全球安全分析师峰会（SAS）落幕，知道创宇独家揭秘APT PatchWork 组织武器库！

近日，由国际著名信息安全领导厂商卡巴斯基（Kaspersky Labs）举办的全球安全分析师峰会（Security Analyst Summit，简称 SAS）于泰国普吉岛落下帷幕，知道创宇受邀参加了本次峰会。

作为汇集了知名的IT 安全研究人员、全球执法机构、学者和政府官员的年度盛会，全球安全分析师峰会旨在加强打击网络犯罪方面的合作，使其成为参与讨论、交流宝贵信息以及展示研究和技术最新进展的理想平台。受疫情影响，全球安全分析师峰会近几年均以线上形式举办，而今年成功举办线下会议，引起了业内的广泛关注和热议。

峰会上，基于对APT PatchWork 组织长期的追踪和研究，知道创宇404 实验室 APT 高级威胁情报团队成员 K&NaN 为峰会带来了题为《APT PatchWork’s “Herbminister Operation”》的演讲，揭秘了该组织“Herbminister”行动的武器库。

洞悉“杀手”，揭秘 PatchWork 攻击链

本次分享着重介绍了知道创宇在对APT PatchWork 组织 “Herbminister”行动攻击链和武器库方面的最新研究成果。

Patchwork 是一个自 2015 年 12 月以来一直活跃在南亚地区的 APT 组织。他们使用一套定制的攻击工具，针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。该组织长期针对外交官和经济学家发起攻击，这些攻击通常是通过鱼叉式网络钓鱼活动或水坑攻击进行的。

在武器库方面，PatchWork 组织武器库大量采用开源红队工具，并在此基础上进行二次开发工作，其武器库存在多套攻击手法，全流程武器库包括不限于：信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型（武器数目共计：76 款）。

在攻击链方面，可以将其划分为3 个类型，分别是：

1. Post exploitation toolkits（后渗透工具包）
2. Herbminister Chain（Herbminister 链）
3. PatchInfecter Chain（PatchInfecter 链）

1.后渗透工具包

后渗透工具被PatchWork 组织用于在目标网络内立足后，完成内网渗透的目标，其可以划分为 6 大类别，分别是：

1. 扫描器
2. 受害者信息收集工具
3. 凭证访问工具
4. AD 渗透工具
5. 代理/端口转发工具
6. 数据窃取工具

2.Herbminister 链

Herbminister 链（其套件名称与武器库重名），是由 Python 开发的 C/S 架构的窃密套件，支持 HTTP&HTTPS 上传，支持 XOR&RC4 加解密传输，同时套件支持 Socks 代理功能。

简而言之，Herbminister 链是一个远程命令与控制工具包，具备经典 RAT 功能。通过它，攻击者能够实现对受害者计算机的远程控制，并在目标系统中下载其他黑客工具，进一步扩大其攻击范围。

3.PatchInfecter 链

受害者的联系人也是PatchWork 组织攻击的目标，PatchInfecter 链被攻击者用来传播 RAT（远程访问工具）给受害者的联系人。

跟常见的钓鱼文档不同，此种感染白文件的方式，完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况，那么会极大地提高恶意文档的点开率。

锁定“杀手”，创宇云图-猎幽流量监测系统预警可疑活动

在过去的两年里，知道创宇404 实验室的 APT 高级威胁情报团队多次提前和即时发现 Patchwork 组织针对国内重点高校、研究院、科研所等相关研究组织机构发起的攻击活动，并多次成功发出预警。这一成绩的背后，离不开创宇云图-猎幽流量监测系统的高级持续性威胁（APT）预警能力。

创宇云图-猎幽流量监测系统是知道创宇针对当今严峻的 APT 攻击形势，自主研发的一款高效流量检测分析工具，采用深度流检测（DPI）技术，结合大数据处理架构、机器学习、威胁情报、资产扫描等新一代技术，对攻击中广泛采用的 0day、Nday 漏洞、特种木马、渗透入侵等技术进行深度分析，挖掘网络空间中已知和未知的威胁。

 

经过多年的技术积累与实战经验，创宇云图-猎幽流量监测系统已多次荣获行业奖项：2022 年成功摘得“金帽子”年度优秀安全产品奖、云南省滇峰对决赛二等奖，以及“2022 年网络安全优秀创新成果大赛”三等奖，这些荣誉充分证明了创宇云图-猎幽流量监测系统的卓越实力和创新能力。

与时俱进，构建安全防线

 

APT高级持续威胁是目前网络空间中最具威胁性的攻击之一，它们悄无声息、难以察觉，往往能够长期潜伏在系统中，窃取机密信息，造成严重的损失和影响。

创宇云图-猎幽流量监测系统是针对活跃APT 组织的流量检测分析工具，通过实时、回放分析网络流量，涵盖知道创宇漏洞能力的规则；再结合知道创宇基于全球网络空间测绘系统ZoomEye打造的特色能力——APT情报测绘能力，通过对APT组织的互联网基础设施提前发现，能够更高效地发现APT风险、预防APT攻击行为，实现对APT攻击的提前预警，达到向前防御的效果。

与此同时，配合知道创宇404高级威胁情报团队的专业服务，可以对APT攻击及相关联的APT组织进行更深入的溯源和跟踪分析，协助政府企业客户建立针对APT攻击的完善防御体系。

未来，知道创宇将持续关注新兴安全威胁，继续深化在网络安全领域的研发与创新，积极响应国家网络安全战略，提升产品性能与服务品质，加强预警与响应能力，为客户提供全面、高效的安全防护，为推动网络安全行业的发展贡献力量。