白象的舞步——来自南亚次大陆的网络攻击(二)

2016-07-13 17:17:00 作者:红黑联盟 分类 : 比特网

  3 白象二代——受害者、漏洞和能力

  3.1概述

  2015年下半年开始的“白象二代”攻击与“白象一代”有很大不同,其开始使用 CVE-2014-4114 [6] 、CVE-2015-1641等漏洞作为攻击载荷,其不在直接在附件中投放EXE,而采用“投放社工钓鱼邮件+链接的方式”,其PE载荷数量也大大减少。

  3.1.1 时间链

  根据安天监控预警平台汇总的信息,“白象二代”的攻击目标主要为中国和巴基斯坦。中国受到攻击面积极为广泛,“白象二代”对中国发起了大量攻击事件。自今年以来,我们持续跟踪该组织,图3-1为“白象二代”行动的攻击时间链。

\

  图 3 ‑ 1 “白象二代”行动的攻击邮件时间链

  图3-2为攻击文档存档事件、PE文件时间戳信息:

\

  图 3 ‑ 2 格式文档和PE载荷时间戳

  3.1.2 受害者

  “白象二代”组织针对中国的攻击目标以教育、军事、科研领域为主。

\

  图 3 ‑ 3 受害领域分布

  3.2攻击分析

  “白象二代”组织的攻击主要通过鱼叉式钓鱼电子邮件,大部分邮件以插入恶意链接的方式进行攻击,通过精心构造的诱饵内容诱导受害者打开链接,一旦打开恶意链接就会下载带有漏洞的恶意文档。

  在我们捕获到的文档中,大部分是利用CVE-2014-4114漏洞的PPS文件、少量利用CVE-2015-1641漏洞的rtf文件。

  3.3 鱼叉式钓鱼攻击

  鱼叉式钓鱼攻击,APT攻击中最常见的攻击方式,与普通的钓鱼邮件不同,鱼叉式钓鱼攻击不会批量的发送恶意邮件,而只针对特定的公司、组织的成员发起针对性攻击,具体的攻击手法又分为两种:

  1. 在邮件中植入恶意附件,诱导受害者打开附件文件。

  2.在邮件正文中插入恶意链接,诱导受害者点击链接,一旦受害人点击链接就会跳转到恶意链接,该链接或是挂马网站,或是恶意文件下载地址。

  本次行动中“白象二代”组织使用的手法主要是第二种,因为该方式在邮件中不存在附件,更容易通过安全软件的检测。链接相对附件也更容易骗取用户的信任,邮件内的链接都是利用的第三方域名跳转,多数以

\

  为跳转域名。

  3.3.1案例1:针对中国高校教师的钓鱼邮件

  这是一封针对中国高校教师的鱼叉式钓鱼邮件,正文内容是关于南海问题,在邮件的最后诱导受害者点击链接查看“完整版报告”。一旦用户点击该链接就会下载恶意文档。该文档使用了CVE-2014-4114漏洞,且采用PPS格式自动播放的特点,来实现文档打开漏洞既被触发。

\

  图 3 ‑ 4 鱼叉式钓鱼邮件1

  邮件内容大意为:

  中国与东南亚的关系:

  中国南海,更有张力和挑战(2016年五月报告)

  在2016年年初,多个国家关注中国南海争议。以美国为首的多个国家对中国进行了言辞强烈的谴责,中国强烈谴责美国的行动和军事部署。

  北京仍然有决心解决有争议的问题,尤其是习近平主席在2015年9月期间提出中国在南海无意搞军事化,紧张情绪并没有蔓延,美国,中国会议增多的迹象向东南亚各国政府表明、华盛顿没有、北京也没有寻求对抗。在此背景下,这些国家的政府对中国挑战其在中国南海权益的答复仍然是衡量为主。过去,他们常常减少面对中国时的自信,展示了对中国的一些批评,变得更愿意以阻止中国,并与美国更紧密地联系起来……

  3.3.2 案例2:针对国内科研机构的钓鱼邮件

  这是另一封针对国内科研机构的鱼叉式钓鱼邮件,以一封标有TOP SECERT(绝密档案)的文档扫描图片为正文诱导受害者点击下面的“绝密报告”,一旦受害者点击链接就会下载一个恶意文档。该文档使用了CVE-2014-4114漏洞,且采用PPS格式自动播放的特点,来实现文档打开漏洞既被触发。

\

  图 3 ‑ 5 鱼叉式钓鱼邮件2

  邮件内容中文大意为:

  我们的国防部长

  序号1.

