APT与新威胁论坛 网络安全威胁中的商业军火 2 从HackingTeam说起 商业化间谍软件现状 商业军火带来的问题 可以采取的应对策略 3 从 成立时间 2003年 创始人 David Vincenzetti(CEO) Valeriano Bedeschi(CIO) 核心人物 Alberto Ornaghi(软件架构师) Marco Valleri(进攻安全管理) 总部 米兰，意大利 说起 免费开源 内网安全审计工具 基于MITM实现 头像取自领英（ Linkedin） “第一个面向警方 的商用黑客软件 ” 4 从 部门 说起 人数 管理 7 行政 9 销售 8 安全 9 运营 15 研发 17 合计 65 5 从 说起 合同额TOP 10 客户 组织名称 金额单位：EUR 国家 区域 最早订单 智利 拉美 2014 乌干达 非洲 2015 831,000 2,197,100 摩洛哥 非洲 2009 140,000 1,936,050 墨西哥 拉美 2010 130,000 1,390,000 摩洛哥 非洲 2012 160,000 1,237,500 新加坡 亚洲 2008 89,000 1,209,967 沙特阿拉伯 非洲 2012 114,000 1,201,000 阿联酋 非洲 2012 150,000 1,200,000 MOD Saudi 沙特阿拉伯 非洲 2013 220,000 1,108,687 SIS 哈萨克斯坦 欧洲 2012 140,000 1,012,500 ISO CSDN DGST GID Saudi UAEIntelligence 年费 总收入 2,289,155 6 从 主要客户分布 说起 7 从 RCS 能力 说起 Windows OSX BlackBerry Windows Mobile Android iOS 8 商业化间谍软件现状 短信息监控 通话监控 联系人黑白名单 Facebook监控 位置监控 应用程序监控 WhatsApp监控 媒体文件监控 应用黑白名单 LINE监控 Web访问监控 应用风险状态 手机开关机记录 9 商业化间谍软件现状 10 商业化间谍软件现状 11 商业化间谍软件现状 中文界面 多语言界面  有/无图标版本（图标可隐藏） 安装后无图标 安装后在Services不可见 安装后在Services中可见 需要手动激活 12 商业化攻击平台 Cobalt Strike 13 商业化攻击平台 Cobalt Strike 公司/项目/机构 职位 时间 Strategic cyber LLC 创始者和负责人 2012.1-至今 特拉华州空军国民警卫队 领导，传统预备役 2009-至今 Cobalt strike 项目负责人 2011.11-2012.5 TDI 高级安全工程师 2010.8-2011.6 Automattic 代码Wrangler 2009.7-2010.8 Feedback Army, After the Deadline 创始人 2008.7-2009.11 美国空军研究实验室 系统工程师 2006.4-2008.3 美国空军 通信与信息 军官 2004.3-2008-3 姓 名：Raphael Mudge 教育背景：Syracuse University 美国雪城大学；密歇根科技大学 目前就职：Strategic Cyber LLC（战略网络有限责任公司）；特拉华州空军国民 警卫队 14 商业化攻击平台 Cobalt Strike Packages • HTML Application • Java Application • MS Office Macro • Payload Generator • USB/CD AutoPlay • Windows Dropper • Windows Executable • Windows Executable(S) Web Drive-by • Manage • Auto-Exploit Server • Client-side-Attacks • Clone Site • Firefox Add-on Attack • …… 15 真实案例 APT TOCS 16 真实案例 APT TOCS 17 真实案例 APT TOCS 18 商业军火带来的问题 我们面对怎样的对手 “超级病毒”、“超级工厂病毒”、“超级武器”、 “潘多拉的魔盒” 利用了微软操作系统中至少4个漏洞，其中有3个全新的 零日漏洞；为衍生的驱动程序使用有效的数字签名；通 过一套完整的入侵和传播流程，突破工业专用局域网的 物理限制；利用WinCC系统的2个漏洞，对其开展破坏 性攻击。它是第一个直接破坏现实世界中工业基础设施 的恶意代码。据赛门铁克公司的统计，目前全球已有约 45000个网络被该蠕虫感染，其中60%的受害主机位于 伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到 Stuxnet蠕虫的攻击。 19 商业军火带来的问题 我们面对怎样的对手 20