移動(dòng)APT：威脅情報(bào)分析與數(shù)據(jù)防護(hù)

第 1 章 APT 概述 1
1.1 APT 及 MAPT 基本概念 1
1.2 總體現(xiàn)狀 3
1.2.1 APT 在 PC 端的現(xiàn)狀 4
1.2.2 APT 在移動(dòng)端的現(xiàn)狀 4
1.2.3 威脅差異比較 6
第 2 章 APT 模型 7
2.1 APT 分析模型 7
2.1.1 殺傷鏈模型 7
2.1.2 鉆石模型 10
2.1.3 TTP 模型 11
2.1.4 ATT&CK 12
2.2 APT 防護(hù)模型：滑動(dòng)標(biāo)尺模型 20
2.2.1 架構(gòu)安全 22
2.2.2 被動(dòng)防御 23
2.2.3 主動(dòng)防御 23
2.2.4 威脅情報(bào) 24
2.2.5 進(jìn)攻性防御 26
第 3 章 公開(kāi)情報(bào) 27
3.1 公開(kāi)情報(bào)運(yùn)營(yíng) 27
3.1.1 公開(kāi)情報(bào)信息收集 27
3.1.2 信息整理與清洗 31
3.2 APT 知識(shí)庫(kù)建設(shè) 33
3.3 知名 APT 組織 36
3.3.1 方程式組織 37
3.3.2 Vault7 38
3.3.3 APT28 42
3.3.4 Hacking Team 43
3.3.5 NSO Group 45
3.4 APT 組織命名方式 45
第 4 章 移動(dòng)惡意代碼概述 47
4.1 移動(dòng)平臺(tái)安全模型 47
4.1.1 Android 平臺(tái)安全模型及安全現(xiàn)狀 47
4.1.2 iOS 平臺(tái)安全模型及安全現(xiàn)狀 49
4.2 移動(dòng)惡意代碼演變史 54
4.3 常見(jiàn)移動(dòng)惡意代碼分類 55
4.3.1 國(guó)內(nèi)行業(yè)規(guī)范的分類方式 56
4.3.2 安全廠商的分類方式 56
4.3.3 谷歌的分類方式 57
4.4 移動(dòng)惡意代碼的投放方式 60
4.5 MAPT 中常見(jiàn)的病毒形式 67
4.6 移動(dòng)惡意代碼運(yùn)維建設(shè) 68
4.6.1 Android 平臺(tái)樣本庫(kù)建設(shè) 68
4.6.2 iOS 平臺(tái)樣本庫(kù)建設(shè) 69
第 5 章 惡意代碼分析實(shí)踐 77
5.1 Android 惡意代碼靜態(tài)分析 77
5.1.1 知名反編譯工具 78
5.1.2 靜態(tài)分析基礎(chǔ) 81
5.2 Android 惡意代碼動(dòng)態(tài)分析 83
5.2.1 流量抓包 84
5.2.2 沙盒監(jiān)控 88
5.2.3 基于 Hook 技術(shù)的行為監(jiān)控分析 91
5.3 MAPT 中常見(jiàn)的對(duì)抗手段 107
5.3.1 混淆 107
5.3.2 加密 110
5.3.3 反射 112
5.3.4 so 回調(diào) 113
5.3.5 模擬器檢測(cè) 114
5.3.6 動(dòng)態(tài)域名 117
5.3.7 提權(quán) 119
5.3.8 竊取系統(tǒng)簽名 120
5.3.9 新趨勢(shì) 120
第 6 章 安全大數(shù)據(jù)挖掘分析 125
6.1 機(jī)器學(xué)習(xí)在惡意代碼檢測(cè)中的應(yīng)用 126
6.1.1 基于圖像的色情軟件檢測(cè) 127
6.1.2 基于隨機(jī)性的惡意代碼檢測(cè) 128
6.1.3 基于機(jī)器學(xué)習(xí)的未知樣本聚類 132
6.2 基于 OSINT 大數(shù)據(jù)挖掘 136
6.2.1 公開(kāi)情報(bào)線索碰撞 137