  Contr Nr:X-0850

  日期:1969年2月20日

  文档,主题&内容:由国防部长给总统的备注:冲绳基地和部队。响应在1月27日会议中提出的问题。注意这些都是参谋长联席会议的答复,国防部将通过正在进行的NSC研究来提供明确的政策。因此不提供国防部长的观点。回答的问题包括了冲绳部队的规模,在那里的原因,未来需要的基地等。附:国防部长指出要求从参谋长联席会议主席到总统的转交并指出ISA还没有评论。

  序号2.

  Contr Nr:X-1383

  日期:1969年5月19日

  文档,主题&内容:由国防部长给参谋长联席会议主席的备注:核能力的退化-在琉球基地和备用…

  3.3.3 案例3:针对中国军事爱好者的钓鱼邮件

  这是一封与军事相关的钓鱼邮件,针对中国军事爱好者的攻击,同样的在正文中嵌入一个链接,该链接指向一个恶意文档,该文档是一份WORD文档,采用的漏洞与前两个案例的PPS有所不同。系一个以.doc为扩展名的RTF格式文档,使用漏洞为CVE-2015-1641。

\

  图 3 ‑ 6 鱼叉式钓鱼邮件3

  3.4 相关诱饵文件

  “白象二代”组织的主要使用PPS(Powerponit的自动播放格式)和具有WORD扩展名的RTF格式文档为诱饵文件,在我们捕获样本中大部分都是与军事相关的诱饵文件。

\

  图 3 ‑ 7 “最致命的 5款无人机”诱饵文件截图

\

  图 3 ‑ 8 “中国人民解放军即将推出的第五代作战条例”诱饵文件截图

\

  图 3 ‑ 9 “南海冲突对欧洲安全的影响”诱饵文件截图

\

  图 3 ‑ 10 “涉及中国的海上领土和专属经济区域争端”诱饵文件截图

\

  图 3 ‑ 11 “中巴经济走廊对印巴关系的影响”诱饵文件截图

  3.5 漏洞利用

  安天目前监测到的“白象二代”组织使用的漏洞均为已知的Office格式文档漏洞,部分样本在使用了一定技巧用于对抗安全软件的检测,从我们对历史扫描结果的追溯来看,这种技巧是有效的。

  3.5.1 样本标签

  病毒名称

  Trojan[Exploit]/Win32.CVE-2014-4114

  原始文件名

  2016_China_Military_PowerReport.pps

  MD5

  F0D9616065D96CFCBB614CE99DD8AD86

  文件大小

  12,801,024 字节

  文件格式

  Document/Microsoft.PPS

  最后存档时间

  2016-05-18 05:24:54

  3.5.2 CVE-2014-4114

  我们在跟踪沙虫攻击组织中,曾对CVE-2014-4114漏洞 [7] 进行过较为长时间的分析,这个漏洞的最大特点是其虽然依托格式文档,但并非依靠格式溢出。而是通过远程代码执行来实现。因此穿透了Windows的DEP、ASLR机制。

  白象攻击使用的PPS扩展名样本利用Windows OLE 远程代码执行漏洞CVE-2014-4114释放并执行可执行文件。值得注意的是我们在此前分析过的其他攻击组织使用的4114样本中,多数为Office高版本格式,该格式是一个以XML为索引的压缩包,其内嵌的PE载荷会被杀毒软件在解压递归中检测到。

\

  图 3 ‑ 12 CVE-2014-4114 历史样本的典型结构

\

  图 3 ‑ 13 “白象二代”相关样本的结构

  但这次“白象二代”组织使用了低版本Office的传统LAOLA格式,由于对安全厂商来说这是一个“未公开格式”,达到了一定的免杀效果。如图3-14是多引擎对照扫描结果,可以看出此样本的确躲避了大部分安全软件的检测。

  注:LAOLA文件格式是微软在早期OFFICE版本自定义的“复合文档二进制结构”(Compound File Binary Format),微软未公开相关文件格式。但传统反病毒厂商为有效应对宏病毒,通过逆向工程方式,对该结构形成了解析能力。但该格式对很多新兴安全厂商构成了障碍。

\

  图 3 ‑ 14 多引擎扫描结果

  3.5.3 其他

  该组织除了利用上面提到的漏洞外,还有少部分文件利用了CVE-2015-1761 、CVE-2012-0158漏洞,这两个漏洞的载荷都针对WORD设计,对于这两种漏洞,攻击者并没有作的检测对抗,基本上直接利用了网上公开的利用代码,因此现有反病毒引擎对于这两种漏洞文件的检出率相对较高。

  3.6 功能样本情况

  从目前捕获的样本来看,“白象二代”组织使用的PE载荷样本技术水平不高,没有较为复杂的模块体系和加密抗分析机制,一部分样本是利用的脚本语言编写的程序,还有一些是采用网上公开的代码重新编译后利用。

  3.6.1 窃密模块

  样本标签:

  病毒名称

  Trojan/Win32.AutoIT

  原始文件名

  sysvolinfo.exe

  MD5

  A4FB5A6765CB8A30A8393D608C39D9F7

  处理器架构

  X86-32

  文件大小

  11,659,903 字节

  文件格式

  BinExecute/Microsoft.EXE[:X64]

  时间戳

  2016-05-13 07:55:20

  数字签名

  NO

  加壳类型

  无

  编译语言

  AutoIT

  白象二代组织使用的攻击样本中,有多个样本是使用Autoit编写的,主要目的用于窃取数据并打包回传到远程服务器,具体的功能如下:

  1.回传系统基本信息,包括系统版本,架构,是否装有Chrome,样本版本信息等;

  $postdata = “ddager=” & $regstat & “&r1=” & b64encode(@OSVersion) & “&r2=” & b64encode(@OSArch) & “&r3=” & b64encode($p_ver) & “&r4=” & b64encode($emorhc) & “&r5=” & b64encode($cmdout) & “&r6=” & b64encode($admin)

  2. 具有远程控制功能,根据远程服务器指令的不同,执行不同的操作。从相关指令集上来看,设计相对比较粗糙;

\

  图 3 ‑ 15 指令分支

  分支

  对应功能

  1

  输出调试信息,并延迟1秒后重新连接C&C。

  2

  利用PowerShell提权,并执行远程接受的PowerShell指令,对应的指令编号为2。

  3

  这个指令是修改$stat的标记值。

  4

  退出。

  5

  收集Chrome浏览器中记录的网站用户名及密码,对应的指令编号为5。

  6

  利用PowerShell执行下载新恶意程序,并运行,对应的指令编号为6。

  7

  利用Autoit自带函数执行下载新恶意程序,并运行,对应的指令编号为7。

  8

  以隐藏的模式执行CMD命令,并记录命令返回数据。

  3. 收集计算机内的各类文档文件,以MD5命名打包后上传到C&C,白象一代和白象二代收集的扩展名对比如下:

  白象一代

  *.doc

  *.docx

  *.xls

  *.ppt

  *.pps

  *.pptx

  *.xlsx

  *.pdf

  白象二代

  *.doc

  *.docx

  *.xls

  *.ppt

  *.pptx

  *.xlsx

  *.pdf

  *.csv

  *.pst

  *.jpeg

\

  图 3 ‑ 16 收集文件代码

  释放cup.exe程序,并以打包的文件路径为参数调用,cup.exe的主要功能是上传窃取的文件。

\

  图 3 ‑ 16 收集文件代码

  释放cup.exe程序,并以打包的文件路径为参数调用,cup.exe的主要功能是上传窃取的文件。

  样本标签如下:

  病毒名称

  Trojan[Exploit]/Win32. ShellCode

  原始文件名

  sysvolinfo.exe

  MD5

  465DE3DB14158005EDE000F7C0F16EFE

  处理器架构

  X86

  文件大小

  10,536,063 字节

  文件格式

  BinExecute/Microsoft.EXE[:X86]

  时间戳

  2016-05-16 13:35:59

  数字签名

  无

  加壳类型

  无

  编译语言

  Microsoft Visual C# / Basic .NET

  样本使用Microsoft Visual C#编译,功能是利用ShellCode来实现连接远程服务器,接收ShellCode并执行。功能简单,而且样本没做混淆,通过反编译可以看到明文代码。我们在商业攻击平台MSF生成的ShellCode中可以找到这个片段,但由于这个方法过于通用,目前我们还不能得出白象攻击组织使用了MSF平台的结论。

\

  图 3 ‑ 18 利用的 ShellCode代码

  样本从服务器接收到的shellcode在完成自解密之后,会与服务器进行交互操作,接收指令并执行,将结果返回给服务器,图3-19为样本的运行流程:

\

  图 3 ‑ 19 样本运行流程

  3.7 C&C分析

  本次行动中漏洞样本下载都是通过URL下载的方式,而释放的窃取数据、远程控制样本的C&C多数为硬编码的IP地址,图3-20为“白象二代”组织使用的部分域名、IP、PE文件和Office文件的对应关系:

\

  图 3 ‑ 20 “白象二代”中域名、IP、样本关系图

  3.8 隐藏、追踪

  3.8.1 第三方邮件服务

  我们通过对部分攻击邮件分析发现,该组织发送邮件的方式是通过第三方邮件服务商群发,这样在原始邮件的数据中只会存有邮件服务商的信息,攻击者通过这样的手法在一定程度上隐藏了自己的IP。

\

  图 3 ‑ 21 原始邮件信息

  3.8.2 入侵网站

  在安天的跟踪分析中,发现该组织的部分C&C地址是一些正常的网站,经过分析我们认为,有可能该组织入侵了这些网站,将自己的C&C服务控制代码放到它们的服务器上,以此来隐藏自己的IP信息。同时这种方式还会使安全软件认为连接的是正常的网站,而不会触发安全警报。

  GET /UAV/ HTTP/1.1

  Accept: */*

  User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; MSOffice 12)

  Accept-Encoding: gzip, deflate

  Host: www.***gdeals.com

  Connection: Keep-Alive

\

  图 3 ‑ 22 可能被入侵的网站

  GET /facilities/welfare2/news HTTP/1.1Accept: */*User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; MSOffice 12) Accept-Encoding: gzip, deflateost:

\

  图 3 ‑ 23 可能被入侵的网站

  3.8.3 与背景和来源相关的信息

  基于现有资源可以分析出,“白象二代”组织一名开发人员的ID为:“Kanishk”,通过维基百科查询到一个类似单词“Kanishka”,这是一个是梵文译音,中文翻译为“迦腻色迦”,迦腻色伽是贵霜帝国(Kushan Empire)的君主,贵霜帝国主要控制范围在印度河流域。

\

  图 3 ‑ 24 “Kanishk”相关信息

  4 总结

  4.1两代“白象”的对比

  我们将“白象一代”和“白象二代”的部分要素通过表格的形式进行了对比,可以看出相关国家背景攻击能力的发展:

  白象一代

  白象二代

  主要威胁目标

  巴基斯坦大面积的目标和中国的少数目标(如高等院校)

  巴基斯坦和中国的大面积目标,包括教育、军事、科研、媒体等各种目标

  先导攻击手段

  鱼叉式钓鱼邮件,含直接发送附件

  鱼叉式钓鱼邮件,发送带有格式漏洞文档的链接

  窃取的文件类型

  *.doc *.docx *.xls *.ppt *.pps *.pptx *.xlsx *.pdf

  *.doc *.docx *.xls *.ppt *.pptx *.xlsx *.pdf *.csv *.pst *.jpeg

  社会工程技巧

  PE双扩展名、打开内嵌图片,图片伪造为军事情报、法院判决书等,较为粗糙

  伪造相关军事、政治信息,较为精细

  使用漏洞

  未见使用

  CVE-2014-4114 CVE-2012-0158 CVE-2015-1761

  二进制攻击载荷开发编译环境

  VC、VB、DEV C++、AutoIT

  Visual C#、AutoIT

  二进制攻击载荷加壳情况

  少数使用UPX

  不加壳

  数字签名盗用/仿冒

  未见

  未见

  攻击组织规模猜想

  10~16人,水平参差不齐

  有较高攻击能力的小分队

  威胁后果判断

  造成一定威胁后果

  可能造成严重后果

  4.2 大国网络空间防御能力最终会由攻击者和窥视者检验

  在过去数年间,中国的信息系统和用户遭遇了来自多方的网络入侵的持续考验,这些攻击使用各种高级的(也包括看起来并不足够高级的)攻击技巧,以获取机要信息、科研成果和其他秘密为对象。攻击组织在关键基础设施和关键信息系统中长期持久化,以窃密和获取更多行动主动权为目的,其危害潜在之大、影响领域之深,绝非网站篡改涂鸦或传统DDoS所能比拟。这些攻击也随实施方的战略意图、能力和关注点的不同,表现出不同的方法和特点。尽管中国用户更多焦虑于那些上帝视角[7]的攻击,但从我们针对“白象”的分析可以看到,来自地缘利益竞合国家与地区的网络攻击,同样是中国信息化的重大风险和挑战。而且这些攻击往往虽然显得有些粗糙,但却更为频繁和直接,挥之不去。

