logo

中文|English|客服热线:4008107766

售后服务
4008107766
当前位置:首页 > 新闻中心 > 企业新闻
企业新闻

网御IPS海莲花攻击防御实践

时间:2018-07-26
海莲花(OceanLotus、APT32)是一个主要针对我国进行APT攻击的黑客组织。自2014年发起高强度攻击以来,其攻击目标越来越明确、攻击技术越来越复杂、攻击手段越来越精准、与杀毒软件的对抗性和防溯源的隐蔽性越来越强。海莲花的技术手段表明其已发展为一个高度组织化、专业化的境外国家级黑客组织。海莲花的攻击目标遍布政治、经济、社会等多个重要领域,具有较明确的窃取机密文件的目的。

近来,网御IPS产品团队接到了多起海莲花组织的攻击事件反馈,VenusEye威胁情报中心也频繁监测到海莲花组织的最新攻击。为更好帮助网御IPS用户抵御海莲花组织的攻击,我们将攻击实践经验作了个总结,供大家参考。

首先,我们来了解一下海莲花组织的一般攻击过程:攻击者使用社会工程学的方法,采取水坑攻击或者鱼叉邮件攻击的方式,诱导受害人点击包含恶意代码的网页,打开隐藏恶意代码的文件或者下载伪装成更新文件的程序,最终向目标主机植入木马,通过该木马伺机偷取敏感信息。

接下来我们来看看如何利用网御IPS来发现和抵御海莲花组织的攻击,可以分两步实施防御措施:


一、载荷投放阶段

水坑攻击方面,海莲花组织一般会采用在入侵成功的网站上挂载恶意JS脚本的方式进行信息收集,并筛选需进行攻击的用户,以此下发恶意载荷。

针对上述攻击行为,我们有如下两条事件可防范:

 “DNS_木马_海莲花可疑域名连接”系列事件(详见产品特征库)

“HTTP_木马_海莲花_连接1”系列事件(详见产品特征库)
 

二、载荷感染阶段

当该组织投放的恶意软件落地后,其一般会隐蔽自身并开始窃取指定数据,而根据我们以往的分析,海莲花组织主要拥有三大类恶意软件家族:

● 利用DNS隧道传输数据的Denis后门

Denis 是海莲花较常使用的一种利用 DNS 协议传输数据的后门,目前已发现至少 3 个变种。下面为3类变种的DNS数据传输的特征。

 A.

 B. 

 
C.
 

针对上述三类变种,我们有如下事件可供防范:

“DNS_后门_Win32.Denis_连接”(详见产品特征库)

“DNS_后门_Win32.Denis_RecvData_连接”(详见产品特征库)
 
● “亚马逊”木马

“亚马逊”木马实际上为商业渗透工具Cobalt Strike框架所生成,其特点在于当木马在进行HTTP隧道通信时,在请求的Host字段填了亚马逊的网址,传输的内容经过编码后放到Cookies字段里,试图混淆视听绕过监测。
 
 

针对该木马,我们有如下事件可供防范: “HTTP_后门_Win32.OceanLotus_连接”(详见产品特征库)
 
● Salgorea后门

该后门于2015年被披露,并活跃至今,其经常伪装成Word文档或JPG文档,且会使用powershell作为载体进行攻击,其通讯特征为加密传输,具体如下所示。
 
 

针对该后门,我们提供了“TCP_后门_Win32.OceanLotus(海莲花)_连接”供防范。(详见产品特征库)
 
目前,网御IPS可较为全面检测海莲花组织木马的连接行为,包括最新的Denis变种,只需在网御IPS上启用“海莲花”及“Denis”相关的木马连接事件,并将动作置为阻断,可有效防御海莲花组织攻击后的木马连接行为,并可基于报警对源主机进行排查,清除被植入的木马。
 

建议

海莲花组织的攻击手法复杂多变且隐蔽性高,我们建议客户在日常安全管理中不但要及时关注海莲花组织相关的攻击事件,而且要采用组合机制来发现和防御海莲花的威胁。具体建议如下:

◆ 及时更新IPS、IDS、WAF等攻击防护设备的特征库,重点关注海莲花组织相关的已知攻击事件,根据报警事件进行排查。

◆  部署未知攻击检测措施,如APT检测产品,以便对海莲花组织进行的新型鱼叉攻击、水坑攻击进行检测,而后通过与IPS的联动机制,阻断攻击。
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云/下一代防火墙/Power V 6000-F5210
网御星云/下一代防火墙/Power V 6000-NF5210
网御星云/LeadsecACM-N2019-FJSC网上行为管理
网御星云/LeadsecACM-N2039-FJSC网上行为管理
服务与下载
支持与服务
在线升级
联系我们
二维码