来自 网络 2021-06-08 03:07 的文章

高防IP_游戏盾隐藏ip的原理_无缝切换

高防IP_游戏盾隐藏ip的原理_无缝切换

ThreatConnect确认中国针对两家公司。经济间谍还是军事情报? 那是最好的时代,也是最坏的时代。尽管俄罗斯针对美国和其他国际组织的先进持续威胁(APT)活动最近占据了头条新闻,但中国的APT参与者却活跃在聚光灯之外。2016年6月,在一家专门从事无人机技术的欧洲消费电子公司和一家为美国政府和国防部建设基础设施的法国能源管理公司的美国子公司的网络内,发现中国APT演员使用定制植入物。中国对欧洲消费型无人机公司的打击行动似乎出于经济动机,也背离了2015年9月美中之间否认经济间谍活动的协议。由于他们与美国军方有牵连,可以说,针对这家能源管理公司的目的是军事情报,而不是经济间谍活动。使用Diamond模型的入侵分析,我们将从分析攻击的技术轴开始,我们发现多个中国APT使用的恶意软件回调到与2015年国歌和OPM漏洞相同的域。我们将以攻击的社会政治轴心为中心,云DDOS防御原理,服务器防御ccddos,讨论受害者如何符合至少一个中国APT的目标定位-尽管我们目前无法将攻击归因于特定的中国APT。 功能:HttpBrowser后门2016年6月8日,ThreatConnect发现一个恶意可执行文件MD5:3BEA073FA50B62C561CEDD9619CD8425。此恶意软件是"HttpBrowser"的变体,多个中国APT使用该后门,包括"使者熊猫"(又名APT27/TG-3390)和"炸药熊猫"(aka APT18/Wekby/TG-0416)。一些报告将HttpBrowser称为GTalk特洛伊木马或"令牌控制"。TrendMicro称,HttpBrowser允许威胁参与者在受损系统上生成反向外壳、上载或下载文件以及捕获击键,类似于其他远程管理工具(RATs)。HttpBrowser的防病毒检测非常低,通常基于启发式签名。报告还指出,HttpBrowser在地下市场上不可用。HttpBrowser后门有几个变体;但是,在这个特定的示例中,信标网络流量非常突出,因为"HttpBrowser/1.0"用户代理字符串被替换为"Mozilla/5.0(Windows;U;Windows NT 5.2)Gecko/%lu Firefox/3.0.1",其中%lu是一个格式修饰符,它在用户代理字符串。恶意软件使用查询字符串"computer=&lanip=&uid=&os=&relay=&data="发送系统信息基础设施:Adobesys[.]com和一个熟悉的注册者 利用ThreatConnect的WHOIS功能,我们确定了恶意软件的硬编码命令和控制域adobesys[.]com是由中国域名经销商和大规模注册人li2384826402[@]yahoo[.]com注册的。该电子邮件地址因注册2015年深熊猫归因国歌和OPM攻击中使用的域而臭名昭著,并提供了将此HttpBrowser活动与中国APT参与者联系起来的额外证据。使用ThreatConnect的Farsight被动DNS集成,我们可以确定adobesys[.]com域托管在两个IP地址-173.231.11[.]24和185.92.222[.]81,而该域很可能是可操作的。另一个域名newsoft2[.]com,在与adobesys[.]com相同的时间段内托管在185.92.222[.]81IP上。WHOIS的信息显示newsoft2[.]com也是由中国注册人注册的(我的名字@gmail[.]com),以及它与恶意adobesys[.]com域的同一位置表明,ddos防御设备部署,它可能是由HttpBrowser活动背后的相同参与者操作的。该活动的指标已在20151228A事件中共享:中国针对欧洲公司的HttpBrowser活动。受害者:两个目标我们向合作伙伴提供了关于恶意软件和adobesys[.]com的线索,该合作伙伴收集了相关的网络流量,并与我们一起分析了活动。在这种情况下,这种活动只针对少数几家公司。我们确定,中国演员使用"HttpBrowser"后门变体,针对一家欧洲消费型无人机公司产品开发的控制系统工程师。流量还帮助我们确定了另一个目标:一家法国能源管理公司的美国子公司,该公司与美国国防部和其他美国政府部门签订了实施能源管理和SCADA解决方案的合同。这两个组织都在这一活动被发现后不久就接到了警报。目前,我们还没有迹象表明他们的数据被盗了。下载我们的白皮书-碎片化:安全管理程序的无声杀手对手:思考熊猫虽然我们无法确定到底是哪个中国APT参与了这一活动,但针对消费无人机公司和能源管理公司与之前的熊猫使者目标最为一致。"使者"和"熊猫炸药"此前都瞄准了国防和航空航天等行业;然而,熊猫使者是已知的两个以能源公司为目标的唯一一个。根据与网络攻击相关的"熊猫攻击"组织(通常称为"安全漏洞"的相关网站)进行攻击的可能性增加。"熊猫使者"还使用鱼叉钓鱼邮件针对特定的受害者。目前,我们不知道是否有人使用SWCs或鱼叉式网络钓鱼电子邮件来针对受害组织。社会政治:讨论可能的动机HttpBrowser的例子激起了我们的兴趣,因为信息安全界高度关注北京是否遵守了2015年9月美中之间关于否认经济间谍活动的协议。这家法国能源管理公司在美国的子公司看起来像是一个巧妙的闪避。这些拥有大量知识产权并与美国政府有牵连的军民两用组织,对中国来说是个诱人的目标,可能会助长各种间谍活动。不过,中国可以声称,ddos防御接入,此类活动构成军事间谍活动,因此不违反奥巴马总统和习近平总统去年9月达成的协议。相比之下,瞄准这家欧洲民用无人机制造商看起来像是一个出于经济动机的间谍活动。世界上最大、最受欢迎的无人机制造商是中国大江创新科技(DJI),高防cc防御,该公司目前占据商用无人机市场份额约70%,2015年5月估值超过100亿美元。由于无人机在农业、测绘和监视等行业的适用性不断提高,使用商用无人机的全球新兴商业服务市场最近估值超过1270亿美元。在这种情况下,中国很可能正在寻求打消任何对DJI市场控制权构成的竞争。在指挥和控制交通中,我们能够确定一名控制系统工程师——有可能获得欧洲公司的专有无人机知识产权和技术数据——是这项活动的一部分,这很可能进一步证明了行动背后的动机。通过获得目标公司的知识产权、敏感通信和产品路线图,中国可以为其青睐的公司提供经济优势,例如:整合竞争对手的独特或专有功能:许多商用无人机依赖于定制软件实现稳定、跟踪和GPS等功能。窃取和整合竞争对手的技术将削弱竞争对手相对于中国无人机的任何优势。抢占竞争对手的创新:在无人机创新上利用受损的知识产权,可以使中国企业在未来产品中超越竞争对手计划引入的产品线,从而推进自己的产品线。抢占竞争对手的财务或定价举措:在一个价格战和欺诈可能对竞争产生重大影响的行业中,掌握竞争对手计划如何为其无人机定价的内幕消息,可以在试图压低无人机价格和窃取市场份额方面占上风。了解竞争对手的业务和发展计划或投标努力:关于竞争对手计划如何扩大业务、扩大制造、营销其产品或投标合同的内幕信息,都可以帮助中国无人机公司获得比竞争对手更大的优势。经济间谍活动的演变?虽然中国网络经济间谍活动可能不那么明显,但它几乎肯定没有结束,而且很可能已经演变成帮助巩固主要市场份额。从某种程度上讲,巩固市场上占主导地位的中国公司就像是经济间谍活动的下一个篇章。中国经济间谍活动的总体情节一直是针对战略性产业,并让中国赶上老牌企业。中国针对美国钢铁制造商的APT努力可能促进了中国全球钢铁产量从2000年的15%上升到2015年的50%。中国可能正试图避免美国政府的愤怒,因为它的目标是总部设在其他地方的组织。此外,中国还可能试图提高效率,因为它将收集工作重点放在满足多种情报需求的组织上。以这些组织为目标可以让中国将他们的活动解释为非经济间谍活动,从而遵守《玫瑰园协定》(Rose Garden agreement)。