微步威胁情报云:实战案例与SWEED团伙剖析
需积分: 27 139 浏览量
更新于2024-07-16
1
收藏 10.79MB PDF 举报
在网络安全分析与情报大会上,微步在线安全分析团队负责人樊兴华分享了题为《微步威胁情报云探秘与实战案例》的PPT。该演讲深入探讨了威胁情报云在实战中的应用,特别是针对名为"SWEED团伙"的案例。SWEED团伙是一个网络犯罪组织,他们的操作流程包括:
1. **目标准备**:团伙会创建仿冒域名(如up.b591.com, b591.com等),用于欺骗受害者,同时开发AgentTesla木马以进行窃密活动。
2. **攻击准备**:他们会利用流行Office漏洞进行钓鱼攻击,一旦漏洞被触发,就加载AgentTesla木马到受害者设备上。
3. **鱼叉式钓鱼**:发送伪装成真实交易的电子邮件,诱骗受害者点击含有恶意链接或附件的邮件,进而实现对受害者电脑的控制,并通过FTP获取敏感信息,如屏幕截图、账户信息等。
4. **监控与诈骗实施**:团伙会监控受害者的活动,发现交易邮件后,会假冒交易对象发送虚假邮件,更改收款账号,从而实施诈骗。
微步在线威胁情报云提供了强大的工具,能够追踪和分析大量的网络行为。它涵盖了数百万每日新增的域名,累计数百亿的域名信息,包括历史Whois记录、PDNS数据、NetFlow流量数据、DNS解析以及沙箱样本检测。这些数据不仅有助于检测已知攻击,还能揭示黑客资产的复用和聚集模式,通过网络层面的关联关系洞察威胁。
例如,云服务可以追踪到SWEED团伙使用的特定IP地址(如4.4.4.4, 3.3.3.3)以及与之相关的哈希值(如123a…cde),进一步揭示他们的行动路径。通过长达8年的PDNS数据和17年的Whois历史记录,可以追踪到每次域名注册和变更,从而了解黑客活动的时间线。
微步威胁情报云还提供全球范围内的网络空间探测,实时更新42亿IP的信誉信息,以及端口、证书、协议等通用信誉数据,使得安全分析师能够从宏观和微观两个层面全面理解威胁。每天新增的百万级样本和数十亿历史样本,构成了一个庞大的威胁情报数据库,有助于预防和应对各种类型的恶意活动。
樊兴华的分享强调了威胁情报云在实战中的关键作用,它通过汇集和分析大量网络数据,帮助网络安全专家洞悉黑客行为模式,提前预警和防御潜在威胁。这种基于云端的威胁情报管理是现代网络安全策略不可或缺的一部分。
2019-08-13 上传
2019-12-03 上传
2023-04-01 上传
2024-01-18 上传
2024-01-18 上传
2024-01-18 上传
2024-01-18 上传
2024-01-18 上传
2024-01-18 上传
mooyuan天天
- 粉丝: 291
- 资源: 52
最新资源
- 多模态联合稀疏表示在视频目标跟踪中的应用
- Kubernetes资源管控与Gardener开源软件实践解析
- MPI集群监控与负载平衡策略
- 自动化PHP安全漏洞检测:静态代码分析与数据流方法
- 青苔数据CEO程永:技术生态与阿里云开放创新
- 制造业转型: HyperX引领企业上云策略
- 赵维五分享:航空工业电子采购上云实战与运维策略
- 单片机控制的LED点阵显示屏设计及其实现
- 驻云科技李俊涛:AI驱动的云上服务新趋势与挑战
- 6LoWPAN物联网边界路由器:设计与实现
- 猩便利工程师仲小玉:Terraform云资源管理最佳实践与团队协作
- 类差分度改进的互信息特征选择提升文本分类性能
- VERITAS与阿里云合作的混合云转型与数据保护方案
- 云制造中的生产线仿真模型设计与虚拟化研究
- 汪洋在PostgresChina2018分享:高可用 PostgreSQL 工具与架构设计
- 2018 PostgresChina大会:阿里云时空引擎Ganos在PostgreSQL中的创新应用与多模型存储