AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

防护计划：Hacking Team数据泄露事务

2015-07-10

宣布者：AG公司科技

Content

攻击：谁在攻击？
- Hacking Team及Gamma Group
泄露数据
影响水平
防护思绪
- Detect
- Deny
解决计划
- 应对0Day
- 计划优势
威胁情报
关于AG公司科技

7月5日晚，一家意大利远程控制软件厂商Hacking Team的内部数据被泄露出来，其影响力不亚于斯洛登事务及维基解密事务，AG公司科技威胁响应中心随即启动应急响应事情。

1. 6日，威胁响应中心启动应急剖析事情，AG公司TAC产品阻挡到Flash 0Day误差攻击；
1. 6日夜，相关信息及起源建议，第一时间见告客户关注；
1. 7日，在官网网站宣布紧迫通告，建议宽大用户关注事务希望。剖析事情希望希望中；
1. 9日，宣布Hacking Team远程控制系统简要剖析报告，同时宣布防护计划；

本报告以后次事务中获取的样本入手，剖析其包括的数据及影响，为用户思索下一步的应对计划，给出了防护思绪及解决计划。

攻击：谁在攻击？

7月5日晚，一家意大利软件厂商被攻击，其掌握的400GB数据泄露出来，由此可能引发的动荡，引起了业界一片哗然。阻止发稿时止，有多个组织声称对此行为认真，包括Gamma Group Hacker。虽然现在没有事实批注该声称确实可信，但由此让玄色工业链条中的一种”新”形态袒露出来，即从攻击最终用户演变为攻击中心链条以致攻击者组织之间的相互厮杀，这种形态已经从黑产上升到供应商、政府机构之间的问题，这不得不说，对涉及中心链条的组织，敲响了警钟。

Hacking Team及Gamma Group

Hacking Team在意大利米兰注册了一家软件公司，主要向各国政府及执法机构销售入侵及监视功效的软件。其远程控制系统可以监测互联网用户的通讯、解密用户的加密文件及电子邮件，纪录Skype及其他VoIP通讯，也可以远程激活用户的麦克风及摄像头。其总部在意大利，雇员40多人，并在安纳波利斯和新加坡拥有分支机构，其产品在几十个国家使用。

无独吞偶，这次声称对此次事务认真的组织，Gamma Group International也一经在2014年的8月被人入侵过，在那次的事务中，该组织被泄露了40GB的内部文档和恶意程序代码。这个组织无论从配景照旧营业都与Hacking Team类似，可是一家英国的公司。地下工业链各方的相互厮杀由此可见一斑，这里简朴用一张图来简朴展示一下其中的一个部分。值得关注的是，这次通过攻击供应商等中心链条获得攻击数据的动态。

图注：玄色工业链

泄露数据

此次事务中泄露的数据多达400GB，数据包中主要包括几个大的部分：

远程控制软件源码，也是其焦点，暂且称之为Hacking Team RCS（Remote Control System）
反查杀剖析工具及相关讨论文档
0Day、误差及相关入侵工具
入侵项目相关信息，包括账户密码、数据及音像资料
办公牍档、邮件及图片
其他

影响水平

在这些数据中，绿色标注的3类较量引人关注，这3类数据将对各个差别的领域造成影响

更频仍：0Day、误差及相关入侵工具，从现在获取的信息来看
- Flash 相关的应用及软件使用量很是重大，Windows平台上险些是所有的用户都会用到；
- 这些误差的流入玄色工业链，会让攻击越发快速和重大化
门槛低：Hacking Team RCS，是该组织主要输出的软件，从现在获取的信息来看
- 可以获取目的用户的电话、电脑的所有信息及影音资料；
- 涉及的桌面OS从Windows到MacOs X，手机OS基本笼罩了市场上盛行的系统；
- 受该工具及其已经熏染的客户端数目的影响，会让攻击门槛降低
影响大：入侵项目相关信息，这内里包括了种种入侵历程资料，甚至包括了已经乐成获取的账户密码及相关资料，一旦被恶意攻击者获取并使用，将会在玄色工业链中进一步发酵。