  对于类似白象这样的攻击组织,因缺少人脉和电磁能力作为掩护,其更多依赖类似电子邮件这样的互联网入口。从一个全景的防御视图来看,这本来是一个可以收紧的入口,但对于基础感知、检测、防御能力不足的社会肌体来说,这种具有定向性的远程攻击是高度有效的,而且会淹没在大量其他的非定向的安全事件中。

  大国防御力,由设计所引导、以产业为基础、与投入相辅相成,但最终其真实水平,要在与攻击者和窥探者的真实对垒中来检验。

  4.3 APT防御需要信息化基本环节和安全能力的共同完善

  从“白象”系列攻击中,我们首先能看到中国在信息化发展上的不足。在“白象二代”组织所投放的目标电子邮箱当中,其中很大比例是免费个人邮箱,在安天之前关于我国邮件安全的内部报告中,就已经指出国内机构用户有近一半的都使用免费个人信箱作为联络邮件这一问题。而国内免费信箱的安全状况已高度不容乐观。在启动信息高速公路建设二十年后,国内依然没有对官方机构和政务人员实现有效的安全电子邮件服务的覆盖,这种企业、机构级信息化基础设施的匮乏,包括互联网服务商缺乏有效的安全投入,导致了可攻击点高度离散,降低了攻击门槛,提升了防御难度。

  从“白象”系列攻击中,我们还能看到中国大量基础的信息安全环节和产品能力还不到位,“白象一代”曾被安天定性为轻量级APT攻击,以免杀PE辅以有限的社会工程技巧,进行投放,但却成功入侵了中国的高等学府。“白象二代”组织尽管在手法上有很大提高,但亦未见其具备0day储备,其所使用的三个漏洞,在为“白象组织”使用时,微软已经将其修补,而其中两个并未经过免杀处理。而类似这样的攻击依然能够大行其道,也是当前补丁、系统加固等基础安全环节不到位、产品能力不足的体现。

  相关攻击亦说明,传统的以单包检测为核心的流量入侵检测机制,实时检测为诉求的边界安全机制等需要得到有效补充和扩展,重要系统必须建立起在流量还原层面针对载荷投放的有效留存和异步深度检测机制。流量还原与沙箱的组合,将成为重要系统的标配。沙箱不是简单地补充行为分析能力,而是提升攻击者预测防御方能力和手段的成本,而不进行能力改进,简单汉化开源沙箱的做法,等于放弃了沙箱产品的“抗绕过”这一重要安全特性。沙箱绝非简单的合规安全环节,当年部分IDS简单借鉴模仿开源SNORT就能够有效发现问题的时代已经过去。沙箱也不是简单的扩展反病毒引擎的检测能力,其核心价值在于有效的漏洞触发能力和行为的揭示能力,这需要长期以来的安全积累实现工程能力转化。而其单对象输入,多向量输出的产品特点,意味着这是必须依托网络管理者和厂商支撑团队的有效互动才能有效发挥价值的产品。

  同时无论形态是PC、服务器或云,终端都是数据的基本载体,安全的终极战场,网络侧的安全能力必须与终端侧联通,形成纵深防御体系。国产操作系统同样需要安全手段和机制的保驾护航。任何期望御敌于网络边界或物理隔离的想象,任何“一招鲜,吃遍天”的打包票承诺,都只能是自我的心理安慰。

  4.4 反APT是一种综合的体系较量

  反APT攻击,要对抗攻击者在人员、机构、装备、工程体系方面的综合投入,其必然是一场成本较量,今天我们看到的安全低于成本价中标等不正常的市场行为,最终都将伤害大国网络空间安全的整体能力。

  反APT攻击,要对抗攻击者坚定、持续的攻击意志,而这同样对于对抗APT的安全分析团队提升了更高的要求,从安全厂商角度,是在感知分析工程体系支撑下的持续对抗;我们必须持续跟踪攻击者的技巧、意图和路径,将这些经验转化为用户侧的防御改善和产品能力更新。安全分析团队既要有曝光对手的勇锐,也要有戍边十载、不为人知的意志与沉稳。

  此外,我们觉得遗憾的是, “白象”作为非常活跃的APT攻击行动,在过去数年都仿佛始终在国际部大分主流安全厂商的视野之外。因此,像安天过去的多篇报告一样,本报告也将以中、英双语发布,尽管我们不知道会有多少海外读者,但我们希望告知世界关于中国所遭遇到的网络攻击的真实情况,“中国是网络安全受害者”这一事实必然会战胜某些人所制造的刻板偏见。

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。