高级威胁组织渗透隔离网络能力与年度案例

高级威胁组织渗透隔离网络能力分析与年度案例威胁框架：细粒度对抗威胁框架：细粒度对抗01网络隔离基本概念02隔离网经典侵入案例CONTENTS03隔离网信道建立方法042020年新增案例05总结威胁框架：细粒度对抗威胁框架：细粒度对抗网络隔离的基本概念2隔离网络基本概念2），应用场景：如能源、交通、电信、政府、军事、银行等重要单位的关键数字资产不允许对外联网，且访问应受侵入软硬件破坏干扰 侵入软硬件破坏干扰Page4威胁框架：细粒度对抗威胁框架：细粒度对抗黑袋行动黑袋行动(Blackbagoperation)：突破隔离方法攻击目标可移动存储媒介传播：利用快捷方式解析漏洞MS1数家伊朗国防和关键基础工业企业。可移动存储媒介传播：利用快捷方式解析漏洞伊朗、以色列等中东国家。可移动存储媒介传播：利用快捷方式解析漏洞可移动存储媒介传播：疑似未知0day。U盘俄罗斯、中国、伊朗等国。可移动存储媒介传播：将U盘设置成自动运行(Aut激情猿猴（EmotionalSimian感染U盘攻陷机器，美方认为的攻击目标。美方认为的攻击目标。Page6可行信道建立方法利用目标携带出入设备；利用隔离内部固定设备；带入新的收发装置。利用可移动存储媒介的本身、或存储的文件。手段可以是隐藏文件、隐藏目录、文件感染附加、扇区高偏移设备如U盘、光盘、SD卡、声光热电磁信号。声光热电磁传输。如利用扬声器和麦克风传递人耳听力范围外的超声波信号。屏幕刷新频率、电缆辐射。利用周围未连通的WiFi或蓝牙信号的基础设备如扬声器和麦克风、屏稳定性较差，易受威胁框架：细粒度对抗威胁框架：细粒度对抗2020年新增的代表性案例Ramsay组件介绍•《Darkhotel组织渗透隔离网络的Ramsay组件分扫码阅读安天原创报告Page8威胁框架：细粒度对抗威胁框架：细粒度对抗Ramsay渗透隔离网络流程还原图+Ramsay.V1木马，初始攻击：①②建立初始的据点。Ramsay.V2木马，隔离网突破方案：③蠕虫式感染软件入侵；④可移动媒介建立信道。+Page9威胁框架：细粒度对抗威胁框架：细粒度对抗Page10传播能力%System32%\\Identities\\wides%System32%\\Identit%System32%\\Identiti感染能力：感染本地和内网共享中的EXE，威胁框架：细粒度对抗Page11威胁框架：细粒度对抗渗出能力U盘磁盘偏移覆写2019至今策略:文档末尾附加Page12命令与控制指令数据附加结构：系统近期/浏览器缓存的文档文件。Page13幼象组织介绍《“折纸”行动：针对南亚多国军政机构的网络攻击》/response/20200115.html幼象：折纸行动（OperationPaperFloding）扫码阅读安天原创报告情报窃密、刺探集中于巴基斯坦，其他少量分布在孟加拉国、斯里兰卡和马尔代夫等南亚国家。政府、军事、国防、外交、核能、金融、教育、电信等鱼叉邮件、钓鱼网站Windows、Linux纯脚本载荷、突破内网隔离、恶意宏、图标伪装、后缀名伪装、域名伪装图标伪装EXE、PDF图标自解压、Office文档、快捷方式等CVE-2017-11882、CVE-2018-0802C++、Python、PowerShell、HTML和Go语言Empire框架、ExploitPack平台、自研内网渗透木马，自研Python窃密木马威胁框架：细粒度对抗PackagePD木马威胁框架：细粒度对抗该组织旗下的PackagePD木马是为突破隔离网络而设计，依赖诱饵伪装欺骗点击，能深度采集信息，形成一定的内网窃密（重要文件）和内网测绘（系统信D:\Project\C\package_PictuPage14PagePage15威胁框架：细粒度对抗PackagePD木马渗透隔离网络流程还原图威胁框架：细粒度对抗渗出能力系统信息：网络配置、主机信息、防火墙配置、任务计划、当前进程、系统服务、驱动列表、已安装软件等。Page16威胁框架：细粒度对抗威胁框架：细粒度对抗2020其他案例：/en_us/research/20/e/tropic-troopers-back-usbferry-attack-targets-air-gapped-environments.htmlUSBferryUSBferry设置U盘自动运行/cycldek-bridging-the-air-gap/97157/Page17威胁框架：细粒度对抗威胁框架：细粒度对抗2020其他案例：USBWorm（USB蠕虫)U盘感染前：文件夹U盘感染后：木马程序Page18威胁框架：细粒度对抗威胁框架：细粒度对抗总结大多数的威胁组织缺少类似美方的超高能力网空威胁行为体的装备化支撑，总体物理隔离依然是很重要的安全保障能力环节，但本身仅是众多的安全技能环节之Page19威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗威胁框架：细粒度对抗安天对隔离网的威胁防护能力安天智甲USB外设管控功能接口设备等通用类与常用类USB接口与设备.•限范围：1.识别USB设备类型；2.设置允许接入USB设备类型•阻止未知设备接入，防范摆渡攻击•显示移动存储设备使用，防