今日頭條
官方微信
官方抖音
資訊頻道一、前言
2017年對(duì)企業(yè)安全影響最深遠(yuǎn)的事件是以WannaCry為代表的勒索病毒爆發(fā),給許多企業(yè)帶來(lái)了滅頂之災(zāi)。隨著數(shù)字加密幣的普及,數(shù)字加密幣天然的匿名性、非法交易難以追蹤的特性令病毒木馬黑色產(chǎn)業(yè)如獲至寶。2018年,數(shù)字加密幣已徹底改變了病毒木馬黑色產(chǎn)業(yè),使勒索病毒和挖礦木馬成為影響企業(yè)網(wǎng)絡(luò)安全的兩大核心威脅。
勒索病毒直接要求受害者向指定數(shù)字加密幣錢(qián)包轉(zhuǎn)帳;挖礦木馬傳播者瘋狂入侵企業(yè)網(wǎng)絡(luò),利用企業(yè)IT資源實(shí)現(xiàn)0成本挖礦(不管比特幣、門(mén)羅幣、以太坊幣跌成什么樣,利用僵尸網(wǎng)絡(luò)挖礦不需要購(gòu)買(mǎi)礦機(jī),也不需要自己付電費(fèi))。而暗網(wǎng)平臺(tái)大量存在的非法交易,更是數(shù)字加密幣持續(xù)火爆的土壤。
勒索病毒和挖礦病毒主要傳播路徑幾乎一樣:利用黑客技術(shù)入侵企業(yè)服務(wù)器,以此為跳板,再利用輕易獲得的漏洞攻擊工具在企業(yè)內(nèi)網(wǎng)擴(kuò)散。是傳播勒索病毒,還是種植挖礦木馬,僅僅取決于攻擊者的目的。
企業(yè)網(wǎng)管可以將挖礦木馬看作企業(yè)網(wǎng)絡(luò)安全的“體溫表”:若經(jīng)常發(fā)現(xiàn)挖礦木馬在內(nèi)網(wǎng)運(yùn)行而未及時(shí)得到有效控制,距離勒索病毒破壞的災(zāi)難爆發(fā)就為期不遠(yuǎn)了。
二、企業(yè)安全現(xiàn)狀
1.企業(yè)終端病毒感染概況:
根據(jù)騰訊御見(jiàn)威脅情報(bào)中心數(shù)據(jù)顯示,每周約18%企業(yè)發(fā)生過(guò)病毒木馬攻擊事件。
從企業(yè)染毒的類(lèi)型看,挖礦類(lèi)病毒比例逐漸提升,勒索類(lèi)病毒依然占據(jù)比較高的比例。這兩大類(lèi)病毒在總體感染量總占比似乎并高,但這兩類(lèi)病毒造成的危害后果,卻是對(duì)企業(yè)網(wǎng)絡(luò)安全最嚴(yán)重的。
這兩類(lèi)病毒均同時(shí)使用了蠕蟲(chóng)式的傳播渠道:比如大量使用永恒之藍(lán)漏洞攻擊包,利用Web組件的高危漏洞從企業(yè)網(wǎng)絡(luò)邊界入侵,在局域網(wǎng)內(nèi)暴力破解多個(gè)網(wǎng)絡(luò)服務(wù)(3389、FTP、SQL弱口令等)主動(dòng)擴(kuò)散方式。一般的蠕蟲(chóng)式和感染型病毒以破壞性影響為主,這兩類(lèi)影響大多都是可逆的,清除病毒修復(fù)文件即可恢復(fù)正常,其感染后果跟勒索病毒不可同日而語(yǔ)。
而挖礦木馬,是看起來(lái)似乎沒(méi)有存在感,挖礦木馬隱蔽性極好。只在進(jìn)行挖礦操作時(shí),才大量消耗電腦系統(tǒng)資源,除了比較有經(jīng)驗(yàn)的網(wǎng)民一般難以發(fā)現(xiàn)。挖礦木馬在電腦中長(zhǎng)期存在,企業(yè)寶貴的計(jì)算資源被無(wú)謂浪費(fèi)掉。
2018年挖礦木馬控制肉雞電腦0成本大量挖礦,推動(dòng)整個(gè)黑色產(chǎn)業(yè)將比特幣、門(mén)羅幣、以太坊幣等數(shù)字加密幣作為非法交易的流通媒介,令黑產(chǎn)變現(xiàn)比以往更加簡(jiǎn)單和直接,已深刻影響病毒木馬黑產(chǎn)生態(tài)。
風(fēng)險(xiǎn)軟件常被中國(guó)網(wǎng)民稱(chēng)之為流氓軟件,占據(jù)著一半的感染比例,其危害主要是使用體驗(yàn)上的困擾。風(fēng)險(xiǎn)軟件的行為包括“流氓推廣”、“刷流量”、“騷擾廣告”、“劫持網(wǎng)絡(luò)流量”等惡意行為,相對(duì)其他病毒危害來(lái)說(shuō),這類(lèi)軟件的影響相對(duì)處于灰色地帶。風(fēng)險(xiǎn)軟件的高感染量,提醒廣大企業(yè)網(wǎng)管仍應(yīng)重視對(duì)風(fēng)險(xiǎn)軟件的防御。
2.行業(yè)病毒感染類(lèi)型分布
1)不同行業(yè)感染病毒類(lèi)型分布情況:
從感染病毒分布情況對(duì)比看,政府、教育、醫(yī)療等傳統(tǒng)感染更容易感染勒索、挖礦病毒,這也是為什么安全廠(chǎng)商頻繁爆出,醫(yī)療、學(xué)校等機(jī)構(gòu)感染勒索、挖礦病毒。而科技、金融等新興行業(yè)則更容易受風(fēng)險(xiǎn)軟件的威脅,對(duì)科技、金融等行業(yè),竊取機(jī)密往往成為惡意攻擊的首選目的。
2)行業(yè)感染病毒對(duì)比
從各行業(yè)感染病毒對(duì)比上看,醫(yī)療、教育行業(yè)感染病毒最為嚴(yán)重,金融行業(yè)感染病毒相對(duì)最少。同時(shí)可以發(fā)現(xiàn),風(fēng)險(xiǎn)軟件各行業(yè)感染情況相對(duì)比較平均,而勒索、挖礦病毒則主要集中在教育、醫(yī)療行業(yè)。
3)不同行業(yè)訪(fǎng)問(wèn)風(fēng)險(xiǎn)站點(diǎn)類(lèi)型分布
從訪(fǎng)問(wèn)風(fēng)險(xiǎn)網(wǎng)站分布看,政府、教育、醫(yī)療等傳統(tǒng)行業(yè),容易受社工欺詐、虛假銷(xiāo)售等網(wǎng)站影響,而科技、金融行業(yè)則更容易受信息欺詐影響。
4)行業(yè)訪(fǎng)問(wèn)風(fēng)險(xiǎn)站點(diǎn)對(duì)比
從各行業(yè)訪(fǎng)問(wèn)風(fēng)險(xiǎn)站點(diǎn)對(duì)比來(lái)看,社工欺詐和虛假銷(xiāo)售在各行業(yè)相對(duì)比較普遍。其中,政府受信息欺詐影響最小,而醫(yī)療行業(yè)受虛假銷(xiāo)售影響最大。
3.企業(yè)終端系統(tǒng)安全狀況
1)企業(yè)終端操作系統(tǒng)安全指數(shù)
根據(jù)騰訊御見(jiàn)威脅情報(bào)中心數(shù)據(jù)監(jiān)測(cè),并且結(jié)合系統(tǒng)脆弱性和系統(tǒng)受安全事件影響對(duì)企業(yè)用戶(hù)使用的Windows系統(tǒng)做不同版本的安全度評(píng)估。使用得出不同版本的系統(tǒng)安全指數(shù),使用Win10的用戶(hù)系統(tǒng)安全度更高,使用WinXP的用戶(hù)安全度最底
2)企業(yè)終端漏洞修復(fù)情況
黑客入侵活動(dòng)中,最常用的手法是利用系統(tǒng)漏洞達(dá)到入侵的目的,而針對(duì)對(duì)企業(yè)用戶(hù)終端的數(shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn),約83%的Windows操作系統(tǒng)存在高危漏洞未及時(shí)修復(fù)。
3)企業(yè)終端脆弱性配置情況
終端脆弱性是指存在風(fēng)險(xiǎn)系統(tǒng)配置項(xiàng),例如未設(shè)置登錄密碼、存在開(kāi)放的高危端口,防火墻被關(guān)閉等等。安全地配置系統(tǒng)可以有效防止高危入侵行為。
(1)企業(yè)終端Windows操作系統(tǒng)存在高風(fēng)險(xiǎn)配置比例
企業(yè)終端Windows操作系統(tǒng)配置情況較好,存在脆弱性配置的比例占14%,部分企業(yè)資產(chǎn)管理不到位,導(dǎo)致存在部分機(jī)器有所遺漏。
(2)存在高風(fēng)險(xiǎn)脆弱性配置的類(lèi)型分布情況
從存在的高風(fēng)險(xiǎn)脆弱性配置類(lèi)型來(lái)看,主要有身份鑒別和網(wǎng)絡(luò)安全訪(fǎng)問(wèn)控制風(fēng)險(xiǎn),即存在空口令登陸和允許遠(yuǎn)程匿名訪(fǎng)問(wèn)的風(fēng)險(xiǎn)。一旦被黑客利用,黑客可遠(yuǎn)程登錄計(jì)算器執(zhí)行任意操作,帶來(lái)信息泄露等嚴(yán)重問(wèn)題。
4.2018企業(yè)威脅病毒流行趨勢(shì)
1)勒索病毒
勒索病毒,是2018年破壞性最強(qiáng)影響面最廣的一類(lèi)惡意程序,通常是通過(guò)恐嚇、綁架用戶(hù)文件或破壞用戶(hù)計(jì)算機(jī)等方式,向用戶(hù)勒索錢(qián)財(cái)。
早期的勒索病毒通常是通過(guò)釣魚(yú)郵件、社工等方式傳播,通常傳播規(guī)模量比較小,隨著2017年NSA方程式工具泄露,“永恒之藍(lán)”工具被大量利用,加之近年數(shù)字加密幣的流行,勒索病毒感染正處于愈演愈烈的態(tài)勢(shì)。
2018年對(duì)企業(yè)安全來(lái)說(shuō),首要安全威脅當(dāng)屬勒索病毒,國(guó)內(nèi)活躍的勒索病毒家族如下:
而針對(duì)高價(jià)值的企業(yè)服務(wù)器勒索成為了勒索病毒攻擊的首選目標(biāo):
(1)2018.4月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn)Satan勒索病毒主攻數(shù)據(jù)庫(kù),對(duì)數(shù)據(jù)庫(kù)各種文件加密勒索,加密完成后,會(huì)用中英韓三國(guó)語(yǔ)言索取0.3個(gè)比特幣作為贖金,并威脅三天內(nèi)不支付不予解密。
(2)2018.4月,騰訊御見(jiàn)威脅情報(bào)中心接到某公司反饋,該公司數(shù)臺(tái)Windows服務(wù)器中了勒索病毒,電腦除了C盤(pán),其他磁盤(pán)分區(qū)都被整個(gè)加密,造成公司業(yè)務(wù)停擺,并且勒索金額高達(dá)9.5個(gè)比特幣(約40萬(wàn)人民幣)。
(3)2018.4月,騰訊御見(jiàn)威脅情報(bào)中心接到某公司反饋,服務(wù)器被黑客入侵并且數(shù)據(jù)已被勒索病毒家族加密。
(4)2018.5月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),GandCrab勒索病毒更新,并且目標(biāo)主要針對(duì)企業(yè)服務(wù)器。
(5)2018.6月,騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到,Crysis家族勒索病毒針對(duì)企業(yè)服務(wù)器攻擊迅速上漲。
(6)2018.7月,騰訊御見(jiàn)威脅中心發(fā)現(xiàn),湖北某醫(yī)院遭撒旦(Satan)勒索病毒襲擊。
(7)2018.8月,臺(tái)積電遭勒索病毒攻擊而停產(chǎn)。
(8)2018.9月,騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到,國(guó)內(nèi)某重要通信企業(yè)多地子公司發(fā)生GlobeImposter勒索病毒攻擊事件,內(nèi)網(wǎng)多臺(tái)機(jī)器被感染包括服務(wù)器。
(9)2018.9月,國(guó)內(nèi)部分國(guó)土部門(mén)專(zhuān)網(wǎng)受勒索病毒攻擊,部分省份不動(dòng)產(chǎn)登記系統(tǒng)暫停使用。
(10)2018.9月,騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到,GandCrab 再次升級(jí),通過(guò)暴力破解Tomcat 服務(wù)器弱密碼實(shí)現(xiàn)入侵,并且下載勒索病毒和挖礦木馬,實(shí)施勒索和挖礦。
(11)2018.11月,知名半導(dǎo)體公司合晶科技位于大陸的工廠(chǎng)全線(xiàn)感染W(wǎng)annaCry勒索病毒,造成產(chǎn)線(xiàn)癱瘓,工廠(chǎng)全部停產(chǎn)。
一方面,勒索病毒對(duì)企業(yè)傷害巨大,一旦企業(yè)內(nèi)網(wǎng)有資產(chǎn)中了勒索病毒,其常見(jiàn)文檔文件會(huì)被加密,無(wú)法正常使用,并且勒索病毒有極大的可能會(huì)在內(nèi)網(wǎng)傳播,給企業(yè)造成不可挽回的損失。另一方面,勒索病毒利用成本越來(lái)越低,而收益相對(duì)較高,在黑市上只要數(shù)百元便可以獲得一個(gè)勒索病毒,但勒索成功一次就可以獲利數(shù)千元,甚至數(shù)萬(wàn)元。
目前數(shù)字加密貨幣日益普及,在世界范圍內(nèi)處于監(jiān)管的空白地帶,利用數(shù)字加密貨幣達(dá)成非法交易,難以被執(zhí)法部門(mén)追蹤,勒索病毒制作/發(fā)布者因此更加肆無(wú)忌憚!
勒索病毒發(fā)布者通常都是有目的地針對(duì)企業(yè)發(fā)起攻擊,勒索企業(yè)獲得贖金的機(jī)率遠(yuǎn)高于勒索個(gè)人用戶(hù),可以預(yù)測(cè)2019年勒索病毒依然會(huì)是企業(yè)安全的重大威脅。
2)挖礦木馬
挖礦木馬,是近年興起的網(wǎng)絡(luò)安全威脅,2017年下半年開(kāi)始進(jìn)入普通用戶(hù)的視野,而2018年開(kāi)始流行。中挖礦木馬的計(jì)算機(jī),其計(jì)算機(jī)資源被大量占用用于數(shù)字加密幣的挖掘。挖礦木馬的流行一定程度上受數(shù)字加密幣市值漲跌影響。
以最常見(jiàn)的比特幣和門(mén)羅幣為例,2017下半年比特幣和門(mén)羅幣價(jià)值暴漲,2018年下半年有下降,但價(jià)值扔高于2017年之前,所以整個(gè)2018年勒索木馬的流行趨勢(shì)總體呈上漲趨勢(shì)。
(數(shù)據(jù)來(lái)源于coinmarketcap.com)
根據(jù)騰訊御見(jiàn)威脅情報(bào)中心數(shù)據(jù)監(jiān)測(cè),2018企業(yè)用戶(hù)中挖礦木馬的總體呈上升趨勢(shì)。
而企業(yè)服務(wù)器同樣成為挖礦木馬攻擊的常見(jiàn)目標(biāo)。
(1)2018.4月,騰訊見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),PhotoMiner木馬入侵FTP、SMB服務(wù)器擴(kuò)大傳播,并實(shí)施挖礦。
(2)2018.4月,騰訊見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),大批企業(yè)網(wǎng)站W(wǎng)EB服務(wù)器被黑客組件利用Apache Struts2 漏洞入侵,并植入挖礦木馬。
(3)2018.5月,騰訊見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到,黑客利用Drupal系統(tǒng)漏洞,大批使用Drupal系統(tǒng)的網(wǎng)站被植入挖礦木馬。
(4)2018.6月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),Nitol木馬被黑客植入到攻陷的服務(wù)器上,利用服務(wù)器挖礦。被攻擊的服務(wù)器還包括某省公路路政系統(tǒng)。
(5)2018.7月,騰訊御見(jiàn)威脅情報(bào)中心再次監(jiān)測(cè)到,利用Apache Struts2高危漏洞入侵服務(wù)器,植入KoiMiner挖礦木馬。
(6)2018.7月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),北京某連鎖醫(yī)療機(jī)構(gòu)SQL Server服務(wù)器遭黑客入侵,并且被植入挖礦木馬,服務(wù)器硬件資源被挖礦病毒大量消耗,影響正常的企業(yè)業(yè)務(wù)。
(7)2018.7月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),廣東重慶多家三甲醫(yī)院服務(wù)器遭暴力入侵,攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù),利用被攻陷的服務(wù)器挖礦。
(8)2018.7月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),北京某手游公司官網(wǎng)配置不當(dāng),服務(wù)器被入侵,其官網(wǎng)被植入挖礦木馬。
(9)2018.7月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),陜西多家企業(yè)網(wǎng)站被植入JS網(wǎng)頁(yè)挖礦木馬。
(10) 2018.12月,騰訊御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn),8220團(tuán)伙再次入侵企業(yè)服務(wù)器,利用企業(yè)服務(wù)器挖礦。
