本報告涵蓋惡意軟件與惡意網址、移動安全、互聯網安全、趨勢展望等多個章節,從解各方面分析 2017 中國網絡安全態勢。
一、惡意軟件與惡意網址
(一)惡意軟件
1. 2017年病毒概述
(1)病毒疫情總體概述
2017年瑞星“雲安全”系統共截獲病毒樣本總量5,003萬個,病毒感染次數29.1億次,病毒總體數量比2016年同期上漲15.62%。
報告期內,新增木馬病毒佔總體數量的51.83%,依然是第一大種類病毒。蠕蟲病毒爲第二大種類病毒,佔總體數量的24.49%,第三大種類病毒爲灰色軟件病毒(垃圾軟件、廣告軟件、黑客工具、惡意軟件),佔總體數量的10.77%。
報告期內,CVE-2017-0147漏洞利用佔比55%,位列第一位。該漏洞便是“永恆之藍”漏洞,它是 2017年泄露的NSA網絡武器庫中的一款攻擊程序,其中利用了多個Windows SMB服務的零日漏洞。“永恆之藍”威力巨大,利用此工具可以非常簡單地入侵Windows系統。在今年5月,臭名昭著的勒索蠕蟲WannaCry利用的便是“永恆之藍”,從而造成了波及全球的破壞。
(2)病毒感染地域分析
報告期內,北京市病毒感染3.01億人次,位列全國第一,其次爲新疆省2.49億人次及廣東省2.03億人次。
2. 2017年病毒Top10
根據病毒感染人數、變種數量和代表性進行綜合評估,瑞星評選出了2017年1至6月病毒Top10:
3. 2017年中國勒索軟件感染現狀
報告期內,瑞星“雲安全”系統共截獲勒索軟件樣本92.99萬個,感染共計1,346萬次,其中廣東省感染262萬次,位列全國第一,其次爲上海市159萬次,北京市131萬次及江蘇省98萬次。
(二)惡意網址
1. 2017年全球惡意網址總體概述
2017年瑞星“雲安全”系統在全球範圍內共截獲惡意網址(URL)總量8,011萬個,其中掛馬網站4,275萬個,詐騙網站3,735萬個。美國惡意URL總量爲2,684萬個,位列全球第一,其次是中國1,350萬個,韓國507萬個,分別爲二、三位。
2. 2017年中國惡意網址總體概述
報告期內,北京市惡意網址(URL)總量爲558萬個,位列全國第一,其次是陝西省233萬個,以及江蘇省100萬個,分別爲二、三位。
注:上述惡意URL地址爲惡意URL服務器的物理地址。
3. 2017年中國詐騙網站概述
2017年瑞星“雲安全”系統共攔截詐騙網站攻擊740萬餘次,廣東受詐騙網站攻擊97萬次,位列第一位,其次是北京市受詐騙網站攻擊92萬次,第三名是浙江省受詐騙網站攻擊75萬次。
報告期內,惡意推廣類詐騙網站佔51%,位列第一位,其次是賭博類詐騙網站佔22%,情色類詐騙網站佔12%,分別爲二、三位。
4. 2017年中國主要省市訪問詐騙網站類型
報告期內,北京、河北、湖南等地區訪問的詐騙網站類型以情色論壇爲主,廣東、黑龍江等地區則以在線賭博爲主,遼寧、上海、浙江等地區則以惡意推廣爲主,其餘地區訪問惡意軟件詐騙網站居多。
5. 詐騙網站趨勢分析
2017年情色、賭博類詐騙網站佔比較多,這些網站大多通過非法手段進行傳播,賭博類詐騙網站利用高利潤的方式吸引用戶,前期平臺方會在後臺操作讓用戶少輸多贏,當用戶產生一定的興趣後,再進行後臺操作贏取用戶錢財。詐騙網站的傳播途徑:
Ø 利用微信朋友圈以軟文方式進行誘導傳播。
Ø 利用QQ羣發方式進行範圍傳播。
Ø 利用短信羣發平臺以中獎方式進行傳播。
Ø 利用遊戲輔助軟件進行傳播。
Ø 利用大型互聯網平臺發佈信息進行傳播。
6. 2017年中國掛馬網站概述
2017年瑞星“雲安全”系統共攔截掛馬網站攻擊540萬餘次,北京市受掛馬攻擊356萬次,位列第一位,其次是陝西省受掛馬攻擊153萬次。
7. 掛馬網站趨勢分析
2017年掛馬攻擊相對減少,攻擊者一般自建一些導航類或色情類網站,吸引用戶主動訪問。有些網站會鎖定用戶瀏覽器主頁,當用戶訪問會自動跳轉到指定的惡意網站,大部分惡意網站會掛載木馬程序誘導用戶下載,進而竊取用戶的賬戶信息,非法分子利用竊取的信息進行詐騙或資金盜刷。掛馬防護手段主要爲:
Ø 更新到最新的瀏覽器版本。
Ø 禁止瀏覽陌生郵件或手機短信發送的鏈接網址。
Ø 禁止瀏覽不正規或非法網站。
Ø 禁止在非正規網站下載軟件程序。
Ø 安裝殺毒防護軟件。
二、移動互聯網安全
(一)手機安全
1.2017年手機病毒概述
2017年瑞星“雲安全”系統共截獲手機病毒樣本505萬個,新增病毒類型以流氓行爲、信息竊取、系統破壞、資費消耗四類爲主,其中流氓行爲類病毒佔比23.3%,位居第一。其次是隱私竊取類病毒佔比22.3%,第三名是系統破壞類病毒,佔比19%。
2.2017年手機病毒Top5
3. 2017年Android手機漏洞Top5
(二)2017年移動安全事件
1.共享單車掃碼詐騙事件
2017年2月,有人發現共享單車的“掃碼騎走”上方還貼着其他二維碼,貼上去的二維碼掃描之後立刻出現了轉賬提示!用戶手機掃描此類二維碼後,或被要求直接轉賬,或被要求下載可疑軟件,致使資金賬戶面臨被盜刷的風險。
2.315曝光人臉識別技術成手機潛在威脅
2017年315晚會上,技術人員演示了人臉識別技術的安全漏洞利用,不管是通過3D建模將照片轉化成立體的人臉模型,還是將普通靜態自拍照片變爲動態模式,都可以騙過手機上的人臉識別系統。此外,315還揭露了公共充電樁同樣是手機的潛在威脅,用戶使用公共充電樁的時候,只要點擊“同意”按鈕,犯罪分子就可以控制手機,窺探手機上的密碼、賬號,並通過被控制的手機進行消費。
3.勒索病毒僞裝成《王者榮耀輔助工具》襲擊移動設備
2017年6月,一款冒充“王者榮耀輔助工具”的勒索病毒,通過PC端和手機端的社交平臺、遊戲羣等渠道大肆擴散,威脅幾乎所有Android平臺,設備一旦感染後,病毒將會把手機裏面的照片、下載、雲盤等目錄下的個人文件進行加密,如不支付勒索費用,文件將會被破壞,還會使系統運行異常。
4.亞馬遜、小紅書用戶信息泄露助長電話詐騙
2017年6月,亞馬遜和小紅書網站用戶遭遇信息泄露危機,大量個人信息外泄導致電話詐騙猛增。據瞭解,亞馬遜多位用戶遭遇冒充“亞馬遜客服”的退款詐騙電話,其中一位用戶被騙金額高達43萬,小紅書50多位用戶也因此造成80多萬的損失。
5.病毒僞裝“Google Play”盜取用戶隱私
2017年6月,一款僞裝成“Google Play”的病毒潛伏在安卓應用市場中,該病毒會僞裝成正常的Android market app,潛伏在安卓手機ROM中或應用市場中誘導用戶下載安裝。該病毒安裝後無啓動圖標,運行後,會向系統申請大量高危權限(發短信和靜默安裝等),隨後僞裝成GooglePlay應用並安裝和隱藏在Android系統目錄下。因爲在“/system/app/”路徑下的app默認都是擁有system權限的,所以該病毒樣本可以在用戶不知情的情況下,在後臺靜默下載並安裝應用到手機當中,還會獲取用戶手機中的隱私信息,給用戶造成系統不穩定或隱私泄露等安全性問題。
6.手機共享充電可能會泄露個人隱私
在公共場合使用免費充電樁充電時,許多人都不太注意手機上“是否開啓USB調試”或“是否信任該設備”的提示信息,如果用戶點擊“是”或“信任”按鈕,就相當於讓充電設備掌握了手機的絕對控制權,黑客就可以隨意竊取手機裏的信息。
7.安卓爆重大安全漏洞黑客可以任意篡改App
2017年12月,谷歌通過其官方網站通告了一個高危漏洞CVE-2017-13156(發現廠商將其命名爲Janus),該漏洞可以讓攻擊者無視安卓簽名機制,通過繞過應用程序簽名驗證的形式,對未正確簽名的官方應用植入任意惡意代碼,目前安卓5.0—8.0等版本系統均受影響,預計每日上千萬的活躍安卓應用將存在被利用可能,巨大的潛在威脅風險使得Janus漏洞成爲了安卓系統年度大漏洞!
網友安裝這些仿冒App後,不僅會泄露個人賬號、密碼、照片、文件等隱私信息,手機更可能被植入木馬病毒,進而導致手機被ROOT,甚至被遠程操控。
三、互聯網安全
(一)2017年全球網絡安全事件解讀
1.The Shadow Brokers泄露方程式大量0day漏洞
2017年4月,The Shadow Brokers再度放出大量“方程式組織”使用的黑客工具,包括OddJob、EasyBee、EternalRomance、FuzzBunch、EducatedScholar、EskimoRoll、EclipsedWing、EsteemAudit、EnglishMansDentist、MofConfig、ErraticGopher、EmphasisMine、EmeraldThread、EternalSynergy、EwokFrenzy、ZippyBeer、ExplodingCan、DoublePulsar等。其中有多個可以遠程攻擊Windows的0day漏洞。受影響的Windows 版本包括Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。這次泄露的工具也直接導致了後來WannaCry、Petya的全球爆發。
2.WannaCry勒索襲擊全球
2017年5月,一款名爲WannaCry的勒索病毒席捲全球,包括中國、美國、俄羅斯及歐洲在內的100多個國家,我國部分高校內網、大型企業內網和政府機構專網遭受攻擊較爲嚴重。勒索軟件利用的是微軟SMB遠程代碼執行漏洞CVE-2017-0144,微軟已在今年3月份發佈了該漏洞補丁。2017年4月黑客組織影子經紀人(The Shadow Brokers)公佈的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞利用程序,而該勒索軟件的攻擊者在借鑑了“EternalBlue”後發起了這次全球性大規模勒索攻擊。
3.Petya病毒借勒索之名襲擊多國
2017年6月,一個名爲“Petya(中文音譯彼佳)”的新勒索病毒再度肆虐全球,包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、郵局、地鐵、船舶公司、俄羅斯的石油和天然氣巨頭 Rosneft、 丹麥的航運巨頭馬士基公司、美國製藥公司默克公司、美國律師事務所DLAPiper、烏克蘭一些商業銀行以及部分私人公司、零售企業和政府系統,甚至是核能工廠都遭到了攻擊。影響的國家有英國、烏克蘭、俄羅斯、印度、荷蘭、西班牙、丹麥等。與WannaCry相比,該病毒會加密NTFS分區,覆蓋MBR,阻止機器正常啓動,影響更加嚴重。
4.Xshell和CClearner被植入後門
