显然,在识别APT并公开分析方面,FireEye走到了前面,比之前的Kapersky,TrendMicro, McAfee, Symantec,他们貌似走到了最最闪耀的聚光灯下。也许他们的沙箱技术大规模部署后,0day***识别源源不断吧。

就在本月20日(2014年2月20日),他们又公布了一个GreedyWonk行动,利用了一个Flash的0day漏洞CVE-2014-0502给一些位于美国的经济和外交政策智库网站挖了坑,引诱访问者上钩。如果访问者使用XP,Win7 + java 1.6,Win7+过时的Office版本就会中招。


还有一点,各位有没有发现,借助FireEye的沙箱技术,更多识别了水坑***,而传统的定向钓鱼发现并未增加。几种可能:水坑***更多了,更多网站部署了沙箱(或者FireEye的互联网的部署点更多了),定向钓鱼更隐蔽了(譬如利用加密、黑名单技术)。我感觉以后APT识别还需要深入到最后一米——终端。


【参考资料】

新型威胁分析与防范研究


FireEye:雪人行动针对美国海外战争退伍军人网站

CrowdStrike:2013年全球威胁报告

FireEye:K3chang行动***欧洲外交部门

FireEye:数字面包屑——识别APT***来源的7大线索

四大传奇:中国网络***组织

Symantec:揭秘Hidden Lynx组织的APT***行动

TrendMicro:新的APT***针对亚洲和欧洲政府组织,包括中国媒体机构

Kapersky:NetTraveler APT***

TrendMicro:Safe APT***

Mandiant:APT1组织的***行动的情报分析报告

RSA:精准钓鱼***,只有榜上有名的人才会被***

TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***

McAfee:High Roller金融欺诈行动采用了创新性技术

TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE

Flame解读

Anonymous几天之内攻陷500多个中国网站

TrendMicro:针对印日的LuckyCat***

symantec:硝基***针对化工厂商

针对前独联体国家以及印度、中国的APT***案例

日本抑或也已遭受了APT***?

Stuxnet2.0现身欧洲

APT***实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志:史上最强的恶意软件Stuxnet揭秘