目录
网络安全事件
一. APT攻击特征
潜伏性:可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报;
持续性:由于APT攻击具有持续性甚至长达数年的特征,这让企业的管理人员无从察觉;
单点隐蔽性:为了躲避传统检测设备,APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测;
攻击渠道多样性:社交攻击、0day漏洞利用、物理摆渡等方式层出不穷;
针对特定目标:针对特定政府或企业,长期进行有计划性、组织性的窃取情报及破坏行为。
二. 伊朗“震网”事件
“震网”的由来:
2010年6月,白俄罗斯的一家安全公司VirusBlokAda受邀为一些伊朗客户检查系统,调查他们电脑的死机和重启问题。技术人员在客户电脑中发现了一种新的蠕虫病毒。根据病毒代码中出现的特征字“stux”,新病毒被命名为“震网病毒(stuxnet))”,并加入到公共病毒库,公布给业界人士研究。
震网病毒特点:
1. 针对性:是世界上第一例针对工控系统的病毒,是专门针对伊朗纳坦兹核工厂量身定做的病毒武器;
2. 不经过互联网:震网病毒只凭借某个用户用U盘从一台计算机传播到另一台计算机或者通过局域网传播;
3. 有截止日期:震网给自己的行动设定了终止日期:2012年6月24日。当震网病毒进入台新的计算机,都会检查日期,如果晚于这个日期,病毒就会停下来,放弃感染;
4. 4个win0day:利用的漏洞是软件开发者和反病毒公司还没发现的,这意味着根本没有补丁。
“震网”攻击路线:
三. WannaCry 勒索病毒
前情提要:永恒之蓝(EternalBlue)
美国国家安全局(NSA)研发的网络武器,用于攻击特定的政府企业目标(NSA曾通过该武器控制了几乎整个中东的银行和金融机构);
4月被黑客组织“影子经纪人”公开;
利用微软Vindows SMB协议漏洞,远程控制系统只要目标系统接入互联网/局域网,就可能受到攻击,目前影响XP~Vindows8系统。
病毒爆发:
2017年5月12日,‘WannaCry'勒索病毒在全球范围内爆发,本次事件波及150多个国家和地区。国内企事业单位以及教育网成为重灾区,该病毒利用NSA泄露“永恒之蓝”黑客武器攻击windows系统的445端口。
勒索病毒的传播和技术特点:
2013年首次出现的新型病毒模式;
加密用户的文件后勒索赎金;
通常3~7天内不支付赎金,作者将“"撕票”;
交易和勒索过程极难被追踪,FBI引悬赏300万美元未果;
过去主要通过邮件、挂马传播;
从15年开始进入爆发期,目前有超过100种家族;
仅CryptoWall家族的一个变种就收到23亿赎金;
近几年苹果电脑、安卓和iPhone手机也出现勒索病毒。
Wannacry勒索病毒蠕虫式传播示意图
Wannacry勒索病毒变种情况:
"Wannacry"V 0.1:通过网络武器传播,勒索用户没有蠕虫功能;
"Wannacry"V 1.0:具备蠕虫功能,大规模传播5月12日~14日主力传播;
"Wannacry"V 2.0:更换及取消“自杀开关”。(病毒作者为了防止蠕虫爆发不可控制所设置,如果检查特定的域名被注册,就不再继续感染)
四. 重大事件回顾
1.丰收行动
关键项 | 本次攻击事件情况说明 |
主要攻击目标 | 科研院所、军事院校、外交官员 |
目标国家 | 以巴基斯坦为主,中国、美国、英国、奥地利等 |
关键作用点 | 个人办公用机 |
目标人群 | 高级岗位人员,收如对外联系人、军事院校教授、政府官员、使馆人员等 |
攻击手法 | 鱼叉式钓鱼->VBS脚本->控制端->信息窃取 |
攻击目的 | 窃取信息数据 |
漏洞使用情况 | 使用影响office系列的CVE-2015-1641漏洞为主,兼用CVE-2012-0507、CVE-2013-0640等浏览器漏洞 |
免杀技术 | 攻击者搭建免杀测试环境包括:AVAST、NIS诺顿、Mcafee、AVG、Bitdefender等 |
活跃程度 | 长明在线操作,且控制系统每天都有新增的被控目标上线 |
反追踪能力 | 非常小心谨慎,使用多层跳板代理控制C&C服务器,上传文件均加密保存(需专用解密工具) |
工程化能力 | C&C控制系统环境搭建流程标准化,系统加国、支持库安装、控制模块、监控模块 |
攻击源 | 从二级跳板P的网络活动痕迹等线索判断,攻击者来自南亚国的可能性非常大 |
2. 摩诃草事件
摩诃草组织(APT-C-09)是一个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主,相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。
3. 鱼叉攻击
鱼叉攻击是针对特定组织的网络欺诈行为,目的是不通过授权来访问机密数据,最常见的方法是将木马程序作为电子邮件发送给特定目标,并诱使打开附件。
过程示意图
4. 水坑攻击
海莲花组织两种“水坑攻击”
A方式 :1.替换目标网站可信程序(捆绑即时通、证书驱动) Windows
2.为目标网站插入恶意JS代码(伪造Adobe Flash更新程序) Windows/Mac OS X
B方式:替换目标网站制定链接(新闻公告类信息) Windows