：

　　1) 受害企業(yè)的部門雇員收到帶有棍騙性的郵件;

　　2) 當(dāng)受害人瀏覽郵件的時(shí)辰，常常會(huì)看到一個(gè)經(jīng)由過(guò)程文件名和圖標(biāo)假裝成一個(gè)近似文本文件的附件，而實(shí)際上是一個(gè)可履行法度;或看到一個(gè)有暗碼呵護(hù)的緊縮文件附件，暗碼在郵件中注明，并且假定解壓會(huì)產(chǎn)生一個(gè)可履行法度。

　　3) 只要受害人履行了附件中的可履行法度，就會(huì)被植進(jìn)Poison Ivy后門法度。

　　4) Poison Ivy會(huì)經(jīng)由過(guò)程TCP 80端口與C&C辦事器進(jìn)行加密通信，將受害人的電腦上的信息上傳，主如果帳號(hào)相干的文件信息。

　　5) 報(bào)復(fù)打擊者在獲得了加密的帳號(hào)信息后經(jīng)由過(guò)程解密東西找到帳號(hào)的暗碼，然后借助事前植進(jìn)的木馬在受害企業(yè)的收集尋覓方針、乘機(jī)步履、不竭匯集企業(yè)的敏感信息。

　　6) 所有的敏感信息會(huì)加密存儲(chǔ)在收集中的一臺(tái)姑且辦事器上，并最終上傳到公司外部的某個(gè)辦事器上，從而完成報(bào)復(fù)打擊。

　　 Luckycat報(bào)復(fù)打擊

　　2012年3月份，TrendMicro發(fā)布的陳述中透露了一個(gè)針對(duì)印度和日本的航空航天、戎行、能源等單位進(jìn)行長(zhǎng)時(shí)候的滲入和刺探的報(bào)復(fù)打擊步履，并定名為L(zhǎng)uckycat。

　　按照陳述顯示，此次報(bào)復(fù)打擊步履仍然是經(jīng)由過(guò)程垂釣郵件開(kāi)端的，例如針對(duì)日本方針的垂釣郵件的內(nèi)容大年夜都跟福島核電站的核輻射標(biāo)題問(wèn)題有關(guān)。然后就是操縱了良多針對(duì) pdf/rtf的縫隙，包含CVE-2010-3333，CVE-2010-2883，CVE-2010-3654，CVE- 2011-0611，CVE-2011-2462等。滲入進(jìn)往以后就是用C&C進(jìn)行長(zhǎng)途節(jié)制。而C&C辦事器是經(jīng)由過(guò)程VPS申請(qǐng)到的DNS域名。