挖礦木馬依然持續(xù)活躍中,預(yù)測(cè)2019年挖礦木馬依然是企業(yè)安全的重要威脅之一。
3)風(fēng)險(xiǎn)軟件
風(fēng)險(xiǎn)軟件:是指具有“惡意行為”的軟件,這類(lèi)軟件通常附帶部分常用的功能,如“日歷”、“解壓縮”等用戶(hù)常用的功能,通過(guò)誤導(dǎo)安裝、捆綁安裝安裝等渠道安裝在用戶(hù)的機(jī)器上,進(jìn)行長(zhǎng)期的潛伏,伺機(jī)實(shí)施暗刷流量、流氓推廣、竊取隱私、挖礦、惡意廣告等行為。中國(guó)用戶(hù)習(xí)慣稱(chēng)為“流氓軟件”、“間諜軟件”等。
如2018年風(fēng)險(xiǎn)軟件影響比較大的事件之一是: 新型惡意軟件攻擊針對(duì)2018美國(guó)中期選舉關(guān)鍵州的選民,其意圖是收集有關(guān)活動(dòng)和選民的數(shù)據(jù),然后利用這些數(shù)據(jù)發(fā)起有針對(duì)性的后續(xù)攻擊。
對(duì)企業(yè)用戶(hù)來(lái)說(shuō),風(fēng)險(xiǎn)軟件很可能會(huì)竊取企業(yè)內(nèi)部機(jī)密信息,廣大企業(yè)用戶(hù)應(yīng)提高警惕。
4)感染型病毒
感染型病毒運(yùn)行后會(huì)將病毒代碼加入其它程序中,進(jìn)而感染全盤(pán),嚴(yán)重時(shí)可導(dǎo)致計(jì)算機(jī)崩潰無(wú)法運(yùn)行。早期的感染型病毒主要目的是破壞目標(biāo)計(jì)算機(jī),而近期活躍的感染型病毒附帶后門(mén)功能,病毒的操縱者可以遠(yuǎn)程連接到用戶(hù)計(jì)算機(jī)。
感染型病毒,破壞性強(qiáng),清除相對(duì)困難,又因?yàn)槠髽I(yè)內(nèi)網(wǎng)經(jīng)常存在文件共享等需求,感染型病毒容易在內(nèi)網(wǎng)傳播。
根據(jù)騰訊御見(jiàn)威脅情報(bào)中心數(shù)據(jù)監(jiān)測(cè),企業(yè)內(nèi)部中毒的類(lèi)型中約6.4% 是感染型病毒。感染型病毒作為一種相對(duì)古老的病毒類(lèi)型,長(zhǎng)期活躍在各企業(yè)內(nèi)網(wǎng)中,預(yù)測(cè)2019年感染型病毒依然是企業(yè)安全的主要威脅之一。
5)蠕蟲(chóng)、偽裝文件夾病毒
最常見(jiàn)的蠕蟲(chóng)病毒是“偽裝文件夾”病毒,偽裝文件夾病毒通常通過(guò)、移動(dòng)硬盤(pán)、U盤(pán)等移動(dòng)介質(zhì)及網(wǎng)絡(luò)驅(qū)動(dòng)器傳播。病毒入侵電腦后,可遠(yuǎn)程下載、更新其它病毒模塊,如盜號(hào)、挖礦等。
病毒運(yùn)行后,會(huì)將移動(dòng)設(shè)備、網(wǎng)絡(luò)驅(qū)動(dòng)器內(nèi)的原有文件隱藏,并創(chuàng)建一個(gè)與原有文件圖標(biāo)一樣的快捷方式,誘導(dǎo)用戶(hù)點(diǎn)擊。當(dāng)用戶(hù)將U盤(pán)、移動(dòng)硬盤(pán)拿到其它機(jī)器上使用時(shí),一旦點(diǎn)擊其偽裝的快捷方式時(shí),病毒馬上運(yùn)行,并實(shí)施感染電腦上其它正常的文件。對(duì)企業(yè)內(nèi)網(wǎng)來(lái)說(shuō),用U盤(pán)、移動(dòng)硬盤(pán)、網(wǎng)絡(luò)驅(qū)動(dòng)器交互文件頻率比較高,所以這類(lèi)病毒更容易在企業(yè)內(nèi)網(wǎng)中傳播。
三、2018其它典型企業(yè)安全事件
2018年影響企業(yè)安全的事件除了勒索病毒傳播依然猖獗,挖礦病毒異軍突起外,還有針對(duì)行業(yè)性的攻擊、針對(duì)軟件供應(yīng)鏈的攻擊等依然持續(xù)不斷。
1.“商貿(mào)信”病毒攻擊
在17年12月全球范圍內(nèi)爆發(fā)的“商貿(mào)信”病毒,在18年6月再次爆發(fā),每天定向投放到中國(guó)進(jìn)出口企業(yè)的攻擊郵件有數(shù)千封之多。
不法黑客將發(fā)件人偽裝成專(zhuān)業(yè)從事國(guó)際運(yùn)送業(yè)務(wù)的知名企業(yè)客服人員,并搭配極具說(shuō)服力的正文內(nèi)容,誘導(dǎo)收到郵件的業(yè)務(wù)人員下載查閱附件。一旦用戶(hù)不慎點(diǎn)開(kāi)郵件附件文檔,文檔內(nèi)嵌的惡意代碼會(huì)自動(dòng)下載Loki Bot木馬程序并運(yùn)行,造成用戶(hù)電腦中的機(jī)密信息泄露。
2.針對(duì)保險(xiǎn)、母嬰等行業(yè)定向攻擊
18年6月,騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到一批木馬,通過(guò)最傳統(tǒng)的魚(yú)叉攻擊,誘餌采用rar壓縮包的形式進(jìn)行投遞,對(duì)保險(xiǎn)、母嬰等行業(yè)定向攻擊,實(shí)施商業(yè)間諜活動(dòng)。
3.供應(yīng)鏈攻擊
12月,廣東省深圳市某知名軟件廠(chǎng)商服務(wù)器被攻陷,導(dǎo)致客戶(hù)端軟件在更新時(shí),被重定向至黑客服務(wù)器下載惡意病毒木馬,10萬(wàn)用戶(hù)遭到了感染。
四、2019企業(yè)網(wǎng)絡(luò)安全威脅趨勢(shì)——供應(yīng)鏈攻擊值得高度關(guān)注
縱觀(guān)近幾年網(wǎng)絡(luò)攻擊趨勢(shì),針對(duì)軟件供應(yīng)鏈的攻擊變得愈發(fā)頻繁,從早些年爆出的“棱鏡計(jì)劃”,到近期的Heartbleed漏洞、NotPetya勒索病毒爆發(fā)以及爆出的各種數(shù)據(jù)泄露事件,供應(yīng)鏈攻擊不再是高級(jí)攻擊的專(zhuān)屬,而變得與廣大用戶(hù)息息相關(guān),隨時(shí)都會(huì)帶來(lái)嚴(yán)重?fù)p害。
供應(yīng)鏈?zhǔn)巧婕吧a(chǎn)、分配、處理、維護(hù)貨物的活動(dòng)系統(tǒng),以便將資源從供應(yīng)商轉(zhuǎn)移到最終消費(fèi)者手中。在互聯(lián)網(wǎng)行業(yè)中,該供應(yīng)鏈環(huán)節(jié)也完全適用。一個(gè)軟件從供應(yīng)商到消費(fèi)者使用,會(huì)經(jīng)歷開(kāi)發(fā)、分發(fā)安裝、使用、更新的環(huán)節(jié),而供應(yīng)鏈攻擊則是黑客通過(guò)攻擊各環(huán)節(jié)的漏洞,植入惡意病毒木馬,達(dá)到傳播木馬的目的。
由于供應(yīng)鏈攻擊對(duì)于被攻擊者而言沒(méi)有任何感知,因此一直被黑客所青睞。以往供應(yīng)鏈攻擊往往多見(jiàn)于APT(高級(jí)持續(xù)性威脅)攻擊,而在近幾年,供應(yīng)鏈攻擊趨勢(shì)開(kāi)始有穩(wěn)定增長(zhǎng),攻擊事件層出不窮,日常網(wǎng)絡(luò)攻擊中越來(lái)越多的見(jiàn)到供應(yīng)鏈攻擊的手段。
下面對(duì)供應(yīng)鏈各環(huán)節(jié)的攻擊進(jìn)行介紹。
1.開(kāi)發(fā)環(huán)節(jié)
對(duì)開(kāi)發(fā)環(huán)節(jié)的攻擊,是指對(duì)軟件的開(kāi)發(fā)工具、環(huán)境、源碼進(jìn)行攻擊、污染,導(dǎo)致軟件一經(jīng)編譯成功便帶有惡意病毒木馬,隨后所有該軟件的分發(fā)渠道全部帶毒。當(dāng)用戶(hù)安裝使用軟件時(shí),同時(shí)電腦也中了病毒木馬。
典型攻擊事例:
遠(yuǎn)程終端管理軟件Xshell后臺(tái)被植入后門(mén)。Xshell是NetSarang公司開(kāi)發(fā)的安全終端模擬軟件,在2017年7月發(fā)布的軟件nssock2.dll模塊被發(fā)現(xiàn)有惡意后門(mén)代碼,并且該文件帶有合法簽名,因此能夠輕易繞過(guò)安全軟件的查殺。該事件導(dǎo)致10萬(wàn)用戶(hù)存在被盜取遠(yuǎn)程登錄信息的風(fēng)險(xiǎn)。
2.分發(fā)安裝環(huán)節(jié)
分發(fā)安裝環(huán)節(jié)是指在正常軟件的分發(fā)、下載、傳播、安裝等環(huán)節(jié)中,進(jìn)行病毒木馬的捆綁,使得用戶(hù)在安裝使用時(shí),無(wú)形中也在電腦上安裝了病毒木馬。
17年6月,由安全廠(chǎng)商CheckPoint曝光的“FireBall(火球)”,通過(guò)野馬瀏覽器等多款流氓軟件傳播。用戶(hù)在安裝這些看似正常的軟件時(shí),“FireBall(火球)”也同時(shí)安裝在了電腦上。“FireBall(火球)”傳播量級(jí)達(dá)到了千萬(wàn)級(jí),會(huì)劫持瀏覽器的首頁(yè)及標(biāo)簽頁(yè),影響用戶(hù)的正常使用。
3.使用環(huán)節(jié)
使用環(huán)節(jié)指用戶(hù)在正常使用軟件時(shí),軟件已被黑客惡意篡改,通過(guò)社工等方式,引導(dǎo)用戶(hù)進(jìn)行高風(fēng)險(xiǎn)操作,導(dǎo)致電腦中惡意病毒木馬。
著名勒索病毒GandCrab的傳播方式之一水坑攻擊則是個(gè)典型案例。黑客通過(guò)入侵Web服務(wù)器,將網(wǎng)頁(yè)內(nèi)容篡改為亂碼。當(dāng)用戶(hù)訪(fǎng)問(wèn)該網(wǎng)頁(yè)時(shí),提示系統(tǒng)缺失字體組件,并且彈窗提示用戶(hù)下載安裝。而下載鏈接實(shí)際上為GandCrab勒索病毒的下載鏈接,一旦用戶(hù)下載運(yùn)行,電腦上的文檔資料便會(huì)被加密,造成不可挽回的損失。
4.更新環(huán)節(jié)
更新環(huán)節(jié)指軟件安裝在用戶(hù)機(jī)器上后,日常更新時(shí),黑客將更新鏈接劫持到惡意服務(wù)器上,導(dǎo)致下載的并不是的軟件的更新版本,而是黑客傳播的惡意木馬。由于很多軟件能夠自動(dòng)更新,因此該攻防方式讓廣大用戶(hù)防不勝防。
更新劫持是最為常見(jiàn)的供應(yīng)鏈攻擊手段。17年在烏克蘭爆發(fā)的Petya勒索病毒則是通過(guò)更新劫持傳播。黑客首先攻擊了M.E.Doc,這是一家烏克蘭會(huì)計(jì)軟件廠(chǎng)商。之后黑客通過(guò)M.E.Doc更新服務(wù)器將惡意更新鏈接推送給用戶(hù),導(dǎo)致Petya勒索病毒的大爆發(fā)。更新劫持供應(yīng)鏈攻擊方式在國(guó)內(nèi)也層出不窮。
在2018年12月中旬,騰訊御見(jiàn)威脅情報(bào)中心預(yù)警大范圍的木馬傳播,根據(jù)分析為某知名軟件后臺(tái)服務(wù)器被入侵,導(dǎo)致軟件更新時(shí),被重定向至黑客服務(wù)器下載惡意木馬,進(jìn)而導(dǎo)致大面積感染,量級(jí)達(dá)到了10萬(wàn)以上。
一些攻擊者還會(huì)劫持網(wǎng)絡(luò),模擬、偽造一些常見(jiàn)軟件(比如Flash、PDF閱讀器、Office補(bǔ)丁、Windows補(bǔ)丁等)的升級(jí)提示,欺騙終端用戶(hù)安裝。
5.供應(yīng)鏈攻擊預(yù)防安全建議
a)軟件廠(chǎng)商
在供應(yīng)鏈攻擊很多環(huán)節(jié)中,軟件廠(chǎng)商是黑客攻擊的主要目標(biāo),用戶(hù)是最終攻擊目標(biāo)。因此,軟件廠(chǎng)商的安全措施就顯得極其重要。
使用可信、正規(guī)的安全開(kāi)發(fā)軟件,使用開(kāi)源開(kāi)發(fā)工具,也要注意官方渠道,或有能力審閱源碼。
產(chǎn)品發(fā)布前嚴(yán)格進(jìn)行安全檢測(cè),通過(guò)后才可發(fā)布。
在可信的渠道商發(fā)布軟件產(chǎn)品,防止軟件被二次打包惡意捆綁。
b)用戶(hù)
盡管在供應(yīng)鏈攻擊很多環(huán)節(jié)中,用戶(hù)無(wú)法阻止攻擊行為的發(fā)生。但是培養(yǎng)安全意識(shí),養(yǎng)成良好的上網(wǎng)行為,即可有效阻止攻擊的有效落地。
盡量在官網(wǎng)等正規(guī)渠道,下載安裝軟件。
