第一部分 网络空间中的对抗 2
第1章 开篇故事:震网病毒 2
1.1 首个国家级网络武器 2
1.2 震网病毒的潜伏渗透 3
1.3 震网病毒的身世之谜 4
1.4 关于震网病毒的思考 5
第2章 什么是APT攻击 9
2.1 APT的起源 9
2.2 APT的定义与定性 11
2.3 APT与威胁情报 18
2.4 网络空间对抗的新形态 20
第3章 关于APT的全球研究 22
3.1 概述 22
3.2 研究机构与研究报告 22
3.3 APT攻击目标的全球研究 24
第二部分 典型APT事件及其影响 28
第4章 针对工业控制系统的破坏 28
4.1 乌克兰圣诞大停电事件 28
4.2 沙特阿拉伯大赦之夜攻击事件 30
4.3 美国电网承包商攻击事件 33
第5章 针对金融系统的犯罪 36
5.1 多国银行被盗事件 36
5.2 ATM机盗窃事件 41
5.3 黄金眼行动事件 43
第6章 针对地缘政治的影响 45
6.1 DNC邮件泄露与美国总统大选 45
6.2 法国总统大选 49
第三部分 APT组织的技术实战 51
第7章 APT攻击的目标与平台 51
7.1 战术目标:敏感情报信息与文件 51
7.2 攻击目标的系统平台选择 53
第8章 APT攻击的武器搭载系统 56
8.1 综述 56
8.2 导弹:鱼叉攻击 57
8.3 轰炸机:水坑攻击 60
8.4 登陆艇:PC跳板 61
8.5 海外基地:第三方平台 62
8.6 特殊武器:恶意硬件的中间人劫持 62
第9章 APT军火库中的武器装备 64
9.1 常规武器:专用木马 64
9.2 生化武器:lday、Nday漏洞的利用 72
9.3 核武器:0day漏洞的在野利用 75
9.4 APT组织武器使用的成本原则 76
9.5 APT攻击武器研发的趋势 77
第10章 APT攻击的前线指挥部C&C 79
10.1 C&C服务器的地域分布 79
10.2 C&C服务器域名注册机构 80
10.3 C&C服务器域名注册偏好 81
第四部分 APT组织的战术布阵 83
第11章 APT组织的战术 83
11.1 情报收集 83
11.2 火力侦察 86
11.3 供应链攻击 87
11.4 假旗行动 92
11.5 周期性袭扰 105
11.6 横向移动 107
11.7 伪装术 109
11.8 反侦察术 114
第五部分 APT攻击与防御技术趋势 116
第12章 APT攻击的特点与趋势 116
12.1 APT组织的发展越来越成熟 116
12.2 APT攻击技术越发高超 116
12.3 国际冲突地区的APT攻击更加活跃 117
12.4 网络空间已经成为大国博弈的新战场 117
12.5 针对基础设施的破坏性攻击日益活跃 118
12.6 针对特定个人的移动端攻击显著增加 119
第13章 APT攻击的监测与防御 120
13.1 如何发现APT攻击 120
13.2 如何分析APT攻击 130
13.3 协同联动的纵深防御体系 135
第六部分 典型的APT组织概述 137
第14章 全球知名的APT组织 137
14.1 方程式 137
14.2 索伦之眼 139
14.3 APT28 142
14.4 Lazarus 144
14.5 Group123 147
第15章 国内安全厂商独立发现的APT组织 149
15.1 海莲花 149
15.2 摩诃草 151
15.3 黄金眼 153
15.4 蔓灵花 154
15.5 美人鱼 156
15.6 黄金鼠 158
15.7 人面狮 159
15.8 双尾蝎 160
15.9 蓝宝菇 164
15.10 肚脑虫 165
15.11 毒云藤 168
15.12 盲眼鹰 171
15.13 拍拍熊 172
附录A APT组织的人员构成 174
附录B APT组织的命名规则 178