首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

啟明星辰ADLab:對近期某未知黑客組織攻擊活動追蹤與分析報告

發布時間 2024-08-30

1.分析簡述


在過去幾個月里,啟明星辰ADLab陸續發現一批利用商業木馬remcosRAT攻擊全球多個大型企業的網絡攻擊活動,這些攻擊活動試圖將竊取的敏感數據回傳至美國的多臺C2服務器上,這其中被攻擊的企業還包含一家中國央企控股的外運企業,通過組織溯源發現這批攻擊活動并不屬于已知的任何黑客組織(包括APT組織),因此,為了進一步掌握該黑客組織的活動情況,我們從4月份開始對該黑客相關的活動進行特別關注和追蹤,直到本文完成時仍未有該攻擊活動的披露報告。


通過長時間的攻擊樣本收集,最后我們獲得了跨度5個月時間的190多個攻擊樣本,這些攻擊樣本中有140多個都試圖回連到位于美國地區的控制命令服務器上。其中服務器主要集中在173.255.204.62、107.173.4.18和107.175.229.143。通過溯源分析確定這批攻擊活動從2024年3月份就已經開始了對目標企業進行攻擊,在接下來的幾個月里攻擊活動變得越來越活躍,直到7月份達到活躍高峰后,8月份攻擊活動漸漸變少。


通過基礎設施和樣本分析發現,這是一個自動化程度非常高的黑客組織,其甚至可能將整個攻擊周期都進行了自動化,我們發現攻擊組織將黑客郵箱注冊、域名注冊、漏洞利用代碼、loader即時編譯、木馬生成、攻擊投放等過程都進行了自動化。當然除了自動化外,黑客組織也會根據自身掌握目標的程度而選擇進行定制化的攻擊。


從攻擊目標來看,這批攻擊活動除了攻擊我國某外運企業外,還包含一些全球性的國際貿易企業以及化學制品、機械制造、金融保險等領域相關企業。我們追蹤到的攻擊活動主要以魚叉郵件和早期office漏洞為主,大量樣本的文件特征表現為高度自動化生產與自動化投放的特點,同時一些攻擊郵件也表現出與目標產品和客戶關系細節相關的高度定制化的特性。投放的竊密木馬主要為5.1.0 Pro版本的remcosRAT,相較于我們之前分析的remcosRAT版本,新版本允許黑客通過Telegram機器人與木馬端交互,如此一來,黑客可以使用手機、平板電腦等移動設備隨時隨地進行木馬控制,攻擊場景更加靈活。


從對抗手法上來看,該未知黑客組織利用了多階段遠程加載技術、混淆技術、AD技術和進程鏤空技術來躲避流量監測和殺毒軟件的查殺,其中AD(ADD-TYPE)技術是一種較為少見的技術,在混淆的powershell代碼中,其常常被用來實現隱蔽的.net程序集的調用,黑客在本攻擊活動中用來實現遠程惡意代碼的隱蔽下載。


2.攻擊活動分析


我們在追蹤這批攻擊活動的過程中,總共收集了190多份攻擊樣本,從每個攻擊樣本的入侵路徑上分析,發現黑客主要有兩種攻擊手段。


第一種是通過投遞惡意的帶有漏洞利用代碼的office文檔(xls和doc文檔)來進行,其中的漏洞利用程序會從黑客服務器上下載一個帶有JS腳本的hta文件并加載執行,此時JS腳本內一段被混淆的VBS腳本便會被啟用,而這段VBS執行后最終會調用一段被混淆的powershell代碼。這段powershell腳本采用了AD技術,其為當前程序添加了一個新的 .NET 類型,該類型包含一個從 urlmon.dll 動態鏈接庫中導入的 URLDownloadToFile 函數,powershell利用該函數從黑客服務器上下載一個被二進制混淆過的loader程序并執行,該loader最終會解密并執行竊密木馬remcosRAT。


第二種攻擊手法就是直接將混淆過的hta文件(或其鏈接)和loader程序偽裝成為正常文件/鏈接附在釣魚郵件中,誘使目標執行誘餌文檔。


我們先以7月25日的一起魚叉釣魚郵件攻擊開始來簡單分析黑客的攻擊過程,在整個攻擊周期中,有大量類似的攻擊郵件,如圖1這樣。這個案例里黑客將發件人偽裝成了印度高檔面料制造商“Raymond”相關工作人員,將一個惡意文件投遞到我國某外運公司的工作人員。郵件主題為 “RFQ”(報價請求),郵件附件為“Quotation.xls”(報價.xls),正文翻譯成中文是“請查收附件所需項目的報價單,并以報價單確認,請確認收據”。


圖片1.png

圖1 針對我國某外運公司的攻擊郵件


這種以報價為誘餌的攻擊郵件主要通過某些模板自動化生成,其適用范圍較廣,成功率也較高。這種類似的攻擊大概流程如圖2所示:


圖片2.png

圖2 黑客攻擊流程圖


黑客首先將木馬存放于自己建立的文件服務器上,在配置好郵件payload后,通過自動化程序(以郵件模板庫與情報庫中目標信息為依據)生成攻擊郵件,并向目標企業投放木馬。當受害者不慎打開郵件的附件文檔,其中被精心構建的漏洞利用程序便會被觸發,獲得執行權限的shellcode接下來會通過多級級聯下載(為了便于躲避查殺),最后成功投放木馬remcosRAT。黑客利用該木馬可完全接管和控制目標主機,且可以對目標所在的網絡進行下一步的入侵,以尋求更具價值的數據。其他類似攻擊如圖3所示。


圖片3.png

圖3 關聯到的部分網絡攻擊郵件截圖


這一系列攻擊活動中,黑客的偽裝對象還包括我國某海運服務集團、我國某國際物流公司、美國物流公司“Expeditors”、新加坡物流航運公司“Interion Pte Ltd” 等實體。


表1.png

表1 部分定向攻擊郵件相關信息


攻擊目標還包含韓國“船舶燃油系統、推進系統和操縱系統等系統”代理商“Boema Hi-Tec Ltd”、智利網絡信息中心“Network Information Center Chile(NIC Chile)”、 捷克氣動元件、機床、食品加工設備公司“Stransky a Petrzik”以及墨西哥“稱重、識別和檢測系統”制造商“Grupo IPC”等企業,部分受害企業相關信息如圖4。


圖片4.png
圖4 部分受害企業相關信息


而對于一些特定的目標,黑客會根據這些目標的不同業務內容和企業情況進行郵件定制。如圖5所示:黑客聲稱自己來自一個泵工業企業,向韓國船舶加工、輪船推進相關代理商“Boema Hi-Tec Ltd”發送了主題為“Inquiry - Pumps & Accessories - (Oasis Pump Indusry LLC)(查詢-泵和配件-綠洲泵業有限責任公司)”的郵件,正文中聲稱是要從該企業購買水泵和配件產品,附件為“Pumps Product List & Drawing Dimensions.xls(泵產品清單及圖紙尺寸)”是其需要的產品規格和圖紙尺寸。類似的主題和內容還有“New Enquiry”(新詢盤)、“New Items order”(新項目訂單)和“PAYMENT”(付款)等。


圖片5.png

圖5 定制化攻擊郵件示例


3.基礎設施分析


在我們持續的追蹤和分析后,總共得到了194個攻擊樣本,這些樣本分別出現在黑客攻擊的不同階段,我們把這些樣本大致分為四大類,其中第一類是利用office漏洞的xls和word惡意文檔;第二類是內嵌有js腳本的hta文件;第三類是存儲在黑客文件托管服務器上的remcosRAT木馬的loader;第四類是用于直接通過郵件進行木馬投遞的壓縮包文件。


通過最終分析確認,黑客竊密木馬的控制命令服務器為“bossnacarpet.com”和“vegetachcnc.com”,目前這兩個域名都解析到位于美國73.255.204.62服務器上,回傳端口為2556。除了用于控制目標主機的控制命令服務器外,黑客還有一些用于存儲hta和remcosRAT木馬loader的托管服務器,大部分的樣本托管服務器都位于美國境內。這些托管服務器相關信息如下。


表2.png

表2 惡意服務器IP地址


竊密木馬控制命令服務器域名“bossnacarpet.com”注冊于2023年8月4日,但是一直未有使用直到2024年4月解析到了服務器107.175.229.143。從4月份到8月份更換了2次服務器分別為5月更換為服務器107.173.4.18,7月份更換為服務器173.255.204.62。服務器173.255.204.62一直使用到現在。


而控制命令服務器域名“vegetachcnc.com”是2024年3月21日新注冊的域名,其直到2024年7月才被配置到服務器107.173.4.18和服務器173.255.204.62上。


此外,從這兩個域名的注冊信息來看(見圖6),黑客極有可能使用了自動化注冊工具來實現,如果推測成立,那么我們所發現這批攻擊可能只是該黑客組織某一個分支。


圖片6.png
圖6 域名注冊信息


當然除了域名注冊存在自動化的痕跡外,該黑客組織的攻擊樣本看起來也具有很強的自動化特性。部分文件信息如表4所示,在我們收集到的樣本中存在大量8字節十六進制名稱的漏洞利用文檔如“A5570000”和“00870000”類似的形式,這些攻擊文檔無疑是黑客通過自己的攻防平臺自動化生成的惡意文件。這類文件的出現時間主要集中在2024年3月份到8月份。


表3.png

表3 惡意誘餌文檔


此外這批樣本中的一些doc漏洞利用文件呈現出一種奇怪的文件名形式,類似于文件“iwanttosxwithudeeolybecauseitrulylovesxwithoumygirlireallymissingu__nowiwantsxwithou.doc,這類文件看起來像是利用一些文章或者小說內容作為字典,通過某種算法自動化生成的樣本,這類文件主要出現在2024年3月至4月期間。部分文件信息如下表所示。


表4-1.png

表4-2.png

表4-3.png

表4 惡意誘餌文檔


對于前面提到的第二類文件并不多,如表6所示。這是黑客攻擊路徑中的一類中間文件,一部分攻擊將此類文件的鏈接附著在釣魚郵件中,誘使目標點擊;一部分通過漏洞利用文檔從遠程下載執行。這些文件實際上是一些包含多層混淆和編碼的JavaScript腳本文件,JavaScript腳本文件中再嵌套混淆的VBScript和混淆的PowerShell命令,最后利用PowerShell命令從黑客服務器上下載被二進制混淆過的loader程序并執行。


表5.png

表5 惡意hta文件


惡意hta文件執行后,會從黑客服務器上下載被二進制混淆過的loader程序并執行,這些loader最終會解密并執行竊密木馬remcosRAT。


而這些loader正是我們上面提到的第三類樣本文件,,如表7所示,這些惡意loader文件名大致可以分為兩類:一類是偽裝成如“csrss.exe”、“ wininit.exe”這類系統進程名稱,以隱藏惡意行為為目的;一類是命名成“Quotation.exe”、 “RFQ.exe”這類名稱以配合攻擊郵件來誘使受害者運行。這些文件的編譯時間最早為2024年4月16日(UTC),最新為2024年7月23日(UTC)。


表6-1.png

表6-2.png

表6-3.png

表6 惡意loader程序


通過該表我們還可以看出,有許多loader程序在編譯好后就在很短時間里便投入使用了,和我們觀察到的時間非常接近,有的最短間隔甚至不到半小時,這顯然是通過自動化的木馬即時編譯即時投放平臺實現的。


第四類文件目前發現的也并不多,目前還無法明顯看出其存在自動化實現的痕跡。黑客將混淆過的hta文件(或其鏈接)或loader偽裝成正常文件并進行打包,然后作為郵件附件添加到魚叉郵件中,再通過郵件話術誘使攻擊目標解壓執行。


表7.png

表7 作為郵件附件的壓縮文件


因此,結合上文的分析來看,黑客似乎具有完整的自動化攻擊平臺,其具有非常強的自動化能力,這些能力包括自動化的郵箱申請、域名注冊、誘餌文檔生成、木馬loader即時編譯、木馬投放等。


4.攻擊案例分析


我們以該黑客團伙針對我國某外運公司的一次郵件攻擊為例進行說明。如圖7所示,在此次攻擊中,攻擊者先在自己的惡意服務器“192.3.118.15”和“107.173.143.46”上分別配置和部署好惡意文件“gdfc.hta”和“csrss.exe”,之后,攻擊者向我國某外運公司的工作人員投遞帶有惡意附件“Quotation.xls”(報價.xls)的郵件,該xls文檔是攜帶有漏洞“CVE-2017-0199”利用代碼的惡意漏洞利用文件,漏洞利用代碼一旦執行,會加載執行事先部署的惡意文件“http://192.3.118.15/xampp/mnu/gdfc.hta”, 惡意gdfc.hta包含的惡意腳本會請求并執行惡意文件“http://107.173.143.46/T2307W/csrss.exe”。csrss.exe為商業木馬remcosRAT的loader, 其執行后,會解密其中的商業遠控木馬remcosRAT 到受害者的設備執行。通過上述過程,攻擊者最終成功向攻擊目標投放了remcosRAT遠控木馬。

