ASERT Threat Intelligence Report 2015-05 PlugX Threat Activity in Myanmar

時間 2019-12-06

標籤 asert threat intelligence report plugx activity myanmar 欄目 Intel 简体版

原文原文鏈接

左懶 · 2015/09/09 14:03php

0x01 概要

緬甸目前是一個從事重要政治活動的國家。2011年的民主改革更是幫助政府創造了一個有利於吸引投資者的氛圍。該國資源豐富，擁有多種天然資源和穩定勞動力供給【1】。儘管近來有所發展，該國還須要長期進行種族鬥爭和內戰。分析人士認爲，中國和美國對緬甸的內部鬥爭有很大的影響，尤爲是中國有海上通道，港口貿易和重要的燃料管道等優點。地理政治學家認爲，美國可能會由於本身的利益而在這裏阻撓中國的野心【2】，【3】，【4】。html

APT組織成員來自多個國家，其中包括中國。該組織的戰略利益是以惡意軟件做爲基礎進行間諜活動。使用的是惡意軟件家族中的著名的PlugX（也稱爲Korplug），該惡意軟件容許徹底訪問受害者的機器和網絡。最近觀察到在緬甸政府主站上託管了多個PlugX相關的惡意軟件。在2015年八月初的時候，Arbor ASERT已經提供信息幫助緬甸CERT處理這種狀況。初步局勢現已獲得處理。咱們能夠更普遍地對外發布此信息。這篇報告並不打算全面揭露持續整個活動的威脅，可是這些威脅源TPP's（Tactics, Techniques, Procedures）信息能夠幫助其餘組織機構提升防範意識，加強對這種攻擊活動的防範和檢測。html5

對惡意軟件的初步調查發現緬甸選舉的相關網站是PlugX惡意軟件的宿主。緬甸針對此次攻擊討論結果是相似於Palo Alto Networks在2015年六月份發佈的受到Evilgrab惡意軟件影響的策略性網絡感染攻擊（也稱「watering hole」）。他們的研究還代表9002 RAT事例也是使用相同的基礎設備。因爲威脅環境的性質所限，歸因的查找至關困難，尤爲是當多個威脅源組織可能分佈在一個集中地方使用相同的惡意軟件。但不管是誰發起的攻擊，瞭解對方的目標和TPP's可以在突變狀況下成爲重要資料幫助工做人員抵禦敵人。這是一場持久的智力戰爭。python

0x02 緬甸政府站點分佈的PlugX和加載器

截至2015-07-30，緬甸政府的Web服務器上保存了幾個PlugX相關的惡意軟件。確切來講，Ministry of Information(MOI)網站託管了Myanma Motion Picture Development Department(MMPDD)相關網站URLwww.moi.gov[.]mm/mmpdd/sites…git

Figure 1: Screenshot of website containing malware as of July 30, 2015github

PlugX的二進制文件包括moigov.exe，fields.exe，fibmapp.exe三個文件。field目錄最後的修改時間是2015-07-15 23:33，能夠推測該網站在這個日期或以前就遭受黑手。網站是運行在Drupal，但相關的危害分析技術超出文本的範圍。web

Figure 2: Parent directory reveals last modification of the directory used to store PlugX artifactssql

Table 1: A variety of PlugX malware-related content was observed on the Myanmar sitepromise

0x03 PlugX moigov.exe樣本

加載程序（MD5:a30262bf36b3023ef717b6e23e21bd30）下載一個叫moigov.exe的PlugX二進制文件（MD5: d0c5410140c15c8d148437f0f7eabcf7）。該PlugX樣本具備多種配置屬性。分析人員，事故救援人員和研究人員能夠經過使用Volatility memory forensics framework（github.com/arbor-jjone…和github.com/arbor-jjone…）獲取其內部信息。瀏覽器

應該注意到這種狀況下PlugX是P2P的變種，它的P2P功能在配置裏面是禁用的。這些配置elements對Indicators of Compromise（IOCs）很是有用，還有能夠幫助鏈接該PlugX樣本到其它攻擊活動。分析人員必須謹慎使用，由於不是全部elements都是無害的。例如，谷歌開放的DNS服務器8.8.8.8和8.8.4.4是無害的，可是一般使用PlugX或其它惡意軟件會阻礙DNS過濾/探測或者使之探測到有危害的DNS服務器。同往常同樣，分析時須要多加謹慎考慮。

PlugX configuration for moigov.exe, MD5 d0c5410140c15c8d148437f0f7eabcf7

md5:  d0c5410140c15c8d148437f0f7eabcf7
cnc:  usacia.websecexp.com:53
cnc:  appeur.gnway.cc:90
cnc:  webhttps.websecexp.com:443
cnc:  usafbi.websecexp.com:25
cnc1:  webhttps.websecexp.com:443  (TCP  /  HTTP)
cnc2:  usafbi.websecexp.com:25  (UDP)
cnc3:  usacia.websecexp.com:53  (HTTP  /  UDP)
cnc4:  appeur.gnway.cc:90  (TCP  /  HTTP)
cnc5:  usafbi.websecexp.com:25  (TCP  /  HTTP)
cnc6:  webhttps.websecexp.com:443  (HTTP  /  UDP)
dns:  180.76.76.76
dns:  168.126.63.1
dns:  203.81.64.18
dns:  8.8.8.8
enable_icmp_p2p:  0
enable_ipproto_p2p:  0
enable_p2p_scan:  0
enable_tcp_p2p:  0
enable_udp_p2p:  0
flags1:  4294967295
flags2:  0
hide_dll:  -1
http:  http://epn.gov.co/plugins/search/search.html
icmp_p2p_port:  1357
injection:  1
inject_process:  %ProgramFiles%\Internet  Explorer\iexplore.exe
inject_process:  %windir%\system32\svchost.exe
inject_process:  %windir%\explorer.exe
inject_process:  %ProgramFiles(x86)%\Windows  Media  Player\wmplayer.exe
install_folder:  %AUTO%\McAfeeemOS
ipproto_p2p_port:  1357
keylogger:  -1
mac_disable:  00:00:00:00:00:00
mutex:  Global\VdeBueElStlKd
persistence:  Service  +  Run  Key
plugx_auth_str:  open
reg_hive:  2147483649
reg_key:  Software\Microsoft\Windows\CurrentVersion\Run
reg_value:  OmePlus
screenshot_folder:  %AUTO%\McAfeeemOS\NtBXvdMGwtDwrfHs
screenshots:  0
screenshots_bits:  16
screenshots_keep:  3
screenshots_qual:  50
screenshots_sec:  10
screenshots_zoom:  50
service_desc:  McAfee  OmePlus  Module
service_display_name:  McAfee  OmePlus  Module
service_name:  McAfee  OmePlus  Module
sleep1:  83886080
sleep2:  0
tcp_p2p_port:  1357
uac_bypass_inject:  %windir%\system32\rundll32.exe
uac_bypass_inject:  %windir%\system32\dllhost.exe
uac_bypass_inject:  %windir%\explorer.exe
uac_bypass_inject:  %windir%\system32\msiexec.exe
uac_bypass_injection:  1
udp_p2p_port:  1357
複製代碼

0x04 PlugX fields.exe樣本

有幾個緣由使得fields.exe樣本比較出名。它一樣存在緬甸的moi.gov網站，和上述的moigov.exe樣本有差很少同樣的結構。可是有些elements是不一樣的，好比C2認證字符串，注入的進程表，安裝文件夾等方面。

