近日，由国际著名信息安全领导厂商卡巴斯基（Kaspersky Labs）举办的安全分析师峰会（Security Analyst Summit，简称 SAS）于泰国普吉岛落下帷幕，知道创宇受邀参加了本次峰会。

基于对 APT PatchWork 组织长期的追踪和研究，知道创宇 404 实验室 APT 高级威胁情报团队成员 K&NaN 为峰会带来了题为《APT PatchWork’s “Herbminister Operation”》的演讲，揭秘了该组织“Herbminister”行动的武器库。

洞悉“杀手”，揭秘 PatchWork 攻击链

本次分享着重介绍了知道创宇在对 APT PatchWork 组织 “Herbminister”行动攻击链和武器库方面的最新研究成果。

在武器库方面，PatchWork 组织武器库大量采用开源红队工具，并在此基础上进行二次开发工作，其武器库存在多套攻击手法，全流程武器库包括不限于：信息收集、ByPass、域内横移、隔离网传播、安装部署、同种类多种武器类型（武器数目共计：76 款）。

• Post exploitation toolkits（后渗透工具包）
• Herbminister Chain（Herbminister 链）
• PatchInfecter Chain（PatchInfecter 链）

1.后渗透工具包

后渗透工具被 PatchWork 组织用于在目标网络内立足后，完成内网渗透的目标，其可以划分为 6 大类别，分别是：

• 扫描器
• 受害者信息收集工具
• 凭证访问工具
• AD 渗透工具
• 代理/端口转发工具
• 数据窃取工具

2.Herbminister 链

Herbminister 链（其套件名称与武器库重名），是由 Python 开发的 C/S 架构的窃密套件，支持 HTTP&HTTPS 上传，支持 XOR&RC4 加解密传输，同时套件支持 Socks 代理功能。

简而言之，Herbminister 链是一个远程命令与控制工具包，具备经典 RAT 功能。通过它，攻击者能够实现对受害者计算机的远程控制，并在目标系统中下载其他黑客工具，进一步扩大其攻击范围。

3.PatchInfecter 链

受害者的联系人也是 PatchWork 组织攻击的目标，PatchInfecter 链被攻击者用来传播 RAT（远程访问工具）给受害者的联系人。

跟常见的钓鱼文档不同，此种感染白文件的方式，完全可以造成一个身份受信任的人不通过邮件方式将恶意文件传给其他人的情况，那么会极大地提高恶意文档的点开率。

与时俱进，构建安全防线

作为网络安全企业的代表，知道创宇一直以来密切关注新兴安全威胁，针对当今严峻的 APT 攻击形势自主研发推出了创宇猎幽 – APT 流量监测系统（NDR），结合 ZoomEye 多年测绘情报数据，辅以异常网络行为模型分析技术，能够深度检测所有可疑活动，挖掘网络空间中的已知和未知的威胁，并及时进行报警通知。

在过去的两年里，知道创宇 404 实验室 APT 高级威胁情报团队多次提前和即时发现 PatchWork 组织针对国内重点高校、研究院、科研所等相关研究组织机构发起的攻击活动，并多次成功发出预警。

未来，知道创宇将继续深化在网络安全领域的研发与创新，积极响应国家网络安全战略，提升产品性能与服务品质，加强预警与响应能力，为客户提供全面、高效的安全防护，为推动网络安全行业的发展贡献力量。