7、微步在线：基于Sysmon的企业级终端威胁检测与响应（30页）.pdf

1、基于基于Sysmon的企业级威胁检测与响应闭环的企业级威胁检测与响应闭环Sysmon 画像：我是谁，来自哪里，有啥用 一步步建立企业级威胁检测与响应能力案例：检测与响应闭环System Monitor(Sysmon)is a Windows system service and device driver that,once installed on a system,remains resident across system reboots to monitor and log system activity to the Windows event log.It provides det

2、ailed information about process creations,network connections,and changes to file creation time.By collecting the events it generates using Windows Event Collection or SIEM agents and subsequently analyzing them,you can identify malicious or anomalous activity and understand how intruders and malwar

3、e operate on your network.！开发一个适用模板非常重要！BlackTech 是一个主要针对东亚地区的商业间谍组织，其活动可追溯至 2010 年，其攻击目标包含中国和日本，目标行业包含金融、政府、科技、教育、体育和文化等，其目的是窃取机密数据（各种账密、机密文件等）和获取经济利益。该组织主要使用鱼叉式网络钓鱼邮件进行攻击，以包含恶意宏和漏洞的文档，以及使用 RLO 技术的可执行文件等作为诱饵，投递 Plead 木马组织背景组织背景东亚东亚，熟悉中文熟悉中文活跃时间活跃时间2010至今近期攻击目标近期攻击目标国内多家券商国内多家券商+多家高科技企业多家高科技企业目标地域目标

4、地域中国、日本目标行业目标行业金融、政府、科技、教育、体育、文化攻击手法攻击手法鱼叉式网络钓鱼、供应链攻击、中间人攻击、邮件附件密码保护、社工、RLO、漏洞、滥用正规数字证书签名木马、C2域名伪装、宏使用AES加密攻击目的攻击目的窃取各种账密、数字证书、机密文档、知识产权，以及获取经济利益组织名称组织名称BlackTech组织别名组织别名黑凤梨、T-APT-03组织简介组织简介BlackTech是一个主要针对东亚地区的商业间谍组织，其活动可追溯至2010年，其攻击目标包含中国和日本，目标行业包含金融、政府、科技、教育、体育和文化等，其目的是窃取机密数据（各种账密、机密文件等）和获取经济利益。该

5、组织主要使用鱼叉式网络钓鱼邮件进行攻击，以包含恶意宏和漏洞的文档，以及使用RLO技术的可执行文件等作为诱饵，投递Plead木马。组织背景组织背景东亚，熟悉中文活跃时间活跃时间2010至今活跃状态活跃状态活跃目标地域目标地域中国、日本目标行业目标行业金融、政府、科技、教育、体育、文化攻击手法攻击手法鱼叉式网络钓鱼、供应链攻击、中间人攻击、邮件附件密码保护、社工、RLO、漏洞、滥用正规数字证书签名木马、C2域名伪装、宏使用AES加密攻击目的攻击目的窃取各种账密、数字证书、机密文档、知识产权，以及获取经济利益针对平台针对平台Windows、Linuxhttps:/ 年 12 月 14 日，国内免费驱

6、动管理软件“驱动人生”通过软件自动升级渠道向用户推送了恶意代码，并利用“永恒之蓝”漏洞进行传播扩散，以实施挖矿和信息收集等恶意活动，仅半天时间就感染了国内数万用户。迄今为止，攻击活动仍然非常活跃，累计变换了十余次的攻击手法，失陷主机预计达数百万。组织背景组织背景大型黑产团伙大型黑产团伙活跃时间活跃时间2018年年底至今近期攻击目标近期攻击目标不局限于特定目标不局限于特定目标目标地域目标地域中国目标行业目标行业不局限于特定行业攻击手法攻击手法供应链攻击、powershell无文