PlugX configuration for fields.exe, MD5 809976f3aa0ffd6860056be3b66d5092

md5:  809976f3aa0ffd6860056be3b66d5092
cnc: appeur.gnway.cc:90
cnc: webhttps.websecexp.com:443
cnc: usacia.websecexp.com:53
cnc: usafbi.websecexp.com:25
cnc1: webhttps.websecexp.com:443 (TCP / HTTP)
cnc2: usafbi.websecexp.com:25 (UDP)
cnc3: usacia.websecexp.com:53 (HTTP / UDP)
cnc4: appeur.gnway.cc:90 (TCP / HTTP)
cnc5: usafbi.websecexp.com:25 (TCP / HTTP)
cnc6: webhttps.websecexp.com:443 (HTTP / UDP)
cnc_auth_str: Kpsez-htday
dns: 168.126.63.1
dns: 180.76.76.76
dns: 8.8.8.8
dns: 203.81.64.18
enable_icmp_p2p: 0
enable_ipproto_p2p: 0
enable_p2p_scan: 0
enable_tcp_p2p: 0
enable_udp_p2p: 0
flags1: 4294967295
flags2: 0
hide_dll: -1
http: http://epn.gov.co/plugins/search/search.html
icmp_p2p_port: 1357
injection: 1
inject_process: %windir%\system32\svchost.exe
inject_process: %ProgramFiles%\Internet Explorer\iexplore.exe
inject_process: %windir%\explorer.exe
inject_process: %ProgramFiles(x86)%\Windows Media Player\wmplayer.exe
install_folder: %AUTO%\MybooksApp
ipproto_p2p_port: 1357
keylogger: -1
mac_disable: 00:00:00:00:00:00
mutex: Global\EStZmOzInezFVydxhdE
persistence: Service + Run Key
plugx_auth_str: open
reg_hive: 2147483649
reg_key: Software\Microsoft\Windows\CurrentVersion\Run
reg_value: OSEMInfo
screenshot_folder: %AUTO%\MybooksApp\hIZu
screenshots: 0
screenshots_bits: 16
screenshots_keep: 3
screenshots_qual: 50
screenshots_sec: 10
screenshots_zoom: 50
service_desc: Windows OSEMinfo Service
service_display_name: McAfee OSEM Info
service_name: McAfee OSEM Info
sleep1: 83886080
sleep2: 0
tcp_p2p_port: 1357
uac_bypass_inject: %windir%\explorer.exe
uac_bypass_inject: %windir%\system32\dllhost.exe
uac_bypass_inject: %windir%\system32\msiexec.exe
uac_bypass_inject: %windir%\system32\rundll32.exe
uac_bypass_injection: 1
udp_p2p_port: 1357
複製代碼

一個有趣的element是C2驗證字符串"Kpsez-htday"，它可能引用了緬甸Rakhine State的Kyaukphyu Township。這是一個經濟特區（SEZ）。其相關信息能夠參看下圖【6】：

Figure 3: About KP SEZ from http://kpsez.org/en/about-us-2/

基於先來者們使用PlugX的歷史【7】【8】【9】【10】和該經濟特區特性，爲選擇有利於民族國家利益而實施泄露和間諜行動，具體狀況還要進一步調查。

0x05 PlugX fibmapp.exe樣本

PlugX configuration, MD5 69754b86021d3daa658da15579b8f08a

md5:  69754b86021d3daa658da15579b8f08a
cnc:  appeur.gnway.cc:90
cnc:  webhttps.websecexp.com:443
cnc:  usacia.websecexp.com:53
cnc:  usafbi.websecexp.com:25
cnc1:  webhttps.websecexp.com:443 (TCP / HTTP)
cnc2:  usafbi.websecexp.com:25 (UDP)
cnc3:  usacia.websecexp.com:53 (HTTP / UDP)
cnc4:  appeur.gnway.cc:90 (TCP / HTTP)
cnc5:  usafbi.websecexp.com:25 (TCP / HTTP)
cnc6:  webhttps.websecexp.com:443 (HTTP / UDP)
cnc_auth_str:  EDMS GM716
dns:  168.126.63.1
dns:  180.76.76.76
dns:  8.8.8.8
dns:  203.81.64.18
enable_icmp_p2p:  0
enable_ipproto_p2p:  0
enable_p2p_scan:  0
enable_tcp_p2p:  0
enable_udp_p2p:  0
flags1:  4294967295
flags2:  0
hide_dll:  -1
http:  http://epn.gov.co/plugins/search/search.html
icmp_p2p_port:  1357
injection:  1
inject_process:  %windir%\system32\svchost.exe
inject_process:  %ProgramFiles%\Internet Explorer\iexplore.exe
inject_process:  %windir%\explorer.exe
inject_process:  %ProgramFiles(x86)%\Windows Media Player\wmplayer.exe
install_folder:  %AUTO%\EDMSinfos
ipproto_p2p_port:  1357
keylogger:  -1
mac_disable:  00:00:00:00:00:00
mutex:  Global\qZlDbiNRvrLXkhFTgAhdIeESC
persistence:  Service + Run Key
plugx_auth_str:  open
reg_hive:  2147483649
reg_key:  Software\Microsoft\Windows\CurrentVersion\Run
reg_value:  EDMSinfos
screenshot_folder:  %AUTO%\EDMSinfos\NHY
screenshots:  0
screenshots_bits:  16
screenshots_keep:  3
screenshots_qual:  50
screenshots_sec:  10
screenshots_zoom:  50
service_desc:  Windows EDMSinfos Service
service_display_name:  EDMSinfos Module
service_name:  EDMSinfos Module
sleep1:  83886080
sleep2:  0
tcp_p2p_port:  1357
uac_bypass_inject:  %windir%\explorer.exe
uac_bypass_inject:  %windir%\system32\dllhost.exe
uac_bypass_inject:  %windir%\system32\msiexec.exe
uac_bypass_inject:  %windir%\system32\rundll32.exe
uac_bypass_injection:  1
udp_p2p_port:  1357
複製代碼

