搜索
搜索
imgboxbg

新闻中心

当前位置:
首页
/
/
ATW攻击事件频发,看网御星云如何有效应对APT威胁

ATW攻击事件频发,看网御星云如何有效应对APT威胁

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2023-02-23 16:03
  • 访问量:

【概要描述】网御威胁分析一体机内置威胁情报库,可对APT组织历史使用过的IP、域名、URL等进行碰撞告警。

ATW攻击事件频发,看网御星云如何有效应对APT威胁

【概要描述】网御威胁分析一体机内置威胁情报库,可对APT组织历史使用过的IP、域名、URL等进行碰撞告警。

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2023-02-23 16:03
  • 访问量:
详情

自2021年10月起,BlueHornet(蓝蜂)组织,也叫 Against The West(反对西方)、APT49,对我国进行针对性攻击,窃取国内数据,在境外黑客论坛RaidForums进行售卖,攻击范围涉及金融、医疗、政府、军队和高校多个行业。ATW组织虽名为反对西方,实际却针对与西方有利益冲突的国家进行攻击,带有典型的民族主义色彩。

从攻击手法上看,该组织采用了供应链攻击方式,主要针对为我国重点单位提供软件服务的中小型企业,窃取的数据多为开发过程中的测试数据。攻击目标为SonarQube、Gogs、Gitblit等开源网络系统存在的技术漏洞,先进行大规模网络扫描探测,发现漏洞后进行攻击拖库,以达到窃取数据的目的。

从攻击意图上看,ATW黑客组织为凸显被攻击目标的重要性,在宣传上夸大其词以博取公众眼球,使其看起来攻击能力更强。

从其组成来看,ATW组织由欧洲、北美地区从事程序员、网络工程师的人员组成,有稳定的收入来源支撑其攻击基础设施,具有长期威胁性。

从其攻击目标和宣传理念来看,ATW组织极具民族主义色彩,为博取多方眼球,不排除该组织后续将获得多方技术资金支持,成长为危害更大的APT组织。

APT高级威胁监测薄弱点

从ATW组织的攻击事件可以见微知著,安全防护体系中的供应链防护是木桶效应的其中一块短板。国内企事业单位缺乏对上游供应链的安全管理,对供应商访问控制策略不够细化;对供应商缺乏网络安全层面的要求,如要求供应商必须过等保要求,要求供应商具备APT高级威胁监测防御手段等。企事业单位的供应商资产暴露面过大,测试系统等资产随意暴露在公网,缺乏对资产监测的有效梳理,没有资产台账,缺乏对资产开放高危端口等行为进行有效监测。

目前国内企事业单位的供应商对APT组织攻击、攻防演练等高级威胁攻击缺乏有效的监测手段。现状是:谁攻击了我不知道,攻击有没有成功不知道,攻击进来拿走了什么数据不知道。缺乏有效的高级威胁发现和溯源手段。

网御星云解决方案

1.基于已知威胁告警

APT组织虽攻击手法多变,但也有迹可循,只要有攻击,就会留痕。此次ATW利用的是开源系统的WEB漏洞和弱口令登录,拿下主机权限后,进行拖库。网御威胁分析一体机(简称TAR)采用双向检测引擎,内置SQL注入检测机器学习算法,可对WEB攻击行为进行有效监测,同时具备多场景分析能力,包括挖矿、弱口令、口令爆破、内网横向移动监测、WEB攻击和可疑行为等多种分析场景。

在溯源取证方面,采用全流量检测,应用DPDK底层数据采集方式,最大限度地提升了数据采集和数据处理性能,在海量告警中将威胁数据包完整保存,用于取证溯源和分析。

2.基于未知威胁检测

据分析,ATW组织后续可能升级攻击手段,初步具备APT组织的攻击能力,如采用钓鱼邮件攻击、水坑攻击等方式。网御威胁分析一体机默认内置沙箱,依靠自主研发沙箱,可实现对未知APT告警威胁的检测,可对APT特种木马进行有效监测告警。

APT攻击通过高度免杀的邮件附件,结合被攻击单位背景,伪装邮件内容,达到定向攻击的目的。针对钓鱼邮件攻击方式,网御威胁分析一体机内置钓鱼邮件检测算法,可直接以中文标签形式标记邮件属性,让钓鱼邮件无所遁形,内置沙箱可对邮件附件进行检测。

ATW组织使用的攻击基础设施包括跳板机和代理服务器,主要分布在英国、瑞典等西方国家,相关IOC已加入网御威胁分析一体机内置威胁情报库,可基于情报层面进行实时碰撞。同时具备威胁狩猎能力,可基于自定义情报,对历史告警进行情报狩猎。

网御威胁分析一体机内置威胁情报库,可对APT组织历史使用过的IP、域名、URL等进行碰撞告警。

APT组织常采用DGA域名方式回连C2,网御威胁分析一体机内置机器学习算法,对DGA域名进行算法检测,通过判断熵增、有无意义、情报碰撞等方式对DGA域名可疑度进行综合判定,实现对DGA域名的威胁检测。

综上,由于APT高级威胁攻击诡谲多变,隐蔽性极强,单一的检测方式存在检测盲区,无法对APT高级威胁进行有效检测。网御威胁分析一体机采用多维检测方式,已知与未知威胁检测相结合,机器学习与威胁情报交叉运用,可有效检测ATW组织攻击、APT高级威胁攻击,助力企事业单位上游供应链的安全管理。

关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微博
  • 视频号
    视频号

北京网御星云信息技术有限公司   京ICP备05080314号-1