深度分析及防护加密木马攻击, 海莲花? 下载后可任意编辑Content攻击: 是谁? 3海莲花3样本分析3攻击: 是木马还是 APT 27木马特性27APT 特性 27要关注的事情29防护: 思路转换29怎么理解29怎么做31防护: NGTP 方案31完整部署32简化部署32产品部署33终端防护34威胁情报34关于绿盟科技35内容导读随着匿名者攻击事件的跟踪分析走向深化, 5 月 28 日, 又一系列针对中国的攻击行为浮出水面。这个被大家称为”海莲花”组织所实施的攻击, 其攻击特性是怎样的, 到底是单纯的木马, 还是 APT? 随之而来的攻防思路会发生怎样的转变? 用户又该如何应对? 本报告从此次攻击事件中截获的典型木马样本入手, 分析其攻击行为, 对比木马及APT 的特性, 为用户思考下一步的应对方案, 给出了转变思路的攻防模型, 提出未来攻防战中胜负推断标准及进展方向, 并推举了应对此次攻击的解决方案及实施步骤。在看完本报告后, 假如您有不同的看法, 或者需要了解更多信息, 请联系: •绿盟科技威胁响应中心微博 • •绿盟科技微博• •绿盟科技微信号•搜索公众号 绿盟科技下载后可任意编辑攻击: 是谁? 绿盟科技威胁响应中心一直在持续关注网络攻击事件并进行跟踪分析, 这些攻击事件中有来自国内的, 也有来自国外, 如同现实社会中的恐怖主义一样, 有些事件会有组织公开承认, 比如匿名者( Anonymous) , 但也有一些事件是没有组织对其负责的, 这些事件绿盟科技的专家会用相关的模型进行分类讨论, 其中的一个参考指标就是其攻击行为及惯用的攻击形式。海莲花 5 月 28 日, 一系列针对中国海事机构的攻击行为浮出水面, 业界有传攻击事件涉及 30多个国家, 事后未有组织声称对这些攻击事件负责, 但其中能够看到的是, 相关海事机构的攻击大多数来自木马。假如说这些攻击是来自某个黑客组织, 那么这个组织无疑是比较低调的, 低调到没看到其公开的命名。可能是由于这些攻击目标常涉及中国的海事及相关机构 , 某公司将其命名为”海莲花”, 但考虑到这些攻击的一些特性, 1 多采纳木马, 2 多针对海事机构, 3 攻击有一定的数量, 4 假如存在这个组织, 她们很低调, 那可能使用海马( Seahorse) 称呼她们更为贴切。下载后可任意编辑样本分析绿盟科技威胁响应中心在日常监测中猎取到了该组织的一些木马样本, 考虑到国内用户的使用习惯, 选择了一个具有代表性的加密木马( Encrypting Trojan horse) 进行分析, 经过分...