0x06 近來緬甸受到Evilgrab的攻擊的TTP's

根據配置的信息來看，這件事情可能和六月份Palo Alto Networks【5】發佈的使用Evilgrab惡意軟件對緬甸總統網站發起的策略性網絡感染攻擊（SWC）相關。

這種攻擊在目標網站上添加一個iframe。此次攻擊中，一個iframe也添加到www.moi.gov.mm網站，經過分析MOI網站能夠發現如下腳本被index.html?q=content%2Fmmpdd-e-services頁面調用。

custom.js最後一行包含一個隱藏的iframe，指向Drupal themes文件夾裏面html5.php：

html5.php在目標網站上已經再也不有效（多是被攻擊者、網站維護人員移除或者限定到指定的目標），VirusTotal檢查結果代表其它html5.php文件可能提供其它服務。特別是一個MD5爲a1c0c364e02b3b1e0e7b8ce89b611b53的html5.php文件包含了一個捆綁了PlugX的Firefox瀏覽器插件。這個瀏覽器插件只是複製PlugX二進制文件（名字爲 Components.exe）到C:\Windows\tasks目錄而後執行它。具體代碼在boostrap.js裏面：

Components.exe的MD5是1c7fafe58caf55568bd5f28cae1c18fd。這個特殊的二進制文件彷佛沒有攻擊緬甸的相關動做。然而它捆綁PlugX的策略、文件名和web感染方法都和Palo Alto Networks發佈的Evilgrab攻擊方法吻合。

如本文所述的攻擊者利用瀏覽器插件的方法同時在Shadowserver上被發現。不久以後將發佈他們的研究結果，Defenders支持審查這些資料，當發佈的時候能夠得到額外的攻擊活動信息。

除了上面提到的技術，在Evilgrab攻擊和PlugX配置觀察到相同的C2服務器，這代表一些攻擊者團隊或者攻擊者團隊之間共享攻擊時的基礎設備，相關資料以下：

usafbi.websecexp[.]com (port 53)
usacia.websecexp[.]com (UDP/53)
webhttps.websecexp[.]com (port 443)
appeur.gnway[.]cc (TCP/90)

0x07 可能相關的PlugX惡意軟件

配置清單還列出了另外一個DNS服務器（203.81.64.18）。運行在緬甸郵電多是由於比起其它DNS服務器會受到較少的懷疑。至少了四個PlugX樣本使用這個DNS服務器。CA驗證字符串能夠參看下表：

在#1樣本的C2驗證字符串分析代表其日期多是4月9日（04-09）和4月20日（04-20），樣本#2包含了2015-02-24的時間戳。樣本#3的驗證字符串可能指的是3月12日和3月20日。但目前ASERT缺少證據證實這些活動是在這些日期。樣本#4（在上述的Myanmar.gov網站發現）可能指的是通用術語「Electronic Document Management System」，GM716多是7月16日。EDMS可能跟緬甸政府的EDMS相關【11】，【12】，雖然沒證據證實這種說法。

這個表的第一個惡意軟件（eeb631127f1b9fb3d13d209d8e675634）在http://the-casgroup[.]com/Document/doc/dxls.exe發現並於2015年4月20日首次提交到VirusTotal。

這個網站彷佛屬於「CAS GROUP INTERNATIONAL LIMITED」，其自我介紹下：「The CAS Group brings along a number of world innovative home automation,audio speakers and digital signag products from the USA under one roof into Hong Kong」the-casgroup.com/about.php。2015-03-30的時候分析發現這個domain鏈接到咱們與其它惡意樣本（MD5: e2eddf6e7233ab52ad29d8f63b1727cd），其功能彷佛是下載http://the-casgroup[.]com/Document/doc.zip。惡意軟件假裝成一個假的JPEG文件（invitations.jepg），正如咱們能夠從截圖看到RUNDLL試圖運行invitations.jpeg.dll。一些有趣的字符串（sanitized）樣本以下所示：

Downer.dll
%s\Thumbs.db
%s//%s?%d
http://the-casgroup[.]com/Document
http://the-casgroup[.]com/Document/doc.zip
%s\doc.zip
Java  Sun
Thumbs.db Mode
Sun_FlashUpdate.lnk
複製代碼

