Libra到底是何方神圣-Muddled-网络威胁组织技术评估 (libra到2.0根本原因)

写在前面的话

要说哪个网络威胁组织同时具备狡猾的社会工程学能力和灵活的网络安全技术，那就不得不提到Muddled Libra了。由于对企业信息技术有着深入的了解，即使你的组织机构拥有完善的传统网络防御系统，Muddled Libra也会对你产生巨大的威胁。

我们对2022年年中到2023年年初的六起与Muddled Libra有关联的网络安全事件进行了分析，发现该威胁组织倾向于针对为高价值加密货币机构和个人服务的大型外包公司。而想要阻止Muddled Libra的攻击，则需要组织机构拥有严格的安全控制机制、高度“敏感”的网络安全意识和持续性的高级监控方案。

Muddled Libra的技战术非常多变，并且能够快速适应目标环境，社会工程学技术是他们所使用的主要方式。除此之外，他们也正在使用各种匿名代理服务来掩盖他们的原始IP地址以及实际地理位置。

我们认为，英语是Muddled Libra成员的第一语言，这也使得他们在对使用英语的目标用户执行社会工程学攻击时，将更具杀伤力，而他们的主要目标似乎都在“漂亮国”。

根据研究人员的发现，Muddled Libra一直与BlackCat（又名ALPPV）勒索软件集团有关联，我们认为他们很可能是其附属组织，而BlackCat被认为是过去12个月来最活跃、最持久的勒索软件集团之一。在过去的12个月里，我们在BlackCat的数据泄露站点上观察到了至少316起事件。需要注意的是，BlackCat还允许分支机构访问他们的工具包，其中包括编译的勒索软件二进制文件、技术支持、谈判技巧以及泄漏网站的访问权等等。

Muddled Libra的特征

我们可以用几个方面来简单概括Muddled Libra的特征：

对Muddled Libra的深入研究表明，他们使用了一个异常庞大的攻击工具包，其武器库从社会工程学和smishing攻击，到渗透测试和取证工具，几乎“无所不用其极”。而且Muddled Libra在追求目标方面有条不紊，进攻策略高度灵活。当攻击路径被阻断时，他们要么迅速转向另一个向量，要么修改环境以使用他们擅长的攻击方法。值得一提的是，Muddled Libra似乎“深谙”事件应急响应的处理机制，这也使得他们能够在应对目标组织事件应急响应的同时，持续地朝着他们的最终目标迈进。

Muddled Libra倾向于使用被盗数据瞄准目标用户的下游客户，如果允许，他们会反复回到受入侵的网络系统刷新被盗数据集。有了这些被盗数据，即使在事件响应之后，攻击者仍然有能力回到最初的目标网络系统中。

Muddled Libra的攻击链

Muddled Libra的攻击链如下图所示：

Muddled Libra的技战术分析

网络侦查

Muddled Libra一直表现出对目标组织的深入了解，包括员工名单、工作角色和手机号码。在某些情况下，这些数据可能是在早期针对上游目标的数据泄漏攻击中获得的。

威胁行为者还经常从非法数据代理获取信息包，这些数据通常是通过使用诸如RedLine窃取程序之类的恶意软件从受感染的设备中获取的，其中包括公司和个人设备。随着自带设备（BYOD）政策的早期出现，以及混合工作解决方案的流行，公司数据和凭据被频繁使用并缓存在个人设备上。这也不仅给分散IT资产的管理和保护提升了难度，而且也保护为信息窃取恶意软件创造了有利可图的目标定位机会。

资源部署

在smishing攻击中使用相似域名，已经成为了Muddled Libra的标志之一，这种策略是有效的，因为移动设备经常会截断SMS短信中的链接。而这些域名只会在最初的访问阶段使用，然后很快就会被删除。

