现代亚洲APT组织的战术、技术和程序(TTPs)

几乎每个季度都会有人发表主要研究成果，重点关注涉及亚洲 APT 组织的活动或事件。这些活动和事件针对多个行业的各种组织。同样，受害者的地理位置也不仅仅局限于一个地区。

此类研究通常包含有关 APT 参与者使用的工具、他们利用的漏洞的详细信息，有时甚至包含特定的归因。尽管此类报告数量众多，但公司通常仍未准备好面对此类攻击者。凭借当今威胁行为者使用的先进工具和技术，网络安全专业人员不仅需要高水平的专业知识和丰富的经验，还需要由组织良好的资产管理和漏洞管理流程、网络分段、微调审计和智能配置的数据安全工具。在大多数情况下，未做好准备的基础设施是亚洲 APT 组织成功实施攻击的主要因素。

在本报告中，我们分享了我们收集到的有关亚洲 APT 组织的最有价值的情报。在我们的工作过程中，我们注意到这些组织攻击了最多的国家和行业。最重要的是，我们对数百次攻击的分析揭示了不同群体之间的类似模式。他们使用世界各地安全专业人员遇到的常见但数量有限的技术，在网络杀伤链的各个阶段实现特定目标。不幸的是，安全团队通常很难在自己的基础设施中检测到这些攻击。

我们创建这份报告的目的是为网络安全界提供最充分的情报数据，以有效对抗亚洲 APT 组织。这份报告将对以下方面最有帮助：

• SOC 分析师

• 网络威胁情报分析师

• 威胁狩猎专家

• 数字取证 (DFIR) 专家

• 网络安全专家

• 域管理员

• 负责公司网络安全的C级高管
  

该材料可以作为亚洲 APT 组织在攻击基础设施时使用的主要方法的知识库。该报告还包含基于 MITRE ATT&CK 方法的攻击者策略、技术和程序 (TTP) 的详细信息。

本报告由六个主要部分组成：

1.全球不同地区涉及亚洲 APT 组织的事件

有关我们在世界不同地区发现的五起独特事件的信息。每起事件都是特定国家和行业内的独特案例，我们提供肇事者的行为和 TTP 的描述。在每个部分的末尾，我们整理了一个综合表，显示 TTP 列表（与我们在这些事件中遇到的 APT 组相关）及其在这些事件中的重叠使用。

2.技术细节

我们在亚洲 APT 组织进行的攻击中检测到的各项技术的详细描述。每种技术包含以下内容：

• 主要说明。有关特定技术如何工作的技术细节
  

• 程序示例。我们在亚洲 APT 组织的攻击中检测到该技术的示例实现

• 有关用于检测所描述技术的方法的数据，以及用于检测特定威胁的各种监控代理中的事件的 EventID

• 西格玛规则。与该技术相关的 SIGMA 规则列表。实际的 SIGMA 规则可以在附录中找到：SIGMA
  

3.基于统一杀伤链的攻击者行为分析

我们使用统一杀伤链模型创建了自己的与亚洲 APT 组织相关联的表，以便我们可以从高层次上了解这些攻击者的动机和行为模式，并提供有关亚洲 APT 组织在进行潜在攻击时可能采取的步骤的数据。

4.缓解措施

为缓解与所述 TTP 相关的风险而采取的措施

5.受害者统计

统计数据。全球亚洲 APT 组织受害者的综合统计数据以及按国家和行业分类的数据

6.附录：SIGMA

SIGMA 规则可以帮助检测本报告中描述的技术

后台回复 0006 获取完整版报告

关注公众号后台回复 0001 领取Windows Proxifier激活码，0002 领取Mac Proxifier激活码，0003 获取无需登录在线即用的New Bing地址，0004 获取CobaltStrike4.9.1破解版，0005 获取VMware Pro 17.5永久Key

加我微信好友，邀请你进交流群

文章号，欢迎关注