全球APT分析
关注
分享
扫一扫
文章平均质量分 90
国家级APT攻击事件分析
希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某部委网络安全防护培训外聘讲师,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,APT技战法分析,代码审计,内网渗透。专注于前沿网络安全技术。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
第66篇:顶级APT后门Sunburst通信流量全过程复盘分析(修正篇)
Part1 前言由于先前文章存在部分错误,原文ABC_123已删除,上周末把文章修正,重新发布。大家好,我是ABC_123。前面几周分享了Solarwinds供应链攻击事件的详细攻击流程及Sunburst后门的设计思路,但是多数朋友还是对Sunburst后门的通信过程还是没看明白。本期ABC_123就从流量的角度,把Sunburst后门的通信过程完整地复盘一下,这样可以更直观地展示Sunbur...原创 2023-07-07 22:01:46 · 6777 阅读 · 0 评论 -
第65篇:探索顶级APT后门Sunburst的设计思路(修正篇)Solarwinds供应链攻击中篇...
Part1 前言由于先前文章存在部分错误,原文ABC_123已删除,上周末把文章修正,重新发布。大家好,我是ABC_123。之前写了一篇《史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)》反响还不错。由于该APT供应链攻击事件极其复杂,所以大约需要写5至6篇文章。本期继续分享第2篇,讲述其中用到的Sunburst后门的设计思路,以及它如何实现绕过流量...原创 2023-07-06 20:45:53 · 7486 阅读 · 0 评论 -
第64篇:史上最严重的APT供应链攻击事件,借助Solarwinds攻击欧美的流程图梳理和分析(上篇)...
Part1 前言大家好,我是ABC_123,公众号正式更名为”希潭实验室”,敬请关注。本期分享一个堪称史上影响最大、危害最大的供应链攻击APT案例——Solarwinds供应链攻击事件,SolarWinds的旗下有数万家客户公司,包括了”财富美国500强“企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局,以及美国总统办公室,美国多家顶级网络安全公司等,最终有大约1万8千家...原创 2023-06-10 20:00:13 · 4881 阅读 · 0 评论 -
第63篇:美国NSA量子注入攻击的流量特征及检测方法
Part1 前言大家好,我是ABC_123,公众号正式更名为”希潭实验室”,敬请关注。前不久花时间研究了美国NSA的量子注入攻击手法,并在Hackingclub山东济南站技术沙龙做了分享。对于这种攻击手法部分网友嗤之以鼻,认为是老美在搞噱头,夸张成分很大,但这种说法说不通,因为这个量子注入攻击手法和“酸狐狸”0day打击平台,是在美国斯诺登“棱镜门”事件中泄露的英文版PPT中反复提到的,涉密级...原创 2023-05-26 19:59:04 · 8196 阅读 · 0 评论 -
第67篇:美国安全公司溯源分析Solarwinds供应链攻击事件全过程
Part1 前言大家好,我是ABC_123。本期继续分享Solarwinds供应链攻击事件的第4篇文章,就是美国FireEye火眼安全公司在遭受攻击者入侵之后,是如何一步步地将史上最严重的Solarwinds供应链攻击事件溯源出来的。注:Mandiant安全公司已被FireEye收购,但是仍然可以独立运营,严格地说的,这次攻击事件是Mandiant公司溯源出来的,当然也可以说FireEye公司...原创 2023-07-02 08:30:11 · 11046 阅读 · 0 评论 -
第77篇:美国APT入侵西北工业大学使用的5款远控后门揭秘
Part1 前言大家好,我是ABC_123。在几个月前,我反复研读国家计算机病毒应急处理中心的多篇报告及360安全公司发布的各种关于该事件的报道,再结合国外对于美国APT研究报告,花了半个多月的时间复盘了美国APT入侵中国西北工业大学的整个流程,详见《第58篇:美国安全局NSA入侵西北工业大学流程图梳理和分析(正式篇)》。随着对美国APT组织和武器库的进一步了解,ABC_123最近又有新的领悟...原创 2023-09-24 21:59:45 · 2766 阅读 · 0 评论 -
第74篇:美国APT网络攻击破坏伊朗核设施全过程复盘分析(震网病毒上篇)
Part1 前言大家好,我是ABC_123。在上大学时,就曾听过美国NSA使用震网病毒(Stuxnet)攻击了物理隔离的伊朗核设施,病毒在传播过程中使用了多达4个windows系统的0day漏洞,最终导致上千台提纯浓缩铀离心机损坏,致使伊朗的核武器研发计划遇到重大挫折。“震网”病毒是世界上第一个能够实战破坏工业基础设施的病毒,打破了网络攻击无法破坏物理隔离的工控系统的神话,也标志着人类进入了网...原创 2023-09-11 08:14:45 · 9609 阅读 · 1 评论 -
第76篇:美国震网病毒隐蔽破坏伊朗核设施离心机的多种方法揭秘(第3篇)
Part1 前言大家好,我是ABC_123。上一篇文章《第75篇:美国APT供应链打穿伊朗物理隔离的核工厂案例分析(第2篇)》讲述了美国APT如何用供应链方法实现自动化入侵伊朗物理隔离核工厂内网的,本期分享一下震网病毒究竟是以何种方式攻击离心机设备的。网上有大量关于震网病毒破坏离心机设备的报道,说法不一,有的说是震网病毒关闭了离心机的泄压阀门,导致超压爆炸;有的说是震网病毒使离心机急速旋转,一...原创 2023-09-18 08:45:17 · 6339 阅读 · 0 评论