初始访问

在研究人员可以确定Muddled Libra初始访问媒介的安全事件中，都涉及到了smishing攻击或社会工程学技术。在大多数事件中，威胁行为者会直接向目标员工的手机发送钓鱼信息，并声称他们需要更新账户信息或重新验证公司应用程序。消息中包含一个指向伪造公司域名的链接，该域名将模仿目标用户熟悉的服务登录页面。

持久化

Muddled Libra特别专注于维护对目标环境的访问权。虽然威胁参与者在入侵期间使用免费或演示版的远程监控和管理（RMM）工具是很常见的，但Muddled Libra经常安装六个或更多这样的实用程序。他们这样做是为了确保即使发现了一个，他们也会保留一个进入环境的后门。

之所以选择使用RMM这样的工具，是因为这些工具是合法工具，而且很多关键业务的应用程序都会用到这些内容，这也是Muddled Libra选择利用这些工具的原因。这些工具都不是固有的恶意工具，而且在许多企业网络的日常管理中会经常使用到。因此，我们建议组织通过签名来阻止任何未经批准在企业内使用的RMM工具。

防御规避

Muddled Libra常用的安全防御机制规避技术如下：

除此之外，Muddled Libra在运营安全方面很谨慎，一直使用商业虚拟专用网络（科学）服务来掩盖其地理位置，并试图融入合法流量。在其活动中，我们观察到他们使用了多家供应商的服务，其中包括Expres*科学、Nord科学、Ultrasurf、Easy 科学和ZenMate。

凭证访问

一旦捕获了用于初始访问的凭据，攻击者就会选择两条路径中的一条。在一种情况下，他们继续从他们控制的机器进行身份验证流程，并立即请求多因素身份验证（MFA）码。在另一种情况下，他们会生成了一系列无休止的MFA提示，直到用户出于疲劳或沮丧接受了一个提示（也称为MFA轰炸）。

在建立了立足点后，Muddled Libra会迅速采取行动，提升访问权限。这一阶段使用的标准凭证窃取工具包括Mimikatz、ProcDump、DCSync、Raccoon Steiner和LAPSToolkit。

代码执行

在我们的调查中，Muddled Libra似乎主要对数据和凭据盗窃感兴趣，我们很少会看到远程代码执行的情况。如果需要的话，该组织会选择使用Sysinternals PsExec或Impacket完成代码执行。

数据收集

Muddled Libra似乎非常熟悉典型的企业数据管理机制，并且能够成功地在目标设备上的各种常见数据库中找到敏感数据，其中包括结构化或非结构化数据库，例如：

除此之外，他们还会使用开源数据挖掘工具Snafler和本地工具搜索注册表、本地驱动器和网络共享，以查找*密码*和安全限制等关键字。然后将泄露的数据暂存并存档，以便使用WinRAR或PeaZip进行数据提取。

数据提取

在某些情况下，Muddled Libra试图建立反向代理shell或安全shell（SSH）隧道，主要用于命令和控制或数据提取。Muddled Libra还使用了常见的文件传输网站，如put[.]io、transfer[.]sh、wasabi[.]com或gofile[.]io来提取数据和投放攻击工具。

总结

Muddled Libra的做事风格非常稳，可以对软件自动化、BPO、电信和技术行业的组织构成重大威胁。他们精通一系列安全规程，能够在相对安全的环境中执行自己的目标任务，并迅速执行其攻击链。

安全防御人员必须结合尖端技术和全面的安全防御措施，以及对外部威胁和内部事件的全面监控，才能够实现信息安全的完整保护。

入侵威胁指标

Muddled Libra活动相关的IP地址：

104.247.82[.]11105.101.56[.]49105.158.12[.]236134.209.48[.]68137.220.61[.]53138.68.27[.]0146.190.44[.]66149.28.125[.]96157.245.4[.]113159.223.208[.]47159.223.238[.]0162.19.135[.]215164.92.234[.]104165.22.201[.]77167.99.221[.]10172.96.11[.]245185.56.80[.]28188.166.92[.]55193.149.129[.]177207.148.0[.]54213.226.123[.]10435.175.153[.]21745.156.85[.]14045.32.221[.]25064.227.30[.]11479.137.196[.]16092.99.114[.]231

