“折纸”行动：针对南亚多国军政机构的网络攻击

横向移动
通过可移动介质复制：放置诱饵文件至U盘根目录；
写入远程文件共享：放置诱饵文件至网络驱动器根目录
收集
从本地系统收集：多款木马支持从本地搜集信息和文件
命令与控制
发送命令：多款木马支持多种指令功能
利用远程shell：多款木马支持执行CMD或shell命令
渗出
通过C2信道发送：窃取的文件和信息通过C2通道渗出；
通过物理方法传输：通过外携U盘的隐藏目录突破内网隔离。
7、小结
        这是一系列持续至少两年的网络攻击活动，主要针对巴基斯坦军事、政府、教育等机构。从技术能力上看，攻击者的技术粗糙、手法简单粗暴，但社工技巧纯熟，方式多样，采用撒网式的大规模邮件投递攻击方式，同时样本也有一定的向内网，包括隔离网内进行摆渡攻击的能力。相关攻击带有明显的情报窃取意图。从该系列攻击活动中可以看出，带有社工伪装的恶意邮件依然是APT攻击的重要入口，同样也是国内用户需要关注的风险敞口。看起来粗糙的攻击方式，往往更能够暴露出防御的缺陷。从边界、流量和分析侧完善恶意代码检测能力，完善电子邮件系统的安全防御能力，增强端点主防能力，都是应对相关攻击需要完善的防御点。
 

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] 

 9/10   首页 上一页 7 8 9 10 下一页 尾页