《从威胁情报研判网空攻击技术态势》李文瑾.pdf

《《从威胁情报研判网空攻击技术态势》李文瑾.pdf》由会员分享，可在线阅读，更多相关《《从威胁情报研判网空攻击技术态势》李文瑾.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、从威胁情报研判网空攻击技术态势绿盟科技 天元实验室 李文瑾我们是谁？专注于新型实战化攻防对抗技术研究。研究标包括：漏洞利技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等红队技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及业互联、联等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视提供识别险的法和段，为威胁对抗提供决策撑。实网演练国家级攻防演练实网高级对抗技术研究前沿领域的实战研究积累攻防竞赛国内外顶尖赛事网鼎杯、强网杯天府杯、GeekPwn网空威胁形势严峻威胁情报驱动的攻防对抗研究安全防御体系NTI/IDPS/UES威胁

2、狩猎网空威胁情报能力转化对手技术战术研究Internet情报能力转化实网攻防对抗演练攻防能力转化攻击行为模型情报驱动的攻防对抗研究，研判攻击技术发展方向以攻促防基于威胁情报的蓝军能力建设，更加贴合真实网空威胁模拟基于威胁情报的蓝军能力建设对手选择针对目标行业和IT环境特点选择需要模拟仿真的对手01行为分析和研究根据威胁情报确认对手TTPs，挖掘先进技术进行研究创新02建立蓝军知识库基于行为分析经验总结形成蓝军专家知识库03攻防大模型训练基于蓝军知识库训练攻防垂直大模型，提升效率04蓝军武器库建设基于攻防经验和GenAI研发攻防演练蓝军高对抗武器工具05复盘分析总结攻防演练经验，推动基于威胁的防

3、御体系建设06勒索威胁变化趋势蠕虫式勒索攻击 传播方式：借助系统漏洞与网络弱点自动化传播感染 执行方式：自动加密或锁定系统文件、显示勒索信息 支付方式：向勒索信中的加密货币账户打钱 攻击规模：短时间内感染网络内大量系统，迅速扩展至全球范围人为操纵的勒索攻击 传播方式：攻击者有目的性地入侵目标系统，手工执行勒索行为 执行方式：对目标系统深入入侵，获取敏感数据或控制关键系统 支付方式：攻击者通过聊天平台与受害者联系，甚至沟通赎金数量 攻击规模：选择特定的组织或个人为目标，正对性更强Ryuk 2020-2021.6Conti 2021.7-2021.10Hive 2021.10-至今BlackCat

4、 2022.3-至今Nokoyawa2022.5-至今CryptoLocker2013WannaCry2017AIDS1989威胁狩猎和对手分析CTC55?-?攻击组织勒索运营商?RaaS?多种命令控制手段前锋载荷-IcedID Bot主控C2木马-Cobalt Strike、BRC4合法远控平台-NetSupport ManagerSystem BC-带有代理功能的RAT使用多种勒索软件BlackBastaNokoyawaBlackSuiteSaaS服务内容勒索武器生成支付谈判平台数据泄密平台多阶段攻击过程初始控制：社工钓鱼前锋载荷主控C2 内网渗透：代理、提权、killav、持久化、横向目

5、标达成：勒索加密、系统锁定、数据渗出前沿攻击与防御规避技术利用BYOVD技术实现杀软终结借助HVNC技术远程图形化控制同时使用4种C2远程控制手段?访问经纪人权限获取方式公网脆弱资产口令爆破及漏洞利用借助生成式AI的自动化网络钓鱼批量投递商业窃密器，获取各类敏感口令生成式AI用于网络攻击CTC98:某顶级僵尸网络组织对外提供SaaS化服务售卖初始访问权限，附带远程控制通道，具有浏览器密码窃取、邮件密码窃取、命令执行、文件管理、HVNC等功能高度自动化的蠕虫式网络钓鱼通过钓鱼窃取邮箱账号后，对邮箱内近期邮件进行分析，根据上下文内容回复带有恶意PDF附件的邮件再次完成钓鱼。使用人工智能技术完成邮箱

6、内邮件、联系人、内容事件的学习和关系建立，生成具有高可读性和事件上下文相关性的邮件内容，附带自动化生成的样本文件132WormGPT2、窃密器组件获取受害者邮箱账号密码3、WormGPT分析邮箱内容生成钓鱼邮件1、发送钓鱼邮件，投递木马和攻击载荷新兴C2技术发展l2021 商业C2 Brute Ratel C4(BRC4)发生泄露，对比CobaltStrike，BRC4大量使用系统API调用实现(45个)代替创建进程方式的系统命令执行l2022 golang语言编写的Sliver C2兴起，使用golang语言编写具备跨平台特性并支持COFF、BOF、dotnet assembly加载等能让攻