蓝宝菇核危机行动的对抗术与伪装术
时间:2022-04-21 03:18:01 | 来源:行业动态
时间:2022-04-21 03:18:01 来源:行业动态
据介绍,核危机行动中所使用的专用木马,采用了一定程度的对抗技术。主要表现在两个方面:一方面是杀软对抗技术,一个是反虚拟机技术。例如在杀软对抗技术方面,Poison Ivy母体会判断系统中是否有360、卡巴斯基、瑞星、金山的进程,从而采取不同的后续应对措施。
并且在蓝宝菇的初始攻击中采用了特别针对性的伪装,360发现早期其采用鱼叉邮件携带二进制可执行文件这种攻击方法。攻击者仿冒官方邮件向受害者发送鱼叉邮件,诱导受害者点击邮件所携带的恶意附件。
例如下图为核危机行动鱼叉邮件压缩包中的一个伪装成Word文件的专用木马的图标和文件名截图。该文件伪装成一份通信录文件,当受害者点击打开这个伪装成Word文档的专用木马后,木马会在释放攻击代码的同时,释放一个真正的Word文档。然而该诱饵Word文档打开后的信息内容,其中信息确实是一份详细的通讯录。可见,该组织在文件伪装方面确实下足了功夫。
所以,APT所具备的一系列特点导致对其难以防御,360行业安全研究中心主任裴智勇表示,除了此案中蓝宝菇所采用的攻击手法外,实际上APT还具备多种攻击战术,例如反侦查术、疲劳战术、诱惑战术、假旗行动等。如果攻击者再利用0day漏洞,再加之周密的计划与组织架构保障行动,APT更是难以甚至无法防御。所以这时,APT的发现比防御更重要。
据了解,自2015年5月,360截获并披露针对我国的首个APT组织海莲花以来,截至2018年6月底,360威胁情报中心已累计截获38个针对中国的APT组织,有力地维护了国家与企业的信息安全。
在如今设备多样化、系统复杂化、攻击多元化的时代,裴智勇表示,360正在利用大数据、威胁情报等方法进行高级威胁的发现、检测与防御。