国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
工作成果:对“震网”攻击真相和细节分析、搭建仿真环境、完整分析USB摆渡机理
成果公开发布时间:2010年9月
已公开发布技术报告:
《对Stuxnet蠕虫攻击工业控制系统事件的综合分析报告》
《对Stuxnet蠕虫的后续分析报告》
《WinCC之后发生了什么?》
纸版报告刊载于《安天技术文章汇编(五)工控系统安全分册》
震网攻击活动可视化复现
工作成果:证实毒曲与震网的同源性,提出多个独家证据点
成果公开发布时间:2012年5月
已公开发布技术报告:
纸版刊载于《程序员》2012年5期《探索Duqu木马身世之谜》
《从Duqu病毒与Stuxnet蠕虫的同源性看工业控制系统安全》
Duqu和Stuxnet同源性分析报告报告封面
Duqu、Stuxnet同源关键代码基因对比表
比较项目 | Duqu木马 | Stuxnet蠕虫 |
功能模块化 | 是 | |
Ring0注入方式 | PsSetLoadImageNotifyRoutine | |
Ring3注入方式 | Hook ntdll.dll | |
注入系统进程 | 是 | |
资源嵌入DLL模块 | 一个 | 多个 |
利用微软漏洞 | 是 | |
使用数字签名 | 是 | |
包括RPC通讯模块 | 是 | |
配置文件解密密钥 | 0xae240682 | 0x01ae0000 |
注册表解密密钥 | 0xae240682 | |
Magic number | 0x90,0x05,0x79,0xae | |
运行模式判断代码存在Bug | 是 | |
注册表操作代码存在Bug | 是 | |
攻击工业控制系统 | 否 | 是 |
驱动程序编译环境 | Microsoft Visual C++ 6.0 | Microsoft Visual C++ 7.0 |
工作成果:与震网同源性、分析了超过90%的模块业内占比最高
成果公开发布时间:2012年5月
已公开发布技术报告:
《FLame蠕虫样本分析报告》
纸版报告刊载于《安天技术文章汇编(五)工控系统安全分册》
Flame蠕虫样本集分析报告封面
工作成果:分析硬盘固件持久化机理、指令控制结构、破解通讯加密方式、揭示完整作业能力、全球独家曝光Solaris、Linux 平台样本
成果公开发布时间:2015年3月~2017年1月
已公开发布技术报告:
《修改硬盘固件的木马——探索方程式(EQUATION)组织的攻击组件》
《从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析》
纸版报告刊载于《安天技术文章汇编(十.二)高级持续性威胁(APT)专题》
纸版报告刊载于《安天技术文章汇编(十.三)高级持续性威胁(APT)专题》
从“方程式”到“方程组”EQUATION攻击组织高级恶意代码的全平台能力解析分析报告封面
方程式组织主机作业模块积木图
工作成果:主动捕获攻击活动、首篇点名外方具体国家分析报告、提出网络军备扩散问题
成果公开发布时间:2015年5月27日
已公开发布技术报告:
《一例针对中方机构的准APT攻击中所使用的样本分析》
纸版报告刊载于《安天技术文章汇编(十.二)高级持续性威胁(APT)专题》
一例针对中方机构的准APT攻击中所使用的样本分析报告封面
海莲花(APT-TOCS)攻击事件复现
报告题目:《The Panda’s Scar——The APT Attacks against China》
工作成果:首次在国际论坛揭露外方对我国APT攻击的技术报告
成果公开发布时间:2016年4月29日
已公开发布技术报告:
《熊猫的伤痕——中国遭遇的APT》
纸版报告刊载于《安天技术文章汇编(十.三)高级持续性威胁(APT)专题》
熊猫伤痕报告中分析美方攻击样本内容
工作成果:国内首次锁定境外APT组织自然人
成果公开发布时间:2016年7月
已公开发布技术报告:
纸版报告刊载于《安天技术文章汇编(十.三)高级持续性威胁(APT)专题》
分析工作早期公开内容参考:《反病毒的现状、挑战与改进 (上)》(刊载于2014年4月中国计算机学会通讯 第 10 卷 第 4 期),技术报告《APT的线索、关联与样本集度量》(2014年9月中国互联网安全大会安天演讲)