圖片7.png

圖7 攻擊流程圖

4.1 誘餌郵件投遞


此次攻擊始于一封試圖偽裝成印度高檔面料制造商“Raymond”相關工作人員的報價請求郵件(見圖8),此郵件是發送給我國某外運公司的工作人員的。郵件主題是“RFQ(報價請求)”,附件誘餌文檔名稱為“Quotation.xls(報價.xls)”,正文翻譯成中文是 “請查收附件所需項目的報價單,并以報價單確認,請確認收據”。從郵件的主題和正文內容來看,攻擊者是想偽裝成印度高檔面料制造商“Raymond”對我國某外運公司實施郵件攻擊。


圖片8.png

圖8 攻擊者投放的攻擊郵件


附件文檔“Quotation.xls”(見圖9)是一個“CVE-2017-0199”漏洞利用的惡意文檔,如果受害者設備上的Office未及時更新,而受害者又由于疏忽打開了該文檔,漏洞利用代碼便會執行。


圖片9.png

圖9 誘餌xls文檔


漏洞利用代碼會加載和執行攻擊者部署的惡意hta文件:“http://192.3.118.15/xampp/mnu/gdfc.hta”, gdfc.hta文件的內容如圖10所示,該文件只包含一個混淆處理過的Javascript腳本。


圖片10.png

圖10 gdfc.hta文件部分內容


這段 JavaScript 腳本使用了 unescape() 函數來解碼一個經過編碼的字符串‘%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%4A%61%76%61%53%63%72%69%70%74%...... 69%74%65%28%64%29%3B%3C%2F%73%63%72%69%70%74%3E’,并通過 document.write()方法將解碼后的內容輸出到頁面上。這段經過編碼的字符串解碼后見圖11,我們來看這段代碼都干了些什么:m 變量包含了完整的 HTML 和嵌入的 惡意VBScript 代碼(這部分代碼使用了 JavaScript);unescape(m) 函數用于解碼 m 中的轉義字符,將其還原為原始文本;document.write(d)將解碼后的 HTML 和惡意 VBScript 代碼寫入到文檔中,這一步相當于動態加載惡意代碼到用戶的瀏覽器環境中。


圖片11.png

圖11 解碼后的代碼結構


惡意VBScript 代碼如圖12所示,我們看到這段代碼混淆了變量名和命令并使用了超長變量名“FZmVzmbnJlDsrDPejjREhoSUpLccYGThfiITYHmlYTerSIATfMkpyNZNbIRRjmhWgbmEymiqenIvsgxmwrNLYaeXZijiaptaxmbXnjqXRcpyedgHXEBNUiJUXUhXLWgRSybTIFmCYTdxsJdzwjCoDvqZLzLfGqVOgsqmVJ”和“BMheopsbVrJXHOKkrGKTzUVwCTPAsCMcYpVBKRxInxQgxxxJNQGzAmHManmtkLfnoAWzQzvWZLNeeRnjqUjxMjVNGzutUDKfYPYGIjBZFBqBFTwUBnhvlFXGUZbhzaOLDDQDpQeYIpmdbxmXWpqbaweBsgWtZWGnHmnaLp”。這樣操作既躲避了一些安全軟件的檢測又增加了分析人員的閱讀難度,可以說是“一舉兩得”。這段代碼的目的是執行一個PowerShell命令(綠色部分)。


圖片12.png

圖12 惡意VBScript代碼


PowerShell要執行的命令解碼后如圖13所示,這段代碼使用一種“AT”技術來躲避殺毒軟件的行為查殺。其利用 Add-Type cmdlet 添加了一個新的 .NET 類型。這個類型包含一個從 urlmon.dll 動態鏈接庫中導入的 URLDownloadToFile 函數;然后調用 URLDownloadToFile函數,從地址http://107.173.143.46/T2307W/csrss.exe 下載文件到本地路徑 $ENV:APPDATA\winiti.exe;接著讓腳本暫停 3 秒鐘,確保文件下載完成;最后

執行下載的可執行文件。我們可以看到,這段代碼的主要功能是從指定的 URL 下載惡意可執行文件,并在下載完成后運行它。


圖片13.png

圖13 PowerShell要執行的命令

4.2 惡意程序分析


通過前面下載并執行的惡意程序為“http://107.173.143.46/T2307W/csrss.exe”, 經過分析,我們發現csrss.exe是一個惡意loader,由于該惡意loader經過了嚴重的混淆,并且很多函數使用了動態加載技術,因此僅通過靜態分析我們很難知道它的關鍵執行邏輯。結合動態分析,我們發現,該loader在執行后會在內存中解密出商業木馬remcosRAT,然后新起一個傀儡進程如“msbuild.exe”,接著使用進程鏤空技術將remcosRAT木馬注入到新起的傀儡進程空間中執行。進程鏤空技術常被惡意軟件用于注入惡意代碼,以逃避殺毒軟件的監測和防御機制,并在目標系統上執行惡意活動。


loader會在目標計算機上Microsoft.NET Framework的安裝目錄下選擇一個合法的.NET相關程序如“msbuild.exe”、“ regsvcs.exe”、“ jsc.exe”和“installutil.exe”等作為目標來創建傀儡進程。如圖14所示,惡意loader首先使用CreateProcessW函數創建C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\msbuild.exe進程,需要注意的是,這個進程的主線程被設置為掛起狀態,在后續注入完成惡意代碼后,loader會調用ResumeThread函數來恢復目標線程的執行。


圖片14.png

圖14 創建目標進程


創建完傀儡進程后,loader通過調用ZwUnmapViewOfSection函數來取消傀儡進程中的內存映射,如圖15所示。


圖片15.png

圖15 取消目標進程中的內存映射


接著,loader調用VirtualAllocEx函數來為傀儡進程分配內存(如圖16),為的是將后續的惡意代碼寫入到傀儡進程的地址空間。


圖片16.png

圖16 為傀儡進程分配內存


分配完內存后,loader再調用NtWriteVirtualMemory函數將remcosRAT的PE頭注入到傀儡進程地址空間,如圖17所示。


圖片17.png

圖17 注入remcosRAT的PE頭


注入PE頭后,如圖18所示,loader繼續將remcosRAT 的“.text”section注入到傀儡進程空間。接著,loader會以同樣的方式依次注入remcosRAT的“.rdata”、“ .data”、“.tls”、“ .gfids”、“ .rsrc”和“.reloc”section。


圖片18.png

圖18 注入remcosRAT 的“.text”section


如圖19所示,在整個remcosRAT惡意代碼注入完成后,loader則調用ResumeThread函數恢復目標傀儡進程的主線程,這樣,remcosRAT木馬就在目標傀儡進程中執行了。


圖片19.png

圖19 恢復傀儡線程

4.3 remcosRAT木馬


通過前面的分析,我們知道,惡意loader通過內存解密和進程鏤空技術,最終在感染設備上執行了商業遠控木馬Remcos RAT,其版本號為“5.1.0 Pro”(如圖20所示)。自2016年在暗網上的地下黑客社區開始出售以來,Remcos RAT非?;钴S,基本上每個月都會發布兩個左右的新版本。該工具由一家名為Breaking Security的公司發行出售,其具有鍵盤記錄、屏幕記錄、調用攝像頭和麥克風進行錄像錄音、遠程執行Shell命令、遠程執行腳本、上傳文件以及下載文件,文件管理、進程管理、注冊表操作和安裝卸載遠控等功能,只要Remcos RAT被成功植入到目標設備,其背后的黑客便可完全控制目標設備,對其進行監控、數據竊取甚至是更進一步的破壞活動。我們此前在報告《【深度】ADLab針對新型黑客組織“海毒蛇”深度追蹤與分析》和《關于近期俄烏網絡攻擊活動追蹤分析報告》中曾對其進行過詳細的技術分析,在此不做過多贅述,下面僅對其配置文件部分進行簡要說明。


圖片20.png

圖20 最終執行的商業遠控木馬remcosRAT


如圖21所示,Remcos RAT運行后會從自身資源中解密出配置信息,里面包括C&C服務器地址“bossnacarpet.com:2556,vegetachcnc.com:2556”、互斥對象名“chrome-6W1HCC”、鍵盤記錄文件名“logs.dat”、Licence ID“C90245FEC67A6F41723337BDF4A60126”以及和截圖、錄音等操作相關的其他信息。


圖片21.png

圖21 解密出來的配置信息


相較于舊版本,Remcos從 v5.0.0版本開始增加了移動端的控制支持,圖22是Remcos官網下相關的更新介紹,由介紹可知,Remcos v5.0.0版本允許黑客通過Telegram機器人與木馬端交互,因此黑客可以通過智能手機、平板電腦和瀏覽器完成對目標主機的控制。同時Remcos Telegram機器人支持以實時通知的方式讓黑客及時了解目標設備運行情況。


圖片22.png

圖22 Remcos新功能


圖23是Remcos Telegram機器人支持的控制命令列表,黑客可以通過其完成對目標主機的各項控制,如屏幕記錄、調用攝像頭錄像、遠程執行Shell命令、遠程執行腳本、下載和文件,瀏覽器操作等。


圖片23.png

圖23 Remcos Telegram機器人控制命令


雖然Remcos Telegram機器人支持的控制命令目前沒有原始的 C2控制端多,但是借助于Telegram的跨平臺支持,黑客可以使用手機、平板電腦等移動設備隨時隨地進行木馬控制,極大拓展了黑客的攻擊場景。借助于Telegram的實時通知,黑客可以實時接收受感染設備的狀態更新和通知,便于其及時采取下一步行動。另外,由于 Telegram 在國外是常見的通信工具,使用它進行控制可以規避一些安全軟件和網絡監控的檢測。這些優勢使得 Remcos RAT 在 5.0.0 版本后變得更加強大和靈活,進一步提升了其在惡意活動中的應用價值。黑客購買新版Remcos進行攻擊,可以根據他們自己的具體需求選擇合適的控制方式。而針對新版Remcos的這些特性,安全人員和廠商需要不斷提升檢測和響應能力,采用多層次的防御策略,并保持對最新威脅情報的持續關注。


5.總 結


我們就近幾個月觀測到的一系列利用托管在多個黑客服務器公開路徑上的大量惡意文件進行的網絡攻擊活動進行了分析,我們對這些攻擊活動使用的基礎設施、攻擊武器、活動歷史和攻擊手法等信息進行了全面的分析,并且我們對最近出現的一次針對我國某外運公司的攻擊進行了詳細的逆向分析。從這些攻擊活動的攻擊目標和攻擊手法來看,其背后的攻擊者很大概率上是一個以經濟利益為目標的犯罪團伙。幾個月來,他們一方面對于重點目標定制惡意文件進行定向攻擊,一方面大批量自動化生成郵件、漏洞利用文件和loader進行廣撒網式的攻擊,隨后竊取目標公司的商業機密、重要工業技術信息等敏感信息,以實現其經濟利益,也不排除該犯罪團伙以這些攻擊目標為跳板,進一步向相關企業的上下游公司、合作伙伴、政府高校等機構進行攻擊,以獲取更多的“攻擊成果”。這些攻擊不僅會對相關企業的運營和聲譽造成嚴重影響,還可能導致工業配方、客戶資料等核心涉密數據泄露,后果不堪設想。


截至目前,該犯罪團伙的攻擊活動仍然活躍,仍將有不少公司會成為其新的獵物,我們會持續關注和跟進該黑客團伙的相關攻擊活動。


啟明星辰積極防御實驗室(ADLab)



ADLab成立于1999年,是中國安全行業最早成立的攻防技術研究實驗室之一,微軟MAPP計劃核心成員,“黑雀攻擊”概念首推者。截至目前,ADLab已通過 CNVD/CNNVD/NVDB/CVE累計發布安全漏洞5000余個,持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋基礎安全研究、數據安全研究、5G安全研究、人工智能安全研究、移動安全研究、物聯網安全研究、車聯網安全研究、工控安全研究、信創安全研究、云安全研究、無線安全研究、高級威脅研究、攻防體系建設。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。


adlab.jpg

上一篇 下一篇