> 360追日团队
日前，360追日团队发布名为《蔓灵花攻击行动》的简报，又披露了一个针对中国政府机构和
近日，360追日团队发布了蔓灵花攻击行动(简报)，披露又一个针对中国政府能源的海外黑客
360追日团队APT报告：摩诃草组织（APT-C-09）。摩诃草组织（APT-C-09），又称HangOver、VICEROY TIGE
360天眼实验室追日团队持续发现与跟踪APT活动，相关的样本、IP、域名等数据只要一出现就
360天眼实验室的追日团队日前披露称，一个名为&洋葱狗&（OnionDog）的黑客组织长
360追日团队0x00 摘要最早可以追溯到2007年开始进行制作并传播恶意代码等互联网地下
净推荐值是产品口碑的最重要指标，那如何计算呢？对于早期团队来说，核心关注点不是拉
关于需求评审，网易团队是这么“玩”的。原本觉得需求评审也就那么回事儿，大家应该都
什么才是靠谱的互联网造车。2015年，当游侠把一辆换壳特斯拉拖上展台，整个团队对汽车
美国人工智能大牛Yann LeCun是如何炼成的，外媒 Buzzfeed 周二发文介绍了 Facebook 人工智能团队
买家”成为弱势群体，黑客团队依靠苹果ID月入几十万。“锁ID”目前作为一个发展的比较
找不到电脑里面的360手机助手怎么办：打开我们电脑里面360安全卫士，我们可以先体检一下
怎么用360检测电脑能不能升级win10系统：如果你对你没有安装360安全卫士，那么可先自行安
百度输入法无法卸载怎么办：1、360安全卫士或是电脑管家强力卸载的方法都一样，下面以36
挂马新招：全程纯Flash文件挂马传播勒索软件技术揭秘。360互联网安全中心近期监测到“我
360严防NSA武器库：一个免疫工具搞定十大黑客神器。最近，美国国家安全局（NSA）的黑客武
周炜：公司的成长程度，完全取决于创业团队。不必迷恋任何定律，活学活用，因地制宜。
创业公司最怕小团体作风，五方面教你搞定团队凝聚力。David Loftesness是波士顿咨询公司(BCG)
CVE-样本分析及漏洞利用和防御。VUPEN团队在Pwn2Own 2013黑客大赛上使用漏洞攻破Windows 8
东北大学“谛听”网络安全团队：年第一季度工业控制网络安全态势白皮书。东北大
丹麦国防部招聘黑客应对网络攻击。“你有资格成为顶尖情报团队的一员吗？”这是丹麦国
360安全卫士IE盾甲如何开启：1、打开360安全卫士，在软件界面左下方点击“安全防护中心”
360安全卫士怎么锁定IE主页：1、打开您电脑上的360安全卫士。2、点击左下角的查杀修复。
360安全卫士高危漏洞提示怎么关闭：1、打开360安全卫士，并点击右上角主菜单设置选项。
360安全卫士流量监控如何使用：1、看流量首先点击加速求，切换到“网速”就可以看到我
360安全卫士防蹭网怎么设置：首先打开360安全卫士，点击“功能大全”。找到“网络体验”
厉害了，360SRC 团队奖励由安全盒子团队获得！年初，王松悄悄许下一个心愿，要带领兄弟
弃Unity转GNOME：Ubuntu GNOME团队解释今后版本调整，近日来，Mark Shuttleworth 宣布放弃 Unity 转而
自组织敏捷团队的特点：敏捷常提到自组织团队，通俗的讲它是一个由外部创建，然后给与
从零开始构建Wijmo&Angular2小应用：中秋之际，Angular 团队发布 Angular 2 正式版，Wijmo 当天宣布
热门文章热门标签
07月18日 |
07月18日 |
07月18日 |
07月18日 |
07月18日 |
07月18日 |
07月18日 |
07月19日 |天融信自己看！虽然跟360比不是很熟悉！但绝不比360差！_南洋股份(002212)股吧_东方财富网股吧
天融信自己看！虽然跟360比不是很熟悉！但绝不比360差！
无论是2008北京奥运会、上海世博会、广州亚运会、深圳大运会，还是天宫一号与神州八号飞船太空对接安全保障项目，天融信都出色的完成了任务，并多次获得表彰。此次登上《福布斯》2012中国最具潜力企业榜，是对天融信多年来潜心研发和优质服务的肯定，也给天融信未来发展提供了更大动力。
三变科技为啥否决放弃就是如此，所以再好的公司重组不成功跟你也没关系
不是天融信不好，是跨行并购通过的难度超大，问题在这里
人家为啥不攻击360？！说明360还不够资格攻击！360只是忽悠老百姓在用，政府和军队有多少用360的。重要信息安全中枢用的是天融信，重大任务也是天融信保障！这说明什么？天融信技术比360牛！
360在外国上市的，国家有规定，不完全属于国内企业，不可参与政府及军队的安防。
在美国人眼里，天融信比360更专业，更有前景！
散了吧，下个月再来吧
斯诺登称美国网络攻击目标中国公司 思科天融信等在列根据“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登提供的最新文件，美国国家安全局网络“武器库”近日遭黑客组织侵入，业已泄露的文件显示，美国网络攻击目标中包括中国公司。　　“截击”网站由率先曝光斯诺登事件的前英国《卫报》记者格伦·格林沃尔德创建，旨在以新闻报道形式公开斯诺登曝光的文件。　　8月13日，黑客组织“影子中间人”通过社交平台宣称攻入美国国家安全局网络“武器库”——“方程式组织”并泄露其中部分黑客工具和数据。根据斯诺登提供的文件，可以确认这些工具是美国国家安全局软件，其中部分软件属于秘密攻击全球计算机的强悍黑客工具。　　部分泄露文件显示，这些黑客工具针对的目标包括思科、瞻博网络、飞塔等公司路由器和防火墙产品，中国信息安全公司天融信也在黑客工具攻击目标之列。斯诺登提供的文件还显示，美国国家安全局在巴基斯坦、黎巴嫩的行动中使用过目前已被泄露的一些“网络武器”。　　俄罗斯网络安全厂商卡巴斯基去年发布监测报告说，“方程式组织”开发机构已经活跃近20年，是全球技术“最牛”的黑客组织之一。而据媒体报道，“方程式组织”与美国国家安全局关系密切，是一个该局可能“不愿承认的”部门，这在黑客圈几乎是尽人皆知的秘密。　　“方程式组织”相关文件被泄露事件在网络安全领域掀起轩然大波。一些专家认为，这是为了让美国政府颜面扫地而精心炮制的骗局。另一些专家则表示，他们在对泄露的数据、漏洞和黑客工具进行分析后认为，这一事件的可信度非常高。　　美国国家安全局尚未就这一事件做出回应。
说明天融信技术比360牛，360都不值得别人黑客攻击！
斯诺登称美国网络攻击目标中国公司 思科天融信等在列根据“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登提供的最新文件，美国国家安全局网络“武器库”近日遭黑客组织侵入，业已泄露的文件显示，美国网络攻击目标中包括中国公司。　　“截击”网站由率先曝光斯诺登事件的前英国《卫报》记者格伦·格林沃尔德创建，旨在以新闻报道形式公开斯诺登曝光的文件。　　8月13日，黑客组织“影子中间人”通过社交平台宣称攻入美国国家安全局网络“武器库”——“方程式组织”并泄露其中部分黑客工具和数据。根据斯诺登提供的文件，可以确认这些工具是美国国家安全局软件，其中部分软件属于秘密攻击全球计算机的强悍黑客工具。　　部分泄露文件显示，这些黑客工具针对的目标包括思科、瞻博网络、飞塔等公司路由器和防火墙产品，中国信息安全公司天融信也在黑客工具攻击目标之列。斯诺登提供的文件还显示，美国国家安全局在巴基斯坦、黎巴嫩的行动中使用过目前已被泄露的一些“网络武器”。　　俄罗斯网络安全厂商卡巴斯基去年发布监测报告说，“方程式组织”开发机构已经活跃近20年，是全球技术“最牛”的黑客组织之一。而据媒体报道，“方程式组织”与美国国家安全局关系密切，是一个该局可能“不愿承认的”部门，这在黑客圈几乎是尽人皆知的秘密。　　“方程式组织”相关文件被泄露事件在网络安全领域掀起轩然大波。一些专家认为，这是为了让美国政府颜面扫地而精心炮制的骗局。另一些专家则表示，他们在对泄露的数据、漏洞和黑客工具进行分析后认为，这一事件的可信度非常高。　　美国国家安全局尚未就这一事件做出回应。
人家为啥不攻击360？！说明360还不够资格攻击！360只是忽悠老百姓在用，政府和军队有多少用360的。重要信息安全中枢用的是天融信，重大任务也是天融信保障！这说明什么？天融信技术比360牛！
