FireEye

Dukes、APT29、CozyBear PolyglotDuke、RegDuke、FatDuke、MiniDuke、 PinchDuke、OnionDuke、CosmicDuke 在2016年12月美国DHS关于APT28，APT29组织在同年针对 民主党全国委员会 的XX事件以及干扰美国大选活动发布了相关调查报告，并将其恶意gongji活动称为GRIZZLY STEPPE，并直指俄罗斯情报部门。 涉嫌参与2016年美国大选前违反民主党全国委员会（DNC） 活动时间表： https://forum.anomali.com/t/apt29-a-timeline-of-malicious-activity/2480 样本IOC http://contagiodump.blogspot.com/2017/03/part-ii-apt29-russian-apt-including.html https://github.com/eset/malware-ioc/tree/master/dukes https://malpedia.caad.fkie.fraunhofer.de/actor/apt_29 2014年7月3日 Miniduke https://securelist.com/the-miniduke-mystery-pdf-0-day-government-spy

Fancy Bear”、 “Sofacy”、 “Sednit” 、 “Tsar Team”、 “Pawn Storm” 或 “Srontium” 样本及IOC： https://github.com/mstfknn/malware-sample-library/tree/master/APT28%20FancyBear http://contagiodump.blogspot.com/2017/02/russian-apt-apt28-collection-of-samples.html https://community.blueliv.com/#!/s/58ad33e382df4109b5139139 https://github.com/fireeye/iocs/tree/master/APT28 malpedia报告：https://malpedia.caad.fkie.fraunhofer.de/actor/sofacy 2014年10月22日Operation Pawn Storm Sednit/Sofacy恶意软件、鱼叉式网络钓鱼邮件、网络钓鱼网站、恶意的iframe、针对Outlook Web Access用户 https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/pawn-storm

3 月，跳不动了？>>> FireEye最新研究统计：27％的勒索软件攻击发生在周末，而49％的工作时间是在工作日之后进行的。针对企业部门的绝大多数勒索软件攻击是在正常工作时间之外，晚上或周末进行的。 根据美国网络安全公司FireEye今天发布的报告，企业部门所有勒索软件感染中的76％发生在工作时间以外，其中49％发生在工作日的夜间，而27％发生在周末。 FireEye表示，这些数字是根据2017年至2019年数十次勒索软件事件响应调查得出的。 攻击者之所以选择在夜间或周末触发勒索软件加密过程，是因为大多数公司没有让这些变更工作的IT人员进行，如果这样做，他们很可能是人手不足的人。 如果勒索软件攻击确实触发了公司内部的安全警报，那么将没有人立即做出反应并关闭网络，或者人手不足的员工很难确定勒索软件加密过程结束之前的实际情况，并且公司的网络瘫痪了。 FireEye表示，大多数这类偷偷摸摸的夜间/周末勒索软件攻击通常是长时间的网络入侵和入侵造成的。 这家网络安全公司表示，勒索软件帮派破坏了公司的网络，花时间将它们横向转移到尽可能多的工作站，然后在所有系统上手动安装勒索软件并触发感染。 据FireEye称，从最初的威胁到实际的勒索软件攻击的时间（称为“驻留时间”）平均为三天。 人工勒索软件攻击的兴起 在所有这些情况下，勒索软件都是在攻击者的要求下触发的，一旦网络被感染，它就不会自动触发

前言 如何知道自己所在的企业是否被入侵了？是没人来“黑”，还是因自身感知能力不足，暂时还无法发现？其实，入侵检测是每一个大型互联网企业都要面对的严峻挑战。价值越高的公司，面临入侵的威胁也越大，即便是Yahoo这样的互联网鼻祖，在落幕（被收购）时仍遭遇全量数据失窃的事情。安全无小事，一旦互联网公司被成功“入侵”，其后果将不堪想象。 基于“攻防对抗”的考量，本文不会提及具体的入侵检测模型、算法和策略，那些希望直接照搬“入侵策略”的同学可能会感到失望。但是我们会将一部分运营思路分享出来，请各位同行指点，如能对后来者起到帮助的作用，那就更好了，也欢迎大家跟我们交流探讨。 入侵的定义 典型的入侵场景： 黑客在很远的地方，通过网络远程控制目标的笔记本电脑/手机/服务器/网络设备，进而随意地读取目标的隐私数据，又或者使用目标系统上的功能，包括但不限于使用手机的麦克风监听目标，使用摄像头偷窥监控目标，使用目标设备的计算能力挖矿，使用目标设备的网络能力发动DDoS攻击等等。亦或是破解了一个服务的密码，进去查看敏感资料、控制门禁/红绿灯。以上这些都属于经典的入侵场景。 我们可以给入侵下一个定义：就是黑客在未经授权的情况下，控制、使用我方资源（包括但不限于读写数据、执行命令、控制资源等）达到各种目的。从广义上讲，黑客利用SQL注入漏洞窃取数据，或者拿到了目标域名在ISP中的帐号密码