這個惡意樣本發現自緬甸的Naypyitaw聯邦選舉委員會網站www.uecmyanmar[.]org/dmdocuments…RAR文件（MD5: d055518ad14f3d6c40aa6ced6a2d05f2）。2015-07-30的時候，這個RAR文件仍然還在這個網站上。檔案的名稱是「Preliminary discussions about the election,invitations\Preliminary discussions about the election,invitations.lnk」。.lnk文件顯示的修改時間是2015-03-25 2:35:36PM 星期三。.lnk的目標地址是：「C:\WINDOWS\system32\rundll32.exe invitations.jpeg Mode」，在DLL裏面使用Mode功能執行invitations.jepg。

檔案還包含一個Readme.txt文件，爲確保惡意軟件的執行包含了如下的措辭。

在同一個網站發現www.uecmyanmar[.]org/dmdocuments…。當解壓以後獲得另外一個PlugX樣本。RAR包含的三個文件以下：

Figure 4: Malware found inside RAR file hosted on uecmyanmar site

這三個文件解壓到「PlanProposal\new questionnaire\Voter Plan Proposal」目錄，說明他們的目標多是操做緬甸的參與投票。

還有PlugX配置還包含了一個Epn.gov.co(the National Penitentiary School for the National Penitentiary and Prison Institute (INPEC) in Colombia)的HTTP的配置element，這個字段的意圖是當C2沒有反應的時候提供一個命令或控制服務。這個URL的內容是這樣的：

Figure 5: External site hosting PlugX Command & Control servers in an encoded form

在其餘一些諸如：「PlugX:some uncovered points"的elements被Airbus Defence and Space【13】和應急人員【14】做爲討論的焦點。Volatility memory forensics framework多是使用ASERT的plugx.py和plugx_structures.py Volatility插件分析PlugX配置elements【15】。每行的開頭和結尾四個字節包含C2編碼信息，以前的版本和端口信息。

Fireeye在2014年八月份開源的解碼腳本【16】只需稍做修改即可用於這裏。ASERT修改了FireEye python腳本（plugx_c2_decode.py）的header，版本信息，端口信息，開始幾個字節和返回惟一的主機名。

import sys
s = sys.argv[1][10:-4]
rvalue = ""
for x in range(0, len(s), 2):
  tmp0 = (ord(s[x+1]) - 0x41) << 4
  rvalue += chr(ord(s[x]) + tmp0 - 0x41)
print rvalue
複製代碼

python plugx_c2_decode.py DZKSEAAAJBAAFHDHBGGGCGJGOCHHFGCGDHFGDGFGIHAHOCDGPGNGDZJS usafbi.websecexp.com

python plugx_c2_decode.py DZKSGAAAFDAAFHDHBGDGJGBGOCHHFGCGDHFGDGFGIHAHOCDGPGNGDZJS usacia.websecexp.com

PlugX使用者用Colombian政府網站指向該網站，但Colombian的分析目標在這個報告以外。

0x08 建議

緬甸內部相關的機構應該意識到，攻擊者的目的是本文所述的全部特殊郵件信息或網絡流量。相關機構應當瞭解PlugX的網絡流量，並應監控本文所述的PlugX配置數據相關的主機和網絡。另外，監控JPCERT【17】所說的P2P PlugX也是一個明智的選擇，儘管這個簡單的PlugX樣本P2P功能是被禁用的。PlugX只是惡意軟件系列中的一員，攻擊者一般有樹種惡意軟件能夠選擇。鑑於PlugX攻擊活動具備針對性，攻擊活動可能會持續。IOCs包含本書所述可能遭到攻擊的組織，發現系統受損程度、以及所形成的損失以及組織應急措施。

應急處理人員應該瞭解目標的geopolitical，採起適當的方式阻礙他們的行動。在這種狀況下適當的處理方式是尋找PlugX（和其它惡意軟件）和任何已經有入侵跡象的系統和網站。若是包含惡意活動的日誌文件可用，能夠利用他們來肯定威脅活動。這使得救援人員能夠跟蹤spear-phish和其它攻擊方式，從而瞭解一些能夠幫助組織更好地防護危害的信息，進而限制他們泄漏敏感數據。

