在2014中国互联网安全大会第二天的APT防御技术论坛中，南京翰海源安全研究员何淼分享APT GROUPS揭开"潘多拉魔盒"主题演讲，何淼首先回顾一下我们身边发生的APT Groups攻击事件。讲到，“这一封是针对政府部门发动的定向攻击邮件，运行这个邮件，通过WPS2012或者是2013打开以后，会释放出正常的doc文件，加载dll文件，窃取政府部门的机密信息，并上传。”

　　何淼表示，“查询网络资料可以看到有70家政府部门和60多家国企在使用国产办公软件，潜在的APT威胁数量很大。这个是我同事出差时捕获的攻击邮件。打开文件以后可以从攻击者网站下载特定zbot感染型木马。“

　　另外，何淼认为，”这两次APT事件很难关联起来，如果是有其他的APT样本搭桥牵线，是不是就可以找到它们之间的关联关系呢？就好比是两个不同的案发现场，采用不同的作案手段，如果留下了凶手的指纹信息，我们是不是可以顺藤摸瓜的抓出凶手呢？APT Groups可以帮我们找出意想不到的结果，并且找到背后隐藏的秘密。

　　何淼认为，“首先要进行多纬度基因数据的组建。这些信息需要通过沙盒系统获取样本的动态信息，比如窃取网银的密码行为、用户的游戏帐号信息或者是邮箱帐号等等。一些威胁信息，比如文件的启动项、进程的启动信息。文件的静态信息是文件的导入信息、文件的资源目录。如此多的样本信息中，要找到自己感兴趣的信息。通过相似度计算，可以看到这两个攻击是同一个作者所为。”

　　此外，何淼分享了一个组名叫APT-malicious-dw20，特点就是样本繁多，大部分都是使用自己的签名。主要分布在美国、法国、波兰、韩国等国家。攻击者是某黑客团体的APT攻击。这个攻击组织常用的数字签名比较多。这个组织的C&C服务器分布，美国的分布占42%。

　　何淼讲到，“APT-RAT-DNSWATCH主要利用DOS的路径攻击。我们重点看一下APT-phanonra-shenzhen。这个攻击者参与了多次APT攻击事件，特点是到处签名，动态劫持dll文件。用到的CVE是2011-2462、2011-0611、2012-0158，最后追踪到是美国的APT攻击团队。尾部都有一个明显的download的特征。我们要演示的样本暴露了攻击者的行踪，并且顺藤摸瓜，追踪到了攻击者的博客地址。攻击活动生命周期主要是集中在2012到2013，也是APT事件发生的高峰时期。未来在2013到2014期间也会发动多起攻击事件。这个组织的C&C服务器主要分布在香港、法国、澳大利亚、美国等地。”

　　最后，何淼表示，“PT Groups在上传样本文件，通过信息查询所在的APT家族，定位到攻击者所在的APT家族。通过这个样本可以找到攻击者的来源。找到和WPS的样本相互关联的原因。展示了服务器所在国。样本的静态信息。也可以通过查询样本的C&C信息查询域名信息，通过样本的时间轴可以查到样本的攻击活动生命周期，了解攻击组织或者是作者制作样本的时间。”