與APT組織的攻防重點
CrazyHunter,僅僅花了不到兩個月的時間,便從一個陌生的新名詞,搖身一變成為惡名昭彰並給予台灣IT從業人員帶來極大壓力的中國駭客團體。該駭客團體專門鎖定台灣企業、單位進行攻擊,平均每一至兩週,便在其官網上更新受害名單,甚至直接在其官網自介中,寫出可以100% 繞過多家國際知名大廠EDR的偵測與保護。看著他們在如此短時間內便攻破多個單位,相信多數企業負責人及IT相關人員心中都會有相同的疑問:為何他們能夠如此來去自若,難道EDR真的已無用武之地了嗎?
在網路世界中,通常在駭客執行勒索軟體,並於相關網站上「宣示」戰果以前,是不易判定攻擊者是否為某個駭客團體的。但人總有慣性,即便是善於匿蹤的駭客組織,也會有慣於使用的工具、手法、特徵等資訊,可供研究員進行判別。本文將透過近期本公司研究監控團隊阻斷的攻擊中,數個幾乎可以確定是CrazyHunter的實際範例來進行分析探討。
中芯數據針對數起案例分享,是攻擊者從未知來源的機器,竊取得高權限帳號密碼後,使用常見橫向擴散工具impacket 進行橫向移動的例子。此工具功能強大又好用,為許多攻擊者、紅隊人員做內網滲透時所喜愛。
|
相關實際案例細節請詳閱:
