功夫:2022-08-30 作者:ca88登陆平台

朱某海,,,,,,,,从2004年到2016年12年间,,,,,,,,造作木马病毒入侵、节造多家大型基金公司及证券公司的2474台电脑,,,,,,,,盗取股票买卖指令和黑幕信息,,,,,,,,犯法获利约186万元......
近日,,,,,,,,一则针对金融证券等行业执行定向网络攻击长达十余年以牟取暴利的新闻再次吸引了网民的眼球(《一CEO被判6年:编写「木马病毒」入侵金融机构,,,,,,,,节造2474台设备,,,,,,,,获利186万》)。。。。。
这则新闻是继上海证券报于2020年披露《用木马窥视基金买卖指令,,,,,,,,干了12年!…》后,,,,,,,,对犯罪人员供述、审判做具体披露的新闻。。。。。
但事实上,,,,,,,,这两则新闻均不是初次揭开犯罪真相的功夫。。。。。
早在2015年,,,,,,,,部门证券客户相继反馈在所部署的天眼系统上收到了高危告警,,,,,,,,ca88登陆平台安服团队接到客户应急处置需要后,,,,,,,,迅速赶往客户现场对机房有关服务器发展示场勘验,,,,,,,,提取了该攻击行动中涉及的恶意代码和高可疑网络活动的数据线索,,,,,,,,与威胁谍报中心红雨滴团队(原天眼尝试室)共同分析挖掘,,,,,,,,发现攻击者利用缝隙节造了多台服务器,,,,,,,,并在被控服务器上植入了远控木马,,,,,,,,经分析确认这是一个国内黑客组织,,,,,,,,以获利为主张,,,,,,,,针对我国金融行业进行持久的APT攻击,,,,,,,,其中蕴含市场上几个重要证券服务公司。。。。。攻击团伙对所渗入的网络资产进行持久地奥秘节造,,,,,,,,读取数据牟利。。。。。
最终,,,,,,,,经过一系列的分析溯源,,,,,,,,定位到主犯朱某海,,,,,,,,协助国度有关部门破获这起罕见特大网络黑幕买卖犯罪案件。。。。。
之后,,,,,,,,ca88登陆平台威胁谍报中心颁布了有关汇报(点击文末阅读原文查阅),,,,,,,,分析了攻击者的攻击蹊径。。。。。因其攻击者与金融机构为指标这一特点,,,,,,,,隧将该攻击行动定名为“黄金眼”APT网络攻击。。。。。
天道好还疏而不漏,,,,,,,,接下来,,,,,,,,一路揭开ca88登陆平台安服人员利用天眼让隐匿12年的金融“APT大盗”落网的细节。。。。。
2015年的一天,,,,,,,,某金融客户侧的天眼系统上出现内网主机A对局域网其他主机进行“SMB爆破”和“利用xp_cmdshell执行号令”的告警,,,,,,,,一耳目员发现后迅速对主机A进行排查,,,,,,,,发现了可疑的可执行文件。。。。。
随即将可疑文件交给天眼尝试室钻研人员分析,,,,,,,,经过度析确定,,,,,,,,该可疑文件是由专业团队开发守护的远控木马。。。。。随后几日,,,,,,,,多个基金客户相继反馈发现了同样的远控木马。。。。。分析人员疑惑可能是APT组织。。。。。
接下来,,,,,,,,分析人员对恶意样本进行分析,,,,,,,,提取出多个表联的域名和链接,,,,,,,,发显熹重要用于获取屏幕监控插件、键盘纪录插件,,,,,,,,确以为是一个职能丰硕的远控木马。。。。。
此表,,,,,,,,还发现攻击者在内网穿透过程中通过木顿时传了两个辅助工具用于内网渗入。。。。。其中radmin用于Windows系统密码爆破,,,,,,,,finpass用于获取已登录用户的密码信息。。。。。
为了进一步获知攻击者的IP信息,,,,,,,,因而进行了深度的溯源分析。。。。。
首先,,,,,,,,分析人员在分析样本的过程中发现,,,,,,,,木马与节造端的通讯和谈存在缝隙,,,,,,,,利用该缝隙能够对节造端进行反造。。。。。经过一系列反造操作后,,,,,,,,分析人员成功拿到了其中一台服务器的节造权限。。。。。
之后,,,,,,,,对该服务器进行分析时发现,,,,,,,,在该主机的过程日志中,,,,,,,,已经衔接过一个VPN的动态域名****.**22.org。。。。。该域名解析到的IP地址为**.**.*.137,,,,,,,,疑惑该IP为攻击者的资产。。。。。

对该IP的端口进行扫描,,,,,,,,发现1723端口开启,,,,,,,,而该端口正是该VPN的服务端口。。。。。确认该IP的服务器为攻击者资产。。。。。

最后,,,,,,,,对该VPN的动态域名进行社工挖掘,,,,,,,,与该VPN客服线上沟通后,,,,,,,,成功拿到了域名的注册邮箱、手机号,,,,,,,,又通过手机号找到了攻击者的真实姓名为朱某海,,,,,,,,性别男,,,,,,,,1970年诞生,,,,,,,,大学文化,,,,,,,,系昭通某某软件有限公司、丽江市某某软件有限公司、丽江市某某科技有限公司法定代表人。。。。。

在对样本进行分析的整个过程中,,,,,,,,分析人员还发现样本的某主题模??????樽钤绨姹竞拍芄蛔芬涞2004年,,,,,,,,可见攻击事务的背后是一个持久执行攻击的团伙。。。。。
从以上各方面来看,,,,,,,,这次分析人员所面对的团伙是一个货真价实的APT组织。。。。。
至此,,,,,,,,隐匿12年的金融“APT大盗”终于落网。。。。。ca88登陆平台威胁谍报中心红雨滴团队(原天眼尝试室)与安服团队将发现的案件素材网络后,,,,,,,,第一功夫上报国度有关部门。。。。。
最终,,,,,,,,朱某海在广东省丽江市的家中被抓获。。。。。
由于其时案件一向在进一步办理之中,,,,,,,,因而,,,,,,,,犯罪细节迟迟没有公开。。。。。而随着功夫的推移,,,,,,,,该案件终于告一段落,,,,,,,,“APT大盗”的犯罪细节也浮出了水面。。。。。
跋文
金融信息系统作为国度关键技术设施的沉要组成部门,,,,,,,,越来越被犯法分子所关注;;;;;;;;同时,,,,,,,,由于其利益驱动个性,,,,,,,,金融行业因其与买卖和金钱直接有关,,,,,,,,也因而成为了黑客进攻“首选”,,,,,,,,沦为APT攻击沉灾区。。。。。
保卫金融安满是全社会的责任,,,,,,,,天眼作为网络安全威胁检测与响应领域的排头兵,,,,,,,,先后支持国度有关部门破获多起涉网犯罪案件,,,,,,,,有效进攻新型网络犯罪,,,,,,,,得到了国度有关部门的高度评价。。。。。下一步,,,,,,,,天眼将持续积极推广社会责任,,,,,,,,加强警企合作系统化建设,,,,,,,,利用智能网络威胁检测、综合态势分析、高级威胁深度溯源等能力,,,,,,,,做好案件线索提供工作,,,,,,,,助力国度有关部门高效破获信息网络犯罪案件。。。。。

旗下网站
关于ca88登陆平台
95015服务热线
微信公家号
立即拨打