freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

APT Digital Weapon:奇安信威胁情报中心发布APT数字武器陈列项目
  • 关注
APT Digital Weapon:奇安信威胁情报中心发布APT数字武器陈列项目
2019-12-10 10:57:22

关键词:APT、数字武器、IOC、GitHub、红雨滴、HASH

背景

APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在精确的信息收集、高度的隐蔽性、以及使用各种复杂的针对目标系统/应用程序的数字化武器

IOC(Indicators of Compromise,IOC),中文意为失陷标记。其通常包含上述攻击者使用的数字化武器相关的文件HASH、IP、域名、URL、邮箱、程序运行路径、注册表项等。为了更好的检测威胁、追踪及共享各个APT团伙的威胁情报信息,安全业界通常将IOC作为最典型的战术情报来源。

奇安信威胁情报中心长期致力于追踪分析高级持续性威胁(AdvancedPersistent Threat,APT),截至目前已经涵盖了超过170个相关组织或战役(Campaign)。为了更好地帮助政府、企业及安全社区对抗这类威胁,我们决定发布我们所掌握的所有失陷标记(Indicators of Compromise,IOC)中的样本HASH及相关分类信息(目前仅提供在VirusTotal上存在实体文件的样本Hash)。基于奇安信威胁情报中心对于威胁情报的层次分类,攻击者所使用的恶意代码文件是其最基础的数字武器,而APT攻击相关的恶意代码体现了相对高端而独特的技术水平,值得安全研究人员深入分析。

图片.png

威胁情报的层次 – 文件HASH

项目介绍

项目相关的信息均来自红雨滴团队内部日常运营分析所发现关联的APT团伙IOC以及公开报告涉及的IOC信息,且仅提供在VirusTotal上存在实体样本文件的HASH及相关信息。IOC详细内容位于GitHub的APT_Digital_Weapon资料库(https://github.com/RedDrip7/APT_Digital_Weapon),目前已包含超过150个团伙或战役的条目。主要由APT组织(比如:海莲花、方程式、APT28等)、相关行动(比如:Operation Dustysky),以及部分有较大影响范围的网络犯罪团伙(比如:TA505、MageCart等)组成,共接近两万个文件Hash IOC条目,可能是目前为止最为全面的APT数字武器***息源

图片.png

对每个ATP组织,我们均提供了简短描述,有助于快速了解该组织的背景、历史活动及影响范围。由于安全厂商对同一APT组织命名可能有所不同,在别名一节加入了APT组织的其它名称,以便不同背景的用户更好的进行对应。最后的参考引用可让用户快速查看更多的详细报告:

图片.png

在对应的IOC页面,列举了APT组织武器库样本的HASH、类型、家族等信息,有助于用户识别来自该APT组织的具体威胁并采取对抗缓解措施。点击样本HASH后,可跳转至对应的VirusTotal页面,以快速查看与该样本相关的更多细节:

图片.png图片.png

奇安信威胁情报中心红雨滴团队将持续关注全球范围内发生的APT、高级威胁、网络犯罪等网络安全事件,并同步更新APT Digital Weapon资料库里的相关IOC信息。我们将会长期维护、更新该项目,并希望以此为安全社区贡献一份微薄之力,也希望社区提出意见和建议,可随时联系 ti_support@qianxin.com 反馈,共同完善对于APT攻击的拼图。

关于红雨滴团队(RedDrip Team)

奇安信旗下的高级威胁研究团队红雨滴,前身为成立于2015年的天眼实验室,持续运营奇安信威胁情报中心至今,专注于APT攻击类高级威胁的研究,是国内首个发布并命名“海莲花”(APT-C-00,OceanLotus)APT攻击团伙的安全研究团队,也是当前奇安信威胁情报中心的主力威胁分析技术支持团队。

目前,红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员,覆盖威胁情报运营的各个环节:公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线索发现挖掘拓展、追踪溯源,实现安全事件分析的全流程运营。团队对外输出机读威胁情报数据支持奇安信自有和第三方的检测类安全产品,实现高效的威胁发现、损失评估及处置建议提供,同时也为公众和监管方输出事件和团伙层面的全面高级威胁分析报告。

依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验,红雨滴团队自2015年持续发现多个包括海莲花在内的APT团伙在中国境内的长期活动,并发布国内首个团伙层面的APT事件揭露报告,开创了国内APT攻击类高级威胁体系化揭露的先河,使之成为国家级网络攻防的焦点。

团队LOGO:

图片.png

关注二维码:

图片.png

关于奇安信威胁情报中心

奇安信威胁情报中心是北京奇安信科技有限公司(奇安信集团)旗下的威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础,基于奇安信长期积累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,为企业和机构提供安全管理与防护的网络威胁预警与情报。

奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/。服务平台以海量多维度网络空间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线索拓展,事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情报服务。

图片.png

微信公众号:奇安信威胁情报中心

# apt # github # IOC # 红雨滴团队
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者