深度:一文让你看懂2018上半年网络安全大事
从2018年1月到6月,网络安全形势出现新变化。一方面,网络安全态势变得越来越复杂,数据泄露、DDoS攻击等事件愈演愈烈;另一方面,伴随着数字加密货币的兴起,有关虚拟货币的安全事件频频发生,无论是黑客攻击,还是加密货币挖矿恶意软件,都让“币圈安全”成为安全界关注的新话题。
同时,我们看到国内企业安全意识觉醒力度不够、安全投入不足;企业在准备不足的情况下,依然面临数据安全保护的巨大挑战。更重要的是,即将到来的5G/IPv6/IoT时代将深刻改变互联网的安全格局。
(图片:来自Pixabay)
来自Check Point公司发布的《网络攻击趋势:2018年中报告》表明,网络犯罪分子使用加密货币挖矿(cryptomining)恶意软件对企业策动攻击,以此增加非法收入来源。同时,云基础设施逐渐成为热门的攻击目标。
另外,我国网络安全领域相关标准的体系化正在加速构建和形成,而商用密码应用的安全正成为国家重点推进的新领域,并且网络安全正成为企业数字化转型的一项标配能力与品牌。
一、 DDoS攻击
一直以来,DDoS攻击都是互联网的公敌。腾讯安全云鼎实验室披露的报告表明:在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且向平台化、自动化的方向发展,不断增强攻击能力。
2018年上半年,DDoS攻防如火如荼地发展,以IoT设备为反射点的SSDP反射放大尚未平息,Memcached DDoS又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7Tbps的攻击流量成为安全界关注的新焦点。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
1. DDoS攻击行业分类情况:
目前,游戏行业成为DDoS攻击的首选目标,这是因为游戏行业其日流水量最大、变现快。其次是门户网站/社区、IT服务/软件、电商、移动应用视频等。值得关注的是,在医疗、物联网、教育等传统行业互联网化后,也遭受到不同程度的攻击,且呈上升趋势。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
- DDoS攻击的类型占比统计
根据报告,在DDoS攻击类型中,反射放大占比最多,约为55.8%。今年三月以来,Memcached是一支新兴的反射放大力量,很快得到DDoS黑产界利用。反射放大占比如此之高的原因在于DDoS黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。作为DDoS攻击的主要攻击方法,SYN Flood排名第二;NTP反射排名第三。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
3. 攻击流量带宽分布情况
目前来看,1-5G的攻击次数最多,占比约38%。大多数的攻击均在100Gbps以下,攻击过百G的次数占总攻击次数不到5%。整体的攻击流量平均峰值约在5.2Gbps左右。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
- 攻击时长分布占比情况
从攻击时长来看,占比最多的是1min以下的攻击,约占38.7%。其主要攻击方式是瞬时攻击,即以极大的流量直接瘫痪掉攻击的服务,导致大量用户掉线、延迟和抖动等。5-10min也占比相当大比例,约28.7%。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
二、 互联网黑产
2018年,伴随移动应用的影响力超过电脑应用,主要互联网黑产也迁移到手机平台。根据腾讯手机管家发布的《腾讯安全2018上半年互联网黑产研究报告》表明,以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型,这些移动端的互联网黑产,给用户和软件开发者带来了巨大损失。
同时,2018年是区块链大年。从2017年下半年至今,互联网病毒木马的主流也都围绕区块链、比特币、以太坊、门罗币而来。可以看到,挖矿木马成为2018年影响面最大的恶意程序。
- 移动端黑产规模宏大 恶意推广日均影响用户超千万
2018年上半年,手机病毒类型多达几十种,大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型,占比分别为32.26%、28.29%和20.40%。此外,手机病毒的功能日益复杂化,一款病毒往往兼具多种特性和恶意行为。
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
2. 三大新兴攻击手段
a. 黑产利用加固技术进程在加速:加固技术开发的本来目的是用于保护应用核心源代码不被窃取,随着病毒对抗的不断提升,越来越多的病毒应用开始采用加固来保护自己的恶意代码不被安全软件发现。根据腾讯安全反诈骗实验室的数据显示,进入2018年以后利用这些知名加固解决方案的病毒应用正在快速增加。
b. 黑产超级武器云加载进入3.0时代:根据腾讯安全反诈骗实验室大数据显示,目前使用动态加载技术的应用中,接近一半都是病毒。云加载技术正在成为病毒开发者最喜欢的攻击手段,色情、恶意应用分发、游戏暗扣等最赚钱的病毒家族,普遍标配云加载攻击技术来实现利益最大化。
c. 黑产渗透更多的供应链,供应链安全风险加剧
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
- 勒索病毒对企业及公共机构造成严重威胁