安裝安全軟件,并且保持打開(kāi)狀態(tài)。這樣當(dāng)有惡意病毒木馬落地時(shí),安全軟件也能進(jìn)行攔截查殺,阻止惡意行為的發(fā)生。對(duì)誘導(dǎo)關(guān)閉、退出殺毒軟件的說(shuō)法保持足夠警惕。
五、企業(yè)安全威脅防護(hù)建議
1.企業(yè)服務(wù)器端
企業(yè)常見(jiàn)的服務(wù)器包括包括郵件服務(wù)器、DNS服務(wù)器、VPN服務(wù)器,這些基礎(chǔ)設(shè)施的安全性往往會(huì)影響到企業(yè)重要業(yè)務(wù)。例如攻擊者可通過(guò)賬號(hào)爆破、弱口令密碼登錄、DoS攻擊、系統(tǒng)配置漏洞等方式入侵。
企業(yè)服務(wù)器常見(jiàn)的安全防護(hù)方案,是防火墻、IDS、IPS、殺毒軟件等防護(hù)產(chǎn)品,對(duì)風(fēng)險(xiǎn)流量、郵件、文件告警、攔截過(guò)濾,同時(shí)要注意排查是否存在弱口令登錄漏洞等系統(tǒng)配置漏洞。
推薦企業(yè)用戶(hù)使用騰訊御界高級(jí)威脅檢測(cè)系統(tǒng),御界高級(jí)威脅檢測(cè)系統(tǒng)基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù),研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)出入網(wǎng)絡(luò)流量的智能分析,從中發(fā)現(xiàn)黑客入侵或病毒木馬連接內(nèi)網(wǎng)的線(xiàn)索。
2.企業(yè)網(wǎng)絡(luò)客戶(hù)端
企業(yè)應(yīng)部署客戶(hù)端防病毒軟件,讓企業(yè)網(wǎng)絡(luò)的所有節(jié)點(diǎn)都具有最新的病毒防范能力。推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng),管理員可以掌控全網(wǎng)的安全動(dòng)態(tài),及時(shí)發(fā)現(xiàn)和清除病毒威脅。
3.漏洞修補(bǔ)
企業(yè)所有終端節(jié)點(diǎn):包括服務(wù)器和客戶(hù)端都應(yīng)及時(shí)安裝操作系統(tǒng)和主要應(yīng)用軟件的安全補(bǔ)丁,減少病毒木馬利用系統(tǒng)漏洞入侵的可能性。企業(yè)內(nèi)網(wǎng)使用騰訊御點(diǎn)終端安全管理系統(tǒng)可以全網(wǎng)統(tǒng)一安裝系統(tǒng)補(bǔ)丁,提升客戶(hù)端的安全性。
4.使用更高版本的操作系統(tǒng),新版本操作系統(tǒng)的攻擊門(mén)檻相對(duì)較高。
如企業(yè)網(wǎng)絡(luò)升級(jí)部署Windows 10。
5.加強(qiáng)員工網(wǎng)絡(luò)安全防護(hù)意識(shí),包括不限于:
不要輕易下載不明軟件程序
不要輕易打開(kāi)不明郵件夾帶的可疑附件
及時(shí)備份重要的數(shù)據(jù)文件
6.其它必要的防護(hù)措施:
關(guān)閉不必要的端口,如:445、135,139等,對(duì)3389,5900等端口可進(jìn)行白名單配置,只允許白名單內(nèi)的IP連接登陸。
關(guān)閉不必要的文件共享,如有需要,請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來(lái)限制訪(fǎng)問(wèn)權(quán)限,禁用對(duì)共享文件夾的匿名訪(fǎng)問(wèn)。
采用高強(qiáng)度的密碼,避免使用弱口令,并定期更換。
對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪(fǎng)問(wèn)設(shè)置相應(yīng)控制,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。
來(lái)源:騰訊御見(jiàn)威脅情報(bào)中心
北京市公安局海淀分局備案號(hào):11010802023656號(hào)