带你盘点2017网络安全大事件

1
Want create site? Find Free WordPress Themes and plugins.

十个关键词解读2017年全球网络安全大事件

引言:

即将过去的2017年,注定是安全圈惊心动魄的一年,也无疑是值得铭记的重要一年。

这一年,全球共同经历了一场史无前例的勒索软件攻击;影子经纪人解密NSA黑客武器库,揭开国家背景黑客的冰山一角;《中华人民共和国网络安全法》正式实施,网络安全有法可依······

这一年,我们发现黑客攻击的频率、体量、影响力、破坏力等都在急剧增长,不仅给用户带来巨大的经济损失,同时威胁生命安全,甚至左右了世界政治经济格局的走向。

前事不忘,后事之师。经过眼泪、悔恨和反思,让我们一同回望2017年。

 

1.   想哭:勒索病毒“WannaCry”全球肆虐

关键词:勒索病毒

5月,新型“蠕虫”式勒索病毒WannaCry在全球大爆发,至少150个国家、30万名用户被感染,文件被加密锁住。此次攻击造成损失达80亿美元,影响波及政府、能源、金融、医疗、交通等众多领域。

 

点评:

2017年可称得上是“勒索元年”。除了大家耳熟能详的“WannaCry”,还有“Petya”,“Bad Rabbit”,“暗云Ⅲ”,“ Erebus”,“XiaoBa”等层出不穷。

因有钱景,勒索备受黑客欢迎。美国网络安全公司CybersecurityVentures 预测, 到2019年企业将每14秒遭遇勒索攻击一次。想想是不是毛骨悚然?

 

2.   惊心:影子经纪人公开NSA网络战武器

关键词:网络战武器

4月,神秘黑客组织影子经纪人(Shadow Brokers)公布了至少12种针对微软操作系统漏洞的攻击工具。5月,影子经纪人宣称将从6月开始,向付费订户提供更多窃取自美国国家安全局(NSA)的黑客工具和数据。

 

点评:

同样,维基解密曝光了美国中央情报局(CIA)的Vault8网络武器。这些政府研发的网络武器威力惊人。前面提到的WannaCry,就是由影子经纪人4月泄露出的NSA黑客渗透工具“永恒之蓝”(Eternal Blue)改造而来。

细思极恐,这些国家研发的网络攻击武器,其直接指向必然是国家关键基础设施。因此金融、能源、电力、通信、交通等领域的用户,需要引起高度重视。

 

3.    神秘:伊朗黑客组织APT33

关键词:APT组织

9月,美国网络安全厂商FireEye发布研究结果,曝光鲜为人知的伊朗黑客组织APT33。FireEye指出,APT33的活动踪迹至少可以追溯至2013年,攻击目标主要是总部位于美国、沙特阿拉伯和韩国的航空航天和能源企业等,旨在收集情报,窃取商业机密。

 

点评:

无独有偶,同期赛门铁克发布安全报告称,针对欧美能源部门的APT组织“蜻蜓”卷土重来。

高级持续威胁(APT)具有目的明确、技术高超、长期渗透、危害巨大等特征,其团队往往与政府等有千丝万缕的联系,如APT33被怀疑由伊朗政府操纵。

APT组织主要针对关键基础设施展开攻击,且发动攻击日益普遍,所以在2017网络犯罪威胁评估(IOCTA)中,欧洲刑警组织将其认定为三大主要威胁形式之一。

 

4.   噩梦:Equifax泄露1.4亿用户数据

关键词:数据泄露

7月,美国三大信用评估机构之一Equifax公司被发现遭到黑客入侵,被泄漏的数据包括1.43亿美国消费者(涉及姓名、社会保险号码、信用卡号码等)。换句话说,将近一半的美国人暴露在个人重要私密信息泄漏的风险中。

 

点评:

数字化时代,数据泄露,你我无处可逃。

2月,酒店业巨头洲际酒店集团酒店被入侵,信用卡信息泄露;3月,继5亿、10亿账户泄露后,雅虎又泄露3200万账户数据;6月,美共和党近2亿人的投票数据泄露;11月,黑客窃取了Uber 5700万名乘客和司机的信息······

