资料列表
Preview Name 作者 Date File info
360烽火实验室 2018-07-26 13:13:41
  • 附件: 1 个
  • 大小: 0.5 M
  • 蓝宝菇(APT-C-12)核危机行动揭露
  • 目录

    • 第一章
    • 第二章 攻击目的和受害分析
      • 一、行业分布
      • 二、地域分布
    • 第三章 持续的网络间谍活动
      • 一、初始攻击
        • (一)RLO伪装文档扩展名
        • (二)LNK文件
      • 二、持续渗透
        • (一)2011-2012年
        • (二)2013-2014年
        • (三)Bfnet后门
        • (四)对抗技术
        • (五)插件分析
      • 三、C&C分析
    • 360 追日团队(HELIOS TEAM)
    • 360安全监测与响应中心
    • 360 威胁情报中心
追日团队、360威胁情报中心 2018-07-17 02:22:56
  • 附件: 2 个
  • 大小: 3.53 M
美国西北大学教授 IEEE FEllOW Yan Chen 2018-06-05 06:49:21
  • 附件: 1 个
  • 大小: 1.71 M
  • 威胁情报是高级威胁防御的灵魂
  • APT(AdvancedPersistent Threat)——–高级持续性威胁。是指组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击威胁企业数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。此类攻击行为是传统安全检测系统无法有效检测发现,前沿防御方法是利用非商业化虚拟机分析技术,对各种邮件附件、文件进行深度的动态行为分析,发现利用系统漏洞等高级技术专门构造的恶意文件,从而发现和确认APT攻击行为。

    如何利用好威胁情报?在SOC环境中建立威胁情报功能,这是在日常的SOC操作强制性的指导和协助SOC分析师进行分析,并与业务和风险办公室对接,确保在风险和威胁方面,维持用户暴露于最低限度不变。同时,威胁情报分析工作应涵盖情报功能的完整连续性。

    • 高级可持续性威胁(APT)是怎么回事
    • 为何一直检测不到?样本的唯一性
    • 高级可持续性威胁(APT)在内网横向移动怎么办
    • 威胁情报功能设计与实施
    • 威胁情报分析工作应涵盖情报功能的完整连续性
    • 威胁情报运营模型
    • Fortinet威胁情报输入
    • Fortinet威胁情报输出
    • Fortinet威胁情报平台设计架构
    • Fortinet威胁情报平台闭环
Fortinet 华东区资深技术顾问 王哲闻 2018-06-01 10:12:31
  • 附件: 1 个
  • 大小: 3.16 M
  • 在野0day揭秘:威胁情报感知发现APT攻击
  • 360追日团队专注APT等高级威胁的研究,致力于发现和披露更多的APT组织或行动,截至目前已经发现三十多个APT组织。边亮在演讲中介绍到,近期360追日团队观察到的APT攻击覆盖着全国30多个省市,发现各类免杀木马数十种,覆盖Windows、Mac、Android、Linux平台,均是涉及针对政府、科技、教育、军工、能源和交通多个领域的定向攻击。网络攻击可以从任何一个薄弱点发起并已逐渐自动化和智能化,安全响应速度要求越来越快,但面对海量安全事件,人力无法及时有效地分析处理。

    基于云端大数据,利用大数据分析挖掘、高级威胁沙箱检测、机器学习及专家分析构成的威胁情报,可以有效的协助完成完全事件的定性与溯源。在演讲中,边亮还分享了追日团队捕获的在野0day漏洞、噩梦公式二代漏洞、双杀漏洞的案例以及著名的摩诃草APT攻击组织。

    • 全球在野0day攻击趋势与挑战
    • 基于大数据的高级威胁感知技术
    • 自主捕获的0day和APT攻击案例
360核心安全追日团队负责人 边亮 2018-06-01 10:08:07
  • 附件: 1 个
  • 大小: 4.45 M
  • 安全事件的发现、分析、响应及取证
  • APT时代,“我们是否已被入侵,敏感信息是否已泄露”,是CEO们越来越担心的问题。第一时间发现入侵事件,评估影响,合理应对,是企业安全部门的职责。如何利用技术手段解决企业安全部门的困难,消除CEO们的担心?周宏斌先生以自己公司实际遇到的一次攻击事件为例,向在场的观众分享了他们对此次攻击事件的发现、分析与应急处理的过程。

    • 生活中的故事
    • 网络中的案例
    • 兰云的实践
兰云科技 高级副总裁 周宏斌 2018-06-01 10:05:14
  • 附件: 1 个
  • 大小: 1.49 M
  • APT实践分享:基于机器学习的隐蔽信道检测从0->1
  • 企业内网环境中,DNS协议是必不可少的网络通信协议之一,网络设备和边界防护设备在一般的情况下很少对DNS进行过滤分析或屏蔽,因此将数据或指令藏匿于DNS协议中进行传输是一种隐蔽且有效的手段。这类手段常用于APT中维持访问和数据窃取阶段。在实际场景中,当攻击者拿下某台服务器权限,或服务器被恶意软件、蠕虫、木马等感染之后,通过建立DNS隧道从而达到敏感信息盗窃、文件传输、回传控制指令、回弹Shell等目的。

    相比于基于规则的静态阈值检测误报高,易被绕过等问题,可以使用机器学习技术从历史数据中学习出一个DNS隧道模式用于检测。使用机器学习构建DNS隧道检测模型,重要步骤是对DNS隧道流量进行特征挖掘分析,需要以DNS协议标准中各字段的统计分析、DNS隧道实现原理为基础,同时结合安全专家知识提取模型特征。在机器学习算法模型选择方面,鉴于在安全检测类产品中要求模型具有高效性、结果便于解释性等特点,在模型选取上更侧重选用一些基于特征的浅层学习模型。

