兵者诡道：APT攻击中的虚假情报 胡星儒 360追日团队 关于360追日团队（Helios Team） • 专注APT等高级威胁的研究。 • 致力于发现和披露更多的APT组织或行动。 • 截至目前已发现三十多个APT组织。 关于360追日团队（Helios Team） 发布时间 报告名称 APT编号 2015.05.29 海莲花：数字海洋的游猎者 2015.12.10 007黑客组织及地下黑产活动分析报告 2016.01.18 2015年中国高级持续性威胁（APT）研究报告 2016.05.10 洋葱狗：交通能源的觊觎者潜伏3年的定向攻击威胁 APT-C-03 2016.05.30 美人鱼行动——长达6年的境外定向攻击活动揭露 APT-C-07 2016.06.03 SWIFT之殇：针对越南先锋银行的黑客攻击技术初探 APT-C-26 2016.07.01 人面狮行动——中东地区的定向攻击活动 APT-C-15 2016.07.21 台湾第一银行ATM机“自动吐钱”事件分析 2016.08.04 摩诃草组织——来自南亚的定向攻击威胁 APT-C-09 2016.08.09 关于近期曝光的针对银行SWIFT系统攻击事件综合分析 APT-C-26 2016.08.11 索伦之眼 APT-C-16 APT-C-00 关于360追日团队（Helios Team） 目录 APT发展现状 相关案例分析 影响和应对 目录 APT发展现状 相关案例分析 影响和应对 攻击发展趋势 • 全球APT攻击依然活跃，针对中国的APT攻击持 续增长。 •2016年新披露的： Lazarus：涉及中国地区 摩诃草（hangover、白象）：主要针对中国地区 索伦之眼：主要针对中国地区 •已披露且2016年活跃的： 海莲花、Darkhotel、APT28、Carbanak…… 攻击发展趋势 • 全球APT攻击领域关注政府、能源等，针对中国 主要是科研教育和政府机构。 攻击发展趋势 • 全球APT攻击依然活跃，针对中国的APT攻击持 续增长。 • 全球APT攻击领域关注政府、能源等，针对中国 主要是科研教育和政府机构。 • 针对金融领域的攻击不断出现。 • …… • 攻击对抗由被动隐匿到主动出击 主要讨论的问题 • 对抗手法-针对安全机构 主要讨论的问题 • 幕后组织 • 难以定性，另外存在嫁祸、假情报等情况： • 客观陈述，避免主观臆断 一些关键词 Lure （诱饵） Mimicry （拟态） Disinformation （假情报） Mislead （误导） False flag （假旗行动） Feigned activity （佯动） Deception （欺骗） Obfuscation （混淆） Counterintelligence （反情报） Disguise （伪装） Interference （干扰） 关于定性APT • • 非技术概念 特殊背景 •0day •针对性 •不以获取经济利益为目的 •高度隐蔽 • • 意图：攻击从未停歇 能力：攻击“不计成本” •窃取和破坏 •针对不同平台 •…… 目录 APT发展现状 相关案例分析 影响和应对 APT攻击案例——预设陷阱 侦察 跟踪 武器 构建 载荷 投递 突防 利用 安装 植入 通信 控制 达成 目标 • 预先设定：样本实体文件、C&C域名、特殊字符串、上 线密码、诱饵文档属性信息…… • 事后掩盖：域名WHOIS、IP…… APT攻击案例——预设陷阱 案例1：洋葱狗和ICEFOG APT攻击案例——预设陷阱 案例1：洋葱狗和ICEFOG • 不会释放并执行ICEFOG样本 • ICEFOG事件已被披露 APT攻击案例——预设陷阱 案例1：洋葱狗和ICEFOG APT攻击案例——预设陷阱 案例2：DUQU2.0 DUQU 2.0 嫁祸的目标 ugly.gorilla APT1 Camellia APT1 romanian.antihacker 罗马尼亚 LZJB算法 MiniDuke APT攻击案例——预设陷阱 案例3（疑似）： SWIFT事件和Lazarus