首页 > 资料专栏 > 经营 > 管理专题 > 危机管理 > 蓝宝菇_核危机行动揭秘_最终版(网络安全)2018.6_18页

蓝宝菇_核危机行动揭秘_最终版(网络安全)2018.6_18页

网络盒子
V 实名认证
内容提供者
热门搜索
资料大小:4143KB(压缩后)
文档格式:WinRAR
资料语言:中文版/英文版/日文版
解压密码:m448
更新时间:2019/8/3(发布于福建)

类型:积分资料
积分:10分 (VIP无积分限制)
推荐:升级会员

   点此下载 ==>> 点击下载文档


文本描述
从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政 府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。 该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国 大陆境内。 360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。 目前已总共捕获该组织恶意代码670余个,其中包括60余个专门用于 横向移动的恶意插件。目前已经发现该组织相关的C&C域名、IP数量 多达40余个。 由于该组织相关恶意代码中出现特有的字符串(Poison Ivy密码是: NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将该组 织的一系列攻击行动命名为核危机行动(Operation NuclearCrisis),考虑 到核武器爆炸时会产生蘑菇云,并结合该组织的一些其他特点及360威 胁情报中心对APT组织的命名规则,我们将该组织名为蓝宝菇。 截止2018年5月,360追日团队已经监测到核危机行动攻击针对的境 内目标近30个。其中,教育科研机构占比最高,达59.1%,其次是政 府机构,占比为18.2%,国防机构排第三,占9.1%。其他还有事业单 位、金融机构制造业等占比为4.5%。关键词:蓝宝菇、核危机、APT 目录第一章 综述........... 1第二章 攻击目的和受害分析 ......... 2一、 行业分布2二、 地域分布2第三章 持续的网络间谍活动 ......... 3一、 初始攻击3(一) RLO伪装文档扩展名 .......... 3(二) LNK文件 ..... 5二、 持续渗透6(一) 2011-2012年 .......... 7(二) 2013-2014年 .......... 8(三) Bfnet后门 .. 8(四) 对抗技术 .... 9(五) 插件分析 .... 9三、 C&C分析 ........... 11附录1 360追日团队(HELIOS TEAM) .... 13附录2 360安全监测与响应中心.. 14附录3 360威胁情报中心15 1第一章 综述从2011年开始持续至今,高级攻击组织蓝宝菇(APT-C-12)对我国政府、 军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主 要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。360追日团队捕获的首个蓝宝菇组织专用木马出现在2011年3月左右。 目前已总共捕获该组织恶意代码670余个,这些恶意代码可分为4类RAT, 细分版本为7种。其中,还包括60余个专门用于横向移动的恶意插件,从 功能区分来看也至少有5种。目前已经发现该组织相关的C&C域名、IP数量 多达40余个。由于该组织相关恶意代码中出现特有的字符串(Poison Ivy密码是: NuclearCrisis),结合该组织的攻击目标特点,360威胁情报中心将该组织的 一系列攻击行动命名为核危机行动(Operation NuclearCrisis),考虑到核武器 爆炸时会产生蘑菇云,并结合该组织的一些其他特点及360威胁情报中心对 APT组织的命名规则,我们将该组织名为蓝宝菇。在核危机行动针对中国的网络间谍活动中,下述相关时间点值得关注:1) 2011年3月,首次发现与该组织相关的木马,针对政府相关机构进 行攻击。2) 2011年11月,对某核工业研究机构进行攻击。3) 2012年1月,对某大型科研机构进行攻击。4) 2012年3月,对某军事机构进行攻击。5) 2012年6月,对国内多所顶尖大学进行攻击。6) 2013年6月,对某中央直属机构进行攻击,同时开始使用新类型的 RAT。7) 2014年8月,发现该组织使用5种以上的横向移动恶意代码针对 重点目标机构进行大量横向移动攻击。8) 2014年12月,发现新的RAT,我们将其命名为Bfnet,该后门具备 窃取指定扩展名文档等重要功能。9) 2015年9月,针对多个国家的华侨办事机构进行攻击。10) 2018年4月,针对国内某重要敏感金融机构发动鱼叉邮件攻击。注:以上所述的“首次发现”时间,仅是我们目前已经了解掌握的情况, 不代表我们已经掌握了该组织的全部攻击事件和行为。。。。。。。