qq3250845

1、攻击技术和工具

从公开披露的APT组织中分析发现，APT29组织具备极高的攻击技术水平，共掌握123项攻击技术且其中7项技术为该组织所独有。深入挖掘发现APT29其独有的攻击技术主要集中在获取初始权限之后的内网行为，包括：利用组策略首选项漏洞获取用户凭据（T1552.006）、利用已经窃取的账户密码信息进行MFA注册并接管MFA休眠账户（T1621）以及2022年才披露的“凭据跳跃”（Credential Hopping）技术，这些手法均极为少见且具备高度隐蔽性。

2、攻击行为和模式

本次APT研究年鉴基于公开情报数据，结合参考ATT&CK将APT攻击流程进行简单地抽象，大致分为6个攻击阶段，如下图。



APT组织的攻击策略主要体现在各阶段中使用的具体技术，如初始阶段从统计上看，70%的APT组织使用的各类钓鱼手法（附件、链接、社交媒体等钓鱼等），仅8%的组织通过暴露在互联网上的资产漏洞进行入侵。因此对于APT的初始阶段攻击仍将重点放在邮件防护上。

又如在命令与控制阶段（攻击者已经获取目标网络权限），相比2021年，越来越多组织利用合法Web服务（如Slack、Google Drive、Microsoft Graph、OneDrive、Dropbox等）将C2通讯流量隐藏其中。其次APT组织将编码加密后的C2信息存储在合法站点如：博客文章、推文、视频标题简介等，这样将C2配置信息隐藏在合法的Web请求中，也能十分便利地动态更新C2。由此可见APT组织与受控目标间的通讯不能只依靠传统异常流量检测思路，更需要结合业务场景进行深入分析。

3、攻击目标和受害者

我国在2022年遭受APT攻击22起，涉及APT组织16个。针对我国的APT组织主要集中在美国以及越南、印度等东南亚地区。其中披露最多的是APT-C-40，其次是老牌越南组织APT32。从行业分布看，APT组织攻击集中于政府、国防、科研等重要领域，结合报告中披露的攻击意图可以看出境外APT组织以窃取我国关键技术成果为主要目标。

4、APT组织间的关系

从2022年披露的组织情报数据分析发现，部分APT组织使用了恶意软件即服务（MaaS），如Tropical Scorpius和UAC-0132组织使用自定义后门分发Cuba勒索软件。MaaS的使用提高了APT组织的攻击效率，但同时为防守者提供了更多的特征信息进行追踪溯源。

5、防御策略

我们将APT组织画像特征以及基于情报和大数据的APT归因追踪技术集成到我们威胁情报平台（NTIPN），提供APT/恶意家族/攻击团伙活跃情况的实时监控以及攻击链场景还原分析，支持自动化的攻击组织分析周报输出。



结合APT组织研究年鉴中提到的APT攻击技术手段分析、入侵套路等内容，给用户提一些预防措施和建议：



1、多层次防御：采取多层次的安全措施，包括防火墙、入侵检测系统（IDS）和入侵防御系统（IPS）。这些工具可以监控和阻止异常流量和潜在攻击。

2、安全意识培训：培训员工识别社交工程和钓鱼攻击，并加强他们对安全最佳实践的认识。人员是网络安全防护的一个重要环节。

3、监控和审计：实施全面的网络流量监控和日志审计，以及实时监控安全事件。这样可以及早发现和响应异常行为。

4、加密和认证：使用强大的加密技术来保护数据的传输和存储。同时，采用双因素认证（2FA）或多因素认证（MFA）可以增加账户和系统的安全性。

5、及时更新和补丁：及时更新操作系统、应用程序和安全软件，确保系统处于最新和安全的状态。漏洞的修复和安全补丁的及时安装是防范攻击的关键。

6、威胁情报：定期获取和分析威胁情报，了解最新的攻击技术和APT组织的行为模式，以便更好地调整防御策略。

qq3250845

好好努力的工作，争取业绩更上一层楼

qq3250845

每天进步一点点

qq3250845

努力再多一点

qq3250845

厚德才能载物

qq3250845

好好的工作

qq3250845

厚德才能载物

qq3250845

好事多磨

qq3250845

............

qq3250845

诚信服务