    Agenda

    • APT - 隐蔽信道
    • APT - Deep Info DNS Convert Channel
    • 实践 - DNS TUNNEL Detection & Machine Learning
    • 实践 - 工程(框架&流程),0 -> 1
斗象科技 技术总监 徐钟豪 2018-06-01 10:02:58
  • 附件: 1 个
  • 大小: 3.55 M
  • 威胁情报与卡巴斯基威胁情报中心
  • 针对企业的定向攻击所具有的技战术多样、过程复杂等特点使得传统的单纯从防御角度出发的防护手段已经力不从心。除传统的被动防御手段外,企业可以利用威胁情报主动地对威胁形势进行预判、感知从而采取预防性的部署。而攻击者对技战术、工具的复用也使得威胁情报可以有效抵御攻击。

    • 卡巴斯基安全服务
    • 卡巴斯基威胁情报中心
    • 威胁情报源
    • 威胁数据馈送
    • 威胁数据支持多种平台
    • 卡巴斯基威胁查询
    • 内部报告
    • 卡巴斯基APT报告
    • Pyramid of paini
    • 威胁情报报告中的TTP
    • 将TTP转化为检测能力
卡巴斯基实验室 亚太区病毒中心负责人 董岩 2018-06-01 09:59:24
  • 附件: 1 个
  • 大小: 3.44 M
  • 企业反APT构想
  • 知其然而后知其所以然,王延辉先生首先为我们通俗易懂的讲解了APT攻击的几个主要阶段。首先是目标侦察,APT团队首先会尽可能全面的收集企业资产信息,为后续找到安全漏洞提供基础;第二是寻找漏洞弱点进行外网渗透,获取权限并找到内网通道。随后开始对内网进行渗透;进入内网,攻击者可以开始搜寻目标,获取必要的网络拓扑、目标任务、目标系统位置等;找到目标后,就要进行一个细致重要的工作,信息外传,攻击者要避开监控系统,找到一条安全的外网通道将信息送出;最后根据任务特性,决定是否继续潜伏。

    APT攻击常常是蓄谋已久的,企业该如何应对处心积虑的对手呢?从源头抓起,在目标侦察阶段,就要尽最大可能减少资产信息的暴露。企业可以尝试从暗网、常规的论坛、微信、qq、资讯网站、出入站流量匹配、github等代码托管平台的监控,通过外部的威胁情报来获取潜在的攻击信息。除此之外,防御APT攻击我们还可以做些其他的尝试,比如比较有效的主机防御系统,HIDS。对于流量的解析。另外一个比较有效的是密网,也叫诱饵。就是在网络内部署独立的诱饵系统,多处部署诱饵,把攻击者引导到密网系统中。

    • 现状
    • APT攻击流程
    • 外部威胁情报
    • 安全的技术全景图
    • 以史为镜-历史安全漏洞
    • 资产
    • 资产-系统
    • APT攻击防御的其他问题
    • 以史为镜-历史安全事件&历史安全问题备忘录
    • 员工风险看板
    • 精简版APT攻击防御的其他问题
    • 企业如何看待APT攻击
平安集团 银河实验室负责人 王延辉 2018-06-01 09:40:35
  • 附件: 1 个
  • 大小: 2.09 M
  • 全球关键信息基础设施网络安全 状况分析报告(2017)
  • 目 录

    • 导 语
    • 第一章 各国对关键信息基础设施的界定
      • 一、 中国
      • 二、 美国
      • 三、 俄罗斯
      • 四、 德国
      • 五、 英国
      • 六、 五国对比
    • 第二章 关键信息基础设施面临的安全威胁
      • 一、 综述
      • 二、 金融
        • (一) SWIFT攻击
        • (二) ATM机与POS机攻击
        • (三) 信息泄露
        • (四) 恶意软件
        • (五) 网络诈骗
        • (六) DNS劫持
        • (七) DDOS攻击
        • (八) 勒索软件
        • (九) 其他网络攻击
        • (十) 内鬼
      • 三、 能源
        • (一) 信息泄露
        • (二) 破坏性攻击
        • (三) 扰乱性攻击
        • (四) 智能电网风险
      • 四、 通信
        • (一) 断网威胁
        • (二) 信息泄露
      • 五、 工业系统
        • (一) 黑客攻击
        • (二) 安全漏洞
      • 六、 教育
        • (一) 信息泄露
        • (二) 网站篡改
        • (三) DDOS攻击
      • 七、 交通
        • (一) 民航(航空)
        • (二) 铁路
        • (三) 智能汽车
        • (四) 海事
      • 八、 医疗卫生
        • (一) 信息泄露
        • (二) 设备漏洞
        • (三) 恶意程序
    • 第三章 针对关键信息基础设施的APT攻击
      • 一、 针对能源系统的破坏
        • (一) Patchwork事件
        • (二) 全球企业依然面临APT32(海莲花)间谍组织的威胁
        • (三) 越南黑客组织APT32瞄准亚洲国家,成为威胁领域 “最先进” 网络犯罪团伙之一
      • 二、 针对金融系统的犯罪
        • (一) FIN7的攻击再次遭受重创
        • (二) ATM机盗窃事件
        • (三) BlueNoroff/Lazarus:银行劫案的演变
360威胁情报中心 2018-05-23 02:23:36
  • 附件: 1 个
  • 大小: 5.85 M