一切信息化资产,皆可泄露,皆可盗取,皆可暗网交易。而这些泄露的隐私数据,为攻击者进行网络钓鱼,尤其是鱼叉式网络钓鱼提供了更有力的支持。

 

5.   尴尬:德勤“邮件门”事件

关键词:邮件安全

9月,世界四大会计师事务所之一的Deloitte(德勤)发布公告,称其电子邮件服务器遭到黑客攻击,管理员账号被破解,造成公司大量数据、机密文档以及客户邮件等被盗。

 

点评:

德勤邮件门事件本只是沧海一粟,却因其“安全咨询服务第一”的知名度,备受关注。

邮件安全不容忽视。因成本低、回报高,黑客越来越偏爱邮件攻击。90%的网络攻击,往往从一封钓鱼邮件开始,精心制作的鱼叉式钓鱼邮件能绕过传统的安全检测软件。著名的希拉里邮件门事件,就是祸起钓鱼。

去年雅虎被曝泄露十几亿账号数据,今年9月黑客被发现窃取了7.11亿电子邮件账户,用来发送垃圾邮件传播恶意程序。可以预想,未来更猛烈的邮件攻击即将来临。

 

6.   逐利:比特币交易平台Bithumb被攻击

关键词:虚拟货币

7月,世界五大比特币交易所之一Bithumb被黑客攻击,比特币被窃取,损失数十亿韩元。此外,黑客还成功获取了近31800名用户的个人信息,包括姓名、手机号及邮箱。

 

点评:

自虚拟货币诞生一开始,便引起了黑客的关注。随着比特币价格持续走高,黑客对它的兴趣日益高涨。交易所首当其冲成为主要的攻击目标。而勒索病毒,暗网交易等网络犯罪,支付手段也首选虚拟货币。

4月,韩国老牌比特币交易所Youbit被盗价值7300万美元比特币。12月,挖矿平台NiceHash遭攻击被盗价值4.6亿比特币。

越来越多的网络犯罪转向虚拟货币,将使得黑客攻击越发难以追踪。

 

7.   权威:《中华人民共和国网络安全法》正式实施

6月,《中华人民共和国网络安全法》正式实施,成为我国第一部规范网络空间秩序的基础性法律。《网络安全法》明确了对个人信息收集和保护的要求,提出了个人信息保护的基本原则和要求,并对加强个人信息保护和惩治非法买卖个人信息等做出了明确规定。

 

点评:

没有网络安全,就没有国家安全。《中华人民共和国网络安全法》的发布和实施,是中国网络治理的一项重要里程碑。

同年7月,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,对《网络安全法》中涉及到的关键信息基础设施安全保护,做了更细致的规定。这体现了国家对网络安全的重视。

 

8.   警惕:Xshell系列软件被植入后门

关键词:第三方攻击

8月,全球多家安全公司爆料,NetSarang旗下Xshell系列软件多款产品被植入后门代码。因该软件被国内开发和运维人员广泛使用,易导致大量用户服务器账号密码被攻击者窃取。

 

点评:

一句话,千防万防,家贼难防。

踩点中黑客发现的任何薄弱环节,都将成为撕破安全口子的攻击落脚点,包括供应链和供应商。

随着安全防护水平的提高,黑客改变战术,讨巧地采用第三方攻击越发常见——向用户的供应链和供应商下手,通过外部的合作伙伴访问和渗透系统。最臭名昭著的Target数据泄露事件,就用的这个攻击方法。

 

9.   恐怖:快速扩张的新僵尸网络IoT_reaper

关键词:物联网安全

9月,安全人员发现一个针对IoT设备的新僵尸网络。该僵尸网络扩张速度惊人,很快就感染了超过两百万台设备,包括路由器、摄像头等。其中,中国是感染的重灾区。

 

点评:

随着物联网时代到来,智能家居大量进入人们的日常生活。但目前企业对IoT安全的重视程度远远不够,形成巨大安全隐患。

前事不远,去年路由器、摄像头等大量智能硬件瞬间变攻击肉鸡,对美国域名服务器管理机构Dyn发起DDos攻击,导致美国大面积网络瘫痪。

随着物联网僵尸网络的快速成长,我们判断未来历史重演很有可能。

 

10.  预警:“大脏牛”漏洞来袭

关键词:移动安全

12月,国外安全公司Bindecy发现,去年Linux内核中发现并修复的“脏牛(Dirty COW)”漏洞,并未得到完全修复,同时又发现了“大脏牛(Huge Dirty Cow)”漏洞。“脏牛”是目前公布的最知名的安全漏洞之一,对过去十年来包括Android在内的一切Linux版本有影响。

 

点评:

早在去年“脏牛”漏洞被发布和修复之初,攻击者就设计了利用该漏洞的脏牛攻击手段。今年9月,首款利用“脏牛”漏洞的安卓恶意软件“ZNIU”被发现。这次被发现漏洞修复补丁存在缺陷,漏洞仍然可以被攻击者二次利用发起攻击。

随着用户工作生活中越来越多地接入移动设备,移动用户将成为黑客攻击新的主要目标。

未来,想必移动领域和物联网领域一样,将成为安全事件高发区与重灾区。

 

总结:

用“道高一尺,魔高一丈”来形容攻防的态势,最合适不过。

随着黑客攻击日益组织化、产业化、资本化,用户面临的安全风险正与日俱增——任何人都可能成为被攻击的对象,任何价值信息都可能被窃取。

回首向来萧瑟处,也无风雨也无晴。

2017年渐行渐远,与其沉溺于悔恨与恐惧,不如2018年抖擞精神迎接挑战。作为网络安全的守护者,我们已整装待发,让暴风雨来得更猛烈吧。


2017年重大网络安全事件回顾

1. 永恒之蓝漏洞与勒索病毒制造蠕虫灾难

5 月 12 日晚8 时左右,WannaCry(想哭)勒索软件全球爆发,存在漏洞的电脑开机上网就可被攻击。数小时之内,病毒席卷英国、俄罗斯、整个欧洲,迅速蔓延至国内高校校内网、大型企业内网和政府机构专网,桌面弹出支付比特币才能解密恢复文件,攻击造成教学系统、校园一卡通系统、加油站系统及众多政府机关网络瘫痪。

13.jpg

该病毒之所以快速蔓延,其根源在黑客组织“影子经纪人(Shadow Brokers)”将NSA(美国国家安全局)使用的武器级安全漏洞公开。尽管微软早在病毒事件爆发前发布了安全补丁,但众多内网用户并未及时修补,从而导致一场遍布全球的安全灾难。

继WannaCry(想哭)勒索蠕虫之后,又有NotPetya、Bad Rabbit等多款蠕虫病毒利用类似的攻击手机(漏洞+勒索)在欧洲多国传播,这些病毒的影响力都远逊于WannaCry勒索蠕虫。

在经过长达半年多的调查之后,美国政府正式宣告这次大规模的网络攻击来自朝鲜。

该病毒给所有网民的教训就是必须高度重视安全漏洞的影响,特别是安全专家们提及的网络战武器级高危漏洞,这类安全漏洞单点使用可以无形中渗透到保密级别很高的网络系统,大规模使用可以导致极为严重的后果。影子经纪人一直宣称要公开所有NSA的网络战兵器谱,但仅仅只放了几个出来。

及时修补安全漏洞才能在突然到来的蠕虫病毒攻击中成为幸存者。重要数据如果没有备份,在遭遇超强加密的勒索病毒时,将造成无法挽回的损失。

2. 国产流氓软件Fireball(火球)全球做恶

据国外安全公司CheckPoint发布报告称,发现一个由中国商业公司卿烨科技(rafotech)控制的Fireball(火球)病毒,该病毒感染全球约2.5亿部计算机。

火球病毒感染后会劫持用户浏览器,中毒电脑成为僵尸网络的一部分。Fireball病毒也是一个功能完善的病毒下载器,可以在中毒电脑执行任何代码。其核心功能是控制用户浏览器点击谷歌、雅虎网站的广告牟利。在其官网上http://www.rafotech.com/about.php,该公司是这样介绍的。卿烨科技是数字营销行业的领先跨国公司,强大的技术支持、优质的合作伙伴,为广告主提供精准的数字营销服务,丰富领先的变现方案,使每一个流量价值最大化。

