网络空间安全基础（四）

L@ncor

于 2024-09-29 06:30:00 发布

阅读量795

点赞数 13

文章标签：安全

本文链接：https://blog.csdn.net/qq_72021770/article/details/142579896

版权

网络安全事件

一. APT攻击特征

潜伏性：可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报；

持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉；

单点隐蔽性：为了躲避传统检测设备，APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测；

攻击渠道多样性：社交攻击、0day漏洞利用、物理摆渡等方式层出不穷；

针对特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报及破坏行为。

二. 伊朗“震网”事件

“震网”的由来：
2010年6月，白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统，调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet))”,并加入到公共病毒库，公布给业界人士研究。

震网病毒特点：

1. 针对性：是世界上第一例针对工控系统的病毒，是专门针对伊朗纳坦兹核工厂量身定做的病毒武器；

2. 不经过互联网：震网病毒只凭借某个用户用U盘从一台计算机传播到另一台计算机或者通过局域网传播；

3. 有截止日期：震网给自己的行动设定了终止日期：2012年6月24日。当震网病毒进入台新的计算机，都会检查日期，如果晚于这个日期，病毒就会停下来，放弃感染；

4. 4个win0day：利用的漏洞是软件开发者和反病毒公司还没发现的，这意味着根本没有补丁。

“震网”攻击路线：

三. WannaCry 勒索病毒

前情提要：永恒之蓝(EternalBlue)

美国国家安全局(NSA)研发的网络武器，用于攻击特定的政府企业目标(NSA曾通过该武器控制了几乎整个中东的银行和金融机构)；
4月被黑客组织“影子经纪人”公开；
利用微软Vindows SMB协议漏洞，远程控制系统只要目标系统接入互联网/局域网，就可能受到攻击，目前影响XP~Vindows8系统。

病毒爆发：
2017年5月12日，‘WannaCry'勒索病毒在全球范围内爆发，本次事件波及150多个国家和地区。国内企事业单位以及教育网成为重灾区，该病毒利用NSA泄露“永恒之蓝”黑客武器攻击windows系统的445端口。

勒索病毒的传播和技术特点：
2013年首次出现的新型病毒模式；
加密用户的文件后勒索赎金；
通常3~7天内不支付赎金，作者将“"撕票”；
交易和勒索过程极难被追踪，FBI引悬赏300万美元未果；
过去主要通过邮件、挂马传播；
从15年开始进入爆发期，目前有超过100种家族；
仅CryptoWall家族的一个变种就收到23亿赎金；
近几年苹果电脑、安卓和iPhone手机也出现勒索病毒。

Wannacry勒索病毒蠕虫式传播示意图

Wannacry勒索病毒变种情况：

"Wannacry"V 0.1：通过网络武器传播，勒索用户没有蠕虫功能；

"Wannacry"V 1.0：具备蠕虫功能，大规模传播5月12日~14日主力传播；

"Wannacry"V 2.0：更换及取消“自杀开关”。（病毒作者为了防止蠕虫爆发不可控制所设置，如果检查特定的域名被注册，就不再继续感染）

四. 重大事件回顾

1.丰收行动

关键项	本次攻击事件情况说明
主要攻击目标	科研院所、军事院校、外交官员
目标国家	以巴基斯坦为主，中国、美国、英国、奥地利等
关键作用点	个人办公用机
目标人群	高级岗位人员，收如对外联系人、军事院校教授、政府官员、使馆人员等
攻击手法	鱼叉式钓鱼->VBS脚本->控制端->信息窃取
攻击目的	窃取信息数据
漏洞使用情况	使用影响office系列的CVE-2015-1641漏洞为主，兼用CVE-2012-0507、CVE-2013-0640等浏览器漏洞
免杀技术	攻击者搭建免杀测试环境包括：AVAST、NIS诺顿、Mcafee、AVG、Bitdefender等
活跃程度	长明在线操作，且控制系统每天都有新增的被控目标上线
反追踪能力	非常小心谨慎，使用多层跳板代理控制C&C服务器，上传文件均加密保存（需专用解密工具)
工程化能力	C&C控制系统环境搭建流程标准化，系统加国、支持库安装、控制模块、监控模块
攻击源	从二级跳板P的网络活动痕迹等线索判断，攻击者来自南亚国的可能性非常大