斯诺登称美国网络攻击目标中国公司 思科天融信等在列根据“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登提供的最新文件，美国国家安全局网络“武器库”近日遭黑客组织侵入，业已泄露的文件显示，美国网络攻击目标中包括中国公司。　　“截击”网站由率先曝光斯诺登事件的前英国《卫报》记者格伦·格林沃尔德创建，旨在以新闻报道形式公开斯诺登曝光的文件。　　8月13日，黑客组织“影子中间人”通过社交平台宣称攻入美国国家安全局网络“武器库”——“方程式组织”并泄露其中部分黑客工具和数据。根据斯诺登提供的文件，可以确认这些工具是美国国家安全局软件，其中部分软件属于秘密攻击全球计算机的强悍黑客工具。　　部分泄露文件显示，这些黑客工具针对的目标包括思科、瞻博网络、飞塔等公司路由器和防火墙产品，中国信息安全公司天融信也在黑客工具攻击目标之列。斯诺登提供的文件还显示，美国国家安全局在巴基斯坦、黎巴嫩的行动中使用过目前已被泄露的一些“网络武器”。　　俄罗斯网络安全厂商卡巴斯基去年发布监测报告说，“方程式组织”开发机构已经活跃近20年，是全球技术“最牛”的黑客组织之一。而据媒体报道...
说得好，我自己都不担心亏，你就不要替我担心了。
量子通信概念股
安防体现国家意志，重组无条件通过！
正是对技术创新的不断追求以及对信息安全事业的不懈努力，为天融信赢得了无数荣誉，也确立了天融信在中国信息安全市场的领先位置。中关村10大软件品牌企 业、中国电子政务100强企业、德勤亚太高成长100强企业、中国软件100强企业、《福布斯》中国最具潜力非上市企业、国家规划布局重点软件企业、国家 重点高技术企业等等，既是对天融信的肯定，又是对天融信的激励。
请不要担心我赔钱，我自己都不担心！你们操碎了心！
吃瓜群众请不要担心我亏钱，我自己都不担心，你们替我担心个啥！
我看好所以无论赔钱还是赚钱我都不会抛弃！庄稼随便砸，我只会加仓！亏我也认了！
360原来谁知道啊？只是第一个免费的火了一把。现在我都准备卸载360了，就是流氓软件，浏览器什么都要我换成360的，其他的不让我改！只能不用360了！什么时候国家大型安保任务有360的身影？
在行业分布上，天融信是此次上榜的唯一一家提供自主研发软、硬件信息安全产品及综合安全解决方案服务的企业。天融信作为中国领先的、客户可信赖的、积极创新的信息安全与服务解决方案提供商，依托于“构建安全能力创造业务价值”的公司理念，致力于改善用户网络与应用的可视性、可用性、可控性和安全性，降低安全风险。
评论该主题
作者：您目前是匿名发表 &
作者：，欢迎留言
提示：用户在社区发表的所有资料、言论等仅代表个人观点，与本网站立场无关，不对您构成任何投资建议。用户应基于自己的独立判断，自行决定证券投资并承担相应风险。当前位置： && 资讯详情
中国再次发现来自海外的黑客攻击：蔓灵花攻击行动
阅读：1520次
近日，360追日团队发布了蔓灵花攻击行动（简报），披露又一个针对中国政府能源的海外黑客攻击，受影响单位主要是涉及政府、电力和工业相关单位，该组织至今依然处于活跃状态。从这次攻击事件与近期发布的摩诃草、索伦之眼，以及之前的伊朗核电站、乌克兰电网断电等事件，我们看到网络空间的争夺成为了大国博弈的焦点，APT作为一种行之有效的手段不断在各类对抗中出现。随着APT对抗烈度的增加，跨平台的攻击将会成为主流，而不再聚焦在单一的Windows平台，包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目标或跳板。面对国家之间的网络安全对抗和日益复杂的攻击事件，单一的安全防护设备不再能够有效的针对攻击进行检测与响应，只有通过协同纵深的防御体系，才能有效应对日益变化的高级威胁。美国网络安全公司Forcepoint 近期发布了一篇报告，该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式，在受害者计算机中植入了定制的AndroRAT，意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关，而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月，且多年来一直未被检测到，目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。