6.2.2 基于組織攻擊特點(diǎn)建模 138
6.3 威脅建模 139
6.3.1 基于樣本庫(kù)特種木馬挖掘 141
6.3.2 高價(jià)值受害者挖掘 142
第 7 章 威脅分析實(shí)踐 143
7.1 分析目的 143
7.2 溯源與拓線 143
7.2.1 樣本同源性擴(kuò)展 144
7.2.2 代碼相似性 146
7.2.3 證書 147
7.2.4 密鑰和序列碼 151
7.2.5 遠(yuǎn)控指令 153
7.2.6 特定符號(hào)信息 154
7.2.7 網(wǎng)絡(luò)信息 158
7.2.8 基于公開(kāi)渠道的樣本檢索 164
7.2.9 其他情報(bào)獲取方式 176
7.3 攻擊意圖分析 189
7.4 組織歸屬分析 190
第 8 章 物聯(lián)網(wǎng)平臺(tái)分析 191
8.1 物聯(lián)網(wǎng)平臺(tái)分析概述 191
8.1.1 應(yīng)用層 192
8.1.2 傳輸層 193
8.1.3 感知層 193
8.2 固件分析 194
8.2.1 固件獲取 194
8.2.2 固件解析 200
8.2.3 固件/程序靜態(tài)分析 216
8.3 固件動(dòng)態(tài)調(diào)試 218
8.3.1 物理設(shè)備運(yùn)行調(diào)試 218
8.3.2 程序/固件模擬調(diào)試 224
8.4 藍(lán)牙協(xié)議分析 240
8.5 物聯(lián)網(wǎng)常見(jiàn)的漏洞 254
8.6 針對(duì)物聯(lián)網(wǎng)設(shè)備的高級(jí)攻擊案例 255
8.6.1 Weeping Angel 入侵工具 255
8.6.2 VPNFilter 惡意代碼 255
第 9 章 典型 MAPT 案例分析 257
9.1 Operation Arid Viper 事件 257
9.1.1 惡意行為詳細(xì)分析 258
9.1.2 攻擊者畫像還原 265
9.1.3 事件總結(jié) 268
9.1.4 一些資料 268
9.2 Bahamut 事件 270
9.2.1 簡(jiǎn)要分析 271
9.2.2 分析對(duì)象說(shuō)明 271
9.2.3 數(shù)據(jù)整理 274
9.3 海蓮花針對(duì)移動(dòng)端的攻擊 276
9.3.1 樣本基本信息 276
9.3.2 樣本分析 276
9.3.3 拓展分析 281
9.4 Pegasus 事件 283
9.4.1 Pegasus 工具概覽 284
9.4.2 攻擊投放 284
9.4.3 漏洞利用 285
9.4.4 惡意代碼分析 287
9.4.5 小結(jié)與思考 293
第 10 章 總結(jié) 295
10.1 MAPT 在國(guó)際博弈中的作用 295
10.2 MAPT 的威脅趨勢(shì) 296
10.3 網(wǎng)絡(luò)安全現(xiàn)有技術(shù)的缺陷 297
10.3.1 高度依賴特征 297
10.3.2 基于已有知識(shí)體系 298
10.3.3 評(píng)價(jià)體系落伍 299
10.3.4 攻守不對(duì)稱 300
10.3.5 攻擊工程化和專業(yè)化 301
10.3.6 缺乏關(guān)聯(lián)能力 301
10.3.7 對(duì)未知威脅缺乏感知 302
10.4 網(wǎng)絡(luò)安全廠商的角色 303
10.5 MAPT 影響下網(wǎng)絡(luò)安全的未來(lái) 303
附錄 1 移動(dòng)威脅戰(zhàn)術(shù) 305
附錄 2 移動(dòng)威脅技術(shù) 307
附錄 3 移動(dòng)威脅矩陣 313
附錄 4 移動(dòng)威脅攻擊緩解措施 315