《透視APT-賽博空間的高級威脅》
奇安信原創出版書籍- 圖書作者:
- 奇安信威脅情報中心
- 出版商:
- 電子工業出版社
- 發行時間:
- 2019年08月01
網絡安全是一場無休止的攻防戰。十幾年前,網絡安全工作者們普遍關注的是木馬、病毒、掛馬、釣魚等純粹的民用安全問題。之後是移動互聯網、商業、商業系統的安全性問題(入侵、篡改、拖庫、撞庫、個人信息泄露、DDoS攻擊等)。而到了2015年,網絡安全工作者們愛談論的前沿話題是“APT(高級持續性威脅)攻擊”。這是一種針對性和隱蔽性極強的網絡攻擊行為。本書首先從震網病毒講起,然後介紹什麼是APT攻擊,以及發現的攻擊態勢、典型的攻擊事件和影響,帶領讀者深入淺出地瞭解APT攻擊;再從攻擊的技術(包括APT攻擊的目標與平台、武器搭載系統、軟件工具、使用的等),戰術佈陣思路,以及攻防的未來發展趨勢等方面,進一步地介紹APT攻擊;後詳細分析了摩訶草、雙尾蠍、美人魚等APT組織的攻擊全過程。本書可供政企機構管理人員,安全部門工作者,網絡與信息安全相關研究機構研究人員,高等院校相關專業教師、學生,以及其他對網絡空間安全感興趣的讀者學習參考。
奇安信威脅情報中心是奇安信集團旗下專業從事威脅情報研究、產出及相關產品開發的機構。該中心基於奇安信全系列安全產品和開源商業數據源的海量多維度安全大數據,利用基於機器學習的自動化流程,結合安全專家的豐富威脅對抗實踐經驗,形成全方位全鏈條的威脅情報能力。情報中心輸出包括戰術情報、作戰情報和戰略情報,賦能安全產品、安全運營/事件響應團隊、CSO管理層,完善對多種威脅的預防、檢測、分析、響應和處置能力。截止目前,奇安信威脅情報中心已累計截獲境內外APT組織39個,率先披露並獨立命名的APT組織達13個,在國內遙遙,處於APT研究的dy陣營。
1.1網絡武器
1.2震網病毒的潛伏滲透
1.3震網病毒的身世之謎
1.4關於震網病毒的思考
2.1APT的起源
2.2APT的定義與定性
2.3APT與威脅情報
2.4網絡空間對抗的新形態
3.1概述
3.2研究機構與研究報告
3.3APT攻擊目標的研究
4.1烏克蘭聖誕大停電事件
4.2沙特阿拉伯大赦之夜攻擊事件
4.3美國電網承包商攻擊事件
5.1多國銀行被盜事件
5.2ATM機盜竊事件
5.3黃金眼行動事件
6.1DNC郵件泄露與美國總統大選
6.2法國總統大選
第三部分APT組織的技術實戰
7.1戰術目標:敏感情報信息與文件
7.2攻擊目標的系統平台選擇
8.1綜述
8.2導彈:魚叉攻擊
8.3轟炸機:水坑攻擊
8.4登陸艇:PC跳板
8.5海外基地:第三方平台
8.6特殊武器:惡意硬件的中間人劫持
9.1常規武器:專用木馬
9.2生化武器:1day、Nday漏洞的利用
9.3核武器:0day漏洞的在野利用
9.4APT組織武器使用的成本原則
9.5APT攻擊武器研發的趨勢
10.1C&C的地域分佈
10.2C&C域名註冊機構
10.3C&C域名註冊偏好
11.1情報收集
11.2火力偵察
11.3供應鏈攻擊
11.4假旗行動
11.5週期性襲擾
11.6橫向移動
11.7偽裝術
11.8反偵察術
12.1APT組織的發展越來越成熟
12.2APT攻擊技術越發高超
12.3衝突地區的APT攻擊更加活躍
12.4網絡空間已經成為大國博弈的新戰場
12.5針對基礎設施的破壞性攻擊日益活躍
12.6針對特定個人的移動端攻擊顯著增加
13.1如何發現APT攻擊
13.2如何分析APT攻擊
13.3協同聯動的縱深防禦體系
14.1方程式
14.2索倫之眼
14.3APT28
14.4Lazarus
14.5Group123
15.1海蓮花
15.2摩訶草
15.3黃金眼
15.4蔓靈花
15.5美人魚
15.6黃金鼠
15.7人面獅
15.8雙尾蠍
15.9藍寶菇
15.10肚腦蟲
15.11毒雲藤
15.12盲眼鷹
15.13拍拍熊
附錄AAPT組織的人員構成
附錄BAPT組織的命名規則