数字经济的安全基石
AI智能体专区
AI智能体专区业内首个落地的自主安全智能体(AI Agent),预置数百个原子级安全智能体,革命性采用任务驱动多智能体协同模式。
恒脑安全智能体以硬核实力为网络安全、数据安全保驾护航。让工具更睿智,让知识更智慧,让安全更智能!
AI安服数字员工融合人工智能与网络安全的专业服务体系,为企业提供全方位的Al安全咨询、威胁检测、安全运营等一站式解决方案,让安全防护更智能、更高效、更可靠。
全生命周期安全防护,智能体驱动效能提升,场景化联动管控。
多云一体、融合安全、闭环运营
多场景应用提升安全运营能力
安全态势感知与管控
全方位守护工业信息网络安全
AI数据分类分级,让分类分级快人一步!
HVV利器,即日起,免费试用三个月!
有效实现数据“供得出、流得动、用得好、保安全”的数据流通利用基础设施
7×24 小时全维度托管模式实现企业网络安全无忧化管理,全方位满足企业业务安全运行与合规监管的双重需求。
构建大模型全生命周期防护架构,强化多维度安全能力
对本地AI服务提供者开展日常监督、备案审查工作
智算全栈安全方案,算网安协同,合规高效
监控感知应急全套流程的安全监管机制
一站式意识教育解决方案
行业解决方案
技术解决方案
全生命周期安全防护,智能体驱动效能提升,场景化联动管控。
多云一体、融合安全、闭环运营
多场景应用提升安全运营能力
安全态势感知与管控
全方位守护工业信息网络安全
AI数据分类分级,让分类分级快人一步!
HVV利器,即日起,免费试用三个月!
有效实现数据“供得出、流得动、用得好、保安全”的数据流通利用基础设施
7×24 小时全维度托管模式实现企业网络安全无忧化管理,全方位满足企业业务安全运行与合规监管的双重需求。
场景解决方案
构建大模型全生命周期防护架构,强化多维度安全能力
对本地AI服务提供者开展日常监督、备案审查工作
智算全栈安全方案,算网安协同,合规高效
监控感知应急全套流程的安全监管机制
安全意识教育解决方案
一站式意识教育解决方案
最近,安恒研究院猎影威胁追踪团队注意到,国外推特一名安全研究人员曝光了某个攻击组织的C&C控制端,其界面类似如下:
经过猎影威胁追踪团队分析后,确定该攻击组织就是Bitter攻击组织,与我们前几天披露的《蔓灵花APT组织最新的C#木马组件揭秘》文章类似,该文章地址:蔓灵花APT组织最新的C#木马组件揭秘,文章中我们提到的类似组件:
该后台地址列举被攻击目标的IP、电脑名、用户名、操作系统、第一次回连时间、最后回连时间。这些信息的搜集都由主木马audiodq进行搜集,之前关于该文件的功能描述如下:
其披露的后台地址截图与我们曾获取的相关信息类似:
我们发现该bitter攻击组织至少在2018年8月的时候就已经在使用该C&C Panel(控制端)。
C&C控制端功能分析
该C&C控制端主要有2大功能:
1、向被攻击的目标推送恶意的攻击组件
被控端收到指令时,木马下载组件的网络通讯截图:
根据相应的数据包结构,我们可以伪装成已经被攻击成功的目标。即,向服务器发送相应假的数据结构,如构造类似的结构:
其中
a表示:电脑名
b表示:用户名
c表示:操作系统
2、移除特定的攻击目标
当被攻击的不是攻击者关心的目标时(如:目标机器是沙盒环境、虚拟机等类似情况),攻击者可以通过去掉该目标的方式避免被发现或分析。
由于该后台没有窃密功能,它的数据窃密功能由其组件完成,其窃密方式分为加密和非加密传输两种方式。
非加密数据包类如下
加密数据包装类似如下
其他信息
除了被曝光的该后台地址,该攻击团队开始准备使用新的的后台地址。在上篇APT追踪文章中,我们提到了黑客使用了新的组件,变种木马第一次回连获取下载信息(内部解析html文件,解密组件)
第二次就是将相关信息发送到服务器,类似心跳数据包更新。其结构类似如下:
防御建议与总结
企业应当注重培养人员安全意识,不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未验证可靠来源的文档。及时为信息系统打好补丁。
部署安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。
猎影威胁分析团队将持续关注网络安全动态。
立即体验恒脑安全智能体 
立即解锁AI安服数字员工 
<i id='8608b'><strike id='cacbf'><tt id='8ecdb'><pre id='4eb1c'></pre></tt></strike></i>