国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
今天带来,安天应急处置与威胁分析工作轨迹的第三部分——重大事件分析研判与高危漏洞响应篇。
安天参与和支撑了2005年后多起重大的网络安全相关事件的验证、研判等工作,基于自身的分析能力与体系,为主管部门、战略客户提供决策参考,为公众提供客观、理性、真实的事件信息。
在威胁中,安天的最早分析工作入手点是围绕恶意代码样本/执行体展开的,漏洞分析本身并不是安天分析工作的主视角。在早期蠕虫分析过程中,仅对可蠕虫化(远程执行)的漏洞进行预警判断并作为蠕虫传播机理分析的一部分。在2008年后,随着更多严重漏洞被攻击者定向利用,而不是跟随蠕虫传播曝光,安天逐渐将严重漏洞的响应分析,从蠕虫分析的流程中解耦出来,形成一套主要围绕着漏洞分析->漏洞利用检测->漏洞缓解工作展开的工作方法。逐渐完善了包括漏洞情报收集、漏洞验证、影响范围评估、漏洞利用技术分析、修复建议制定和应急响应策略规划的流程,提升了安天引擎对漏洞利用载荷的检测能力和产品缓解和防护漏洞的能力。
我们将在上述工作中,摘取已经公开发布的部分,汇聚成为本篇索引。
事件:赛门铁克误杀微软 Windows XP 中文补丁导致系统蓝屏事件
贡献:通过深度对比多语言版本、补丁和原版本差异、相关杀毒软件报警原因分析,准确的判断了事件原因
更多信息参见:
《关于赛门铁克查杀中文XP系统文件问题的事件分析》
安天技术文章汇编(三)
漏洞:Windows SMB服务漏洞(MS08-067)
贡献:分析报告、原理及检测方法
更多信息参见:
安天技术文章汇编(二)
2013年7月
事件:斯诺登
贡献:斯诺登效应的前因解读
斯诺登事件相关信息关系图
更多信息参见:
斯诺登效应的前因解读(中国计算机学会通讯发表)
漏洞:心脏出血(Heartbleed) CVE-2014-0160
贡献:深入机理分析、漏洞机理和缓解方法科普、提供网络检测方法
心脏出血漏洞形象图
更多信息参见:
CVE-2014-0160(TLS心跳读远程信息泄露)漏洞简述与网络侧检测建议
Heartbleed漏洞(CVE-2014-0160)FAQ
事件:winXP停止服务
贡献:微软安全演进的启示、操作系统安全性思考
XP停服后对安全威胁版图的影响(YOCSEF特别论坛会议报告)
《安天技术文章汇编热点事件专题(第二分册)》
漏洞:“破壳”漏洞(CVE-2014-6271)
贡献:漏洞机理分析、恶意代码关联分析、历史演进分析
“破壳”漏洞(CVE-2014-6271)报告封面
更多信息参见:
Bash远程代码执行漏洞“破壳”(CVE-2014-6271)分析
“破壳”漏洞相关恶意代码样本分析报告 ——“破壳”相关分析之二
"破壳"漏洞的关联威胁进化与类UNIX系统的恶意代码现状 ——“破壳”相关分析之三
漏洞:“沙虫”漏洞(CVE-2014-4114)
贡献:漏洞机理深入分析、细粒度漏洞配置环境分析、恶意代码关联分析、历史演进分析
“沙虫”漏洞(CVE-2014-4114)形象图
更多信息参见:
沙虫(CVE-2014-4114)相关威胁综合分析报告
事件:Xcode非官方供应链污染(XcodeGhost)
贡献:事件深度分析报告、事件影响范围细粒度排查
Xcode非官方版本恶意代码污染事件(XcodeGhost)报告封面
Xcode非官方供应链污染事件示意图
更多信息参见:
Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述
事件:乌克兰电力系统遭受攻击事件
贡献:从早期僵尸网络传播到最终攻击完整复盘、准确判断致效机理、提出处置建议
乌克兰电力系统遭受攻击事件报告封面
乌克兰电力系统遭受攻击事件可视化复现视频
更多信息参见:
事件:全球爆发大规模勒索攻击“魔窟”(WannaCry)MS17-010
贡献:首发完整分析、专杀、免疫工具、内存密钥提取(恢复)工具、溯源支撑
“魔窟”(WannaCry)MS17-010深度分析报告封面
更多信息参见:
安天应对勒索软件“WannaCry”防护手册
安天蠕虫式勒索软件WannaCry免疫工具FAQ 4
事件:伪装勒索攻击的攻击金融等基础设施事件
贡献:第一时间猜测出是伪装为勒索病毒的毁瘫攻击、提出防范建议
Petya攻击某行业事件可视化复现
更多信息参见:
漏洞:蓝牙协议漏洞
贡献:发布报告、攻击验证
更多信息参见:
漏洞:Meltdown(熔毁)和Spectre(幽灵)
贡献:率先预警、漏洞分析、漏洞验证
Meltdown(熔毁)和 Spectre(幽灵)分析报告首页
更多信息参见:
处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告
Meltdown攻击与CPU体系结构的简明FAQ
处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)FAQ
安天热点事件专题(第五分册)
事件:委内瑞拉大规模停电事件
贡献:联合广东省电力系统发布报告
委内瑞拉大规模停电事件报告封面
更多信息参见:
事件:美向俄电网植入恶意代码
贡献:事件总结、提出实战化威胁猎杀
安天威胁猎杀流程概览视图
更多信息参见:
实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示
漏洞:微软SMBv3(CVE-2020-0796)
贡献:漏洞原理分析、免疫工具
CVE-2020-0796 SMBv3漏洞免疫工具
更多信息参见:
事件:FireEye红队工具失窃
贡献:分析报告、排查方法和思考
更多信息参见:
事件:SolarWinds旗下软件被用于供应链攻击事件
贡献:分析报告
SolarWinds事件相关恶意代码预制+网管软件沦为RAT的威胁框架图谱叠
更多信息参见:
事件:美国最大成品油管道运营商Colonial Pipeline遭到网络攻击
贡献:分析报告、提供研判和建议
关于美燃油管道商遭勒索攻击事件相关报告封面
更多信息参见:
漏洞:Apache Log4j 2远程代码执行
贡献:提供排查方法、处置建议、解决方案
更多信息参见:
Apache Log4j 2远程代码执行漏洞的排查与处置建议
漏洞:Curl高危漏洞(CVE-2023-38545)
贡献:分析跟进、多种检测方法、加固方法
更多信息参见:
事件:波音遭遇勒索攻击事件
贡献:针对最活跃的LockBit勒索攻击组织,以其攻击波音活动为典型案例进行深入分析解析。总结了RaaS+定向勒索攻击规律,提出防范建议。
“LockBit组织”针对波音的勒索攻击事件可视化复现
更多信息参见:
波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考
事件:CrowdStrike导致大规模系统崩溃事件
贡献:完整机理分析、提供应急解决方案、临时处置工具
更多信息参见:
漏洞:Windows Server RDL 远程执行漏(CVE-2024-38077)
贡献:应急工具缓急漏洞
CVE-2024-38077漏洞应急工具
事件:黎巴嫩寻呼机(BP机)事件研判分析
贡献:分析相关机理和触发过程、提供深度分析报告
黎巴嫩寻呼机(BP机)爆炸事件研判分析报告封面
更多信息参见: