22日消息，以提倡“先行打击”对付APT而闻名的美国安全公司CrowdStrike发布“CrowdStrike全球威胁报告—2013年回顾”。报告一语惊人，再次引发媒体热炒，其中就包括路透社的《俄政府黑客入侵数百家欧美及亚洲企业》，俄国APT组织的消息已被多家媒体转载，而其真正内容正源自这份全球威胁报告，数据来源于对过去一年超过50个网络安全威胁攻击者的研究。
CrowdStrike1.JPG
长达32页的报告提供了对过去一年内几个“高深”的攻击活动、组织的概览。包括：
SEA，叙利亚电子军
NUMBERED PANDA，熊猫？主要有中国黑客组成的攻击活动，2013年发起一系列钓鱼邮件攻击
MAGIC KITTEN，魔法小猫？一个已经建立起来的伊朗黑客攻击团队，2013年曾发动一些列针对政治意见人士以及伊朗政治反对派的攻击
ENERGETIC BEAR，活力熊？俄罗斯的黑客组织，专门针对能源工业攻击，收集情报
EMISSARY PANDA，使者熊猫？中国的黑客组织，专门针对外交官攻击，收集政府、国防、和高科技数据
CrowdStrike2.JPG
题外话:这个CrowdStrike，我说你啊，虽然口口声声是追踪攻击者，先行打击，你也不至于把人家都黑成这样子，好好的小猫小熊被你丑化成如此。
报告还提供了这些攻击者的其中一些流行的攻击技术和策略。例如报告里面就提到一个SWC（strategic web compromise）的手法，（其实就是通常说的watering holes)，针对目标经常会访问的网页进行攻击，从而感染被攻击目标的渗透手法。同时，CrowdStrike的CEO George Kurtz一如既往的强调“公司/组织需要采用情报驱动的方法去应对当下的安全威胁，对企业有限的资源进行先后有序的优先化排序，腾出重要的资源先发制人响应这些高级威胁。”“而报告中的信息正好提供给安全专家区分哪些是普通攻击，哪些是定向攻击。从而节省精力和时间到针对企业最危急的威胁。”而CTO Dmitri Alperovitch则表示，这份报告有别于传统简单分析恶意软件趋势，而是集中于最重要的——“对手”，这个恰恰是CrowdStrike提出的“先行打击”概念的APT防御策略。强调识别和防范攻击对手中人的因素，而非简单的阻止攻击中的恶意代码。
最后，CrowdStrike预测2014年针对第三方厂商会增加，例如针对即将结束维护的WindowXP和针对新的gTLDs的攻击，同时还提到恶意软件讲会加大加密手法的使用，已保护和混淆恶意代码。攻击者对定制化的恶意软件(custom-made malware)的需求将会是地下市场售卖和购买更兴旺。针对2014年的热门事件也增多，例如奥运会、G20峰会已经国家级的选举。

转自：freebuf.com

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！