阅读这篇报告有助于我们了解Mandiant是如何对APT1组织进行追踪和分析的。这些分析手段综合了多种技术手段,包括专业的数字取证、恶意代码分析、恶意代码追踪,可能还有蜜网,当然,还有Google Hack,语言学分析。透过这篇报告及其附件,我们也能了解到为什么他们这么言之凿凿的列出如此详细的攻击单位和地址,还有参与者的姓名、工作职位,等等。
我在想,我们是不是有什么方法去识别新型威胁和攻击?从这个报告中我们可以了解到什么样的追踪分析技术?
这又让我想到了美军的情报分析理论。情报分析(Intelligence Analysis)是指对有用的信息进行分解、合成,通过逻辑推理得出有价值的结论。借助信息化的手段,当前的情报分析手段和工具被美国军方归纳出了14种,例如“相关性分析”,“风格分析”、“文化分析”、“群聚分析”,等等。【建议看看这本书——《情报分析:如何在复杂环境下思考》,美国陆军协会丛书之一】
在报告中,Mandiant还简要阐述了他们是如何区分这20多个不同的攻击组织的,他们是如何判定某个攻击行动是来自个人的还是来自某个组织的。
【参考】