0x09 附錄1：」Connection Test.exe「惡意軟件下載器技術分析

2015年7月2日，一個名爲moigov.exe的文件試圖下載來自MOI網站一個2015年6月23日編譯的惡意軟件下載器。分析時，若是下載這個文件返回404錯誤，則該文件極可能已經被攻擊者刪除了。惡意軟件下載器原有的名字被VirusTotal檢測到是」Connection Test.exe「，更多細節請參考【18】。這個程序假裝成IBM安全軟件AppScan，而且使用相同的文件名，版權，版本號，出版商和產品值 (8.0.650.113)（參考binarydb.com 【19】）。

由於AppScan經常被開發人員和安全人員用來查找漏洞，極可能這場攻擊活動須要更高級別的資源訪問權限。

AppScan和惡意軟件的比較以下所示：

Figure 6: Legitimate AppScan binary

Figure 7: Bogus AppScan binary that downloads PlugX

兩個程序的圖標：

咱們這裏選擇介紹的惡意軟件下載器很是普通，使用的是2013年Arbor ASERT的成員Jason Jones所說的字節串技術【21】。字節串技術經常被各類惡意軟件用於混淆代碼。Deobfuscation能夠手動爲之，然而有一個python腳本實現快速Deobfuscation【22】。獨特的字節串技術能夠很容易混淆代碼。

值得一提的是，一些中國APT惡意軟件被檢測到也使用該技術，但不只限於中國。有幾個基於Delphi的中國惡意軟件已經使用了該技術【20】。它們分別是Gh0st RAT，Poison lvy，IXESHE，Etumbot（關於Etumbot更多的細節請查看2014-07 ASERT的簡報「Illuminating the Etumbot APT Backdoor」）等。

Deobfuscation以前咱們看到WinMain函數的第一部分使用的字節串技術。這種狀況下，AL寄存器存放「L」字符，CL寄存器存放「E」，BL寄存器存放「0」，DL寄存器存放「o」。這些值結合各類靜態字符串來調用LoadLibraryA和GetProcAddress。這和ASERT中描述的技術同樣：使用IDAPython查找字節串 - 「咱們也看到相似的代碼：把字符加載到一個8位寄存器而後和變量混合起來進一步混淆代碼」【21】。

Figure 8: Byte strings technique fills AL, CL, BL, and DL one byte registers (hex on the left, ASCII on the right) with characters

Figure 9: Strings being built (obfuscated on the left, deobfuscated on the right)

能夠看到數據字符串組合成：kernel32.dll，urlMon.dll（做爲調用LoadLibraryA的參數）。

Figure 10: Strings being processed after deobfuscation

一樣還能夠看到CreateProcessA，URLDownloadToFileA(做爲調用GetProcAddress的參數)。字符串加工以後，PlugX惡意下載器經過這個URL調用UrlMod.URLDownloadToFileA函數。

Figure 11: Downloader URL target which downloads PlugX

Figure 12: Calls to LoadLibraryA and GetProcAddress receive the dynamically created strings

Figure 13: The next function (4011F0) specifies the malware download location

雖然經過IDA pro或者其它靜態分析器能夠獲取到下載器的詳細信息。但更方便的方法是使用調試器。地址00403000顯示了下載的URL。順便說一下，裏面還包含了「Hello，World！」字符串。

Figure 14: .data section reveals downloader details

此字符串疊加技術有一個方便的特色是，它留下的的機器碼很獨特，能夠經過必定的規則來檢測。雖然這些規則有用，可是生成這些惡意下載器可能一些使用隨機的寄存器或隨機的字節，致使代碼進一步的混亂。

0x0A 參考

0x0B 關於ASERT

Arbor NetWorks的ASERT（Arbor Security Engineering & Response Team）是一個提供世界級的網絡安全的研究和分析，幫助當今企業維護利益的網絡運營商。ASERT的工程師和研究人員更是機構裏面的精英團隊，他們被成爲「super remediators」，表明着最好的信息安全團隊。其知名度和修復能力在全球的大多數網絡服務提供商能夠反映出來。

ASERT分享給幾百名國際計算機應急反應小組（CERTs）和成千上萬的網絡運營商情報簡要和安全內容供稿。ASERT也運營當今世界上最大的分佈式Honeynet，全天候監控全球的網絡威脅atlas.arbor.net。這一使命和Arbor Networks相關的資源給全球網絡安全問題帶一個創新和研究的動力。

要查看Arbor近期的研究，新聞和ASERT信息安全社區請訪問咱們的門戶www.arbornetworks.com/threats/。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。