AV

by admin on 2020年4月9日

安全测试机构AV-TEST
日前公布的2016~2017年安全报告显示自全球恶意软件数量十年来首次出现了降低。

近期,瑞星联合国家信息中心信息与网络安全部发布了《2017年上半年中国网络安全报告》,报告显示2017年1至6月,瑞星“云安全”系统共截获Linux病毒样本总量42万个,远远超过了2013年、2014年和2015年的总和。针对Linux系统的勒索软件数量也开始上升,虽然数量远远不及Windows平台,但造成的损失将会非常惨重。

2017年无疑是网络安全史上的一个重灾年,从整个安全市场来看,全球都发生了众多网络安全攻击事件,其中影响最大的当属Wanncry。

自2006年期每年都会新增的恶意软件数量在2016
年出现降低,这显示攻击者不再像过去那样以数量来取胜。

国家信息中心信息与网络安全部是国家信息中心下属主要部门,主要负责网络安全技术研究与相关国家标准的制定工作,长期以来与瑞星保持紧密合作,曾多次联合发布网络安全方面相关报告,并且在网络安全产品研发等领域均有合作。此次,双方对2017年1至6月的病毒、恶意网址、移动互联网及企业网络安全做了详细的分析,并对2017年下半年的网络安全趋势做出了预测。

2017年无疑是网络安全史上的一个重灾年,从整个安全市场来看,全球都发生了众多网络安全攻击事件,其中影响最大的当属Wanncry。而这次网络攻击也给我们敲响了一次警钟:必须要重视网络安全防护。

但不再广泛撒网的情况下就要提高攻击的品质和成效,例如这几年比较热门的勒索软件就是更看重攻击品质。

《2017年上半年中国网络安全报告》

去年6月,《中国网络安全法》正式生效,国家开始明确规定所有企业必须保护用户信息。在没有网络安全法之前,企业即便不保护个人信息,也不会受到惩处。但《网络安全法》的出台意味着网络安全已经成为所有企业必须要认真思考和实现的问题。

AV-TEST 的报告显示比较热门的勒索软件占恶意软件整体数量不到
1%,但其带来的损失却高达几十亿美元。

一、恶意软件与恶意网址

信息泄露再度成为焦点

澳门新葡亰网址下载 1

(一)恶意软件

最近,Facebook的信息泄露事件闹得沸沸扬扬,Facebook作为极具影响力国际知名企业,在曝出信息泄露丑闻后,令CEO都深陷危机当中,这也让众多企业开始反思网络安全与信息防护的必要性。

勒索软件是对Windows的高科技攻击

  1. 2017年1至6月病毒概述

从媒体角度观察,当前信息泄露已经不只是IT部门内部交流的话题,而是上升为企业CEO和董事会讨论的重要话题。那么,在这种全球安全背景下,2018年在网络攻击方面,还将出现哪些新的变数和新型攻击手段呢?

勒索软件在最近几年的整体数量已经有明显的上涨趋势,但勒索软件通常情况下的则是商业环境中的受害者。

(1)病毒疫情总体概述

下面我们就通过赛门铁克发布的第23期《互联网安全威胁报告》(以下简称:报告)来观察一下目前网络安全市场中的主要趋势及变化。(该报告分析了来自赛门铁克全球最大民用安全威胁情报网络中的数据,记录全球1亿2650万个攻击传感器所监测到的攻击事件,并对超过157个国家及地区的威胁活动进行监测。)

通过定点攻击入侵商业环境中的设备甚至机房的服务器,商业环境中的支付赎金比例相对比普通用户高得多。

2017年1至6月,瑞星“云安全”系统共截获病毒样本总量3,132万个,病毒感染次数23.4亿次,病毒总体数量比2016年同期上涨35.47%。

勒索软件商品化

不过也有部分勒索软件例如WannaCry是个例外,
该勒索软件的赎金价格更低但传播范围却高出了很多很多。

报告期内,新增木马病毒占总体数量的42.33%,依然是第一大种类病毒。蠕虫病毒为第二大种类病毒,占总体数量的36.35%,第三大种类病毒为灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件),占总体数量的6.76%。

2016
年,勒索软件的丰厚利润让无数攻击者趋之若鹜,市场一度饱和。2017年,勒索软件市场出现调整,平均勒索赎金回落至522美元,这表明勒索软件已经成为
商品。

澳门新葡亰网址下载 2

澳门新葡亰网址下载 3

报告显示,在勒索软件威胁方面,中国成为亚太区受到勒索软件影响最严重的国家。较去年全球排名16位相比,2017年,中国在全球排名第2,增长比例达到10.1%。由于勒索软件市场赎金过高且趋于饱和,网络攻击者正在迅速将加密货币劫持用于网络攻击,找到一条牟取暴利的新出路。

银行也没有那么安全:

报告期内,CVE-2017-0199漏洞利用占比70%,位列第一位。该漏洞以RTF文档为载体,伪装性非常强,依然是最为常用的漏洞攻击手段。

目前,攻击者开始寻找新的牟利手段,加密货币的大幅升值使他们将注意力转向了货币挖掘。此外,虽然勒索软件家族的数量有所减少,但勒索软件变体的数量出现了46%的增长,这表明网络犯罪团体虽然创新不足,但攻击数量并未减少。

2016年2月孟加拉中央银行遭受攻击后损失了超过8100万美元,同期攻击者也对纽约的金融机构发起了攻击。

澳门新葡亰网址下载 4

加密货币劫持攻击增长8,500%

AV-TEST
安全报告显示在去年针对银行金融类的木马数量大增,甚至部分木马用于攻击SWIFT银行网络系统。

(2)病毒感染地域分析

报告显示,2017年在全球终端计算机上所检测到的恶意挖矿程序暴增8,500%。在加密货币挖矿攻击中,中国在亚太区排名第13位,全球排名第40位。加密货币价值的激增引发了一场加密货币劫持(Cryptojacking)攻击的淘金热,网络攻击者试图从这一变化莫测的市场中获利。

