显然,在识别APT并公开分析方面,FireEye走到了前面,比之前的Kapersky,TrendMicro, McAfee, Symantec,他们貌似走到了最最闪耀的聚光灯下。也许他们的沙箱技术大规模部署后,0day***识别源源不断吧。
就在本月20日(2014年2月20日),他们又公布了一个GreedyWonk行动,利用了一个Flash的0day漏洞CVE-2014-0502给一些位于美国的经济和外交政策智库网站挖了坑,引诱访问者上钩。如果访问者使用XP,Win7 + java 1.6,Win7+过时的Office版本就会中招。
还有一点,各位有没有发现,借助FireEye的沙箱技术,更多识别了水坑***,而传统的定向钓鱼发现并未增加。几种可能:水坑***更多了,更多网站部署了沙箱(或者FireEye的互联网的部署点更多了),定向钓鱼更隐蔽了(譬如利用加密、黑名单技术)。我感觉以后APT识别还需要深入到最后一米——终端。
【参考资料】
FireEye:数字面包屑——识别APT***来源的7大线索
Symantec:揭秘Hidden Lynx组织的APT***行动
TrendMicro:新的APT***针对亚洲和欧洲政府组织,包括中国媒体机构
TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***
McAfee:High Roller金融欺诈行动采用了创新性技术
TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE