目录导航
Modern Asian APT groups TTPs report
几乎每个季度都会有人发表主要研究成果,重点关注涉及亚洲 APT 组织的活动或事件。这些活动和事件针对多个行业的各种组织。同样,受害者的地理位置也不仅仅局限于一个地区。此类研究通常包含有关 APT 参与者使用的工具、他们利用的漏洞的详细信息,有时甚至包含特定的归因。尽管此类报告数量众多,但公司通常仍未准备好面对此类攻击者。凭借当今威胁行为者使用的先进工具和技术,网络安全专业人员不仅需要高水平的专业知识和丰富的经验,还需要由组织良好的资产管理和漏洞管理流程、网络分段、微调审计和智能配置的数据安全工具。在大多数情况下,未做好准备的基础设施是亚洲 APT 组织成功实施攻击的主要因素。
在本报告中,我们分享了我们收集到的有关亚洲 APT 组织的最有价值的情报。在我们的工作过程中,我们注意到这些组织攻击了最多的国家和行业。最重要的是,我们对数百次攻击的分析揭示了不同群体之间的类似模式。他们使用世界各地安全专业人员遇到的常见但数量有限的技术,在网络杀伤链的各个阶段实现特定目标。不幸的是,安全团队通常很难在自己的基础设施中检测到这些攻击。
本报告的目标受众
我们创建这份报告的目的是为网络安全界提供最充分的情报数据,以有效对抗亚洲 APT 组织。这份报告将对以下方面最有帮助:
- SOC 分析师
- 网络威胁情报分析师
- 威胁狩猎专家
- 数字取证 (DFIR) 专家
- 网络安全专家
- 域管理员
- 负责公司网络安全的 C 级高管
该材料可以作为亚洲 APT 组织在攻击基础设施时使用的主要方法的知识库。该报告还包含基于 MITRE ATT&CK 方法的攻击者策略、技术和程序 (TTP) 的详细信息。
报告的结构
本报告由六个主要部分组成:
- 全球不同地区涉及亚洲 APT 组织的事件
有关我们在世界不同地区发现的五起独特事件的信息。每起事件都是特定国家和行业内的独特案例,我们提供肇事者的行为和 TTP 的描述。在每个部分的末尾,我们整理了一个综合表,显示 TTP 列表(与我们在这些事件中遇到的 APT 组相关)及其在这些事件中的重叠使用。 - 技术细节
我们在亚洲 APT 组织进行的攻击中检测到的各项技术的详细描述。每种技术包含以下内容:- 主要说明。有关特定技术如何工作的技术细节。
- 程序示例。我们在亚洲 APT 组织的攻击中检测到该技术的示例实现。
- 有关用于检测所描述技术的方法的数据,以及用于检测特定威胁的各种监控代理中的事件的 EventID。
- 西格玛规则。与该技术相关的 SIGMA 规则列表。实际的SIGMA规则可以在附录中找到:SIGMA。
- 基于统一杀伤链的攻击者行为分析
我们使用统一杀伤链模型创建了自己的与亚洲 APT 组织相关联的表,以便我们可以从高层次上了解这些攻击者的动机和行为模式,并提供有关亚洲 APT 组织在进行潜在攻击时可能采取的步骤的数据。 - 缓解措施
为缓解与所述 TTP 相关的风险而采取的措施。 - 受害者统计
统计数据 全球亚洲 APT 组织受害者的综合统计数据以及按国家和行业分类的数据。 - 附录:SIGMA
SIGMA 规则可以帮助检测本报告中描述的技术。
下载地址
Modern Asian APT groups TTPs report eng.pdf
下载完整版现代亚洲 APT 组织的战术、技术和程序报告(英文,PDF)
截图
全书共计370页。
转载请注明出处及链接