最后更新于2024年7月17日(星期三)14:33:54 GMT
“不断变化的威胁形势”是我们经常在网络安全行业的网络研讨会和演讲中听到的一个术语. 这样一个包罗万象的术语是为了捕捉一连串的威胁组织及其不断演变的策略, 但在很多方面,它没有真正承认他们能力的增长. 对于APT组织来说尤其如此,多年来,这些组织在不被发现的情况下执行更广泛行动的指挥能力显著增强.
The latest research paper 来自Rapid7实验室的研究了朝鲜Kimsuky威胁组织的策略. 它的出版是为了学习一个高度熟练和勤奋的威胁组织不断发展的能力, and, more importantly, 为支持安全团队实施防御策略提供必要的见解.
在这篇文章中,我将介绍在这项新研究中发现的一些关键见解.
Targeting capabilities
论文详细描述了Kimsuky的递送方式主要集中在电子邮件上, but of course, 其中的一个关键部分是确定目标是谁,以及最有效的诱饵可能是什么. Historically, 这个威胁组织在后者方面尤其成功,他们花了大量的时间和费用来确定他们应该关注的“个人”.
人们很容易耸耸肩,认为安全意识是防止所有此类初始进入载体的灵丹妙药. 现实是,考虑到右勾拳,我们都很容易受到影响. 这个威胁组织在全球范围内瞄准和危害个人的能力表明,它在引起受害者反应方面的能力达到了惊人的水平.
Evolving technical capabilities
As detailed earlier this year, 我们看到技术创新源于逃避受害环境内的安全控制的需要. 在本例中,我们详细介绍 .LNK文件载荷派生自一个LNK构建器的概念证明. This, however, is just the tip of the iceberg, 许多其他有效载荷使用替代方法交付.
这表明——非常有信心——有一个持续改进工具的元素. 很像这个组中专门用于强OSINT的组件(如上所述), 该集团中可能有一部分人致力于技术创新,以此作为逃避检测的手段.
这使得该组织能够开发一个恶意软件库, for example, that can be used at will; but more importantly, 它可以随着防御技术的改进而建立和发展.
Always on the move
过去依赖声誉来识别恶意基础设施的做法正迅速变得不那么有效. 礼貌地说——正如论文中所展示的那样——我们看到Kimsuky在全球范围内建立基础设施,但根据需要迅速利用新的领域. 这只是另一个例子,说明这个群体如何理解并发展出在识别新目标时快速移动的能力.
Subsequently, the publication provides tactical, 对可以采取的防御措施的可操作的见解. For example, 文章中包含了报道的全部细节, 以及威胁参与者采取的持久性措施, 在追溯性威胁搜寻中,哪些是妥协的关键指标. 本文中详细介绍的所有ttp也被纳入Rapid7组合的检测覆盖范围, as detailed within the final section.
