对齐安全系统与情报搜集关于民族国家的工作精英黑客的群体是有针对性的组织的一个关键的防守,专家说。
这种策略的重要性是本周强调了这一发现能够快速切换目标,因为地缘政治事件改变了中国黑客的特定波段的报告。
该网络间谍小组,被称为深熊猫,在伊拉克转移焦点从东南亚的美国政策专家对跟从叛乱分子一旦叛军开始威胁到中国在该国石油行业的投资,安全厂商CrowdStrike报道。
防御这种攻击灵活,需要对这些团体的情报源源不断,这样的规则可以在安全信息和事件管理(SIEM)产品更新防火墙和入侵检测系统(IDS)和指标进行更新。
这些常数基于情报的调整是至少逗留即使攻击者的有效途径。
“你不能把你的IDS开箱,插上电源,并期望有所作为,”亚当·迈尔斯,为CrowdStrike威胁情报的副总裁说。
相反,系统必须根据不断变化的战术,技术和黑客程序不断更新,迈尔斯说。
“了解威胁的演员,了解他们的动机是什么,了解他们是如何运作的,真是什么样的CIO应该从这个报告中带走,”他说。
在深熊猫的情况下,CrowdStrike FOUND该集团违反使用Windows PowerShell脚本的受害者的网络。PowerShell是微软的任务自动化和配置框架。
攻击者还同时下载,并从内存.NET可执行文件名为“威”,它会下载并运行名为MadHatter远程访问工具(RAT),深熊猫的最爱之一执行,CrowdStrike说。
在内存中运行的一切保持关闭硬盘驱动器的恶意文件,使他们更难以察觉。
“这是典型的深熊猫” CrowdStrike在其博客中说。“机战是他们的专业和他们喜欢的方式,叶尺寸极小受害者的系统上,往往使他们逃避检测了很长的时间来操作。”
这是一个可以在重新调整安全技术中使用的实物资料。与此同时,组织应使用一组被认为是防御性基线技术,保罗·亨利,在SANS研究所高级讲师说。
这些技术包括:
--Ingress过滤,允许进入网络的数据包只能从一个公司做业务遍及世界的那些地区。
--Using技术,用于访问关键数据产生的散列值。
--Anti病毒软件,以阻止已知的威胁,白名单技术,阻止未知的程序和脚本无法执行。
--Egress过滤,防止离开组织网络的敏感数据。
这个故事,“针对复杂的网络间谍的防守战术”最初发表CSO 。