移動apt 威脅情報分析與數據防護

《移動APT：威脅情報分析與數據防護》整理介紹了針對移動智慧型終端的 APT 事件，並深入講解了此類事件的分析方法、溯源手段和建模方法。書中首先介紹了 APT 的相關概念和對應的安全模型，讓讀者對移動 APT 這一名詞有了初步的認識。然後講述了公開的情報運營方法，使讀者可以按需建立自己的知識庫。緊接著圍繞移動 APT 事件中的主要載體（即惡意代碼）展開說明，包括對它的分析、對抗方式，基於樣本的信息提取方式以及基於機器學習、大數據等手段的威脅處理方法。後給出了典型的事件案例，並對這些內容進行了總結。

無論是信息安全愛好者、相關專業學生還是安全從業者，都可以通過閱讀本書來學習移動 APT 的相關技術並拓展安全視野。《移動APT：威脅情報分析與數據防護》並不要求讀者具備很強的網路安全背景，掌握基礎的計算機原理和網路安全概念即可閱讀本書。當然，擁有相關經驗對理解本書內容會更有幫助。

第 1 章 APT 概述 1

1.1 APT 及 MAPT 基本概念 1

1.2 總體現狀 3

1.2.1 APT 在 PC 端的現狀 4

1.2.2 APT 在移動端的現狀 4

1.2.3 威脅差異比較 6

第 2 章 APT 模型 7

2.1 APT 分析模型 7

2.1.1 殺傷鏈模型 7

2.1.2 鑽石模型 10

2.1.3 TTP 模型 11

2.1.4 ATT&CK 12

2.2 APT 防護模型：滑動標尺模型 20

2.2.1 架構安全 22

2.2.2 被動防禦 23

2.2.3 主動防禦 23

2.2.4 威脅情報 24

2.2.5 進攻性防禦 26

第 3 章 公開情報 27

3.1 公開情報運營 27

3.1.1 公開情報信息收集 27

3.1.2 信息整理與清洗 31

3.2 APT 知識庫建設 33

3.3 知名 APT 組織 36

3.3.1 方程式組織 37

3.3.2 Vault7 38

3.3.3 APT28 42

3.3.4 Hacking Team 43

3.3.5 NSO Group 45

3.4 APT 組織命名方式 45

第 4 章 移動惡意代碼概述 47

4.1 移動平台安全模型 47

4.1.1 Android 平台安全模型及安全現狀 47

4.1.2 iOS 平台安全模型及安全現狀 49

4.2 移動惡意代碼演變史 54

4.3 常見移動惡意代碼分類 55

4.3.1 國內行業規範的分類方式 56

4.3.2 安全廠商的分類方式 56

4.3.3 谷歌的分類方式 57

4.4 移動惡意代碼的投放方式 60

4.5 MAPT 中常見的病毒形式 67

4.6 移動惡意代碼運維建設 68

4.6.1 Android 平台樣本庫建設 68

4.6.2 iOS 平台樣本庫建設 69

第 5 章 惡意代碼分析實踐 77

5.1 Android 惡意代碼靜態分析 77

5.1.1 知名反編譯工具 78

5.1.2 靜態分析基礎 81

5.2 Android 惡意代碼動態分析 83

5.2.1 流量抓包 84

5.2.2 沙盒監控 88

5.2.3 基於 Hook 技術的行為監控分析 91

5.3 MAPT 中常見的對抗手段 107

5.3.1 混淆 107

5.3.2 加密 110

5.3.3 反射 112

5.3.4 so 回調 113

5.3.5 模擬器檢測 114

5.3.6 動態域名 117

5.3.7 提權 119

5.3.8 竊取系統簽名 120

5.3.9 新趨勢 120

第 6 章 安全大數據挖掘分析 125

6.1 機器學習在惡意代碼檢測中的套用 126

6.1.1 基於圖像的色情軟體檢測 127

6.1.2 基於隨機性的惡意代碼檢測 128

6.1.3 基於機器學習的未知樣本聚類 132

6.2 基於 OSINT 大數據挖掘 136