图注：Hacking Team远程控制系统

防护思绪

AG公司科技威胁响应中心在长年对黑客组织事务的追踪及剖析中，获得了富厚的履历积累，借鉴及建设了一些模子去明确它们，试图从中找到纪律，以便为应对未来的未知威胁提供履历借鉴。针对此次事务，这里使用Intrusion Kill Chain模子跟各人举行探讨，虽然纷歧定适合所有营业情形，但希望可以资助各人找到指定自身防护计划的一点灵感。

Intrusion Kill Chain模子精髓在于明确提出网络攻防历程中攻防双方互有优势，防守方若能阻断/瓦解攻击方的进攻组织环节，即是乐成地挫败敌手的攻击妄想。模子是将攻击者的攻击历程剖析为如下七个办法: Reconnaissance（踩点）、Weaponization（组装）、Delivery（投送）、Exploitation（攻击）、Installation（植入）、C2（控制）、Actions on Objectives（收割），如下图：

通过现在对Hacking Team RCS软件的剖析情形来看，主要通过如下三种方法入侵目的：

熏染移动介质：与许多木马、病毒及流氓软件的撒播方法一样，该软件首先照旧接纳这种低本钱的方法举行，熏染一些能够接触目的的移动媒体，好比CD-ROM、USB等，即即是OS 或者BIOS设置了密码也一样可以熏染，从而获取一些情形数据，好比电脑是否可以上网等，为后续的行动提供参考依据。
署理攻击：接纳软件或硬件的系统，能够在网络会话历程中修改和注入数据，在某些情形下，可以注入到系统并难以被检测到。同时，也能够熏染Windows平台上的可执行文件，若是目的电脑从网站上下载并执行这些可执行文件时，Agent将在后台自动装置，用户不会知晓。
APT：如上两种方法都无法奏效的时间，就会接纳多种形式组合入侵，接纳相关的误差、入侵工具及更多使用手段。针对这些入侵方法，下面来分阶段讨论防护思绪。

Detect

在这个阶段，建议您将目今IT情形中的误差扫描系统升级到最新版本后，尽快最先对营业系统举行扫描，尤其是受此次Flash 0Day误差影响的营业系统平台举行一次完整的误差扫描。

此次事务中，AG公司威胁剖析系统（NSFOCUS Threat Analyze Center，TAC）即体现出优越性，即通过独创的静态检测和动态检测引擎，能够不依赖于攻击特征识别恶意软件及其危害水平，率先侦测到Flash 0Day误差。

AG公司TAC可有用检测通过网页、电子邮件或其他在线文件共享方法进入网络的已知和未知恶意软件，发明使用0day误差的APT攻击行为，�；た突缑庠馐褂�0day误差等攻击造成的种种危害，如敏感信息泄露、基础设施破损等。

AG公司TAC能够在如下两个阶段对此次事务所带来的可能攻击举行检测

Delivery阶段：发明（detect）试图传输到内网的恶意软件（文件），包括已知和未知的高级恶意软件；
Installation阶段：发明高级恶意软件乐成使用后，试图从控制端下载更多恶意程序。

Deny

若是您已经安排了AG公司网络入侵防护系统（Network Intrusion Prevention System，简称NIPS），在升级最新的升级包后，即可阻断Flash 0Day误差所带来的攻击，并一连获得敏感数据�；ぁ⒖突Ф朔阑ぁ⒎衿鞑环ㄍ饬阑ぁ⒔┦绶阑さ榷嘞罘阑�。

请所有使用AG公司产品的用户尽快升级。AG公司科技已在软件升级通告中提供规则升级包，规则可以通过产品界面的在线升级举行。若是您的营业系统暂时还无法升级规则包，那么可以在软件升级页面中，找到对应的产品，通过下载升级包，以离线方法举行升级。相关信息请会见产品升级通告 http://update.nsfocus.com/

另外，用户若是已安排AG公司NIPS产品，可以通过增添TAC防护组件的方法，使企业外地网络具备未知威胁发明能力，并与AG公司NIPS形成联动，在第一时间做到未知威胁检测、阻挡。

Patch

在这个阶段，建议您尽快的装置就此次泄露出来的资料库中所包括的Flash 0Day误差，Adobe官方已经修复了误差，并提供了升级版本，请宽大用户尽快升级到最新版本。FLASH更新办法如下：

