Comment utiliser la menace d'une analyse de l'information open source APT bande

2019-02-01 16:42:00

Maintenant, de plus en plus de groupes de pirates vont jouer.

Il n'y a pas longtemps, les éditeurs en dehors du réseau ont vu une nouvelles: les entreprises chiliennes connectées toutes les infrastructures guichets automatiques de banque Redbanc à la fin de Décembre ont subi des cyber-attaques, bien qu'il n'y ait aucune mention que les nouvelles a causé la perte, mais des sons très effrayant regard .

Plus de gens ont mis les yeux sur une telle zone d'attaque, les pirates, comment faire?

Triste rappel des choses de David Chomsky (pseudonyme de style maison) commencer. Le Costa Rica est une petite cour intérieure de paysans Redbanc, parce que je voulais changer d'emploi visitent souvent des sites d'emploi. Qui aurait pensé il lorgnait secrètement un gang de pirates a creusé un puits, les emplois reliés aux services informatiques affichés sur Linkedin attendent le crochet.

Petit frère n'a pas vraiment de doute, voir ce post sur le droit de communiquer entre eux. « Jouer fins » Les pirates informatiques utilisant Skype pour communiquer en espagnol et son petit frère beaucoup, après l'acquisition réussie de confiance nécessite petit frère ApplicationPDF.exe installé sur un programme informatique, basé sur le prétexte qu'ils génèrent format pdf formulaire de demande en ligne.

Ce programme ne provoque pas de soft kill d'alarme, sombre Poke installé et en cours d'exécution sur votre ordinateur dans le réseau Redbanc vers le haut. La boîte de Pandore a été ouverte ......

Après l'événement, le chercheur de sécurité pertinentes Après comparaison et l'analyse, la finale verrouillée derrière l'attaque était l'organisation prétendument APT sources --Lazarus coréenne.

Lei Feng réseau était en vigueur à la maison et à l'étranger organigramme APT Big article secret a été introduit à un gang de pirates, mais ce n'est pas le point, nous allons parler des experts de la sécurité de l'organisation APT est une étape par étape comment creuser derrière les événements?

Il n'y a pas longtemps, rédacteur en chef au Congrès centre de renseignement renseignement sur les menaces de menace écologique et 360 experts de la sécurité Wang Jun bavardé colonne - comment analyser l'utilisation de l'activité open source d'information APT menace.

Utilisation d'informations open source

processus APT de recherche d'organisations comme Interpol pour résoudre le cas, ils ont besoin d'entrer dans la scène du crime pour recueillir des informations qui peuvent être caché dans le modus operandi du suspect et mobile, même à travers les indices de processus de réduction de la criminalité.

Correspond à l'organisation APT cherchant la face cachée des opérations gang de pirate informatique, comment verrouiller la cible?

Tout d'abord, nous devons utiliser l'information open source, il existe quatre sources principales.

L'un des principaux fournisseurs de sécurité et les agences rapport publié APT, qui a mis beaucoup de personnel de sécurité le rapport collationné. Sur GitHub premières APTnotes ont arrêté la mise à jour, mais il était ouvert une autre série d'entretien. En bref, les avantages de l'open source est de trouver le rapport que vous avez peut-être manqué, peut économiser de l'énergie.

« 2018 nous avons recueilli, mûrissent APT 478 rapports par jour en moyenne, il y a un ou deux rapports. APT organisations indépendantes qui ont été mentionnés 53. » Wang Jun dit colonne Lei Feng réseau.

En second lieu, les médias sociaux, vous pouvez obtenir les informations le plus rapide, bien que pas beaucoup d'informations liées au contexte.

« Nous sommes préoccupés par les deux mille comptes Twitter, ils sont des soins artificiels. »

Flux de données tiers. L'alimentation est de répondre sous une forme continue d'obtenir leurs propres besoins et fourni des informations actualisées sur la norme de format d'exportation. Il est la source. site de diffusion de l'information sur le site Web intégrera tout ou partie des informations dans un fichier RSS, le fichier est appelé alimentation. Les sources de données sont inclus dans le format XML standard, non seulement peuvent être directement appelés par d'autres sites, il peut également être utilisé dans d'autres terminaux et services.

flux d'alimentation plus tôt après Netscape Communications Corporation push (Netscape), comme ces dernières années, l'explosion de la plate-forme d'informations sur le contenu national, est largement utilisé dans les micro-canaux, microblogging, sites de réseaux sociaux tels que les titres d'aujourd'hui et la plate-forme de contenu, tandis que l'alimentation est déjà la publicité devenir un important modèle de profit de la plate-forme de réseau social interne.

