移動APT：威脅情報分析與數(shù)據(jù)防護

定　價：￥99.80

作　者：	高坤，李梓源，徐雨晴著
出版社：	人民郵電出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

ISBN：	9787115564382	出版時間：	2021-06-01	包裝：	平裝
開本：	16開	頁數(shù)：	318	字數(shù)：

內(nèi)容簡介

　　《移動APT：威脅情報分析與數(shù)據(jù)防護》整理介紹了針對移動智能終端的 APT 事件，并深入講解了此類事件的分析方法、溯源手段和建模方法。書中首先介紹了 APT 的相關(guān)概念和對應(yīng)的安全模型，讓讀者對移動 APT 這一名詞有了初步的認識。然后講述了公開的情報運營方法，使讀者可以按需建立自己的知識庫。緊接著圍繞移動 APT 事件中的主要載體（即惡意代碼）展開說明，包括對它的分析、對抗方式，基于樣本的信息提取方式以及基于機器學(xué)習(xí)、大數(shù)據(jù)等手段的威脅處理方法。后給出了典型的事件案例，并對這些內(nèi)容進行了總結(jié)。無論是信息安全愛好者、相關(guān)專業(yè)學(xué)生還是安全從業(yè)者，都可以通過閱讀本書來學(xué)習(xí)移動 APT 的相關(guān)技術(shù)并拓展安全視野。《移動APT：威脅情報分析與數(shù)據(jù)防護》并不要求讀者具備很強的網(wǎng)絡(luò)安全背景，掌握基礎(chǔ)的計算機原理和網(wǎng)絡(luò)安全概念即可閱讀本書。當然，擁有相關(guān)經(jīng)驗對理解本書內(nèi)容會更有幫助。

作者簡介

　　高坤，曾就職于安天移動安全，多年反病毒工作經(jīng)驗，發(fā)現(xiàn)過多起與高級威脅相關(guān)的安全事件。他關(guān)注的領(lǐng)域有移動惡意代碼分析、移動高級威脅分析及溯源、惡意代碼自動化分析等。李梓源，奇安信移動安全研究員，曾就職于安天移動安全，從事移動惡意代碼分析工作多年。他關(guān)注的領(lǐng)域有移動惡意代碼攻防技術(shù)、移動高級威脅分析及溯源、移動黑色產(chǎn)業(yè)鏈分析、客戶端安全等。徐雨晴，曾就職于啟明星辰、安天移動安全，專注于情報分析和態(tài)勢感知的研究，現(xiàn)為重慶郵電大學(xué)計算機科學(xué)與技術(shù)學(xué)院在讀博士。她參與制定了十余項、行業(yè)級的網(wǎng)絡(luò)標準，并考取了CISSP、CISA、信息系統(tǒng)項目管理師（高級）等多項證書?，F(xiàn)在的研究領(lǐng)域為數(shù)據(jù)與隱私安全、對抗攻擊與防御、機器學(xué)習(xí)等。

圖書目錄

第 1 章 APT 概述 1
1.1 APT 及 MAPT 基本概念 1
1.2 總體現(xiàn)狀 3
1.2.1 APT 在 PC 端的現(xiàn)狀 4
1.2.2 APT 在移動端的現(xiàn)狀 4
1.2.3 威脅差異比較 6
第 2 章 APT 模型 7
2.1 APT 分析模型 7
2.1.1 殺傷鏈模型 7
2.1.2 鉆石模型 10
2.1.3 TTP 模型 11
2.1.4 ATT&CK 12
2.2 APT 防護模型：滑動標尺模型 20
2.2.1 架構(gòu)安全 22
2.2.2 被動防御 23
2.2.3 主動防御 23
2.2.4 威脅情報 24
2.2.5 進攻性防御 26
第 3 章公開情報 27
3.1 公開情報運營 27
3.1.1 公開情報信息收集 27
3.1.2 信息整理與清洗 31
3.2 APT 知識庫建設(shè) 33
3.3 知名 APT 組織 36
3.3.1 方程式組織 37
3.3.2 Vault7 38
3.3.3 APT28 42
3.3.4 Hacking Team 43
3.3.5 NSO Group 45
3.4 APT 組織命名方式 45
第 4 章移動惡意代碼概述 47
4.1 移動平臺安全模型 47
4.1.1 Android 平臺安全模型及安全現(xiàn)狀 47
4.1.2 iOS 平臺安全模型及安全現(xiàn)狀 49
4.2 移動惡意代碼演變史 54
4.3 常見移動惡意代碼分類 55
4.3.1 國內(nèi)行業(yè)規(guī)范的分類方式 56
4.3.2 安全廠商的分類方式 56
4.3.3 谷歌的分類方式 57
4.4 移動惡意代碼的投放方式 60
4.5 MAPT 中常見的病毒形式 67
4.6 移動惡意代碼運維建設(shè) 68
4.6.1 Android 平臺樣本庫建設(shè) 68
4.6.2 iOS 平臺樣本庫建設(shè) 69
第 5 章惡意代碼分析實踐 77
5.1 Android 惡意代碼靜態(tài)分析 77
5.1.1 知名反編譯工具 78
5.1.2 靜態(tài)分析基礎(chǔ) 81
5.2 Android 惡意代碼動態(tài)分析 83
5.2.1 流量抓包 84
5.2.2 沙盒監(jiān)控 88
5.2.3 基于 Hook 技術(shù)的行為監(jiān)控分析 91
5.3 MAPT 中常見的對抗手段 107
5.3.1 混淆 107
5.3.2 加密 110
5.3.3 反射 112
5.3.4 so 回調(diào) 113
5.3.5 模擬器檢測 114
5.3.6 動態(tài)域名 117
5.3.7 提權(quán) 119
5.3.8 竊取系統(tǒng)簽名 120
5.3.9 新趨勢 120
第 6 章安全大數(shù)據(jù)挖掘分析 125
6.1 機器學(xué)習(xí)在惡意代碼檢測中的應(yīng)用 126
6.1.1 基于圖像的色情軟件檢測 127
6.1.2 基于隨機性的惡意代碼檢測 128
6.1.3 基于機器學(xué)習(xí)的未知樣本聚類 132
6.2 基于 OSINT 大數(shù)據(jù)挖掘 136
6.2.1 公開情報線索碰撞 137
6.2.2 基于組織攻擊特點建模 138
6.3 威脅建模 139
6.3.1 基于樣本庫特種木馬挖掘 141
6.3.2 高價值受害者挖掘 142
第 7 章威脅分析實踐 143
7.1 分析目的 143
7.2 溯源與拓線 143
7.2.1 樣本同源性擴展 144
7.2.2 代碼相似性 146
7.2.3 證書 147
7.2.4 密鑰和序列碼 151
7.2.5 遠控指令 153
7.2.6 特定符號信息 154
7.2.7 網(wǎng)絡(luò)信息 158
7.2.8 基于公開渠道的樣本檢索 164
7.2.9 其他情報獲取方式 176
7.3 攻擊意圖分析 189
7.4 組織歸屬分析 190
第 8 章物聯(lián)網(wǎng)平臺分析 191
8.1 物聯(lián)網(wǎng)平臺分析概述 191
8.1.1 應(yīng)用層 192
8.1.2 傳輸層 193
8.1.3 感知層 193
8.2 固件分析 194
8.2.1 固件獲取 194
8.2.2 固件解析 200
8.2.3 固件/程序靜態(tài)分析 216
8.3 固件動態(tài)調(diào)試 218
8.3.1 物理設(shè)備運行調(diào)試 218
8.3.2 程序/固件模擬調(diào)試 224
8.4 藍牙協(xié)議分析 240
8.5 物聯(lián)網(wǎng)常見的漏洞 254
8.6 針對物聯(lián)網(wǎng)設(shè)備的高級攻擊案例 255
8.6.1 Weeping Angel 入侵工具 255
8.6.2 VPNFilter 惡意代碼 255
第 9 章典型 MAPT 案例分析 257
9.1 Operation Arid Viper 事件 257
9.1.1 惡意行為詳細分析 258
9.1.2 攻擊者畫像還原 265
9.1.3 事件總結(jié) 268
9.1.4 一些資料 268
9.2 Bahamut 事件 270
9.2.1 簡要分析 271
9.2.2 分析對象說明 271
9.2.3 數(shù)據(jù)整理 274
9.3 海蓮花針對移動端的攻擊 276
9.3.1 樣本基本信息 276
9.3.2 樣本分析 276
9.3.3 拓展分析 281
9.4 Pegasus 事件 283
9.4.1 Pegasus 工具概覽 284
9.4.2 攻擊投放 284
9.4.3 漏洞利用 285
9.4.4 惡意代碼分析 287
9.4.5 小結(jié)與思考 293
第 10 章總結(jié) 295
10.1 MAPT 在國際博弈中的作用 295
10.2 MAPT 的威脅趨勢 296
10.3 網(wǎng)絡(luò)安全現(xiàn)有技術(shù)的缺陷 297
10.3.1 高度依賴特征 297
10.3.2 基于已有知識體系 298
10.3.3 評價體系落伍 299
10.3.4 攻守不對稱 300
10.3.5 攻擊工程化和專業(yè)化 301
10.3.6 缺乏關(guān)聯(lián)能力 301
10.3.7 對未知威脅缺乏感知 302
10.4 網(wǎng)絡(luò)安全廠商的角色 303
10.5 MAPT 影響下網(wǎng)絡(luò)安全的未來 303
附錄 1 移動威脅戰(zhàn)術(shù) 305
附錄 2 移動威脅技術(shù) 307
附錄 3 移動威脅矩陣 313
附錄 4 移動威脅攻擊緩解措施 315