6.2.1 公開情報線索碰撞 137

6.2.2 基於組織攻擊特點建模 138

6.3 威脅建模 139

6.3.1 基於樣本庫特種木馬挖掘 141

6.3.2 高價值受害者挖掘 142

第 7 章 威脅分析實踐 143

7.1 分析目的 143

7.2 溯源與拓線 143

7.2.1 樣本同源性擴展 144

7.2.2 代碼相似性 146

7.2.3 證書 147

7.2.4 密鑰和序列碼 151

7.2.5 遠控指令 153

7.2.6 特定符號信息 154

7.2.7 網路信息 158

7.2.8 基於公開渠道的樣本檢索 164

7.2.9 其他情報獲取方式 176

7.3 攻擊意圖分析 189

7.4 組織歸屬分析 190

第 8 章 物聯網平台分析 191

8.1 物聯網平台分析概述 191

8.1.1 套用層 192

8.1.2 傳輸層 193

8.1.3 感知層 193

8.2 固件分析 194

8.2.1 固件獲取 194

8.2.2 固件解析 200

8.2.3 固件/程式靜態分析 216

8.3 固件動態調試 218

8.3.1 物理設備運行調試 218

8.3.2 程式/固件模擬調試 224

8.4 藍牙協定分析 240

8.5 物聯網常見的漏洞 254

8.6 針對物聯網設備的高級攻擊案例 255

8.6.1 Weeping Angel 入侵工具 255

8.6.2 VPNFilter 惡意代碼 255

第 9 章 典型 MAPT 案例分析 257

9.1 Operation Arid Viper 事件 257

9.1.1 惡意行為詳細分析 258

9.1.2 攻擊者畫像還原 265

9.1.3 事件總結 268

9.1.4 一些資料 268

9.2 Bahamut 事件 270

9.2.1 簡要分析 271

9.2.2 分析對象說明 271

9.2.3 數據整理 274

9.3 海蓮花針對移動端的攻擊 276

9.3.1 樣本基本信息 276

9.3.2 樣本分析 276

9.3.3 拓展分析 281

9.4 Pegasus 事件 283

9.4.1 Pegasus 工具概覽 284

9.4.2 攻擊投放 284

9.4.3 漏洞利用 285

9.4.4 惡意代碼分析 287

9.4.5 小結與思考 293

第 10 章 總結 295

10.1 MAPT 在國際博弈中的作用 295

10.2 MAPT 的威脅趨勢 296

10.3 網路安全現有技術的缺陷 297

10.3.1 高度依賴特徵 297

10.3.2 基於已有知識體系 298

10.3.3 評價體系落伍 299

10.3.4 攻守不對稱 300

10.3.5 攻擊工程化和專業化 301

10.3.6 缺乏關聯能力 301

10.3.7 對未知威脅缺乏感知 302

10.4 網路安全廠商的角色 303

10.5 MAPT 影響下網路安全的未來 303

附錄 1 移動威脅戰術 305

附錄 2 移動威脅技術 307

附錄 3 移動威脅矩陣 313

附錄 4 移動威脅攻擊緩解措施 315

高坤，曾就職於安天移動安全，多年反病毒工作經驗，發現過多起與高級威脅相關的安全事件。他關注的領域有移動惡意代碼分析、移動高級威脅分析及溯源、惡意代碼自動化分析等。

李梓源，奇安信移動安全研究員，曾就職於安天移動安全，從事移動惡意代碼分析工作多年。他關注的領域有移動惡意代碼攻防技術、移動高級威脅分析及溯源、移動黑色產業鏈分析、客戶端安全等。

徐雨晴，曾就職於啟明星辰、安天移動安全，專注於情報分析和態勢感知的研究，現為重慶郵電大學計算機科學與技術學院在讀博士。她參與制定了十餘項、行業級的網路標準，並考取了CISSP、CISA、信息系統項目管理師（高級）等多項證書。現在的研究領域為數據與隱私安全、對抗攻擊與防禦、機器學習等。