Quatrièmement, la plate-forme d'information, qui est intégrée sur la plate-forme de renseignement sur les menaces. L'un des plus célèbres est le virus Total, qui comprend un grand nombre de données de code malveillant, après la révision peut rechercher des échantillons, mais aussi ajouté une carte interactive et analyser la gestion.

Wang a également rappelé la colonne militaire, ne pas essayer d'être une donnée unique requête, les données après que chacun a sa propre vision, et la plupart n'écrasent pas.

utilisation Informations complémentaires

Ces informations open source sur le suivi de l'organisation APT à la fin du rôle qu'il peut jouer?

D'une part, l'entrée de données est un bon indice.

Par exemple, une colonne Wang Jun, comme quelqu'un pour obtenir un nouveau concurrent de l'échantillon sur Twitter. Après avoir recueilli l'échantillon à 360, même si leurs bibliothèques d'échantillons n'ont pas cet échantillon, mais peut être trouvé avec ses règles de signature d'échantillon similaires d'étude.

D'autre part, une partie des données open source fournissent des données de base, afin de plus ciblées ont également besoin d'ajouter des données multidimensionnelles.

Septembre 2018 médias étrangers ont rapporté que le gouvernement américain a accusé un homme coréen et sanctions Park Jin Hyok. Cet homme est célèbre gangs notoires APT --Lazarus dans un. 2017 WannaCry mondial présumé cyber-attaques de logiciels d'extorsion de fonds et les 2014 des cyber-attaques Sony.

Lazare est le processus de détermination des membres du parc à recueillir des informations sur de nombreuses dimensions, telles que les enregistrements d'accès au serveur IP spécifique, boîte aux lettres Gmail antécédents personnels, enregistrement et enregistrement sur LinkedIn compte Twitter et ainsi de suite. En bref, cet acte d'accusation de 170 pages long démontre la puissance des données multidimensionnelles validation croisée.

Vous voulez obtenir plus de données est nécessaire à partir d'autres sources, comme la principale sécurité fournisseurs propre base de données, ou par l'achat de données commerciales et de renseignement de menace immédiate. sources de données étrangères sont principalement VT, IPIP.net domestique.

Wang Jun a dit colonne Lei Feng réseau. 360 du budget d'approvisionnement de cette année pourrait atteindre des dizaines de millions de niveau de données.

Une autre façon est à travers des alliances de renseignement, une partie de l'échange d'informations. Bien sûr, pour l'instant, l'intelligence ligue n'est pas encore arrivé à maturité, doivent également continuer à promouvoir.

En bref, la possibilité de verrouiller la bande de pirate informatique se résume aux dimensions finales des données recueillies plus que suffisant, après tout, d'innombrables indices, mais une seule vérité.

analyse du match

Au-dessus du comportement de la collection réelle peut être comparé à un puzzle, le processus des joueurs a sa propre pièce unique de données de champ visuel, seules les mains des autres autant que pièces possibles et casse-tête ensemble afin de voir plus de la scène réelle. L'analyse spécifique de correspondance est basée sur les données obtenues par la valeur ajoutée apportée par les fournisseurs de sécurité.

Si vous obtenez juste un tas de paquets de données envoyés pour attaquer l'entreprise, il est sans valeur. Ils ont besoin des conclusions plus précises, comme celle qui borne qui est connectée à l'IP, son propre réseau peut être un gang infiltrat de pirates, et même une partie de fuite des données. Le groupe de pirates informatiques appartient à quelle organisation, qui avait été quelles activités, quelles attaques communes sont et ce dont ils ont besoin de prendre des mesures défensives.

Ceci est appelé « Je ne sais pas comment peut-on savoir l'anti-attaque. »

Plus précisément, la première étape sera le premier à obtenir des indices grossiers / fins de classification, ainsi que structuré.

Par exemple, de faire la distinction entre le type d'information que les nouvelles de la sécurité, les événements, exposer ou une analyse technique plus offres de contenu Différencier avec extorsion de fonds, l'exploitation minière, ou des attaques ciblées et autres vulnérabilités, si l'on estime que les attaques ciblées continueront gangs de la cybercriminalité ou APT.

La structure de l'organisation qui participe à l'extraction du nom, cible, TTP et d'autres éléments clés de l'analyse automatisée et manuelle après facile.

La deuxième étape est le développement associé, modèle de diamant est utilisé.

