网蝎警情(三):某重要机构网络病毒样本情报

网思科平智能防御体系目前已经在诸多领域进行部署,包括金融、能源、政府、国防和运营商等重点行业。通过防御体系监测诸多攻击风险,现简要分享如下。

本警情只提供概述性描述,具体的样本,报告和IOC等详细信息请联系公司客服。

一.APT-达拉斯小猎鹰被发现

事件地点  某重要机构

事件时间  9/26/2016

样本类型  APT-网络特种木马

事件关联  未公开

事件描述

该重要机构工作人员向我司求助,他们发现多台终端流量异常,在得到授权情况下我司安全人员通过技术手段截获了一批可疑文件,而在之后的警情分析过程中,通过对样本详细分析并结合相关的威胁情报,发现该样本隶属于某国某情报部门,此APT样本长期潜伏于该重要机构内部,并窃取机密文件,其主体有非常强的隐藏与反调试手段,主体接收模块执行其它恶意行为。

APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。这使得windows设备成为越来越多的攻击者的目标。通过部署网思科平智能防御体系,能够大幅提升网络系统的安全性,做到未雨绸缪。