基于360拥有的大数据资源，我们针对该事件进行了进一步分析，我们发现中国地区也遭受到了相关攻击的影响，受影响单位主要是涉及政府、电力和工业相关单位，该组织至今依然处于活跃状态。截至目前我们已捕获到了33个恶意样本，恶意样本涉及Windows和Android多个平台，恶意样本的回连域名（C&C）共26个。国内受影响情况活跃时间：从恶意样本的时间戳来看，国外样本最早出现在2013年11月，样本编译时间集中出现在2015年7月至2016年9月期间。国内感染用户的样本的编译时间集中在2016年5月到9月期间，其网络活动的活跃时间集中在9月份，其CC至今依然存活。主要受影响单位：中国某国家部委中国某工业集团中国某电力单位鱼叉式邮件攻击我们的研究人员发现，该组织经常使用鱼叉邮件攻击的手法，鱼叉邮件中包含Word漏洞文档来诱导用户点击，其使用的漏洞是Office的经典漏洞 CVE-。用户点击之后，漏洞文档中的Shellcode被执行，调用URLDownloadToFileA从指定的网址中下载木马程序，使用CMD命令重命名后执行，实现RAT的下载安装。除了基本的漏洞文档，还有图标伪装成图片文件的exe，诱导用户进行点击，exe执行后释放图片并下载安装RAT程序。漏洞文档的文件名列表如下：图1 诱饵图片文件图2 漏洞文档中的shellcode后门程序分析Windows端Windows平台上运行程序目前发现的有三大类，第一类是Downloader程序，当用户触发漏洞文档时，最先从CC上下载Downloader并且执行；第二类是后门程序FileStolen，功能较简单，意在窃取文件；第三类是具有完整功能的RAT，其有各种功能，体积较大。DownLoader样本MD5:c195****************************技术细节首先，程序运行时检测路径是否是在%UserData%/AddData/Roaming下，如果不是的话，拷贝自身到%UserData%/AddData/Roaming目录，名称为tasklist.exe,添加此路径到注册表HKCU\Software\Microsoft\Windows\Currentversion\Run启动项，并启动tasklist.exe当在%UserData%/AddData/Roaming/tasklist.exe目录下启动时，检查C:\ProgramData\VWDLR.cab文件，没有的话，向服务器发送上线包，服务器返回版本号，将版本号写入此文件。然后连接C&C的80端口，向服务器请求命令，当服务器返回的命令为 DWN时，下载RAT模块并启动。命令： NLL （无操作）FXAPIFile.logs文件内容，数据包内容为PE文件，文件名为lsass.exe启动RAT的代码FileStolen样本MD5 &0b2c****************************功能概述该程序的主要功能为文件窃取，窃取指定逻辑磁盘下指定文件名的文件并且上传的到CC服务器。窃取的文件类型列表图 3程序执行的主要流程示意详细分析该程序的主要任务是进行文件窃取，其具体流程如下描述：首先遍历目录下的文件a)文件类型为文件夹i.名称是”.”，”..”，&$recycle.bin&，&program files&，&windows&，&temp&，&system.sav&，&wwwroot&之一，遍历当前目录下一个文件ii.不是，拼接对应路径，递归调用本函数b)文件类型是文件i.后缀不是&txt&，&ppt&，&pptx&，&pdf&，&doc&，&docx&，&xls&，&xlsx&，&zip&，&7z&，&rtf&ii.后缀是，检测list文件是否已存在& 1.不存在，调用发送文件函数。如果成功，将信息“文件名-系统时间”添加到文件tmp1，upd，ucopy中& 2.