Last Updated @ 2014-2-9
美国时间2014年1月22日,CrowdStrike【一个新兴的cybersecurity情报分析公司】发布了首份全球威胁报告,聚焦2013年的网络空间威胁。报告通过对超过50个***组织的追踪给出了这份总结。这些***组织来自中国、伊朗、叙利亚、印度、朝鲜和俄罗斯。报告对其中典型的***行动的技战术(TTP)进行了剖析,譬如水坑***。
不同于其他报告更多关注来自中国的***行动,这份报告可谓全面,涵盖了多个国家。并且,报告站位很高,从国际政治经济的高度来看待网络战,看待APT,涉及朝核、伊核、叙利亚危机、中东突变等国际问题。
报告首先分析了当前正在广泛被使用的水坑***(他们叫SWC,有策略地WEB***),这是一种继定向钓鱼(spear phishing)后有一种经典的初始***和恶意代码注入的手段。正如我博文中枚举的,2013年之前,绝大部分APT***首先都起始于定向钓鱼,通过邮件附件中的0day漏洞利用去进入被***者目标,然后释放恶意代码。但是,水坑***转变了做法,他不再直接发邮件,而是对被***者必去或者常去的网站进行***,然后坐等目标上钩。我个人认为,广泛意义上说,水坑***可以看作是一种针对供应链的***。
报告分析了一个叫做“对外关系委员会”的APT***行动。这个委员会是一个NGO组织。***者利用CVE-2012-4792这个IE漏洞攻陷了这个NGO的网站,在其网站的一些页面中植入了恶意代码。更有趣的是,不是多有受害者访问这些网页都会中招,只有使用特定HTML语言(字符编码)的人才会中招。
报告总结了几大APT行动组织,包括叙利亚电子军(Deadeye Jackal)、Number Panda(意指来自中国,又进一步分为N个panda)、Magic Kitten(来自伊朗)、Energetic Bear(来自俄罗斯)、并列举了这些组织的一系列***行动,及其他们的惯用TTP、***框架。
有趣的是CrowdStrike对这些组织用不同的动物来代表,熊猫、北极熊,等等(叙伊等称作豺狼虎豹),很形象。
值得注意的是,CrowdStrike是如何划分出各个组织的。正如我在之前博文中(譬如这个,这个,还有台湾的那个组织)提到的那样,当前一个很重要的反cyberwar行动就是对各个敌对组织的辨识和归类。辨识可能涉及到反***、反追踪、涉及到蜜网。而归类则需要对敌对组织的***TTP(也可以理解为***者的技战术,譬如***手法、操控的僵尸网络、恶意代码的软件框架、常用的RAT软件、特定恶意代码开发者的种族背景语言文化风俗和编程习惯,等等)进行深入分析,找到他们的共通之处。所有这一切,都属于新型威胁情报分析的范畴。
最后,报告比较详细地分析了2014年世界可能面对的新型威胁,大多源自地区军事和政治冲突,还有有组织(金融)犯罪集团。
【参考资料】
FireEye:数字面包屑——识别APT***来源的7大线索
Symantec:揭秘Hidden Lynx组织的APT***行动
TrendMicro:新的APT***针对亚洲和欧洲政府组织,包括中国媒体机构
TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***
McAfee:High Roller金融欺诈行动采用了创新性技术
TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE