常見信息安全威脅與經典案例

信息及信息系統由於具備脆弱性、敏感性、機密性、可傳播等多種特性，其遭受到的威脅也可以來自各種場景和手段。

信息安全威脅現狀

目前由於互聯網越來越發達，信息的重要程度越來越高，信息安全的事件也層出不窮，如：

1. 2017年5 月 12 日晚8 時左右，WannaCry勒索軟件全球爆發，存在漏洞的電腦開機上網就可被攻擊
2. 2017年國內多款軟件在升級更新時，遭遇網絡流量劫持攻擊，用戶以爲在升級，實際卻把病毒安裝到電腦上
3. 電信網絡詐騙案件 90％ 以上是違法分子靠掌握公民詳細信息進行的精準詐騙
4. 2018年2月，人氣網遊《最終幻想XIV》遭遇持續長達3小時的DDoS攻擊
5. 2016年11月10日，俄羅斯五家主流大型銀行遭遇長達兩天的DDoS攻

網絡戰爭的開端：“震網”病毒

震網病毒又名Stuxnet病毒，是一個席捲全球工業界的病毒。
作爲世界上首個網絡“超級破壞性武器”，Stuxnet的計算機病毒已經感染了全球超過 45000個網絡，伊朗遭到的攻擊最爲嚴重，60%的個人電腦感染了這種病毒。計算機安防專家認爲，該病毒是有史以來最高端的“蠕蟲”病毒。蠕蟲是一種典型的計算機病毒，它能自我複製，並將副本通過網絡傳輸，任何一臺個人電腦只要和染毒電腦相連，就會被感染。

震網（Stuxnet），指一種蠕蟲病毒。它的複雜程度遠超一般電腦黑客的能力。這種震網（Stuxnet）病毒於2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站，水壩，國家電網。互聯網安全專家對此表示擔心。
“震網”病毒利用了微軟視窗操作系統之前未被發現的4個漏洞。通常意義上的犯罪性黑客會利用這些漏洞盜取銀行和信用卡信息來獲取非法收入。而“震網”病毒不像一些惡意軟件那樣可以賺錢，它需要花錢研製。這是專家們相信“震網”病毒出自情報部門的一個原因。
據全球最大網絡保安公司賽門鐵克（Symantec）和微軟（Microsoft）公司的研究，近60%的感染髮生在伊朗，其次爲印尼（約20%）和印度（約10%）， 阿塞拜疆、美國與巴基斯坦等地亦有小量個案。
由於“震網”感染的重災區集中在伊朗境內。美國和以色列因此被懷疑是“震網”的發明人。
這種新病毒採取了多種先進技術，因此具有極強的隱身和破壞力。只要電腦操作員將被病毒感染的U盤插入USB接口，這種病毒就會在神不知鬼不覺的情況下(不會有任何其他操作要求或者提示出現)取得一些工業用電腦系統的控制權。（在當時工控電腦的信息安全還未被注意到）

發現歷史：

1. 2010年6月，“震網”病毒首次被發現，它被稱爲有史以來最複雜的網絡武器，因爲它悄然襲擊伊朗核設施的手法極其陰險。
2. 2010年9月，瑞星公司監測到這個席捲全球工業界的病毒已經入侵中國。瑞星反病毒專家警告說，我國許多大型重要企業在安全制度上存在缺失，可能促進Stuxnet病毒在企業中的大規模傳播。
3. 2010年12月15日，一位德國計算機高級顧問表示，“震網”計算機病毒令德黑蘭的核計劃拖後了兩年。這個惡意軟件2010年一再以伊朗核設施爲目標，通過滲透進“視窗”（Windows）操作系統，並對其進行重新編程而造成破壞。
4. 2011年1月26日，俄羅斯常駐北約代表羅戈津表示，這種病毒可能給伊朗布什爾核電站造成嚴重影響，導致有毒的放射性物質泄漏，其危害將不亞於1986年發生的切爾諾貝利核電站事故。
5. 2011年2月，伊朗突然宣佈暫時卸載首座核電站。此前業界表示伊朗只需一年就能擁有快速製造核武器的能力。而在遭受“震網”病毒攻擊後，1/5的離心機報廢。導致此項研究至少延遲兩年。
6. 2012年6月1日的美國《紐約時報》報道，揭露“震網”病毒起源於2006年前後由美國前總統小布什啓動的“奧運會計劃”。2008年，奧巴馬上任後下令加速該計劃。
7. 2013年3月，中國解放軍報報道，美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備，已經造成伊朗核電站推遲發電，目前國內已有近500萬網民、及多個行業的領軍企業遭此病毒攻擊。 這種病毒可能是新時期電子戰爭中的一種武器。震網病毒，截止2011年，感染了全球超過45000個網絡，60%的個人電腦感染了這種病毒。

信息安全攻擊事件的演變

1. 攻擊方式變化小

   攻擊的方式仍然是我們所能看到的病毒、漏洞、釣魚等，看起來似乎形式並無太大變化
   

2. 攻擊的手段由單一變得複雜

   一次重大攻擊往往需要精密的部署，長期的潛伏，以及多種攻擊手段相結合以達到最終目的
   

3. 攻擊目的多樣化

   攻擊的目標從個人電腦攻擊到經濟、政治、戰爭、能源，甚至影響着世界格局
   

安全威脅分類

• 網絡安全威脅

   1. DDoS攻擊
   2. 網絡入侵等
  

• 應用安全威脅

   1. 操作系統漏洞
   2. 2. 病毒、木馬、蠕蟲
   3. 釣魚網站
   4. 數據泄露等
  

• 數據傳輸與終端安全威脅

    1. 通信流量挾持
    2. 中間人攻擊
    3. 未授權身份人員登錄系統
    4. 無線網絡安全薄弱等
  

網絡安全威脅

案例

美國Dyn DNS服務遭受DDoS攻擊

Dyn是DNS SaaS提供商，其核心業務就是爲其用戶管理託管DNS服務。DDoS攻擊嚴重影響其DNS業務，導致客戶網站無法訪問。因其服務衆多公司，造成的損害如星火燎原一般，影響極其惡劣。導致近半個美國陷入斷網，涉及超過百家網站出現無法訪問的情況，嚴重斷網長達3小時，僅亞馬遜一家損失就已達千萬美元以上。

攻擊的“肉雞”主要是網絡攝像機、數字硬盤錄像機和智能路由器 （主要由物聯網設備組成）。Mirai殭屍網絡感染設備上百萬 ，而在此次攻擊中僅十分之一設備參與。
目前，互聯網中存在着大量的殭屍主機和殭屍網絡，在商業利益的驅使下，DDoS攻擊已經成爲互聯網面臨的重要安全威脅。

爲什麼使用物聯網設備發動攻擊？

1. 物聯網設備一般沒有密碼或者密碼簡單，容易暴力破解
2. 目前物聯網設備數量衆多，數量大概在幾十億上百億的水平，對攻擊者來說是非常好的資源
3. 物聯網設備難以檢測是否被入侵

Mirai病毒發動攻擊過程（DDos攻擊過程）

• 尋找肉雞：物聯網設備通常默認開啓telnet遠程登錄功能，方便管理員進行遠程管理。攻擊者可以通過IP地址掃描來發現存活的物聯網設備，通過端口掃描來進一步判斷物聯網設備是否開啓telnet服務。

• 組建殭屍網絡：部分物聯網設備使用者，會直接使用出廠密碼，或者設置簡單的密碼（類似admin/123456的簡單用戶名/密碼組合），這些密碼很容易被攻擊者暴力破解。當攻擊者成功破解物聯網設備的密碼，並通過telnet登錄成功後，接着在物聯網設備上進行遠程植入惡意軟件Mirai，從而獲得設備的絕對控制權。

  • 惡意軟件對感染的設備擁有絕對控制權，除了利用設備發起DDoS攻擊以外，還能夠對設備本身的系統、業務、數據造成嚴重危害，比如能夠篡改數據、竊取隱私、修改配置、刪除文件等，並可能以此爲跳板攻擊核心業務系統。

• 加載攻擊模塊：攻擊者在物聯網設備上加載DNS DDoS攻擊模塊。

• 發起攻擊：攻擊者通過殭屍網絡向美國Dyn DNS服務發起DDoS攻擊，導致上百家網站出現無法訪問的情況。

掃描

掃描是一種潛在的攻擊行爲，本身並不具有直接的破壞行爲，通常是攻擊者發動真正攻擊前的網絡探測行爲。

掃描可以分爲地址掃描和端口掃描：

• 地址掃描

  攻擊者運用ICMP報文探測目標地址，或者使用TCP/UDP報文對一定地址發起連接，通過判斷是否有應答報文，以確定哪些目標系統確實存活着並且連接在目標網絡上。（如ping目的主機，若是能ping通則說明改目的地址主機存活在目標網絡上）

• 端口掃描
  攻擊者通過對端口進行掃描探尋被攻擊對象目前開放的端口，以確定攻擊方式。在端口掃描攻擊中，攻擊者通常使用Port Scan攻擊軟件，發起一系列TCP/UDP連接，根據應答報文判斷主機是否使用這些端口提供服務。

獲取控制權限

1. 攻擊者可以通過密碼暴力破解方式來獲取控制權限

2. 也可以通過各種欺騙攻擊來獲取訪問和控制權限，如IP欺騙攻擊：

   攻擊者通過向目標主機發送源IP地址僞造的報文，欺騙目標主機，從而獲取更高的訪問和控制權限。

IP欺騙是利用了主機之間的正常信任關係來發動的。基於IP地址的信任關係的主機之間將允許以IP地址爲基礎的驗證，允許或者拒絕以IP地址爲基礎的存取服務。信任主機之間無需輸入口令驗證就可以直接登錄。

lP欺騙攻擊的整個步驟：

1. 首先使被信任主機的網絡暫時癱瘓，以免對攻擊造成干擾（若是想要獲取B的權限，則需要先攻癱B信任的主機A，如下圖）
2. 然後連接到目標主機的某個端口來猜測序列號和增加規律
3. 接下來把源地址僞裝成被信任主機，發送帶有SYN標誌的數據段請求連接
4. 然後等待目標機發送SYN+ACK包給已經癱瘓的主機
5. 最後再次僞裝成被信任主機向目標機發送的ACK，此時發送的數據段帶有預測的目標機的序列號+1
6. 連接建立，發送命令請求

發起DDoS攻擊

DDos(Distributed Denial of Service)即分佈式拒絕服務攻擊，是典型的流量型攻擊。

DDoS攻擊是指攻擊者通過各種手段，取得了網絡上大量在線主機的控制權限。這些被控制的主機稱爲殭屍主機，攻擊者和殭屍主機構成的網絡稱爲殭屍網絡。當被攻擊目標確定後，攻擊者控制殭屍主機向被攻擊目標發送大量精心構造的攻擊報文，造成被攻擊者所在網絡的鏈路擁塞、系統資源耗盡，從而使被攻擊者產生拒絕向正常用戶的請求提供服務的效果。

根據採用的攻擊報文類型的不同，網絡中目前存在多種DDoS攻擊類型，主要有以下這幾種常見的DDoS攻擊：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood等。

DDoS的目的：
- 耗盡網絡帶寬
- 耗盡服務器資源
- 使得服務器無法正常提供服務（癱瘓）

網絡類攻擊的防禦手段

部署專業的防護設備：

• 防火牆：通過在大中型企業、數據中心等網絡的內網出口處部署防火牆，可以防範各種常見的DDoS攻擊，而且還可以對傳統單包攻擊進行有效地防範。

• AntiDDoS設備：Anti-DDoS解決方案，面向運營商、企業、數據中心、門戶網站、在線遊戲、在線視頻、DNS域名服務等提供專業DDoS攻擊防護。

應用安全威脅

案例

微博網站曾遭遇到一次蠕蟲攻擊侵襲，在不到一個小時的時間，超過3萬用戶受到該蠕蟲的攻擊。攻擊過程如下：

漏洞

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。

漏洞帶來的威脅：

• 注入攻擊（如SQL注入攻擊）
• 跨站腳本攻擊（Cross-site scripting，通常簡稱爲XSS或跨站腳本或跨站腳本攻擊）
• 惡意代碼傳播
• 數據泄露

常見攻擊手段

釣魚攻擊

“釣魚”是一種網絡欺詐行爲，指不法分子利用各種手段，仿冒真實網站的URL地址以及頁面內容，或利用真實網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。

釣魚網站的設計通常有兩種方式：

1. 第一種以“中獎”等名義爲誘餌，誘騙用戶填寫身份證號碼、銀行帳戶等信息；
2. 第二種模仿銀行在線支付、電子交易網站，騙取用戶的銀行卡信息或者在線支付賬號密碼。

整個過程如同釣魚一般，這樣的惡意網站也就被稱作“釣魚網站”。這樣的釣魚手法技術含量並不高，或者利用人們貪圖便宜的心理上當受騙，或者利用部分網民防範欺詐意識的薄弱。人們一旦上當，或者個人隱私信息泄露並被販賣，或者因爲在網站上填寫了銀行賬號信息，相應的資產會被立刻轉走，追悔莫及。

惡意代碼

病毒

攻擊者利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，能夠破壞計算機系統，纂改、損壞業務數據。（簡單的來說就是依附於其他程序的惡意代碼）

特點：

• 需要宿主程序

木馬

僞裝成系統程序的惡意代碼。通過一段特定的程序(木馬程序)來控制另一臺計算機。

特點：

• 很難發現，很難殺死。最好的方法就是重裝系統
• 目的：獲得目的主機的控制權限
• 木馬通常有兩個可執行程序：一個是客戶端，即控制端；另一個是服務端，即被控制端。植入被種者電腦的是“服務器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以後，被種者的電腦就會有一個或幾個端口被打開，使黑客不僅可以竊取計算機上的重要信息，還可以對內網計算機破壞。

蠕蟲

一種能夠利用系統漏洞通過網絡進行自我傳播的惡意程序.

特點：

• 利用網絡能夠進行自我複製和自我傳播，傳染途徑是通過網絡和電子郵件。
• 主要危害：消耗主機資源，甚至破壞主機系統，造成主機拒絕服務；蠕蟲傳播造成的流量導致網絡擁塞，甚至導致整個互聯網癱瘓、失控。（威脅很大，大到能破壞一個國家的網絡如：永恆之藍Wanna Cry）

後門

指隱藏在程序中的祕密功能，通常是程序設計者爲了能在日後隨意進入系統而設置的。

特點：

• 一般在系統前期搭建或者維護的時候後門程序被安裝
• 主要目的：竊取信息

間諜軟件

一種能夠在用戶不知情的情況下，在其電腦上安裝後門、收集用戶信息的軟件，蒐集、使用、並散播企業員工的敏感信息，嚴重干擾企業的正常業務的惡意軟件

特點：

• 僞裝成終端信任的文件
• 悄無聲息的安裝在你的終端設備上

應用類攻擊防禦手段

• 定期修復漏洞

   1. 漏洞掃描
   2. 安裝補丁
  

• 提高安全意識

    1. 對可疑網站、鏈接保持警覺
  

• 專業設備防護

    1. 防火牆（防火牆作爲邊界設備，可對用戶的上網行爲、網頁及郵件病毒、非法應用程序等進行阻斷，從而達到保護內網的作用）
    2. WAF（Web Application Firewall，Web應用防火牆。它是通過執行一系列針對HTTP/HTTPS的安全策略專門爲Web應用提供保護的一款防護設備）
    3. 殺毒軟件
  

數據傳輸與終端安全威脅

案例

用戶通信遭監聽

美國國家安全局（NSA）在雲端監聽Google（包括Gmail）和Yahoo用戶的加密通信。NSA利用谷歌前端服務器做加解密的特點，繞過該設備，直接監聽後端明文數據。

Tumblr用戶信息遭泄露

輕博客網站Tumblr上超過半數的賬號密碼被黑客盜取。
黑客首先通過一定的方式侵入了Tumblr的服務器，獲取了Tumblr用戶信息。Tumblr曾發聲因數據庫信息加密，對用戶不會造成影響。然而事實證明用戶信息採用了較弱的算法，黑客獲取到該加密的用戶信息後，在較短時間內便破解了大量的用戶信息。

通信過程中的主要威脅

1. 傳輸安全隱患

    1. 中間人攻擊
    2. 數據傳輸未加密或加密程度不夠
   

2. 終端安全隱患

    1. 服務器存在漏洞
    2. 用戶使用弱密碼
    3. 用戶身份未經驗證
   

中間人攻擊

中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺計算機就稱爲“中間人”。中間人攻擊主要的威脅是信息篡改和信息竊取

主要防禦手段

1. 數字簽名
2. 信息存儲必須加密
3. 信息傳輸必須加密
4. 採用強加密算法
5. 安裝正版殺毒軟件
6. 採用高強度密碼
7. 降低多密碼之間的關聯性