比利时服务商后来确认全球3000多家金融机构遭到攻击,随后在去年四月份时SWIFT发布了相关的安全更新。

报告期内,新疆省病毒感染3,767万人次,位列全国第一,其次为北京市3,320万人次及广东省2,983万人次。

赛门铁克公司大中华区总裁陈毅威表示:加密货币劫持对网络与个人安全的威胁日益加剧。在巨大的利益的驱使下,攻击者利用未经授权的恶意挖矿程序窃取个人、设备和企业系统的资源在网络,将企业与消费者置于威胁之中,这进一步促使攻击者将攻击目标转向从家用电脑到大型数据中心的各个领域。

针对Mac系统的恶意软件出现暴增:

澳门新葡亰网址下载 5

物联网攻击增长600%

AV-TEST安全报告显示针对Mac的恶意软件暴增370%,恶意软件整体数量由2015年的819种增加到3033种。

  1. 2017年1至6月年病毒Top10

目前,物联网设备已经成为网络攻击的主要目标。报告显示,2017年物联网攻击事件的总数增长了600%。这意味着,网络攻击者能够利用互联设备进行大规模挖币。即便是Mac电脑也未能幸免此类攻击。

因此对Mac用户来说防范恶意软件也是必须做的事情,
按这种趋势来看接下来针对Mac的病毒还会继续增长。

根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2017年1至6月病毒Top10:

针对
Mac操作系统的挖币攻击增长了80%。而这主要是通过基于浏览器的攻击手段,攻击者无需将恶意软件下载到受害者的Mac或个人电脑上,便能轻松发动网络攻击。

澳门新葡亰网址下载 6

澳门新葡亰网址下载 7

赛门铁克公司大中华区首席运营官罗少辉表示:当前,手机、电脑或物联网设备上的资源都有可能遭到攻击者的窃取,并用于牟利。企业和消费者需要加大自身的安全防御范围,避免所拥有的设备被他人利用而导致的损失。

针对Android平台的恶意软件出现暴增的平方:

  1. 2017年1至6月中国勒索软件感染现状

植入式恶意软件增长200%

很显然针对 Android
平台的恶意软件数量已经不能用暴增来形容,AV-TEST仅仅检测的样本数就超过400万。

报告期内,瑞星“云安全”系统共截获勒索软件样本44.86万个,感染共计307万次,其中广东省感染37万次,位列全国第一,其次为北京市20万次,云南省12万次及浙江省11万次。

报告指出,2017年植入软件供应链的恶意软件攻击出现了200%的增长,与2016年平均每月发生4次攻击相比,相当于2017年每个月都发生1次攻击。通过劫持软件更新链,攻击者以此为攻破口,破坏防卫森严的网络。

从2016年初开始攻击者开始将恶意软件推向市场,这表明新的恶意软件正在测试新的传播渠道感染更多设备。

澳门新葡亰网址下载 8

另外,Petya勒索软件的爆发成为软件供应链攻击的典型案例。Petya攻击以乌克兰的财务软件作为切入点,通过使用多种方式在企业网络中进行大肆传播,部署恶意载荷。

不过针对Android的木马病毒飙升期是在2016年的6月中旬,
当时AV-TEST检测到超过64万个新的恶意软件。

(二)恶意网址

移动恶意软件持续增长

由于 Android
系统更新问题无法及时获取补丁修复漏洞,因此对于攻击者而言可以借助漏洞轻而易举的入侵。

  1. 2017年1至6月全球恶意网址总体概述

移动端威胁依然呈现年度增长态势,其中包括新增移动端恶意软件变体的数量增长了
54%。2017年,中国同样是全球拦截移动恶意软件最多的前十个国家之一。由于许多用户仍在使用较旧的操作系统,这为攻击者提供了可乘之机。例如,在安卓操作系统中,仅有20%的设备安装了最新的操作系统版本,而仅有2.3%的设备安装了次要版本系统。

当时迫于无奈谷歌公司发布的安全更新修复 100
多个漏洞,修复的安全漏洞数量超过了之前所有的安全更新。

2017年1至6月,瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量5,020万个,其中挂马网站2,452万个,诈骗网站2,568万个。美国恶意URL总量为1,784万个,位列全球第一,其次是中国1,131万个,韩国320万个,分别为二、三位。

报告显示,移动用户同样面临来自灰色软件应用的隐私安全风险。尽管这些应用并非完全恶意,但同样会为用户带来不少麻烦。赛门铁克发现,63%的灰色软件应用会泄露设备的联系方式。2017年,灰色软件的数量增长20%,其所带来的安全问题依然围绕在用户身边。

不过遗憾的是当前绝大多数Android设备依然使用旧版 Android
系统并且无法获得安全更新来封堵高危漏洞。

澳门新葡亰网址下载 9

如何应对

澳门新葡亰网址下载 10

  1. 2017年1至6月中国恶意网址总体概述

随着网络犯罪形势的不断变化,以及不断改进的攻击手段,企业与消费者应该采取多种措施来实现安全防护。对此,报告中也给出了相关的应对思路。

IoT物联网设备:不知道有没有暴增,反正我没有保护

报告期内,北京市恶意网址(URL)总量为541万个,位列全国第一,其次是陕西省231万个,以及浙江省64万个,分别为二、三位。

澳门新葡亰网址下载 ,对于企业:

尽管当前IoT物联网设备在全球范围内出现了快速增长,但不可否认的是超过数十亿物联网设备压根没有防护。

注:上述恶意URL地址为恶意URL服务器的物理地址。

部署安全解决方案:企业应该部署高级威胁情报解决方案,及时发现入侵信号并做出快速响应。
为最坏的情况做好准备:事件管理可以确保企业的安全框架得到优化,并具备可测量性和可重复性,帮助企业吸取教训,从而改善安全态势。企业用户应考虑与第三方专家开展长期合作,强化危机管理。
实施多层防护:实施多层防护策略,从而全面应对针对网关、邮件服务器和端点的攻击。企业应该部署包括双重身份验证、入侵检测或防护系统(IPS)、网站漏洞恶意软件防护及全网
Web 安全网关解决方案在内的安全防护。
定期提供关于恶意电子邮件的培训:向员工讲解鱼叉式网络钓鱼电子邮件和其他恶意电子邮件攻击的危害,采取向企业报告此类尝试性攻击的措施。
监控企业资源:确保对企业资源和网络进行监控,以便及时发现异常和可疑行为,并将其与专家所提供的威胁情报相关联。

开发商在生产制造IoT物联网设备后根本没有注重网络安全性,他们关注的是如何更快速的抢占市场加速渗透。

澳门新葡亰网址下载 11

对于消费者:

针对IoT物联网设备的病毒最知名的估计就是造成美国东部地区出现大面积断网事件的Linux木马病毒Mirai了。

  1. 2017年1至6月中国诈骗网站概述

更改设备及服务的默认密码:在电脑、物联网设备和Wi-Fi网络中采用独特且强大的密码。请勿使用常见或易被猜出的密码,例如123456或password。
确保操作系统和软件为最新版本:攻击者通常会利用最新发现的安全漏洞进行攻击,而软件更新通常会包含修复安全漏洞的相应补丁。
谨慎对待电子邮件:电子邮件是网络攻击的主要感染途径之一。消费者应该删除收到的所有可疑邮件,尤其是包含链接或附件的邮件。对于任何建议启用宏以查看内容的Microsoft
Office电子邮件附件,则更加需要保持谨慎。
备份文件:对数据进行备份是应对勒索软件感染最有效的方式。攻击者可通过加密受害者的文件使其无法访问,以此进行勒索。如果拥有备份副本,用户则可以在感染清除后即刻恢复文件。

Mirai木马病毒可以全自动扫描全球网络上的开放物联网设备,同时 Mirai
使用默认账号密码进行登录和感染。

2017年1至6月,瑞星“云安全”系统共拦截诈骗网站攻击529万余次,北京市受诈骗网站攻击68万次,位列第一位,其次是浙江省受诈骗网站攻击66万次,第三名是广东省受诈骗网站攻击65万次。

责任编辑:金小雪

美东断网事件中充当肉鸡冲锋上阵的是来自中国制造商生产的网络摄像头,
该摄像头默认账号密码是公开的。

澳门新葡亰网址下载 12

由于Mirai木马病毒的代码本身是开源发布的,现在基于Mirai修改的 Linux
病毒正在全球肆意攻占Linux系统。

报告期内,非法导航类诈骗网站占35%,位列第一位,其次是情色类诈骗网站占20%,时时彩类诈骗网站占17%,分别为二、三位。

值得注意的是未来僵尸网络攻击或许现在只是刚开始,
比较容易确定的是至今物联网设备几乎没有任何保护。

澳门新葡亰网址下载 13

澳门新葡亰网址下载 14

  1. 2017年1至6月中国主要省市访问诈骗网站类型

稿源:蓝点网

报告期内,北京市、河北省等访问的诈骗网站类型主要以网络赌博为主,而黑龙江省、天津市则以色情论坛为主。

澳门新葡亰网址下载 15

  1. 诈骗网站趋势分析

2017年上半年非法导航类诈骗网站占比较多,这类集赌博、六合彩、算命、情色为一体的导航网站,会窃取用户隐私信息。有些甚至通过木马病毒盗取用户银行卡信息,进行恶意盗刷、勒索等行为。诈骗攻击主要通过以下手段进行:

· 利用QQ、微信、微博等聊天工具传播诈骗网址。

· 利用垃圾短信“伪基站”推送诈骗网址给用户进行诈骗。

· 通过访问恶意网站推送安装恶意APP程序窃取用户隐私信息。

· 通过第三方下载网站对软件捆绑木马病毒诱使用户下载。

  1. 2017年1至6月中国挂马网站概述

2017年1至6月,瑞星“云安全”系统共拦截挂马网站攻击506万余次,北京市受挂马攻击344万次,位列第一位,其次是陕西省受挂马攻击152万次。

澳门新葡亰网址下载 16

  1. 挂马网站趋势分析

2017年上半年挂马攻击相对减少,攻击者一般是自建一些导航类或色情类的网站,吸引用户主动访问。也有一些攻击者会先购买大型网站上的广告位,然后在用户浏览广告的时候悄悄触发。如果不小心进入挂马网站,则会感染木马病毒,导致大量的宝贵文件资料和账号密码丢失,其危害极大。

挂马防护手段主要为:

· 拒绝接受陌生人发来的链接地址。

· 禁止浏览不安全的网站。

· 禁止在非正规网站下载软件程序。

· 安装杀毒防护软件。

二、移动互联网安全

(一)手机安全

1.手机病毒概述

2017年1至6月,瑞星“云安全”系统共截获手机病毒样本253万个,新增病毒类型以流氓行为、隐私窃取、系统破坏、资费消耗四类为主,其中流氓行为类病毒占比28.35%,位居第一。其次是隐私窃取类病毒占比25.64%,第三名是系统破坏类病毒,占比20.66%。

澳门新葡亰网址下载 17

  1. 2017年1至6月手机病毒Top5

澳门新葡亰网址下载 18

3.
2017年1至6月Android手机漏洞Top5

澳门新葡亰网址下载 19

(二)2017年1至6月移动安全事件

1.勒索病毒伪装成《王者荣耀辅助工具》袭击移动设备

2017年6月,一款冒充“王者荣耀辅助工具”的勒索病毒,通过PC端和手机端的社交平台、游戏群等渠道大肆扩散,威胁几乎所有Android平台,设备一旦感染后,病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密,如不支付勒索费用,文件将会被破坏,还会使系统运行异常。

澳门新葡亰网址下载 20

2.315曝光人脸识别技术成手机潜在威胁

2017年315晚会上,技术人员演示了人脸识别技术的安全漏洞利用,不管是通过3D建模将照片转化成立体的人脸模型,还是将普通静态自拍照片变为动态模式,都可以骗过手机上的人脸识别系统。此外,315还揭露了公共充电桩同样是手机的潜在威胁,用户使用公共充电桩的时候,只要点击“同意”按钮,犯罪分子就可以控制手机,窥探手机上的密码、账号,并通过被控制的手机进行消费。

澳门新葡亰网址下载 21

3.亚马逊、小红书用户信息泄露助长电话诈骗

2017年6月,亚马逊和小红书网站用户遭遇信息泄露危机,大量个人信息外泄导致电话诈骗猛增。据了解,亚马逊多位用户遭遇冒充“亚马逊客服”的退款诈骗电话,其中一位用户被骗金额高达43万,小红书50多位用户也因此造成80多万的损失。

澳门新葡亰网址下载 22

4.病毒伪装“Google Play”盗取用户隐私

2017年6月,一款伪装成“Google
Play”的病毒潜伏在安卓应用市场中,该病毒会伪装成正常的Android market
app,潜伏在安卓手机ROM中或应用市场中诱导用户下载安装。该病毒安装后无启动图标,运行后,会向系统申请大量高危权限(发短信和静默安装等),随后伪装成Google
Play应用并安装和隐藏在Android系统目录下。因为在“/system/app/”路径下的app默认都是拥有system权限的,所以该病毒样本可以在用户不知情的情况下,在后台静默下载并安装应用到手机当中,还会获取用户手机中的隐私信息,给用户造成系统不稳定或隐私泄露等安全性问题。

澳门新葡亰网址下载 23

(三)移动安全趋势分析

1.手机web浏览器攻击将倍增

Android和IOS平台上的web浏览器,包括Chrome、Firefox、Safari以及采用类似内核的浏览器都有可能受到黑客攻击。因为移动浏览器是黑客入侵最有效的渠道,通过利用浏览器漏洞,黑客可以绕过很多系统的安全措施。

2.Android系统将受到远程设备劫持、监听

随着Android设备大卖,全球数以亿计的人在使用智能手机,远程设备劫持将有可能引发下一轮的安全问题,因为很多智能手机里存在着大量能够躲过谷歌安全团队审查和认证的应用软件。与此同时,中间人攻击的数量将大增,这是因为很多新的智能手机用户往往缺乏必要的安全意识,例如他们会让自己的设备自动访问不安全的公共WiFi热点,从而成为黑客中间人攻击的猎物和牺牲品。

3.物联网危机将不断加深

如今,关于“物联网开启了我们智慧生活”的标语不绝于耳,但支持物联网系统的底层数据架构是否真的安全、是否已经完善,却很少被人提及,智能家居系统、智能汽车系统里藏有我们太多的个人信息。严格来讲,所有通过蓝牙和WiFi连入互联网的物联网设备和APP都是不安全的,而这其中最人命关天的莫过于可远程访问的医疗设备,例如大量的超声波扫描仪等医疗设备都使用的是默认的访问账号和密码,这些设备很容易被不法分子利用。

4.木马病毒、短信和电话诈骗将联合作案

常见的电信诈骗,如贵金属理财诈骗、假冒银行客服号诈骗、网购退款诈骗、10086积分兑换诈骗等,基本都是由木马病毒、短信、电话多种方式联合完成。这种诈骗方式更加智能化、系统化和可视化,诈骗分子甚至可以掌控被感染用户的通信社交关系链,往往导致巨大的资金损失。

三、互联网安全

(一)2017年1至6月全球网络安全事件解读

1.The Shadow Brokers泄露方程式大量0day漏洞

2017年4月 ,The Shadow
Brokers再度放出手中掌握的“方程式组织”使用的大量黑客工具:
OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。其中包括多个可以远程攻击Windows的0day。受影响的Windows
版本包括Windows NT,Windows 2000、Windows XP、Windows 2003、Windows
Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows
Server 2012
SP0等。这次泄露的工具也直接导致了后来的WannaCry、Petya的全球爆发。

2.WannaCry勒索袭击全球

2017年5月,一款名为WannaCry的勒索病毒席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(The
Shadow Brokers)公布的方程式组织(Equation
Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。

澳门新葡亰网址下载 24

3.Petya病毒借勒索之名袭击多国

新勒索病毒petya袭击多国,影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等,包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄罗斯的石油和天然气巨头
Rosneft,
丹麦的航运巨头马士基公司,美国制药公司默克公司,还有美国律师事务所DLA
Piper,甚至是核能工厂都遭到了攻击。报道称,这轮病毒足以与五月席卷全球的勒索病毒的攻击性相提并论。与WannaCry相比,该病毒会加密NTFS分区、覆盖MBR、阻止机器正常启动,使计算机无法使用,影响更加严重。

澳门新葡亰网址下载 25

4.Amnesia攻击全球DVR设备组建僵尸网络

Amnesia是一款基于IOT/Linux蠕虫“Tsunami”的变种,被黑客用来组建僵尸网络。它允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机(
DVR )设备。该漏洞已被安全研究人员在TVT
Digital(深圳同为数码)制造的DVR(硬盘录像机)设备中被发现,并波及了全球70多家的供应商品牌。据数据统计显示全球有超过22.7万台设备受此影响,而台湾、美国、以色列、土耳其和印度为主要分布地区。

澳门新葡亰网址下载 26

5.勒索韩国网络托管公司的Erebus 病毒

2017年6月份,韩国网络托管公司 Nayana
在6月10日遭受网络攻击,导致旗下153台Linux
服务器与3,400个网站感染Erebus勒索软件。事件发生后,韩国互联网安全局、国家安全机构已与警方展开联合调查,Nayana公司也表示,他们会积极配合,尽快重新获取服务器控制权限。在努力无果后,Nayana公司最终还是选择以支付赎金的方式换取其服务器的控制权限,向勒索黑客支付价值100万美元的比特币,来解密锁指定的文件。

6.总结

瑞星安全专家通过对2017年1至6月的互联网安全事件分析发现,网络攻击有可能逐渐演变为网络恐怖主义,黑客组织有预谋地利用网络并以网络为攻击目标,攻击全球各个国家,并且破坏国家的政治稳定、经济安全,扰乱社会秩序,制造轰动效应的恐怖活动。随着全球信息网络化的发展,破坏力惊人的网络恐怖主义正在成为世界的新威胁。为此,防范网络恐怖主义已成为维护国家安全的重要课题。

(二)全球网络扫描异常活跃

网络扫描是一些网络攻击的前奏,也是一些网络威胁活动的体现,通过捕捉网络扫描行为,可以感知到网络空间的威胁态势,是了解网络空间安全状况的最好途径之一。

根据瑞星全球威胁情报采集网络采集的网络扫描数据,瑞星总结出以下特点:

澳门新葡亰网址下载 27

1、Telnet默认端口成为最大被扫描对象

大量的Telnet扫描来自于服务器、网络设备、IoT设备等运行Linux系统的计算设备,主要原因是目前相当活跃的巨大的僵尸网络,例如Linux.Gafgyt和Linux.Mirai这两大僵尸网络家族。

2、445端口被疯狂扫描

由于今年NSA武器库泄露,通过445端口利用“永恒之蓝”漏洞,成为入侵Windows系统计算机的最为简单便捷的方法。不久前Linux
上使用的Samba服务也爆出远程执行漏洞(CVE-2017-7494),影响Samba 3.5.0
和包括4.6.4/4.5.10/4.4.14中间的版本,同样是使用445端口,被称为Linux上的“永恒之蓝”。

Windows系统和Linux系统这两个漏洞的产生直接导致了445端口的疯狂扫描和针对性的攻击事件的暴增。通过该漏洞传播的WannaCry勒索以及后来的Petya,同时借助该漏洞传播的门罗币挖矿机和组建僵尸网络的各种BOT肆虐网络,极大破坏了网络环境。

基于如此高频的445扫描,再次提示务必做好服务器安全工作,安装相应的安全更新,避免成为网络扫描者手到擒来的“猎物”,彻底结束NSA武器库泄露带来的不良影响。

3、来自中国地区的网络扫描对数据库服务更感兴趣

数据显示,从IP的角度看,来自中国的网络扫描更加青睐数据库服务器。其中,对MySQL、MSSQL的扫描次数、源IP个数,都位于全球第一。虽然无法准确判断扫描者在确认数据库服务类型之后的下一步动作,但也不妨碍我们推断出“扫描者”对数据库服务及数据资产的渴望。

澳门新葡亰网址下载 28

澳门新葡亰网址下载 29

澳门新葡亰网址下载 30

澳门新葡亰网址下载 31

(三)僵尸网络持续影响全球网络

根据2017上半年采集的数据显示,全球范围内最为活跃的两大著名的僵尸网络,分别为Linux.Gafgyt/Linux
和 Linux.Mirai。

Linux.Gafgyt最主要的功能是Telnet扫描。在执行Telnet扫描时,木马会尝试连接随机IP地址的23号端口。如果连接成功,木马会根据内置的用户名/密码列表,尝试猜测登录。登录成功后,木马会发出相应命令,下载多个不同架构的BOT可执行文件,并尝试运行。

澳门新葡亰网址下载 32

澳门新葡亰网址下载 33

Linux.Mirai病毒是一种通过互联网搜索并控制物联网设备并发起DDOS攻击的一种病毒,当扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆,一旦登陆成功,这台物联网设备就进入“肉鸡”名单,黑客操控此设备开始攻击其他网络设备。

澳门新葡亰网址下载 34

澳门新葡亰网址下载 35

构建僵尸网络IOT设备类型分布

澳门新葡亰网址下载 36

四、趋势展望

(一)勒索软件蠕虫化

勒索软件蠕虫化的结果是恐怖的,2017年的WannaCry就震惊全球。通过蠕虫的传播手段将勒索软件迅速的分发到全球存在漏洞的机器上,造成的破坏将是毁灭性的。以往的传播手段主要是通过垃圾邮件和EK工具网站挂马等,采用被动手段,效果有限。但通过蠕虫化被动为主动,将起到“事半功倍”的效果。“WannaCry”已经验证了效果。不能想象勒索软件和蠕虫在不久的将来将会结合得愈来愈紧密。

(二)Linux病毒仍保持快速增长

2017年1至6月,瑞星“云安全”系统共截获Linux病毒样本总量42万个,远远超过了2013年、2014年和2015年的总和。瑞星早在2014年底发布的《Linux系统安全报告》就已预测,在接下来几年中针对Linux
的病毒将要有个爆发性的增长。这种增长势头可以预见仍将持续很长一段时间。

澳门新葡亰网址下载 37

在2017年上半截获的Linux平台的恶意软件种类可以看出,僵尸网络依然是Linux平台下最为活跃的恶意软件类型。其中Linux.Gafgyt和
Linux.Mirai依然是最为流行、活跃的僵尸网络,这也解释为了为何Telnet/SSH端口被大量扫描。

澳门新葡亰网址下载 38

另外,针对Linux系统的勒索软件数量也开始上升,虽然数量远远不及Windows平台,主要还是受众人群数量少和攻击面狭窄的原因,但是一被勒索,损失将会非常惨重。相对于个人PC而言,运行Linux的服务器、网络设备、IoT设备,一旦受到勒索软件的入侵,将导致数据丢失、系统停机等现象,后果更为严重,损失也更为巨大。

瑞星安全专家对目前典型的Linux恶意软件进行了简单说明:

1.致使大半个美国断网的Mirai病毒

2016年10月份,美国互联网服务供应商Dyn宣布在当地时间21日早上6点遭遇了一次“分布式拒绝服务”(DDoS)攻击,Dyn为互联网站提供基础设施服务,客户包括推特、Paypal、Spotify等知名公司,该攻击导致许多网站在美国东海岸无法登陆访问。这次攻击的背后的始作俑者是一款称为“Mirai”的蠕虫病毒,Mirai病毒是一种通过互联网搜索物联网设备的病毒,当扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆,一旦登陆成功,这台物联网设备就进入“肉鸡”名单,黑客操控此设备开始攻击其他网络设备。据统计一共有超过百万台物联网设备参与了此次
DDoS 攻击。

2.勒索韩国网络托管公司的Erebus病毒

2017年6月份,韩国网络托管公司 Nayana
在6月10日遭受网络攻击,导致旗下153台Linux
服务器与3,400个网站感染Erebus勒索软件。事件发生后,韩国互联网安全局、国家安全机构已与警方展开联合调查,Nayana公司也表示,他们会积极配合,尽快重新获取服务器控制权限。在努力无果后,Nayana公司最终还是选择以支付赎金的方式换取其服务器的控制权限,即向勒索黑客支付价值100万美元的比特币,来解密锁指定的文件。

3.以DVR设备为目标的IOT蠕虫Amnesia

Amnesia是一款基于IOT/Linux蠕虫“Tsunami”的变种,被黑客用来组建僵尸网络。它允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机(
DVR )设备。该漏洞已被安全研究人员在TVT
Digital(深圳同为数码)制造的DVR(硬盘录像机)设备中发现,并波及了全球70多家的供应商品牌。据数据统计显示全球有超过22.7万台设备受此影响,而台湾、美国、以色列、土耳其和印度为主要分布区。

4.感染家庭路由器用来”挖矿”的Darlloz
蠕虫病毒

Darlloz 是一款Linux
IoT蠕虫病毒,能够迅速感染家用路由器,机顶盒,安全摄像头以及其它一些能够联网的家用设备,成功感染后会在设备中安装CPUMiner程序进行挖矿,将这些个设备变成为攻击者赚钱的矿机。其中中国、印度、韩国和美国受感染较严重。

5.CIA OutlawCountry和Gyrfalcon的曝光

维基解密最近曝光了CIA项目OutlawCountry,这个项目的目的在于让CIA能够入侵并且远程监听运行Linux系统的电脑。CIA黑客能够把目标计算机上的所有出站网络流量重定向到CIA控制的计算机系统,以便窃取或者注入数据。OutlawCountry工具中包含一个内核模块,CIA黑客可以通过shell访问目标系统加载模块,并且可以在目标linux主机创建一个名称非常隐蔽的Netfilter表。“OutlawCountry
1.0版本包含针对64位CentOS/RHEL
6.x的内核模块,这个模块只会在默认内核下工作。另外OutlawCountry
v1.0只支持在PREROUTING中添加隐蔽DNAT规则。

Gyrfalcon也是维基解密曝光的CIA内部一款针对Linux的工具。Gyrfalcon
能够收集全部或部分 OpenSSH 的会话流量,包括 OpenSSH
用户的用户名和密码。Gryfalcon 的工作原理是通过以 OpenSSH
客户端为目标,在活动的SSH会话中获取用户信息。通过这款工具窃取到的信息以加密文件的方式保存在本地,后通过通讯渠道传送到攻击者的计算机上。

瑞星安全研究人员通过分析全球的僵尸网络发现,大量组建僵尸网络用来DDos攻击的,Linux系统占的比较多。具体僵尸网络利用恶意软件列表如下:

澳门新葡亰网址下载 39

图:Linux DDos攻击典型样本

(三)物联网(IoT)设备面临的安全威胁越发突出

IoT设备最近几年发展神速,但是随之增加的安全问题愈加严峻。这些设备中往往缺乏相关的安全措施,而且这些设备大多运行基于Linux的操作系统,攻击者利用Linux的已知漏洞,能够轻易实施攻击。致使大半个美国断网的Mirai,以DVR设备为目标的Amnesia,感染家庭路由器用来”挖矿”的Darlloz等病毒都将矛头指向了这些脆弱的IoT设备。可以预见这些脆弱的IoT设备随着数量的增加,安全问题将愈发严峻。

专题1:网络摄像头泄露用户隐私分析报告

近两年来网络摄像头市场火爆,购买一个小小的摄像头,通过家庭WIFI接入网络,不需要太过于复杂的设置,简单的注册账号配对成功后,用户就可以在手机端实时查看你要的监控画面,甚是方便。而且网络摄像头价格低至百元,入手门槛非常低,所以很快便成了居家防盗、监控宠物、公司监控等方面的利器。

1、摄像头漏洞形成

用户在使用摄像头设备进行配置时,会分配一个公网IP和端口,设备默认存在admin,user,guest登录用户,密码均为默认密码或简单密码。通过访问公网IP和端口,输入账号和密码就可以登陆摄像头监控管理界面,对摄像头所拍摄的画面进行实时管理和监控。

由于用户安全意识较低,对网络摄像头所带来的危害没有直观意识,并没有对设备默认的账户进行修改,导致恶意攻击者通过网络扫描进行攻击,获取到摄像头公网IP和端口,对账户和密码进行攻击,成功获取摄像头管理界面,甚至可对摄像头设备进行管理、录像,拍照,语音监听等操作。

2、摄像头扫描设备在群里公开售卖

瑞星安全专家通过某平台搜索到各种网络摄像头品牌,价格不等,有的支持wifi功能,无需布线即可使用,可进行家用或商用,可谓功能齐全。

澳门新葡亰网址下载 40

通过暗访,加入摄像头破解交流群,然后就有人主动询问是否需要摄像头IP地址,可实时观看监控画面,也有人询问是否需要摄像头设备扫描软件,在摄像头录像交流群中里发现有人对摄像头IP地址进行贩卖,一批摄像头IP地址包括成功的账号和密码,IP地址数量几十到几百不等,1个摄像头IP地址售卖30元,2个可监控的摄像头IP地址售卖50元不等。

澳门新葡亰网址下载 41

澳门新葡亰网址下载 42

通过调查发现,有人会在群里发布某些被黑用户的家庭隐私录像、图片等,在某个时间段还要进行实时播放,这将对被黑用户的个人隐私造成极大的危害。

澳门新葡亰网址下载 43

同时,有人还会对攻击成功的摄像头设备进行标注,分类明确,同时可监控几十个摄像头设备。恶意攻击者对摄像头用户进行实时监控,观看用户的日常起居。想想在生活中的一举一动都被人时时刻刻监视,就令人害怕。

澳门新葡亰网址下载 44

也有人对摄像头设备扫描软件进行出售,售卖价格为50元。购买者自己购买了软件后自己进行摄像头设备扫描。通过渠道得到一款摄像头设备扫描软件,软件配置简单,输入IP地址点击开始就能自动扫描。

澳门新葡亰网址下载 45

通过分析发现,软件是全自动,如果扫描成功会输出结果,成功的显示登陆成功并附带登录账号和密码,失败的显示登陆失败。用户和密码都是较为常见的简单类型,大多数用户名和密码相同,也有较为简单的密码。

使用扫描成功的进行连接,通过访问IP地址和端口,输入正确的账号密码,就能进入到监控界面,经过短暂加载,摄像头远程传输的画面开始播放,且清晰度相当高,可以看到室内的物品摆设,也能看到部分物品的字体、画面是实时播放,在界面功能中可以对监控进行录像、拍照、监听等操作。

澳门新葡亰网址下载 46

瑞星安全专家称这种扫描主要依靠扫描器扫描,通过扫描器对IP地址和端口进行大范围的扫描,扫描出匹配的摄像头设备类型,然后使用一些弱口令密码进行校验登录,常见的网络摄像头设备弱口令是admin,user,guest,123456,admin123,admin888。

3、网络摄像头同样支持APP

通过分析发现网络摄像头同样支持APP,在手机上安装一款APP软件,选择相应的产品型号,填上IP地址和端口,输入正确的用户名和密码,就能监控到摄像头拍摄的画面。

澳门新葡亰网址下载 47

网络安全专家从测试结果来看,目前有关视频画面泄露的问题主要集中在网络摄像头云平台登录逻辑漏洞问题和手机APP软件漏洞两个方面,其他可能导致信息泄露的问题也存在,但是相比之下数量较少。

4、网络摄像头被曝近八成不合格

据了解,目前市面上的网络摄像头多数分为两种:一种是连接在PC端,作为视频聊天使用,价格不是很高,安全系数较低;另一种是固定在家中某个位置,常年与家中的WiFi相连接,起到安全保护的作用,价位高,看上去比较安全。

其实,这两种摄像头都存在不同的安全风险。如果摄像头直接连接到网络上,那么安全风险是一样的。视频摄像头在电脑开机时,还有可能存在被“直播”的隐患。一位业内人士表示,用做安保的摄像头因为长期处于工作状态,信息被盗取的可能性就更大一些。

之前,央视曾多次报道过摄像头漏洞泄露用户隐私的问题,这种曝光是为了让民众在生活中的隐私能够有一个自我保护的安全意识行为,但是结果却相反,大多数用户对于个人隐私的保护意识相对薄弱。

澳门新葡亰网址下载 48

5、安全专家建议

1、购买监控或者智能家居产品时,尽量选择一些大品牌和正规厂商,可以对所选品牌进行一些调查,根据相关报道了解产品的安全和口碑如何。在安全性和管理规范上,正规厂商相对于小厂商来讲更安全。

2、在使用时,对默认密码进行修改,设置一定强度的密码,及时关注摄像头软件的提醒。

3、经常登录摄像头进行查看,如发现实际拍摄角度与安装时发生变化等情况,需要检查账号安全并及时修改密码。

4、关注所用品牌摄像头安全方面的消息,如果发现设备漏洞应停止使用,等待厂家更新,并保证所使用的摄像头软件是最新版本。

专题2:反病毒技术分享:动态防御成“敲诈软件”最有效克星

众所周知,脚本病毒与宏病毒是勒索软件经常使用的传播手段,近年来,“敲诈软件”呈现快速增长趋势,病毒作者经常将病毒脚本作为邮件附件发送给受害者,其运行后会下载勒索病毒等高危病毒,给用户造成严重的经济损失。

瑞星安全专家介绍,Nemucod家族是一个近年来十分流行的脚本病毒,其主要是一些混淆变型的JS或VBS脚本,被“黑客”附加在电子邮件中投递给潜在受害者,激活后脚本代码从远程服务器下载勒索软件到本地并运行。

瑞星安全专家通过持续跟踪近期收集的相关家族样本,发现由于脚本代码混淆成本非常低,同一个版本的源码,可以在短时间内通过不同的混淆策略构造出大量的不同静态特征的变种类型。下面,瑞星安全研究员将分别介绍样本的一些静态混淆变化特点以及动态对抗手法。

一、静态混淆变化特点

Nemucod家族样本混淆的时候,主要是对原样本代码中出现的关键字符串(如:网址,函数方法名,函数调用参数串等)进行处理,一种是对字符串明文进行随机长度拆分,执行的时候进行拼接。另一种是对整个字符串进行加密,执行时通过特定函数解密后再使用。

(1)明文串随机拆分

澳门新葡亰网址下载 49

对于拆出来的子串,依据JS的语法特点,主要有三种表现形式:字符串形式,数组形式和函数形式。

澳门新葡亰网址下载 50

澳门新葡亰网址下载 51

澳门新葡亰网址下载 52

(2)通过解密函数解密

澳门新葡亰网址下载 53

除了核心字符串混淆之外,整个代码文件还用了一些其他的混淆策略,常见的有三种:变量名和函数名长度内容随机化,随机插入无效的垃圾代码和随机插入各种注释信息。无效垃圾代码主要表现形式:随机插入重复的赋值语句,构造无效的代码块。

澳门新葡亰网址下载 54

澳门新葡亰网址下载 55

二、动态对抗手法

瑞星安全专家经过分析发现,大量Nemucod变种经过动态还原后,其实所对应的源码模板变化不太大。通过动态跑JS脚本,获取脚本运行的中间结果进行检测,效果显著。但是,动态跑JS代码需要依据代码逻辑动态执行,若虚拟机对于某些函数功能模拟不正确就导致最终跑出来的中间结果是不完整的,从而影响特征扫描。对抗脚本虚拟机,目前发现的有以下几种方式:

(1)检测运行环境

澳门新葡亰网址下载 56

调用接口获取Windows目录下第一个子目录,检测该子目录文件名长度,若文件名长度大于1则执行代码。

澳门新葡亰网址下载 57

调用接口获取C盘文件系统类型,若文件系统类型为NTFS且特定变量符号指定类型才执行代码。

澳门新葡亰网址下载 58

调用接口获取C盘磁盘容量,若磁盘容量字节数大于特定值才执行代码。

澳门新葡亰网址下载 59

调用接口,获取C盘host文件属性和类型,满足指定值才执行代码。

澳门新葡亰网址下载 60

调用接口获取C盘的序列号,非0的情况下才执行代码。

澳门新葡亰网址下载 61

调用接口获取当前操作系统的语言类型,只有包含1033(英语)的才执行代码。

澳门新葡亰网址下载 62

对于特定语句/*cc_on
*/这个语句在IE和Wscript环境中,被当作代码语句执行,而在一般的Jscript引擎中,/**/会被当作注释,所包含的语句是不会被执行的。从语句逻辑可知,一般的模拟器是不会执行变量Time申明和复制操作那一句的,那么后边的和Time变量相关的方法调用也会出错。

调用接口设置当前时间值(秒),立马获取当前时间值(秒),若设置的值与获取的值相同则执行代码。

(2)下载域名随机化

每个变种所带的下载域名都不同,而且没有变化规律,在域名串上拦截很难。

(3)(1)检测运行环境

使用多层脚本调用执行功能,即使JS层被跑开了,但是内层的脚本依然存在混淆,那么单单跑开外层脚本,得到的脚本串依然存在混淆,那就加大了检测的难度。

澳门新葡亰网址下载 63

第一层混淆是JS的,若顺利跑开后,可以得到内层的PowerShell脚本,通过CMD命令行方式启动的,可以看到内层的PowerShell脚本也是这种字符串随机拆分然后拼接执行的。

通过上述内容我们可以看到,Nemucod家族样本在静态混淆变化上,依据所用语言的语法特性,把样本核心功能串碎片化并且增加各种垃圾代码,使得样本代码膨胀,代码逻辑结构复杂化。在动态对抗手法上,通过构造奇特的代码运行条件,使用多层代码调用策略并且层层代码做混淆,增加动态还原JS代码的难度。

杀毒软件在检测该家族样本时,不管是从静态特征上还是从动态行为上,都会增加不小的难度。与病毒之间的对抗本来就是你来我往,持续跟踪家族样本并且及时依据样本特征更新杀软的检测方式方法,才能很好实现对该家族的查杀。

专题3:The Shadow Brokers方程式工具包分析

2017年4月,The Shadow
Brokers公布了第三批NSA(美国国家安全局)使用的网络入侵工具。泄露的资料中包括一整套完整的入侵和控制工具。泄露资料中包括FuzzBunch
攻击平台,DanderSpiritz 远控平台,和一个复杂的后门oddjob还包括NSA
对SWIFT进行攻击的一些资料信息。经分析这一次泄露出来的工具涉及的面更广,危害也更大。

FuzzBunch 攻击平台

FuzzBunch攻击平台主要是通过远程溢出攻击网络上存在漏洞的机器,攻击成功后植入指定后门。该平台类似于大名鼎鼎的Metasploit工具,但更先进的是它使用的exp几乎全是操作系统级的远程溢出0day,攻击目标几乎囊括了全系列的Windows系统。虽然微软在MS17-010中放出了补丁,但对于那些没有及时打补丁和内网中的用户来说,这几乎就是一个灾难。

此次放出来的exp大部分是针对SMB协议的,SMBv1、SMBv2和SMBv3的都有,不难看出NSA非常钟情于SMB协议的漏洞。受影响的操作系统从Windows
NT,XP到2012全线覆盖。在部分python源码里面显示工具开发早于2012年,几乎所有的exp都是系统级的远程溢出,不需要什么钓鱼啊,访问网页啊,打开文档等用户交互操作,只要能访问到你机器就可以攻击,而且是指哪打哪,细思恐极!可想而知,这些年来NSA通过这些漏洞在互联网上来去,几乎就是如入无人之境。此处放出来的文件分析发现还并不是所有的文件,不排除NSA正在使用更多更先进的工具。

澳门新葡亰网址下载 64

平台框架由python开发,功能采用模块化实现,易于扩展。主要模块如下表所示:

澳门新葡亰网址下载 65

平台使用类似MSF,采用傻瓜化操作,只要指定攻击的IP、Exploit和Payload就可以进行工作。Exp相对稳定,在几台测试的未打补丁的机器上都能成功溢出。

澳门新葡亰网址下载 66

图:使用Eternalblue溢出XP成功

澳门新葡亰网址下载 67

图:使用Eternalchampion溢出xp成功

Eternalblue溢出成功后默认在用户的机器上植入Darkpulsar
Payload。该Payload的功能相对较少,主要功能有执行shellcode和加载DLL,为以后植入复杂的后门做准备。

澳门新葡亰网址下载 68

这些攻击工具危害是巨大的,好在微软在上个月发布的MS17-010的补丁中对这些个漏洞进行了修复。用户为了避免被攻击,需及时更新补丁,由于Windows
XP和2003,微软已经停止更新,用户必须手动关闭139,445和3389等端口,避免受到攻击。

澳门新葡亰网址下载 69

DanderSpiritz 远控平台

DanderSpiritz是泄露工具中的一整套完整的远控平台。由Java实现的框架,python实现的插件系统。和许多世面上常见的后门的模式类似,可以主动连接控制端也可以等客户端反弹回来。还有一种比较有意思的模式:Trigger模式,向指定的主机发送一个HTTP包或一封邮件去触发后门。

澳门新葡亰网址下载 70

图:主界面截图

平台可以配置生成PeedleCheap后门。后门可以是EXE也可以是DLL,支持32位和64位系统。

澳门新葡亰网址下载 71

配置选项中可以指定监听的端口,可以指定反弹的IP和端口,还可以指定要注入的进程名,同时,还会生成一对RSA公私钥,供后门中使用。

澳门新葡亰网址下载 72

图:配置成功生成的后门

后门可以通过Darkpulsar进行植入,也可以单独以文件的形式进行植入,该后门的功能丰富,终端、文件操作等所有想要的功能都具备了,是一个功能非常全面的后门。

澳门新葡亰网址下载 73

图:终端支持的命令

DanderSpiritz中的功能不仅只有这一个后门那么简单,具体有哪些能力还在研究中,随着研究的深入,肯定还会有新的功能被发掘出来。

总结

从这些泄露的攻击工具中不难看出NSA的攻击步骤,先使用FuzzBunch平台进行溢出攻击,溢出成功后加载Darkpulsar,再通过Darkpulsar植入PeedleCheap,最终反弹到DanderSpiritz平台。

澳门新葡亰网址下载 74

此次泄露的是完整的一套攻击工具,任何人拿来经过一定的摸索就可以使用进行攻击。虽然微软补丁已经发布,FuzzBunch平台可能会失去作用,但是DanderSpiritz却可以拿来一直使用,危害较大。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图