翻开 https://get.adobe.com/flashplayer/?loc=cn
点击连忙装置，生涯装置包，下载完成后执行装置文件0Day误差一旦被果真，往往也是被攻击者使用最为放纵的时间。在此清静专家建议:
- 装置反病毒软件举行通盘问杀并第一时间更新系统和Flash补丁
- 推荐使用清静级别更高的猎豹 FireFox浏览器
  - Chrome用户请升级至最新版本(>=43)
  - IE Chrome用户请手动升级Flash至最新版本
养成优异的上网习惯和清静意识
- 提高内部员工的清静意识和建设完整的监控系统是提防APT的主要手段。
- 建议对内部员工开展普遍的清静意识培训，阻止泛起使用弱口令、点击不明泉源邮件附件、会见恶意网站等危险行为。不随意翻开生疏人通过QQ等发送的网页链接不随意翻开垃圾邮件

解决计划

AG公司下一代威胁解决计划（NGTP解决解决计划），是针对APT威胁举行检测和防御的解决计划。NGTP解决计划聚焦APT攻击链条，检测和防御APT攻击链中攻击，潜在和偷取三个主要环节。重点检测和防御在攻击实验阶段，进入后的潜在和扩展攻击阶段，以及最终偷取数据目的阶段。

NGTP解决计划以全球威胁情报云为纽带，以未知威胁检测为焦点，通过与古板终端、网关装备联动，实现跨厂商的威胁情报的共享，以及企业威胁态势可视化，最终抵达提升企业APT威胁防护的能力的目的。

应对0Day

NGTP针对0Day误差攻击的解决计划，由外地沙箱TAC，威胁防御�？镮PS，AG公司清静信誉和ESPC治理等系统组成。NGTP计划防御0Day误差攻击的流程：

第一步：要经由外地沙箱系统TAC的检测，TAC提供静态检测引擎和虚拟执行引擎，对恶意软件举行Shellcode静态剖析，然后再举行虚拟执行。通过这两步剖析，从Hacking Team组织泄露的0Day攻击软件被识别出来；
第二步：TAC检测出恶意软件的泉源，天生信誉信息，包括文件的信誉和攻击源IP等信息，同步到外地的清静治理中心ESPC，形成外地的信誉库；
第三步：NIPS从外地信誉库吸收到恶意软件的信誉信息，对提倡攻击的源IP实现阻断，并天生告警日志。

计划优势

APT威胁检测和防御的周全性：AG公司下一代威胁解决计划，能够周全的对APT威胁检测和防御。无论是网络，Web照旧邮件，终端众多通道，都是APT威胁可能使用的通道，NGTP解决计划，不但在网络界线进检测和防御，还在企业内网，邮件服务器，终端等多个层面举行检测和防御。既能够实时举行检测和阻断，还使用大数据剖析平台，举行事后的剖析和视察。
APT检测的准确性：AG公司下一代威胁解决计划，使用外地沙箱和云端清静信誉，准确地对APT威胁检测和防御。外地沙箱提供了恶意软件静态检测和虚拟执行手段，检查恶意软件Shellcode，并且模拟真实的PC情形举行验证，极大提高恶意软件的准确性；同时，云端信誉提供最新的威胁情报信息，进一步提供NGTP计划对APT威胁检测的准确性。
解决计划手艺领先：组成NGTP解决计划的各个�？槭忠障冉�。TAC产品，是海内最早推向市场的APT检测装备，经由几年的一直优化，功效和性能获得极大提高，尤其是获得专利手艺的静态Shellcode检测手艺和虚拟执行检测手艺，更是为APT威胁检测的准确性提供强力支持。AG公司NIPS产品也是久负盛誉，不但在海内市场上遥遥领先，还多次于国际权威检测机构获得认可。AG公司清静威胁信誉系统，提供最新最全的清静信誉，让NGTP计划施展最大效能。

AG公司威胁剖析系统TAC， http://www.nsfocus.com.cn/products/details_22_1.html

AG公司网络入侵防护系统NIPS， http://www.nsfocus.com.cn/products/details_22_3.html

威胁情报下载

防护计划：Hacking Team数据泄露事务

<<上一篇

简要剖析：Hacking Team 远程控制系统

>>下一篇

剖析分享: Hacking Team Flash 0Day

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号