用SWOT分析一下广东物流企业

大连港保顺物流企业的SWOT分析一、优势（Strengths）1.大连港保顺物流企业位于大连港保顺港区内，它既可依托大连市的交通枢纽地位，又可以充分发挥依托大连港保顺港区的优势，具有发展现代物流业的独特区位优势。 2.有正确的市场定位和明确的发展战略目标物流企业依托港区优势，将当代最具发展潜力的集装箱物流作为业务重点的市场定位和建立现代物流企业的战略目标使其明确了前进的方向。 3.具有大量的物流基础设施和专用设施物流企业大都由原来的仓储公司转型而来，拥有基础设施优势，拥有较多的库区、掌握着大量的物流基础设施和专用设施。 4. 铁路港站服务大连港物流公司拥有前湾港区唯一的铁路港站，可以提供铁路货物发送、接卸、倒箱等服务，港口和铁路部门联合开设了5定班列，可达成都、西安、郑州等内陆地区。 这些地区及沿线货主出口货物可以用列车运至港站，港站给予办理铁路箱换箱下海或者卸棚车装箱下海等服务，方便了货主，减少货主运费支出，拉近港口和内陆地区的距离。 而进口货物则可以直接在大连港通关或者转关，然后在港站拆箱，将货物装棚车或者装铁路箱运至目的地，这样不仅解除了货主的还箱后患，为货主节约大量费用，还使货物运输时间大为缩短。 二、劣势（Weaknesses）1.缺乏先进的物流信息系统，信息化、自动化进程滞后由于新技术和新设施投资巨大，且要求与客户之间建立接口，所以物流企业没有先进的物流信息系统，管理电脑化、自动化水平较低，信息资源不能共享和各部门的联网程度不高，管理信息沟通不畅，成为制约物流企业未来发展的“瓶颈”。 2.缺乏现代物流知识和专业物流管理人才企业员工大部分缺乏现代物流知识，而且企业缺少专业的物流人才，包括物流研究和规划人才、物流企业经营人才、信息化人才、高级物流管理人才和与物流相关的其他各专业人才。 3.物流技术没有得到充分的应用4.部分设施落后，管理水平较低企业现有部分物流设施设备陈旧老化，机械化程度不高，效率低下，不符合客户特定要求。 另外，由于发展处于起步阶段，缺少成型的管理模式和足够的管理经验。 管理过程中现代管理方法和手段应用较少，从而管理中经常会出现一些漏洞和不足。 三、机遇（Opportunities）1.经济增长给企业提供了巨大的发展空间近几年来，大连国民生产总值和人均国民生产总值年增长率均达到了8%左右，财政收入和固定资产投资也以两位数的速度增长。 由于遵循了面向市场的正确原则，并且依靠了技术创新和体制创新，经济发展呈现上升趋势，第三产业发展较快并成为新的经济增长点。 此外，深厚的工业基础和门类齐全的产业优势，为物流企业的发展提供了货源保证，有利的地理位置和发达的交通网络为其发展提供了物质基础。 2.政府重视各级政府从政策导向和资金投入等方面都给予巨大支持，对物流市场进行规范化管理，为物流业的发展提供了一个良好的宏观环境。 3.物流一体化趋势为其提供了良好的发展环境物流一体化的发展趋势也为第三方物流企业的发展提供了良好的发展环境和巨大的市场需求，因此伴随着日趋激烈的竞争环境，商业机构和各大公司不得不将主要精力放在核心业务上，而将运输仓储等相关业务环节交由更专业的第三方物流企业进行操作，以求节约和高效。 4.电子商务发展提供了巨大的市场机遇电子商务在当今社会的迅猛发展培育了第三方物流业这块最诱人的蛋糕，这是目前任何一个物流企业都不容忽视的巨大机遇。 网络时代的第三方物流，在给第一方、第二方带来利润或使商业网站能够正常运作的同时，其自身的利润空间也是相当可观的。 5.大量外资进入扩大了市场容量由于我国在劳动力成本和原材料供应方面的比较优势以及巨大的市场前景，许多跨国企业在我国开业建厂，我国正在变成世界制造基地，成为全球制造中心。 我国在成为制造大国、经济大国的同时也必将成为物流大国，大量外资企业的到来为我国物流市场增加了新的需求。 显而易见，大连港物流公司也将是这个不断扩大的物流市场受益者。 四、威胁（Threats） 1市场竞争加剧，物流业面临重新洗牌大量跨国物流企业的进入加剧了市场竞争，物流业面临重新洗牌局面，大连港物流公司也在所难免。 面对来自四方八面的挑战和物流市场格局的转变，发展会越来越艰难。 如何在激烈的市场竞争中取得立足之地，更好地在竞争中发展壮大自己，是大连港物流公司必须面对的重大挑战。