2018年,大量企业、政府机关和公共服务机构由于遭遇勒索病毒,生产系统数据被加密破坏,重要业务系统陷入崩溃。勒索病毒攻击者利用各种手段尝试入侵重要机构网络系统,例如通过弱口令漏洞入侵企业网站,再将企业Web服务器作为跳板,渗透到内网,然后利用强大的局域网漏洞攻击工具将勒索病毒分发到内网关键服务器,将企业核心业务服务器、备份服务器数据加密。
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
- 控制肉鸡挖矿产业链 游戏外挂成挖矿木马“重灾区”
目前,很多网络犯罪团伙利用漏洞攻击别人电脑,获取控制权之后,植入挖矿木马。
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
三、 网络攻击
根据Check Point发布的《网络攻击趋势:2018年中报告》表明,网络犯罪分子正大肆使用加密货币挖矿恶意软件对企业策动攻击,以增加非法收入。同时,云基础设施也逐渐成为热门的攻击目标。
据悉,在2018年1月到6月期间,受影响的组织数量翻了一番,达到42%。加密货币挖矿恶意软件能让网络犯罪分子利用高达65%的CPU电力,劫持受害人的CPU或GPU电力以及现有资源来挖掘加密货币。2018年上半年,最常见的三大恶意软件变种都是加密货币挖矿软件。
(图片来自网络)
目前,2018年上半年的加密货币挖矿恶意软件中,Cryptominers Coinhive占30%,它会在用户访问网页时不经用户许可执行门罗币的在线挖掘操作;Crytoploot占23%,JSEcoin占17%。
2018年上半年主要勒索软件中,Locky占40%,它通过垃圾邮件中伪装成Word或Zip压缩文件的附件进行传播;WannaCry占据35%的比例,利用Windows漏洞传播,Globeimposter占8%。
在今年上半年主要的移动恶意软件中,Triada占有51%的比例,它可为恶意软件下载授予超级用户权限,将恶意软件嵌入系统进程中;Lokibot占19%,它会在受害者试图删除其管理员权限时转变成恶意软件;Hidad占10%,它是一种安卓恶意软件,允许攻击者窃取敏感的用户数据。而在主要的银行恶意软件中,Ramnit占据29%,Dorkbot为22%,Zeus占14%。
四、 加密货币
2017年“炒币”风暴席卷全球,以比特币为代表的加密货币大火,进一步推动高潮上涨。事实上,我们看到2018年上半年,币圈攻击、盗窃事件层出不穷,让人惊叹。
- CoinCheck交易所遭受攻击 损失4亿美元
2018年年初,日本数字交易所Coincheck遭受黑客攻击,加密货币NEM被窃取,总价值高达5.3亿美元。其中,26万客户共损失4亿美元。
2. 币安遭入侵 黑客至少卷走7个亿
3 月 7 日晚间,知名加密货币交易平台币安疑似遭遇黑客攻击,交易系统出现故障,多名投资者山寨币在不知情的情况下以市价被卖出换成比特币,主要涉及超过 20 个币种,至少被卷走7个亿。后来,币安发布全球通缉令,以25万美元的等值赏金追缉黑客。
(图片来自网络)
- 区块链平台EOS智能合约漏洞
5月底,360 发现即将上线主网的 EOS 区块链中史诗级漏洞,部分漏洞可以通过远程攻击,完全控制虚拟货币交易。黑客只要上传一个具有恶意代码的智能合约,就能获得超级节点的控制权。虽然漏洞后来被修复,但是EOS 主网上线期间还是遭遇攻击,大量EOS私钥被黑客偷走。
4. 韩国加密货币交易所遭黑客攻击,引发比特币近三个月最大跌幅
6月10 日,韩国加密货币交易所 Coinrail 称系统遭遇“网络入侵”,损失超过4000万美元。此事导致比特币连续三天下跌。
除了上述的大型攻击和安全漏洞,就是大量利用恶意软件入侵设备,实施大规模或小规模挖矿。正如“Freebuf”所阐述:从 Chrome 商店的恶意扩展程序到针对 Mac 的“mshelper”的恶意挖矿软件;从数万台亚马逊 Fire TV 被迫“秘密挖矿”到针对 WordPress 的大规模暴力攻击。疯狂掘币者无所不用其极,利用旧的漏洞或新的工具,随时在网上扫易被攻击的设备,一旦发现目标,就直接入侵。
根据Carbon Black发布的上半年加密货币恶意攻击调查报告表明,2018 年 上半年,涉及加密货币的盗窃案金额高达 11.5 亿美元左右,甚至达到 2016 年全年的损失(13 亿美元左右)。
(图片来自:Carbon Black《Crypocurrency Gold Rush on the Dark Web》)
该报告还指出,加密货币交易最容易成为攻击目标,暗网直接针对加密货币占所有攻击的27%,21%的加密货币攻击目标是企业,14%的目标是用户,7%是政府。
(图片来自:Carbon Black《Crypocurrency Gold Rush on the Dark Web》)
在攻击的加密货币类型中,比特币依然是主要的攻击目标,但是其他加密货币受到的攻击也越来越多。目前,门罗币遭遇的攻击占加密货币的44%。
在加密货币的地域分布中,美国、中国、英国、日本以及印度排名前五。
(图片来自:Carbon Black《Crypocurrency Gold Rush on the Dark Web》)
五、 几大热点事件
- 英特尔处理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特尔处理器曝出“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,涉及手机、电脑、服务器以及云计算产品等产品。
这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能导致外泄。
2. GitHub 遭遇大规模 Memcached DDoS 攻击
2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!
攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。
3. Facebook数据泄露 震惊全球
在2018年上半年,Facebook数据泄露可谓震惊全球,影响深远。作为全球最大的社交网络服务网站,Facebook创立于2004年,总部位于加州帕拉阿图。目前,Facebook有三大核心产品Facebook、WhatsApp和Instagram,拥有20亿用户。
但是,家服务特朗普竞选团队的数据分析公司“剑桥分析”获取了Facebook 5000万用户的数据,并进行了违规滥用。
几天后,Facebook市值蒸发360亿美元,股价大跌。不仅公司受到美国政府和欧洲多国抨击,而且用户信任度大大降低,品牌遭遇声誉危机。
(图片来自网络)
毫无疑问,这次丑闻给Facebook带来了前所未有的不确定性!
- 黑客利用思科高危漏洞攻击国内多家机构
2018年3月末,思科高危漏洞 CVE-2018-0171在清明小长假期间被黑客利用发动攻击,国内多家机构中招,配置文件被清空,安全设备形同虚设。此漏洞影响底层网络设备,且漏洞 PoC 已公开,很有可能构成重大威胁。
思科3月28日发布安全公告指出,思科 IOS 和 IOS-XE 软件 Smart Install Client (开启了Cisco Smart Install管理协议,且模式为client模式)存在远程代码执行漏洞 CVE-2018-0171,CVSS 评分高达9.8分(总分10分)。攻击者可远程向 TCP 4786 端口发送恶意数据包,触发目标设备的栈溢出漏洞造成设备拒绝服务(DoS)或远程执行任意代码。
- 欧盟《GDPR》(通用数据保护条例)颁布
今年上半年,既发生了影响深远的Facebook数据泄露事件,也颁布了全球最严的数据保护条例。
2016年4月14日,欧洲议会投票通过了商讨四年的《通用数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
(图片来自网络)
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案。
据悉,这部法案给予数据主体很多权利,包括知情权、访问权、反对权、可携带权、纠正权、删除权/被遗忘权、限制处理权、免受数据画像影响等诸多权利。
同时,如果不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。一般性违法,罚款1000万欧元或者全球全年营业收入2%;严重违法,罚款2000万欧元或者全球全年营业收入的4%。
《GDPR》实行2个多月,但是很多企业并没有真正上心。据Dimensional Research进行的一项调查结果发现,只有20%的受访公司认为他们符合GDPR标准,52%的企业正处于实施阶段,还有27%的企业尚未开始实施。
6. 俄罗斯世界杯遭到近2500万次网络攻击
四年一届的世界杯,不仅是体育运动的狂欢节,而且也是黑客攻击的高潮。
仅仅在世界杯揭幕战, 俄罗斯主场5-0战胜沙特阿拉伯,总共有78011人到达现场观战助威,而通过网络、电视等观看的人数更是不计其数。
2018年世界杯结束后不久,俄罗斯总统表示,俄罗斯在世界杯期间遭到将近2500万次网络攻击,但并没有透露谁可能是这些袭击的幕后黑手。
对于上半年发生的诸多网络安全事件,笔者咨询了深圳市网安计算机安全检测技术有限公司的总工程师彭泉和副总工程师黄伟杰。黄伟杰表示,随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术的广泛应用和融合发展,新技术应用带来新一轮产业变革的同时,网络安全威胁和新型网络犯罪也变得日益猖獗。
企业要加强网络安全合规建设,落实网络安全责任,提升安全防范能力。同时,加强数据安全保护与商用密码应用安全。对企业数据安全,企业应从采集、存储、应用、传输、销毁等全生命周期过程中加强监管、安全以及保护。
在商用密码安全方面,企业应根据国家商用密码安全相关规范,开展商用密码应用安全的检测评估,完善密码安全管理体系。另外,企业要以网络安全服务、运营和产品并重,持续改进运营,不断提升企业整体网络安全水平。
总结:
从DDoS攻击、恶意软件到数据泄露,今天的网络安全形势日益严峻,变化非常快。无论是个人消费者,还是企业,都应当重视网络安全发展,注意网络安全态势。
深圳网安认为,随着人工智能、云计算、物联网、大数据、移动互联网和区块链等技术越来越广泛的应用和融合发展,新技术应用在带来新一轮的产业变革的同时,全球性的网络安全威胁和新型网络犯罪也变得日益猖獗,重大网络安全事故频发,网络安全形势越发严峻。因此需要树立新时代的网络安全观,共建网络安全生态。
其次,针对全球性的网络安全问题和新型网络犯罪活动日益加剧,需要进一步推动网络安全技术的研究和创新发展。同时,需要加强我国网络安全领域的人才培养,建立专业的网络安全专业人才队伍。
参考资料:
-
https://weibo.com/ttarticle/p/show?id=2309404266332429374630
-
深圳市网安计算机安全检测技术有限公司副总工程师黄伟杰提供的资料