微步威胁情报云：实战案例与SWEED团伙剖析

在网络安全分析与情报大会上，微步在线安全分析团队负责人樊兴华分享了题为《微步威胁情报云探秘与实战案例》的PPT。该演讲深入探讨了威胁情报云在实战中的应用，特别是针对名为"SWEED团伙"的案例。SWEED团伙是一个网络犯罪组织，他们的操作流程包括： 1. **目标准备**：团伙会创建仿冒域名（如up.b591.com, b591.com等），用于欺骗受害者，同时开发AgentTesla木马以进行窃密活动。 2. **攻击准备**：他们会利用流行Office漏洞进行钓鱼攻击，一旦漏洞被触发，就加载AgentTesla木马到受害者设备上。 3. **鱼叉式钓鱼**：发送伪装成真实交易的电子邮件，诱骗受害者点击含有恶意链接或附件的邮件，进而实现对受害者电脑的控制，并通过FTP获取敏感信息，如屏幕截图、账户信息等。 4. **监控与诈骗实施**：团伙会监控受害者的活动，发现交易邮件后，会假冒交易对象发送虚假邮件，更改收款账号，从而实施诈骗。 微步在线威胁情报云提供了强大的工具，能够追踪和分析大量的网络行为。它涵盖了数百万每日新增的域名，累计数百亿的域名信息，包括历史Whois记录、PDNS数据、NetFlow流量数据、DNS解析以及沙箱样本检测。这些数据不仅有助于检测已知攻击，还能揭示黑客资产的复用和聚集模式，通过网络层面的关联关系洞察威胁。 例如，云服务可以追踪到SWEED团伙使用的特定IP地址（如4.4.4.4, 3.3.3.3）以及与之相关的哈希值（如123a…cde），进一步揭示他们的行动路径。通过长达8年的PDNS数据和17年的Whois历史记录，可以追踪到每次域名注册和变更，从而了解黑客活动的时间线。 微步威胁情报云还提供全球范围内的网络空间探测，实时更新42亿IP的信誉信息，以及端口、证书、协议等通用信誉数据，使得安全分析师能够从宏观和微观两个层面全面理解威胁。每天新增的百万级样本和数十亿历史样本，构成了一个庞大的威胁情报数据库，有助于预防和应对各种类型的恶意活动。 樊兴华的分享强调了威胁情报云在实战中的关键作用，它通过汇集和分析大量网络数据，帮助网络安全专家洞悉黑客行为模式，提前预警和防御潜在威胁。这种基于云端的威胁情报管理是现代网络安全策略不可或缺的一部分。