存在，检测列表中“文件名-系统时间”是否已存在当前的文件& & a)存在，把当前“文件名-系统时间”信息添加到tmp1文件中& & b)不存在，调用发送文件函数。如果成功，将信息“文件名-系统时间”添加到文件tmp1，upd，ucopy中iii.遍历当前目录下一个文件完成文件窃取后，其会通过POST的方式将文件上传到CC服务器中。报文的格式如下表。RAT样本MD5：d195****************************功能概述该程序是典型的后门程序，运行后通过写入注册表实现自启动，与CC建立链接并且执行CC的命令。详细分析病毒程序伪装信息，尝试伪装成Microsoft Printer Spooling Service有的样本带有不受信任的数字签名程序首先尝试在C:\ProgramData\Microsoft\DeviceSync 下创建名为temp.txt的文件，创建失败则调用SHGetFolderPath获取CSIDL_APPDATA的路径。之后程序创建名为mpss的窗口，并以隐藏的方式启动。程序通过调用GetEnvironmentVariableA 通过参数 ComSpec 获取当前系统cmd的路径，之后通过该cmd路径执行cmd命令 reg add在注册表Software\Microsoft\Windows\Currentversion\Run 下添加名为MPSpoolingService的表项，并将以下路径添加到键值中实现自启动。&再次调用cmd copy命令，将自身复制到如下位置并重命名C:\Documents and Settings\Administrator\Application Data\mpss.exe程序通过遍历系统进程文件名，查找包含字符串“avg”的进程，检测杀毒软件avg是否存在。之后程序再次调用cmd copy将自身复制到如下目录中C:\ProgramData\Microsoft\DeviceSync程序会检测上述目录下是否有mpsd.exe、mpst.exe和mpss.exe是否存在，推测为不同的拷贝名称。之后程序创建多个线程来与CC建立链接并循环接受消息执行命令。与CC通信的报文有明显的头部标记串“BITTER1234”发送的数据也经过简单的异或处理程序对所使用的字符串数据使用了简单的加减或者是异或的方式进行加密处理，不同的样本中的加密方式是不同的，但是整体的流程框架是相同的。调试过程中发现，程序会从CC接受指令，在目录C:\Documents and Settings\Administrator\Application Data下下载名为igfxsrv.exe的文件※igfxsrv.exe 分析该程序的主要内容为键盘记录，将用户的键盘操作记录在指定文件中。Android端基本情况样本：448b****************************8aff****************************9edf****************************功能概述软件冒充正常应用，启动后上传用户信息，并监控用户操作详细分析1、监听” android.intent.action..BOOT_COMPLETED”广播，开机启动。图4 样本开机启动2、启动后立即开启异步线程SystemInfo，然后启动RAT模块。图5 运行核心模块3、SystemInfo首先上传如下数据：固件信息（Phone Number、IMEI、CountryCode、OperatorCode），Sim卡信息（SIM SerialNo、SIM OperatorName、SIM CountryCode），位置信息（GPS定位、NetWork定位），通讯录，通话记录，短信，Email。图6 SystemInfo上传固件信息然后上传SDcard中的文件，其中448b****************************、8aff****************************这两个样本上传的文件格式为：“txt”，“doc”，“jpg”，“png”，“GIF”，“jpeg”而9edf****************************上传的文件主要是聊天纪录的数据库文件，比如WhatsApp：“db”，“crypt8”，“db.crypt8”。