欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

APT28进化史

b9e08c31ae1faa592020-09-2283新闻

APT28 是一个有名的俄罗斯黑客构造,有研究职员剖析称该构造隶属于俄罗斯军事谍报构造GRU。APT 28也称做Sofacy Group、STRONTIUM,重要进击目的为航空、国防、政府机构和国际构造。本文剖析关于APT 28的一些研究成果。

进击时候轴

下图是APT 28从2008年入手下手生长的时候和事宜轴。

APT28进化史  新闻 第1张

APT28时候轴

依据unit 42、FireEye和TALOS的剖析,APT 28从2012年到2019年之间异常活泼。但这些进击运动中最严峻的进击发生在2018和2019年之间。本文重点关注3个重要范畴:兵器化、流传和装置。

兵器化

兵器化是一种PRE-ATT&CK手艺。是指为庞杂进击举行所做的准备运动。一切的基础设施、样本、C2、域名和IP、证书、库和其他进击阶段之前的操纵都属于该阶段。谍报、交互、信息网络等并不在兵器化阶段,由于属于ATT&CK框架中。

APT28进化史  新闻 第2张

兵器化时候轴

依据兵器化的时候轴剖析,研究职员发明能够分为3个部份。从2017年到2018年终,APT28运用特定的手艺,如T1251, T1329, T1336, T1319。猎取第三方基础设施、装置和设置硬件网络体系、运用第三方殽杂库能够下降人力斲丧。从2018年终到2018年中,兵器化链转到了T1314, T1322 和 T1328。这些手艺的运用表明该构造从外部专业资本和硬件为中间的手艺转为内部专业资本。从2018年10月到2019年3月,APT 28运用了完整差别的兵器化手艺:T1345。这些本身开发的才表明APT 28在走两条完整差别的线路。

Delivery

Delivery是指进击者布置初始的内容到受害者的体式格局。换句话说,delivery是指从感染链入手下手进击者怎样抵达受害者。换句话说,流传向量平常是只要网络安全研究职员才发明。平常来说,剖析职员不可能纪录和追踪每一个进击阶段,而只能追踪一部份——也就是delivered artifact。追踪这些变化能够协助网络安全剖析职员相识进击者,如比较代码、编码作风和手艺的相似性和差别。

猜一猜,一部苹果手机统共须要设置几层暗码?

一部iPhone,总共需要设置几层密码?  1.屏幕锁定密码(打开iPhone的密码); 2.iCloud密码(苹果账号密码); 3.iTunes备份密码(保护电脑上的备份); 4.屏幕时间密码(同时保护你的设备和帐户) 5.一次性密码(双因素身份验证需要用到) 屏幕锁定密码 这是最重要、最复杂的密码。默认情况下,屏幕锁定密码的长度为6位。虽然你可以在不设置密码的情况下使用你的设备,但这样做会限制你使用iPhone的一些功能,比如Apple Pay。没有屏幕锁定密码,你就无法将网站密码、信息和健康数据同步到iCloud。 如果忘记你的屏幕锁定密码,该怎么办? 如果你是一个普通用户,你将无法解锁你的iPhone。不过,你可以重置iPhone,但这会删除其中的所有数据。成功重置了iPhone后,你的iCloud密码也需要重置。 你可以通过刷机来重置屏幕锁定密码,不过你需要你的iCloud

下图中给出了差别时候段delivery的变化。

APT28进化史  新闻 第3张

delivery时候轴

APT 28最常运用的破绽应用包含:

CVE-2017-0144 , CVE-2013-3897, CVE-2014-1776, CVE-2012-0158, CVE-2015-5119, CVE-2013-3906, CVE-2015-7645, CVE-2015-2387, CVE-2010-3333, CVE-2015-1641, CVE-2013-1347, CVE-2015-3043, CVE-2015-1642, CVE-2015-2590, CVE-2015-1701, CVE-2015-4902, CVE-2017-0262, CVE-2017-0263
CVE-2014-4076, CVE-2014-0515

应用的破绽重要进击的是Windows体系、Adobe Flash和Oracle。在过去几个月,研究职员发明应用Microsoft Office破绽开释第二阶段payload的状况有所增加。

装置

体系驻留能够经由历程很多体式格局完成,比方周期性地应用RCE破绽,歹意软件进击的驻留也就做装置(installation)。本文的发明重如果基于歹意软件的,因而运用装置比驻留越发合理。装置历程在感染链中处于症结的职位。由于开发者团队越发关注运用新特性来改良现有的模块而非修正装置框架,因而开发者团队并未跟着时候的推移来修正装置历程。下图是装置历程跟着时候推移的变化:

APT28进化史  新闻 第4张

装置时候轴

在2018年终,最经常使用的手艺是T1055, T1045, T1064, T1158和T1037。换句话说,最有影响力的才是基于Logon剧本和JS/WB剧本的。从2018年中,该构造入手下手运用PowerShell(T1086 和T1140),2019年终入手下手运用高等开发手艺如T1221, T1204, T1045, T1047, T1112。

结论

APT 28构造所运用的手艺在不停进化和生长。该构造的生长修正了很多TTP(计谋、手艺和历程),本文中剖析了装置、Delivery和兵器化。该构造的进化历程当中还增加了开发、殽杂和绕过等手艺。

本文翻译自:https://marcoramilli.com/2019/12/05/apt28-attacks-evolution/

网友评论

1条评论
  • 2020-09-22 00:01:09

    联博统计www.xxzs1998.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。人有多少啊