您好,欢迎访问三七文档
当前位置:首页 > 临时分类 > 海莲花事件剖析0701
通过数据洞察网络安全海莲花事件剖析APT活动境内感染量首次发现时间昀近发现时间影响省份数影响行业感染方式APT-C-0010472012/42015/5/2229政府、海洋、海事鱼叉邮件、水坑APT-C-012352012/2/152015/4/528政府鱼叉邮件APT-C-02172014/4/32014/6/293科研、教育鱼叉邮件APT-C-031802014/8/12015/4/149教育鱼叉邮件APT-C-0452014/11/32014/12/152非政府组织鱼叉邮件APT-C-05122015/2/122015/3/243政府鱼叉邮件APT-C-0642015/2/242015/3/73科研鱼叉邮件天眼实验室独立发现并监测到的APT攻击情况天眼实验室监测到第三方披露的APT攻击APT活动境内感染量首次发现时间昀近发现时间影响省份数影响行业感染方式Desert_Falcon32014/4/302015/3/33教育鱼叉邮件、水坑GDATA_TooHash42014/6/12014/8/313科研鱼叉邮件Darkhotel3342014/6/12015/3/1929教育、能源、电信鱼叉邮件、网络层劫持DarkSeoul42014/6/52015/1/53电信鱼叉邮件EpicTurla142014/6/122015/3/216科研、教育鱼叉邮件NGO_Attack62014/6/182015/3/136非政府组织鱼叉邮件Dragonfly22014/7/152014/8/191能源鱼叉邮件、水坑APT2812014/8/72014/8/71航空鱼叉邮件Anunak3832014/9/282015/3/2626金融、电信、政府、科研鱼叉邮件CARETO12014/10/282014/10/281政府鱼叉邮件XSLCmd_OSX12014/10/302014/10/301金融鱼叉邮件Waterbug12014/12/312014/12/311政府鱼叉邮件、水坑Snake12015/2/152015/2/151金融U盘Equation12015/4/162015/4/161军工U盘我们观察到的APT攻击已经覆盖全国30多个省市。发现各类免杀木马超过10种,覆盖Windows、Mac和Android平台。均是涉及针对政府、科技、教育、军工、能源和交通多个领域的定向攻击。APT就在身边数字海洋的游猎者360天眼实验室发现,自2012年4月起,国外某黑客组织对中国政府、科研院所、海事机构、海运建设、航运企业等重要领域展开了有计划、有针对性的长期渗透和攻击,代号为OceanLotus(海莲花)。该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播各种恶意程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的核心资料。海莲花事件全貌感染者遍布国内29个省级北京、天津是国内感染者昀多的两个地区捕获木马样本100余个92.3%的感染者在中国北京22.7%天津15.5%广州7.4%重庆5.5%河北5.0%山东4.0%辽宁4.0%广西4.0%海南3.8%福建3.5%台湾2.3%其他22.3%OceanLotus 特种木马感染者地域分布海莲花事件之影响范围为了隐蔽行踪,6个国家注册了域名35个相关服务器IP地址19个分布在全球13个以上的国家美国,5乌克兰,5瑞典,4以色列,3北美地区,2波兰,2尼日利亚,2德国,1法国,1乌克兰,1拉脱维亚,1拉美地区,1瑞典,1不确定,14巴哈马,10美国,4尼日利亚,3巴拿马,1加拿大,1马来西亚,1恶意域名注册地服务器实际所在地OceanLotus组织恶意域名注册地及服务器实际所在地分布海莲花事件之影响范围2012年4月,首次发起攻击2014年5月,国内某海洋机构大规模攻击形成高峰2014年5月,发起第一轮大规模水坑攻击2014年6月,对国内定向目标发起攻击2014年9月,对海域建设相关行业发起第二轮水坑攻击2014年11月,原木马升级为云控木马2015年1月19日,对中国政府某海事机构网站挂马,形成第三轮水坑攻击2015年3月至今,对更多中国政府直属机构发起攻击海莲花事件之攻击成果2012201320142015海莲花事件之攻击方法OceanLotus组织会非常有针对性地挑选目标机构,并收集目标机构人员的邮箱信息,再通过向这些邮箱中投递恶意邮件实现定向攻击。当受害者不小心点击执行邮件附件后,电脑就会感染OceanLotus特种木马,木马与C2服务器相连接后,用户系统由此就落入OceanLotus组织的控制网络中。钓鱼邮件的附件名关于国家***研究中心工程建设的函.exe国家**局的紧急通报.exe最新新疆暴动照片与信息.jpg.exe本周工作小结及下周工作计划.exe***厅关于印发《2014年***应急管理工作要点》的通知.exe2015年1月12日下发的紧急通知.exe商量好的合同.exe***部关于开展2015年***调查工作的通知.exe海莲花事件之鱼叉攻击OceanLotus组织在设置水坑时,主要采用两类方式:一、入侵与目标相关的Web应用系统,替换正常文件或引诱下载伪造的正常应用升级包,以实现在目标用户系统上执行恶意代码的目的;二、入侵与目标相关的Web应用系统后,篡改其中链接,使其指向OceanLotus设置的恶意网址,并在指向的恶意网址上设置木马下载链接。海莲花事件之水坑攻击海莲花事件之木马样本海莲花组织发起攻击,窃取机密情报收集分析人员渗透攻击人员代码开发人员精通中文,了解中国国情,精准定位目标发起攻击窃取机密开发改进病毒木马海莲花事件之组织架构DNS库•40亿DNS解析记录•每天新增2000万•13年whois信息URL库•每天处理100亿条•覆盖国内60%客户端样本库•总样本80亿•每天新增500万漏洞库•总漏洞数超过4万•每天新增可达500个主防库•覆盖4.3亿客户端•总日志数6000亿条•每天新增10亿我们是如何发现的360天眼新一代威胁感知系统可为客户提供未知威胁的发现与回溯功能。➢云端持续分析➢本地实时发现➢问题精准回溯关于天眼海莲花事件之总结谢谢!
本文标题:海莲花事件剖析0701
链接地址:https://www.777doc.com/doc-7219022 .html