图7 上传SDcard中的txt、doc等文件图8 Http Post方式上传短信数据4、启动Android RAT模块。 RAT模块与141.105.***.***这个Ip建立Socket连接，接受命令和参数，并把监控到的数据直接上传到141.105.***.***。图9 启动RAT监控模块图10 RAT各个功能模块5、RAT模块的命令号和对应功能如下6、分析过程中有个疑点，RAT模块完全可以实现SystemInfo的上传功能。RAT的C&C地址和SystemInfo不一样，且RAT的地址直接以IP地址方式硬编码。因此猜测，攻击者主要目的或许只是盗取目标用户的数据文件，不排除使用RAT迷惑分析员的可能性。总结网络安全成为国与国之间博弈的新战场。蔓灵花攻击的目标为国内某部委以及大型能源央企，意在窃取情报。这充分显示，随着我国“一带一路”等国家战略的逐步推进，给沿线国家及国际社会带来深远影响，一些境外有组织的黑客团队将会不断利用包括APT攻击等手段试图窃取相关情报或者实施破坏行为。类似“一带一路”、“军民融合”等战略方向，也是海莲花组织（APT-C-00）、摩诃草组织（APT-C-09）、APT-C-05、APT-C-12、APT-C-17等这些攻击组织重点关注的领域。从这个角度来看，“没有网络安全就没有国家安全”的论断具有很强的现实意义。可以说，网络空间成为大国博弈新的制高点，网络安全也成为国家安全的重要领域。网络安全对于国家的政治安全、经济安全、文化安全、军事安全都会产生深刻影响。在2016年美国总统大选中，黑客组织利用APT攻击获得并泄露了美国民主党邮件和文件，给民主党总统候选人希拉里造成了极大的负面影响。APT攻击对国家政治的影响由此可见一斑。2010年攻击伊朗核电站的震网事件、2015年末导致乌克兰大规模停电的攻击事件，更是对让我们每个人对APT攻击的现实危害有了深刻认识。因此，我们认为，网络安全成为大国博弈的新战场，高级持续攻击也成为网络安全对抗的重要手段。当前世界范围内的网络监听、网络攻击、网络犯罪等此起彼伏，并向国防、经济、文化等多领域渗透。作为国家继陆海空天电之后的“第六疆域”，我们需要对网络空间严守以待。移动平台攻击增加，跨平台攻击渐成趋势。本次捕获的蔓灵花攻击行动中，不仅有针对Windows目标的攻击，还有针对移动Android系统的攻击，黑客通过假冒应用侵入目标的移动设备，上传用户信息，并监控用户操作。在传统PC时代，黑客组织的攻击目标和攻击链往往比较单一。随着移动与智能设备的广泛部署和应用，黑客组织的攻击目标逐步扩大，攻击链也更加复杂。移动与智能设备不仅是攻击目标，也可以在控制之后成为黑客攻击的跳板或源头。事实上， 在0追日团队发布的《摩诃草组织（APT-C-09）——来自南亚的定向攻击威胁》报告中，除了针对 Windows 系统发动了相应攻击，同时也发现存在针对 Mac OS X 系统的攻击。从 2015 年开始，甚至出现了针对 Android OS 移动设备的攻击。近期导致美国东部发生的大面积断网事件的DDoS攻击中，攻击的源头是由恶意软件Mirai感染并控制的智能设备形成的僵尸网络。我国在此前也发生过类似的由智能摄像头僵尸网络发起的攻击。在《2015中国高级持续性威胁研究报告》中，我们预测“针对非Windows的攻击频率持续增高”。从2016年我们监控到的APT组织来看，Windows不再是APT攻击的主战场，相关攻击会从只针对Windows操作系统逐步过渡到针对如Linux、Android、Mac OS X操作系统，针对的目标平台除了传统PC，针对移动设备、工业控制系统相关攻击出现的频率和次数将会持续增高，进一步针对车联网、智能家居等物联网设备的攻击也将成为发展趋势。协同纵深防御成为应对高级威胁的重要方法。APT攻击一般具有针对性极强、高隐蔽性、代码复杂度高的特点，这也是很多APT攻击能够持续攻击多年而不被发现的主要原因。针对这类顶尖的APT，传统的安全手段往往应对乏力，很多时候在被侵入数月，甚至数年之后才会发现，数据泄露的损失比较惊人。