方程式0day图形化工具

㈠ 美国攻击西工大的网络武器“饮茶”是什么它是如何窃密的

美国攻击西工大的网络武器“饮茶”是嗅探窃密类网络武器，它是这样窃密的。

一、网络武器“饮茶”

比如“棱镜”项目，美国情报机构拥有高级管理人员的权限，可以在任何时候，都可以在微软，雅虎，谷歌，苹果等公司的服务器上，进行长期的数据挖掘。

除此以外，美国的“方程式”组织所使用的黑客工具中，也多次出现了微软、思科甚至中国部分互联网服务商旗下产品的“零日漏洞”（0Day）或者后门，美国的网络攻击无处不在。

㈡ FireEye红队工具失窃事件分析和思考

2020年12月8日，美国网络安全公司FireEye在官方网站上发布声明，表示其内部网络遭到“高度复杂威胁行动者”的攻击，窃取了用于测试客户网络的红队（Red Team）工具。这些工具是由经过组织和授权的安全专家使用，旨在模拟潜在攻击者的行为，评估企业的检测和响应能力以及系统安全性。FireEye声称，此次攻击是由具有高超攻击能力的国家发动，攻击者使用了新技巧，拥有高度战术训练，执行时纪律严明且专注。被窃取的红队工具包括自动化侦察的脚本到类似CobaltStrike和Metasploit等公开技术框架。

FireEye指出，尽管被盗工具不包含0day漏洞利用工具，但其高水平的红队能力使其在面对脆弱系统和难以全面有效修复的漏洞时，依然可以高效利用。安天CERT对此事件进行了深入分析，认为这批工具覆盖了ATT&CK威胁框架12个战术阶段中的11个，可以实现46个战术动作，尤其在目标未打全对应补丁的情况下，具备较强的目标杀伤力。

回顾历史，网络军火的扩散和泄露事件频发，包括Hacking Team攻击工具源代码泄露、影子经纪人泄露方程式组织的攻击工具、“永恒之蓝”等系列0day漏洞攻击工具的泄露、APT34的黑客工具泄露、以及Cobalt Strike源代码的公开泄露。这些事件表明，网络攻击技术的复制成本极低，导致网络军备扩散风险增加。

安天在事件发生后立即启动了应急分析和响应，针对客户发布了高级威胁追溯包，以充分发挥安天引擎和产品能力，对抗相关工具的变换。安天威胁情报客户可以通过安天威胁情报综合分析平台查询相关工具的关联信息。安天的AVL SDK反病毒引擎被描述为国内唯一的全平台、全规则恶意代码检测引擎，能有效检测相关流失军火。

事件引发的思考包括：攻击工具可能并非攻击者的目标，而是获取资源的途径；攻击可能是一种战略威慑，选择特定目标以避免冲突；防御者应关注次生影响，如失控的泄露将降低攻击成本，导致大面积安全事件。知名安全厂商遭遇入侵的案例也提醒了自我安全防范的严峻性。