纸版报告刊载于《安天技术文章汇编(十.三)高级持续性威胁(APT)专题》
白象的舞步——来自南亚次大陆的网络攻击分析报告封面
白象组织对我国的攻击活动复现
工作成果:全面分析南亚地缘背景多个攻击组织
成果公开发布时间:2017年12月
已公开发布技术报告:
安天工程师绘制的“白象一代”攻击组织成员画像
工作成果:全面分析和披露了绿斑组织长期长达十年的攻击活动
成果公开发布时间:2018年9月
已公开发布技术报告:
纸版刊载于《安天技术文章汇编(十.四)高级持续性威胁(APT)专题》
相关媒体报道:
2018年10月7日:焦点访谈《信息安全:防内鬼 防黑客》
2019年09月15日:焦点访谈《 网络安全:为人民 靠人民》
“绿斑”组织2011-2014攻击活动时间轴
绿斑事件-可视化复现
工作成果:完整还原美方攻击他国金融基础设施完整作业过程
成果公开发布时间:2019年6月
已公开发布技术报告:
《“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告》
纸板刊载于《安天技术文章汇编(十.四)高级持续性威胁(APT)专题》
2019年6月3日:新华社署名文章《对美国网络攻击目标泛化的隐忧》
2019年6月2日:中国互联网新闻中心:《这份报告打了美国政府的脸!原来这些网络攻击、窃密勾当都是他们干的!美国却贼喊捉贼》
2021年7月21日:环球网《美国才是国际网络空间秩序最大的破坏者》
2022年04月15日:焦点访谈《 国家安全 共同守护》
“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告封面
“方程式组织”对EastNets网络的总体攻击过程复盘
“方程式组织”攻击SWIFT服务提供商EastNets事件可视化复现
工作成果:绘制美方多代恶意样本工程关联图谱、解开震网分析大量历史遗留问题
成果公开发布时间:2019年9月
已公开发布技术报告:
纸版刊载于《安天技术文章汇编(十.四)高级持续性威胁(APT)专题》
震网和毒曲、火焰、高斯、Fanny、Flowershop关系图
工作成果:首家曝光新APT组织
成果公开发布时间:2020年1月
已公开发布技术报告:
纸版刊载于《安天技术文章汇编(十.四)高级持续性威胁(APT)专题》
2021年11月20日:环球网《长期入侵南亚多国的印度黑客组织“幼象”攻击转向中国》
“幼象”组织在南亚地区的网络攻击活动分析报告封面
工作成果:分析黑店渗透隔离网络技术手段
成果公开发布时间:2020年5月
已公开发布技术报告:
《Darkhotel组织渗透隔离网络的Ramsay组件分析》
纸版刊载于《安天技术文章汇编(十.四)高级持续性威胁(APT)专题》
Ramsay突破隔离网络猜想流程图
Ramsay渗透隔离网窃密流程可视化复现
工作成果:披露印方新APT组织并溯源该组织自然人
成果公开发布时间:2022年6月
已公开发布技术报告:
纸版刊载于《安天技术文章汇编(十.四)高级持续性威胁(APT)专题》
2022年6月17日:环球网:《又曝光一个!“攻击中国长达十年”》
2022年7月26日:凤凰卫视资讯《Dark Elephant Group: A Decade of Cyber Attacks》
“暗象”攻击组织/行动:潜藏十年的网络攻击分析报告封面
工作成果:首次披露利用IOT设备作为跳板和流量转发的作业模式
成果公开发布时间:2022年12月
已公开发布技术报告:
海莲花组织Torii远控的网络攻击活动分析报告封面
工作成果:全球首次曝光DoubleFantasy的iOS平台样本
成果公开发布时间:2023年6月
已公开发布技术报告:
《“量子”系统击穿苹果手机——方程式组织攻击IOS系统的历史样本分析》
2023年6月9日:环球网《中国网安企业最新报告显示:美对iPhone手机网络攻击始于2013年》
“量子”系统可攻击场景图谱化分析
早期安天历史分析报告和技术文献,刊载于《安天技术文章汇编》。历史全部十一卷,二十一个分册技术文章汇编电子版,均已在安天信息情报平台上线。安天信息情报平台,同时包括安天历史已公开分析报告PDF版本。有意成为安天情报平台用户的可联系iia_sales@antiy.cn。