花了几天时间，整理了一下APT研究的几个顶级会议，主要包括卡巴斯基安全分析师峰会、FireEye/Mandiant网络防御峰会、LABScon、PIVOTcon、RooCon、360 ISC 高级威胁狩猎分析论坛等，希望对那些想从事APT研究工作的朋友有所帮助。

APT研究的"黄金时代"（也是"纯真年代"）

2010年的一个寒冷冬夜，我还记得清楚，我们实验室的电脑屏幕突然亮了起来。那一刻，我们发现了后来被称为Stuxnet的恶意软件，这标志着APT研究的"黄金时代"拉开了序幕。

回想起来，那段时期就像一场惊心动魄的侦探小说。Stuxnet就像是我们遇到的第一个超级反派，它的复杂性和针对性让我们目瞪口呆。我们熬夜解析代码，试图理解这个数字武器的每一个细节。当我们意识到它是专门设计用来破坏伊朗核设施的时候，整个团队都沉默了，我们第一次真切地感受到了网络战争的现实。

紧接着是Duqu的出现。如果说Stuxnet是一把锋利的剑，那Duqu就是一个隐形的间谍。它悄无声息地潜入系统，收集信息，为未来的攻击铺平道路。破解Duqu就像解开一个复杂的谜题，每一步都充满了挑战和惊喜。我记得有一次，我们因为破解了Duqu的一个关键模块而兴奋地在办公室里开香槟庆祝。

然后是Gauss的发现，它像是一个数字世界的变色龙，专门针对银行系统。解析Gauss的过程中，我们发现了一个加密的载荷，至今仍未被破解。这个谜团一直萦绕在我心头，成为那个时代未解之谜的象征。

那些日子里，每一天都充满了可能性。我们就像数字世界的探险家，每次开机都可能发现一个新的数字大陆。团队里的气氛总是充满激情，我们经常熬夜讨论新发现的含义，有时甚至激烈争论到面红耳赤。

然而，随着时间推移，这种纯粹的探索逐渐被商业压力和政治考量所取代。我开始怀念那段单纯追求技术真相的日子。但我也明白，行业的成熟是必然的过程。

今天，当我看着新一代的威胁情报分析师时，我看到了同样的热情和好奇心。虽然他们面临的挑战与我们当年不同——现在要对抗的是利用Rust和Golang编写的更复杂的恶意软件，要考虑的是AI在网络攻击中的应用——但那种探索未知的精神依旧存在。

我相信，APT研究的"黄金时代"并没有结束，它只是在不断演变。每一个时代都有其独特的挑战和机遇。也许有一天，当我们回首今天的努力时，会发现这也是一个闪耀的黄金时代。

作为这个领域的老兵，我的建议是：保持好奇，永不停止学习，但也要记住我们工作的更大意义——保护数字世界的安全。让我们携手创造APT研究的新"黄金时代"，一个技术与道德并重，创新与责任共存的时代。                                                                    ----  一位不知姓名的APT研究老兵

1. Kaspersky Security Analyst Summit (SAS) /卡巴斯基安全分析师峰会

官网：https://thesascon.com/

视频：https://www.youtube.com/hashtag/thesas2015

安全分析师峰会"诞生于"APT研究的纯真年代，大多数顶尖APT都是在该会议上披露。

《Duqu C&C Server Forensics》 Costin Raiu, Vitaly Kamluk

《Targeted Attacks of Recent Times》 Boldizsar Bencsath, CrySyS Lab

《Right Wagon for Duqu (turbo talk)》 Ivan Teblin

《The hunt for 'Red October'》 Costin Raiu, Vitaly Kamluk, Aleks Gostev; Kaspersky Lab

《What if Stuxnet, Duqu and Flame were reconfigured against us?》

《Reverse engineering object-oriented malware: Duqu, Flame and Gauss》

《A glimpse behind 'The Mask'》 Costin Raiu, Vitaly Kamluk, Igor Soumenkov, Kaspersky Lab

《The Top-50 non-state hacker groups in the world》 Christopher Ahlberg, Recorded Future

《The five-point-palm exploding-heart technique》 Costin Raiu, Sergey Mineev, Vitaly Kamluk, Igor Sumenkov (方程式APT)

《Darkhotel: 'Lighting the room'》

《A fresh look at the BE2/Sandworm campaigns》

《Back to the future - Moonlight Maze》 Thomas Rid, King's College London

《Threat intelligence threatening intel operations》 Catherine Lotrionte, Georgetown University

《A link to the past: Connecting the birth of cyberespionage》 Thomas Rid

《Territorial Dispute:A Peek into NSA's Knowledge of APT Attacks of Others》 Boldizsár Bencsáth, CrySyS Lab