因此，针对我们需要革新传统的安全理念和防护手段，目前数据驱动的安全协同正在成为各方认可的方向。从技术角度看，针对高级威胁的发现，需要将多维度检测手段的综合应用、大数据分析、威胁情报这三个方面结合起来。大数据是基础，要尽量多的掌握被保护对象的一手数据，如全流量的还原。如果能够有终端的文件级、进程级数据，则能达到更好的效果。通过互联网大网数据的综合分析与挖掘所产生的威胁情报，能够做到对于高级威胁所应用的攻击资源、攻击手法、组织背景等方面的关联判定，从而与大数据分析平台结合，针对高级威胁进行实时与历史的综合发现与持续监测。360提倡的数据驱动的安全协同防御，正是用较低的成本帮助客户建立轻量级的大数据安全平台，通过探针采集还原一手数据，并结合多源头的可机读威胁情报的应用，以及沙箱动态行为发现与关联引擎分析等多维度方法，进行高级威胁的判定。并可进一步联动网关处的NDR（Network Detection & Response，网络检测与响应）及终端处的EDR（Endpoint Detection & Response，终端检测与响应）系统进行快速协同联动处置。从更广阔的协同思路上，我们认为协同分为数据协同、智能协同和产业协同三个层面，第一个层面是数据协同，是希望能够打破数据的孤岛和数据的鸿沟,数据的协同和共享，是数据驱动安全体系里最关键性的基石。正如上面所提到的技术方案，多维度数据的关联分析及威胁情报应用是关键。第二个层面是智能协同，这个层面的协同是解决分析能力不足导致的不可做。即使有海量多维度数据，如果没有足够的分析能力，数据的价值无法得到发挥，基于数据的协同分析，可以借助机器与机器的协同、机器与人的协同以及人与人的协同多个方面，最终目的还是为了便于人能够更加有效的分析和处理，提升分析的效率和效果。第三个层面是产业协同。产业协同需要政府和企业共同推进，达成政府间、企业间包括政府和企业间的互信，从而形成更安全的产业生态。关于360追日团队360追日团队是360公司高级威胁研究团队，从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队整合360公司海量安全数据，实现了威胁情报快速关联溯源，独家首次发现并追踪数三十余个APT组织及黑客产业链，拓宽了黑客产业研究视野，填补了国内APT研究的空白，并为大量企业和政府机构提供安全威胁评估及解决方案输出。
本文由 安全客 原创发布，如需转载请注明来源及本文地址。本文地址：/news/detail/3747.html
参与讨论，请先
//@矮穷龊-陆羽://@安全客官方微博:蔓灵花攻击行动：一个针对中国政府机构和能源行业的黑客组织攻击！！！转发，扩散！
海莲花黑客组织
不同角度不同理解，比心，么么哒
最烦拿着大篇幅的样本分析来扯整个事件了，说好的事件分析，单从这片文章不知道你们怎么给apt下定义的的？
既然起了个“高大上”的名称，最好说起始末，本着实事求是的精神，我对这片文章起的名字为“一款多功能木马样本的功能分析”。
不同角度不同理解，比心，么么哒
最烦拿着大篇幅的样本分析来扯整个事件了，说好的事件分析，单从这片文章不知道你们怎么给apt下定义的的？
既然起了个“高大上”的名称，最好说起始末，本着实事求是的精神，我对这片文章起的名字为“一款多功能木马样本的功能分析”。
天马行空的起名字~
给这些组织命名很有意思
最烦拿着大篇幅的样本分析来扯整个事件了，说好的事件分析，单从这片文章不知道你们怎么给apt下定义的的？
既然起了个“高大上”的名称，最好说起始末，本着实事求是的精神，我对这片文章起的名字为“一款多功能木马样本的功能分析”。
给这些组织命名很有意思
//@安全客官方微博:蔓灵花攻击行动：一个针对中国政府机构和能源行业的黑客组织攻击！！！转发，扩散！
阿三干的吧？？
一看来自南亚，而且针对巴基斯坦和中国，就知道是印度~~八九不离十。当然也可能是其他西方国家在印度的潜伏地，扰乱视线，故意引火上他人之身。
回复@萨满教冯蘅:现在还不知道
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]