目前有什么比较成熟的技术可以检测网络中的内部威胁？

内部员工具备合法访问内部数据的权限，其主观恶意的行为在传统安全方法看来没有任何问题，因此无法定位和检测。 目前网康等安全厂商提出的比较有效的检测方法是通过用户行为分析检测内部威胁。 用户行为异常是内部威胁、定向攻击和财务诈骗的早期信号，通过收集用户行为数据，使用大数据技术进行建模并建立用户行为基线，就可以发现用户异常行为，从而帮助企业和组织及时发现问题并处理。 配合防火墙、DLP、上网行为管理等产品的阻断能力，可以实现对内部威胁的闭环解决方案。

市场营销有哪些方法

1.推销观念、市场营销观念是在什么背景下产生的？现代市场观念与传统观念有何不同？2．简述企业发展战略的主要内容。 3．分析企业经济环境应从哪些方面入手？个人收入包括哪几部分？各自的含义如何？4．企业面对环境威胁的对策5. 什么是相关群体？举例说明相关群体是如何影响消费者购买行为的？6．举例说明各种类型购买行为的特点。 并分析对各类购买行为企业应当采取的营销策略。 7．市场领先者的竞争策略8市场补缺者取胜的关键是什么？一个最佳的补缺基点应具备哪些特征？9.细分消费者市场的标准。 能够就不同产品提出不同的细分标准。 10．三种目标市场策略的概念、优缺点。 11．企业在选择目标市场策略时应考虑哪些因素？12．市场定位的程序。 13．产品的整体概念五个层次的内容。 14．产品组合策略的主要内容。 15．企业的品牌策略有哪些？16．产品在其生命周期的不同阶段的特点以及适宜的营销策略。 17．开发新产品的程序18．撇脂定价策略和渗透定价策略的含义与适用条件。 19．相关产品定价策略的主要内容。 20．试比较尾数定价策略和整数定价策略的不同功用？21．简述企业如何根据有关影响因素为其产品选择适宜的分销渠道？22．直接渠道、间接渠道的含义，二者的区别。 23.选择中间商数目的三种形式。 24．网络营销主要有哪些职能？25.什么是促销组合？企业促销的几种主要方式的优势及其适用条件？26．企业进行有效沟通的步骤。 27．确定企业促销组合策略时应考虑的因素。 28．产品管理型组织和市场管理型组织各有什么优缺点？29．与实体产品相比，服务主要有哪些方面的特性？30．国际市场营销与国内市场营销相比有什么特点？31．国际市场营销产品策略的主要内容及各种策略的优缺点。 三、案例分析主要侧重于以下方面：1． 市场细分2． 环境分析3． 寻找市场机会4． 渠道策略（重点是制造商与经销商的关系）5． 新产品开发6． 市场观念