2017年7月,著名服務器終端管理軟件Xshell在發佈的5.0 Build 1322官方版本中被植入後門,用戶下載或更新到該版本均會中招。由於相關軟件在國內程序開發和運維人員中被廣泛使用,可能會導致大量用戶服務器賬號密碼泄露。
無獨有偶,2017年9月,著名系統優化工具CCleaner的某個版本被發現植入後門,大量使用該工具的用戶將面臨泄密風險。這是繼Xshell後門事件後,又一起嚴重的軟件供應鏈來源攻擊事件。CCleaner是一款免費的系統優化和隱私保護工具,主要用來清除Windows系統不再使用的垃圾文件,以騰出更多硬盤空間,並且還具有清除上網記錄等功能。
5.WPA2協議曝高危漏洞
2017年10月,國外研究人員Mathy Vanhoef在WPA2協議中發現嚴重安全漏洞,幾乎影響所有Wi-Fi設備,當一臺設備加入一個受保護的Wi-Fi網絡時,一個名爲四次握手的流程便會發生,這種“握手”會確保客戶端與接入點都能擁有正確的登錄信息,並生成一個新的加密密鑰來保護網絡流量。這個加密密鑰會在四向握手的第三步安裝,但如果接入點認爲消息丟失,有時會重複發送相同的密鑰。
研究發現,攻擊者可以迫使接入點安裝相同的加密密鑰,這樣便可藉此攻擊加密協議,並破解數據。攻擊者可以利用 KRACK攻擊讀取敏感信息,如信用卡賬號、密碼、聊天信息、電子郵件、照片等。
6.藍牙協議爆嚴重安全漏洞
2017年8月,物聯網安全研究公司Armis在藍牙協議中發現了8個零日漏洞,這些漏洞將影響超過53億設備——從Android、iOS、Windows以及Linux系統設備到使用短距離無線通信技術的物聯網設備,利用這些藍牙協議漏洞,Armis構建了一組攻擊向量(attack vector)“BlueBorne”,演示中攻擊者完全接管支持藍牙的設備,傳播惡意軟件,甚至建立一個“中間人”(MITM)連接。
7.BadRabbit突襲東歐
2017年10月,新型勒索病毒BadRabbit在東歐爆發,烏克蘭、俄羅斯等企業及基礎設施受災嚴重。該病毒會僞裝成flash_player,誘導用戶下載,當用戶下載後,病毒會加密特定格式文件,修改MBR,並索要比特幣。BadRabbit可以通過弱口令和漏洞在局域網擴散,成爲勒索病毒蠕蟲化的典型代表。
8.大量家庭攝像頭被入侵
2017年6月,央視曝光大量家庭攝像頭遭入侵。很多人家裏都裝有智能攝像頭,下載一個相關聯的應用程序,就可以隨時用手機查看家裏情況,但是由於很多智能攝像頭存在弱口令、漏洞等問題,導致大量家庭攝像頭遭入侵。一旦攻擊者入侵成功,便可以遠程觀看受害者家中視頻。
9.FireBall火球病毒感染超過2.5億電腦
2017年6月,由中國商業公司控制的Fireball(火球)病毒,感染全球約2.5億部計算機,感染最嚴重的國家是印度、巴西和墨西哥。火球病毒通過捆綁正常軟件傳播,中毒電腦瀏覽器主頁、默認搜索頁會被鎖定且難以更改,黑客利用廣告插件植入廣告獲利,去年一年獲利近8000萬元。
(二)2017年APT攻擊事件
1.白象APT組織
白象APT組織,又稱摩訶草組織(APT-C-09)、豐收行動、HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork。該組織是一個來自於南亞地區的境外APT組織,最早由安全公司Norman於2013年曝光。該組織在針對中國地區的攻擊中,主要針對政府機構與科研教育領域。
中國在過去五年持續遭到白象APT組織的網絡攻擊,該組織主要使用魚叉攻擊,同時也使用基於即時通訊工具和社交網絡作爲惡意代碼的投遞途徑。其攻擊使用的惡意代碼主要針對Windows系統,整個攻擊過程使用了大量系統漏洞,其中至少包括一次0day漏洞攻擊。
2、越南背景APT32攻擊亞洲國家
APT32又稱海蓮花、OceanLotus、APT32,有信息表明該組織爲越南背景,主要針對東南亞國家進行攻擊,其中包括越南周邊國家的政府、公司等機構,越南被攻擊的主要目標爲,跨國公司在越南的分公司和全球諮詢公司在越南的辦事處,以及持不同政見者和記者。
2012年開始攻擊中國的政府、海事機構、科研院所、航運企業等。主要通過水坑攻擊和魚叉郵件進行攻擊。水坑攻擊下載的樣本僞裝爲瀏覽器和flash更新、字體等。魚叉郵件攻擊中所發送的郵件附件,文件名非常具有針對性,預先對國內時事熱點和被攻擊單位業務進行了一定的瞭解,攻擊成功率高。
攻擊主要特點爲:
(1)善於使用白利用,曾利用過谷歌、賽門鐵克等公司帶有數字簽名的軟件。
(2)攻擊網站較爲明目張膽,替換下載鏈接,植入惡意腳本,僞裝flash更新,僞裝字體。
(3)定製後門和開源工具相結合,善於使用Meterpreter、Cobalt Strike。
(4)掌握的資源較豐富,提前收集過被攻擊者的情報,善於使用社工。
3、Turla監視全球領事館和大使館
Turla由BAE研究員首次發現,又稱 Waterbug 、Venomous Bear、Krypton。自2007年以來一直處於活躍狀態,其主要針對歐洲外交部等政府機構與軍工企業展開攻擊活動。2017年8月30日ESET發佈研究報告披露,Turla使用隱祕後門“Gazer”監控全球的領事館和大使館。惡意軟件 Gazer 由開發人員採用C++程序編寫,經魚叉式釣魚攻擊進行傳播,可由攻擊者通過C&C服務器遠程接收加密指令,並可使用受損合法網站(多數使用 WordPress)作爲代理規避安全軟件檢測。
有趣的是,不僅早期版本的Gazer簽發了Comodo頒發的 “Solid Loop Ltd”有效證書,而最新版本也簽發了“Ultimate Computer Support Ltd.”頒發的SSL證書。ESET公司在報告中指出,除了將後門與合法Flash Player安裝程序捆綁在一起之外,Turla組織使用的URL及IP地址來自Adobe的合法基礎設施,從而讓受害者誤以爲自己在下載合法軟件。
潛在攻擊途徑可能包括:
(1)劫持受害者組織機構網絡內的設備,利用其充當中間人(簡稱MitM)攻擊的跳板。
(2)攻擊者可能入侵目標網關,藉此攔截組織內網與互聯網之間的所有輸入與輸出流量。
(3)流量攔截同樣可能發生在互聯網服務供應商(簡稱ISP)身上,這是FinFiher間諜軟件在監控活動中使用的一項策略。
(4)攻擊者可能已利用邊界網關協議(簡稱BGP)劫持將流量重新路由至Turla控制的服務器,不過ESET方面指出該策略可能很快觸發Adobe或BGP監控服務的警報。
4、APT33竊取能源與航天機密
網絡安全廠商FireEye公司,2017年9月份披露,某伊朗黑客組織至少自2013年來一直針對沙特阿拉伯、韓國以及美國的各航空航天與能源企業開展入侵活動,並將此作爲其大規模網絡間諜活動的一部分,旨在大量收集情報並竊取商業機密。該組織的主要活動集中在向目標網絡發送包含惡意HTML鏈接的釣魚郵件,旨在利用被稱爲“TURNEDUP”的一種定製化後門以感染目標計算機。但也有證據表明,該黑客組織亦有能力針對有價值基礎設施企業進行數據清除類攻擊活動。
APT33註冊有多個域名,並藉此將自身僞裝爲航空公司及歐美承包商。這些網站在設計上儘可能貼近沙特阿拉伯的合法企業,但其中卻充斥着大量僞造信息。這些域名亦很可能被應用到網絡釣魚郵件中,旨在強化對受害者的誘導能力。FireEye公司的調查結果則再次強調,伊朗政府正在持續投入數額可觀的資金,旨在建立起一支有能力進行遠程情報收集、發動破壞性攻擊、竊取知識產權的專業黑客隊伍。
5、APT28利用“網絡衝突”進行攻擊
Cisco Talos安全情報團隊發現著名的間諜組織APT28(又名Group 74、TsarTeam、Sofacy、Fancy Bear…)發起的新一波惡意網絡活動。有趣的是,攻擊活動中使用的誘餌文件是關於即將舉辦的第九屆網絡衝突會議(Cyber Conflict U.S. conference)的欺騙性傳單。2017年11月份舉辦的CyCon US會議是美國陸軍軍官學校(西點軍校)的陸軍網絡學院、北約合作網絡軍事學院和北約合作網絡防禦中心聯合組織的。
以往的CyCon會議上,來自世界各地政府、軍事和工業的500多名決策者和專家,以跨學科的方式,從法律、技術和戰略角度來交流網絡安全相關的議題。鑑於觀察到的APT28活動所使用的誘餌文件的性質,推斷這一活動是針對那些對網絡安全感興趣的人。與以往APT28組織的攻擊活動不同,此次的誘餌文件不包含Office的0day漏洞利用,只在VBA宏函數中包含一個惡意的Visual Basic。
6、APT28利用0day漏洞入侵法國大選
APT28組織被指干擾法國總統大選,對當時還是候選人的馬克龍發動攻擊。網絡安全公司Trend Micro通過監控後發現,APT28至少創建了4個不同的域名,且地址與馬克龍黨派的官方網站十分類似,大概是爲了發起網絡釣魚攻擊活動。其中一個虛假域名僞裝爲微軟的網址。據在線記錄顯示,馬克龍競選團隊使用Microsoft Outlook收發郵件,因此,使用另外一個Microsoft雲產品的名稱創建域名是有意義的。與此同時,一個含有名爲“特朗普攻擊敘利亞(英文版本)”附件的釣魚郵件引起了研究人員的注意。研究人員分析後發現這個文檔的真實作用是釋放APT28組織廣爲人知的偵察工具Seduploader。爲實現這一目的,攻擊中該組織使用了兩個0day漏洞:一是Word遠程代碼執行漏洞 (CVE-2017-0262),另外一個是Windows中的本地權限升級漏洞 (CVE-2017-0263)。
7、APT28攻擊國際田聯
總部位於摩納哥的國際田聯發佈公告稱,黑客組織“APT28”對國際田聯的系統進行了攻擊。國際田聯2017年1月聯繫到一家英國網絡安全公司,對國際田聯繫統進行技術性調查,這家公司隨後發現國際田聯的系統遭到攻擊,黑客組織從文件服務器中取出關於運動員“治療用藥豁免”的元數據,並將這些元數據存儲到另一個新建文件中。國際田聯表示,尚不確定有經常盜取相關信息的行爲,但黑客組織的興趣和目的顯而易見,並擁有隨意獲取文件內相關內容的途徑和手段。此前APT28攻擊世界反興奮劑機構的數據庫,後者相繼披露多批享有“治療用藥豁免”的運動員名單。世界反興奮劑機構發表聲明,稱該黑客組織來自俄羅斯的一家網絡間諜機構,俄羅斯方面則否認與此攻擊之間具有某種聯繫。
8、FIN7 的網絡攻擊擴展到一些零售企業
FIN7(也被稱爲Anunak或銀行大盜Carbanak)是目前爲止組織最爲嚴密的複雜網絡犯罪組織,主要對美國金融機構滲透攻擊。自2017年初起開始活躍,因攻擊美國公司竊取支付卡數據而廣爲人知。2017年3月,FireEye發佈了一篇名黑客組織FIN7的APT攻擊簡報,報告稱FIN7組織以釣魚郵件爲攻擊渠道,在整個攻擊過程中,沒有使用到PE文件,這在一定程度上躲避了安全軟件的查殺。落地的文件也進行了技術上的隱藏,而真正的後門程序卻以加密的方式存儲在註冊表中。組織的攻擊利用DNS協議的TXT字段進行C&C通信。2017年6月FIN7利用新的無文件多段式攻擊瞄準美國連鎖餐廳,表明FIN7的網絡攻擊已經擴展到零售企業。
9、伊朗APT組織CopyKittens大規模間諜活動
2017年7月25日,以色列安全公司ClearSky研究人員發佈一份詳細報告,指出伊朗APT組織CopyKittens針對以色列、沙特阿拉伯、土耳其、美國、約旦與德國等國家與地區的政府、國防與學術機構展開新一輪大規模網絡間諜活動。APT 組織CopyKittens(又名:Rocket Kittens)至少從2013年以來就一直處於活躍狀態,曾於2015年面向中東地區55個目標展開攻擊。據悉該報告詳細介紹CopyKittens在新網絡間諜活動中採取的主要攻擊手段:
(1)水坑攻擊:通過植入JavaScript至受害網站分發惡意軟件,其主要針對新聞媒體與政府機構網站。
(2)Web 入侵:利用精心構造的電子郵件誘導受害者連接惡意網站,從而控制目標系統。
(3)惡意文件:利用漏洞(CVE-2017-0199)傳播惡意Microsoft Office文檔。
(4)服務器漏洞利用:利用漏洞掃描程序與SQLi工具Havij、sqlmap與Acunetix有效規避Web服務器檢測。
(5)冒充社交媒體用戶:通過與目標系統建立信任傳播惡意鏈接。
ClearSky公司威脅情報負責人伊雅·瑟拉表示,“他們在網絡間諜組織當中處於較低水平線,且未使用零日漏洞,他們自主開發的工具在多個層面都要遜於其它同類惡意組織。”
總體而言,該組織的戰術、技術與程序(TTP),主要包括惡意郵件附件、釣魚攻擊、Web應用程序攻擊,這些並無亮眼之處,而且直到2016年開始才着手利用水坑式攻擊。然而,他們獲得的持續成功證明,技術水平相對較低但堅持不懈的威脅方仍然能夠成功完成目標。
10、Lazarus APT魔爪伸向加密貨幣
安全公司Proofpoint近日發現Lazarus APT組織對加密貨幣極爲關注,並試圖利用公衆、媒體對加密貨幣價格暴漲的濃厚興趣展開攻擊。因此Proofpoint推斷Lazarus的攻擊行動可能與經濟利益掛鉤。Lazarus(音譯“拉撒路”)堪稱全球金融機構首要威脅。該組織自2009年以來一直處於活躍狀態,據推測早在2007年就已涉足摧毀數據及破壞系統的網絡間諜活動。由於美國經濟制裁的壓力,且朝鮮國內軍事投入成本需求不斷增加,故而,原先以獲取政府、軍事信息、破壞網絡正常運行的大規模的朝鮮黑客組織,如Lazarus等,近來已經將視線轉向金融機構、賭場、參與金融貿易軟件開發的公司、虛擬貨幣等更爲經濟型的目標,將竊取到資金轉移到朝鮮國內。
四、趨勢展望
(一)勒索病毒技術手段愈加複雜
勒索病毒的技術手段在2017年有了質的提高,WannaCry、Petya和BadRabbit就是其中的典型代表,不管從傳播途徑還是加密手段都比以往有很大的提升。勒索病毒在傳播上採用蠕蟲的方式,通過漏洞和弱口令在局域網內迅速傳播。以往的傳播手段主要是通過垃圾郵件、EK工具、網站掛馬等,手段被動,效果有限。但通過蠕蟲的方式可以化被動爲主動,起到“事半功倍”的效果。同時在加密手段上也比以往的有所提升,以往的勒索主要是對文件進行加密,但在2017年勒索病毒的手段不單單是對文件進行加密,有的還對磁盤的MBR扇區,甚至是NTFS文件系統進行加密,造成的破壞性更大。不難想象在未來勒索病毒仍將延續這種趨勢,勒索病毒的防範任重而道遠。
(二)挖礦類病毒或將迎來爆炸性增長
2017年註定是數字貨幣狂歡的一年,比特幣的價格從年初的970美元漲到年末的2萬多美元,翻了將近20倍,各種其他山寨幣也是水漲船高。區塊鏈技術大火,各種ICO風起雲涌,各種挖礦類病毒也隨之爆發增長。
各類網絡罪犯通過2017年曝出的各種漏洞,如windows系統的MS17-010,Struts2的S2-045、S2-046,weblogic的反序列化漏洞等,瘋狂在網絡上抓取各種肉雞。在以往這些肉雞都會被用來進行DDOS活動,但是在今年這些肉雞大部分都被用來挖礦。數字貨幣的價值愈大,伴隨而來的挖礦攻擊活動將愈發頻繁。
2017年隨着數字貨幣的價格上漲,催生出一種使用瀏覽器挖礦的技術手段Coinhive,在網頁中插入JS腳本,當有用戶訪問該網頁,挖礦程序就會在網民的電腦上工作,佔用大量系統資源,導致CPU利用率突然提升,甚至高達100%。Coinhive這種技術的產生,受到黑客們的廣泛關注,各路攻擊者攻陷正常網站掛載JS腳本,替換廣告腳本,通過劫持流量和搭建釣魚網站等手段在用戶瀏覽器瘋狂的掘幣,嚴重威脅所有網民的上網安全。
(三)物聯網(IoT)設備面臨的安全威脅越發突出
IoT設備最近幾年發展神速,但是隨之增加的安全問題愈加嚴峻。這些設備中往往缺乏相關的安全措施,而且這些設備大多運行基於Linux的操作系統,攻擊者利用Linux的已知漏洞,能夠輕易實施攻擊。致使大半個美國斷網的Mirai,以DVR設備爲目標的Amnesia,感染家庭路由器用來“挖礦”的Darlloz等病毒都將矛頭指向了這些脆弱的IoT設備。2017年9月出現的IoT_reaper不但可以通過設備的弱口令還能通過設備所曝出來的漏洞進行攻擊,這種傳播手段將愈加流行,可以預見這些脆弱的IoT設備隨着爆出來的漏洞越多,安全問題將愈發嚴峻。
(四)區塊鏈安全迎接新的挑戰
區塊鏈是比特幣的一個意外發現和產物,被認爲是繼大型機、個人電腦、互聯網之後計算模式的顛覆式創新,區塊鏈是一種基於加密技術的低成本、高安全、可定製和封裝的去中心化信任解決工具,也是分佈式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術在互聯網時代的創新應用模式。目前,其應用已延伸到物聯網、智能製造、供應鏈管理、數字資產交易等多個領域。
現在的區塊鏈儘管不斷得到研究、應用,依舊存在着一定的安全侷限,導致在技術層和業務層都面臨諸多挑戰。對於區塊鏈中的共識算法,是否能實現並保障真正的安全,需要更嚴格的證明和時間的考驗。採用的非對稱加密算法可能會隨着數據、密碼學和計算技術的發展而變得越來越脆弱,未來可能具有一定的破解性。
在比特幣中,若控制節點中絕大多數計算資源,就能重改公有賬本,這被稱爲51%攻擊。真實的區塊鏈網絡是自由開放的,所以理論上,區塊鏈上無法阻止擁有足夠多計算資源的節點做任何操作。在現實情況下,發起51%攻擊是具有一定可行性的。隨着區塊鏈技術和ICO在2017年的大火,隨之而來的安全性在未來將會面臨新的挑戰。
*本文作者:瑞星,轉載請註明來自 FreeBuf.COM