《TRITON: The attack path to ICS safety systems》

2. FireEye|Mandiant Cyber Defense Summit/FireEye|Mandiant网络防御峰会

官网：http://www.fireeyesummit.com/

FireEye|Mandian在APT研究领域算是"老牌劲旅"，APT1 - APT44都是其命名。

《CDS 2018 | Hunting for Platinum》

视频：https://www.youtube.com/watch?v=emgpaLgDLSM

PPT：https://summit.fireeye.com/content/dam/fireeye-www/summit/cds-2018/presentations/cds18-technical-s01-hunting-for-platinum.pdf

《Unmasking APT X》

PPT：https://summit.fireeye.com/content/dam/fireeye-www/summit/cds-2018/presentations/cds18-technical-s02-unmasking-apt-x.pdf

《Interpreting Telemetry Data to Evaluate Threat Relevance》

PPT：https://summit.fireeye.com/content/dam/fireeye-www/summit/cds-2018/presentations/cds18-technical-s09-interpreting-telemetry-data-to-evaluate-threat-relevance.pdf

《Into the Fog: The Return of ICEFOG APT》

视频：https://www.youtube.com/watch?v=OuIIRz5Bb3E

《Scan't Touch This! Proactively Detect Adversaries Beyond Your Environment》

PPT：https://github.com/aaronst/talks/blob/master/scanttouchthis.pdf

3. LABScon

官网：https://www.labscon.io/

视频：https://www.youtube.com/playlist?list=PLUzWZANghr3bfJ3teu-bvdAZJzmU0g4iY

LABScon的两位发起人，曾是卡巴斯基GReAT团队成员，据他们介绍，希望LABScon能够延续SAS。

《Metador之谜》

《观星：使用完整的YARA方法狩猎顶级行为体》

《Intellexa and Cytrox: From fixer-upper to Intel Agency grade spyware》

《Dan Black & Luke Jenkins | BEATDROP: Spy, Burn, Rebuild, Repeat》

《Surveying Similarities in macOS Components used in North Korean CryptoHeists》

4. RooCon

官网：https://rsvp.withgoogle.com/events/roocon/home

Google/Mandiant专注于APT归因的会议。

《Shane Huntley - "归因被高估了"》

《元数据在归因中的作用（Pratik Mehta）》

《并非全是坏消息 - 攻击者手法演变十年回顾》

《解开复杂归因案例的谜团》

《从内陆到海岛：揭露潜伏在我们地区的网络威胁》

5. PIVOTcon

官网：https://pivotcon.org/

PIVOTcon是近两年出现的会议，在西班牙举行，是一场由威胁分析师为威胁分析师打造的会议。PIVOTcon的构想酝酿已久，源于几年前参加BotConf、CyberWarCon和LABScon等同类优秀会议时的灵感。我们注意到欧洲地区仍存在空白，希望借此拉近欧洲威胁情报从业者的距离，同时促进其与美国及全球同行的交流。

《PSNoWay：破坏高级 PSOA 的活动》

《医院、机场和电信运营商 - 对黑客攻击进行归因的现代方法》

《理解 ORB：混淆网络与即将消亡的 IOC》

6. 360 ISC 高级威胁狩猎分析论坛

官网+视频：https://isc.360.com/index.html

ISC 高级威胁狩猎分析论坛应该是有360高级威胁研究院组织的会议。

《MagicBean-魔豆 NSA不为人知的中间人攻击工具》

链接：

《在野0day狩猎-感知发现APT攻击》

《基于海量样本数据的高级威胁发现》

链接：

《潜行者组织-长达十二年的网络攻击活动揭秘》

《APT29揭秘及攻击活动分析》

链接：

7. 安天冬训营

官网+视频+PPT：https://wtc.antiy.cn/

安天是一家有家国情怀的企业，做了一些扎实的技术研究，如方程式APT、"震网"（Stuxnet）、Flame等

但作为威胁分析工作者，我有着深切的隐忧：中国网络安全的威胁分析能力和意志力可能面临衰退的风险。威胁分析工作长期以来并没有被足够重视。

一位国际友人曾对我说，"你们的对手可能比你们的客户更理解你们的分析成果的价值"。国内高质量的分析成果当前有减少的趋势。在分析工作中，相对急功近利、追逐先发漏洞和热点事件，但不愿意长时间、大成本投入地持续跟踪深度威胁的情况比较普遍。有较好基础积累的企业，也开始将分析能力的保持和提升视为一种高昂的企业成本，分析团队的扩建和体系性完善基本停滞。

在监管机构中也一定存在忽视分析工作对于准确判定威胁、溯源威胁行为体、研判防御的重点方向等方面的重大战略价值等情况，导致缺少对分析工作的有效资源投入与保障，缺少高价值分析成果的有效认定和反馈，这都可能削弱我国网络安全战略能力的根基。

-- 李柏松 安天 2024年8月