Ce modèle est fait dans l'analyse de l'association existante basée sur des indices. Diamant coins de quatre éléments, deux points de lignes reliant tous les solides peuvent être reliés les uns aux autres, tant que l'information est connue une ligne droite dont les deux extrémités, il peut se fonder sur un certain nombre de données publiques ou privées pour obtenir plus d'informations.

colonne Wang de l'armée a cité des châtaignes, comme les utilisations attaquant les attaques de code malveillant IP d'une infrastructure de réseau, la dérivation en utilisant ce modèle est du diamant gauche à droite, de la situation des infrastructures qu'il utilise peut comprendre toute la capacité d'attaque de l'équipe . Si les diamants font modèle d'analyse de corrélation combinée avec la chaîne Kill, vous pouvez étendre plus d'informations à travers le sentier existant.

La troisième étape est l'analyse TTP utilisée ici est le cadre ATT & CK.

Utilisé dans l'analyse des différentes étapes de ce que la technologie, telles que l'utilisation des implants flaques d'eau de stade attaque, nous avons besoin de ce cadre. Vous pouvez voir l'axe horizontal divisé en 11 étapes (un cadre commun pour Cyber kills chaîne division Lockheed Martin des sept étapes), et supprimé les détails techniques spécifiques de chaque étape de l'application, ce qui reflète tous les aspects de l'étalonnage, l'étalonnage plus tard l'analyse de classification peut être fait.

La dernière étape est jugé fond. Que ce soit, sur la base des informations pour faire un match, la liste correspondante des APT organisée, ciblée.

L'ensemble du processus est simplement basé sur des indices de collecte de données multidimensionnelle, association de sentiers réutilisation.

Cette série vraiment si bien des opérations complexes? Bien sûr que non.

Maintenant, l'organisation APT devenir plus rusé, d'une part, ils se cachent très bien, d'autre part sera « garantie » est la cible d'attaques lors de l'utilisation d'autres outils d'organisation APT, techniques ou microcode, et même la réutilisation d'autres organisations infrastructure réseau IP, ce qui équivaut à jouer un camouflage.

Wang Jun a dit colonne Lei Feng réseau, ils ont commis erreur un, a récemment publié un rapport sur Twitter a été signalé le mauvais match de l'organisation APT.

Mais il sourit, « mal est mal, ne rien admettre. »

****** ****** ligne de démarcation

Après avoir lu toute l'analyse est pas difficile à trouver des rapports? (Pas relire le rapport publié avant le réseau suivant Lei Feng!)

APT forte menace constante de ce terme professionnel est née de retour en 2010 Google en Chine en ce qui concerne les « attaques Aurora » Ce incidents de sécurité, après que des experts de la sécurité nationale de ces attaques se sont poursuivies à chaud CONDENSÉS dérivés. Après cette attaque APT et la guerre a commencé la protection, la lutte est de 10 ans. Évidemment, ceci est un champ difficile de ne pas terminer.

2018 mondiale de nombreuses attaques APT, alors qu'en 2019 seulement beaucoup plus. Le visage de l'attaquant de plus en plus secrète, le personnel de sécurité continuent également de refondre l'épée. Offensive et guerre défensive du cyber-monde ne cessera jamais.

Enfin, je vous souhaite une bonne année 2019 devez canard refaire le plein.

Fixer distique « code secteur agricole ».

Source: Modifier le mystérieux cercle d'amis

Articles connexes:

5 nouvelle organisation APT a été révélé que 2019 est une « étoile montante » dans le monde?

APT organigramme et de la force à l'étranger Big Secret

Un tel film de requin, puis transformé en R-rated s'il vous plaît
Précédent
Les colis doivent transformer ensemble la plus grande surprise de cette saison! Supreme x La vente North Face Los Angeles Liste de scène!
Prochain
Le jeu est pratique de tester la nouvelle version Jetta 1.2TSI pour profiter Zhen
Analyse de la concurrence nationale Collège d'enseignement (2012-2018)
élément Punk en! VOISINAGE apporter des fonds limités « GRITTY » SAVAGE pantalon tanin!
La sagesse d'abaisser votre profil Essayez la Renault Corregia 2017
Alipay Cinq Raiders ultime balayer ces chiffres peuvent être plus que quelques Foca
Aujourd'hui, la rosée du froid, Harbin gel des températures inférieures à zéro! Province spectacle sur glace coloré, les États-Unis ont dépensé ~
Fini sur le livre de visage sur Google, « la vie privée » d'Apple peut également détenir?
Vous devez acheter une paire de « bas de Noël » pour Noël! HUF 2017 vacances née spéciale Lookbook!
Qui « mixte » va la nouvelle comparaison hybride Accord hybride Mondeo
dernière puce Watch a publié Samsung: 50 mètres imperméable à l'eau et fournir un soutien version LTE
Désolé! Stanford médecin âgé de 26 ans se sont suicidés chinois prétendument parce trop de pression, est diplômé de l'USTC
En plus du cuir veste en duvet Quel autre produit unique le plus recherché? Regarder Supreme x Le site vente North Face Paris!