3. 暗云木马大肆传播,格式化硬盘也无法清除

暗云木马是迄今为止最复杂的木马之一,曾经感染过数百万电脑,它用了很多复杂的新技术来长期潜伏在系统中,尤其是借助BootKit直接感染硬盘引导分区。

暗云木马变种会将攻击母体捆绑在游戏外挂或私服工具中,或者干脆假冒游戏外挂和私服工具,欺骗游戏玩家下载安装,并通过联网获得攻击指令。病毒作者可以非常灵活地控制中毒电脑,执行任意操作。

暗云病毒通过联网下载攻击指令,再将攻击代码在内存中运行,并不在本地硬盘上生成文件完成破坏或攻击目的。这是一种高超的攻击技巧,本地找不到完成攻击的文件,指令只在内存中,随时可以通过网络更换攻击方式。目前,我们监测到的攻击代码是刷流量牟利,以及发起DDoS攻击。

14_副本.jpg


4. 惠普隐藏键盘记录器,窃取信息

今年5月,惠普笔记本被曝出在音频驱动中存在一个内置键盘记录器监控用户的所有按键输入,这个按键记录器会通过监控用户所按下的键来记录所有的按键。

近期某部委下属网络安全和信息化领导小组办公室已经发布公告通报了惠普电脑存在隐藏键盘记录器问题。

15.png

研究人员指出,惠普的音频驱动文件中隐藏缺陷代码 (CVE-2017-8360) 的漏洞,它不但会抓取特殊键,而且还会记录每次按键并将其存储在人类可读取的文件中。

惠普公司是这样说的:“声卡驱动程序中部分调试代码被错误地保留下来,这是一个意外。这些代码的目的是帮助我们调试、解决驱动程序出现的问题”。并表示,“我们希望未来不会再出现类似问题。”

5. 全国爆发软件升级劫持攻击,升级时被调包

国内多款软件在升级更新时,遭遇网络流量劫持攻击,用户以为在升级,实际却把病毒安装到电脑上。

被伪装的软件没有数字签名,如下图:

16.png

此次流量劫持攻击影响多个省,攻击者利用此次攻击大量推广安装流氓软件并从中获益。

6. xshell 、CCleaner等工具被值入门后程序

今年8月,非常流行的服务器管理工具Xshell被发现安装包植入病毒。据分析,该次病毒传播高度怀疑是黑客入侵了Xshell相关开发人员的系统,在源码中植入后门,致使该公司发布的官方程序不幸带毒。继而威胁所有使用Xshell管理的服务器安全。

随后不久,安全专家发现,著名的系统清理软件CCleaner官方开发环境疑似被黑客入侵,在官方发行的软件中植入后门,下载该软件的用户安装后,电脑就会中毒。预计受影响的用户高达220万,病毒会收集中毒电脑的隐私信息。

这两起案例值得软件开发者高度关注,如果开发者系统被入侵,会造成极为严重的后果:因官方发行的软件带有发行商的数字签名,这些有签名的软件极易被系统和安全厂商判定为“可信”,大量用户从官方网站下载软件或更新软件就会中毒。

7.2017极为流行的挖矿病毒,海盗湾网站、中国电信天翼校园客户端不幸中招

2017年随着比特币价格一路高涨,众多病毒木马作者从中发现有利可图。他们利用木马后门控制成千上万台电脑、手机、网站、智能摄像头、家用路由器等等设备的资源采集比特币或其他加密币(俗称:挖矿)。

很不幸,中国电信部分省份的官方客户端就被植入挖矿病毒。校园网用户因此沦为黑客控制的肉鸡。

17.png

挖矿病毒感染电脑后会产生刷广告流量和挖矿两种危害。首先,病毒会创建一个隐藏的IE浏览器窗口,模拟用户操作鼠标、键盘点击广告,由于病毒屏蔽了广告页面的声音,用户难以发现自己已被挟持。其次,病毒会利用受害者电脑挖“门罗币”,病毒挖矿时将大量占用CPU资源,电脑由此会变慢、发热,用户能听到电脑风扇高速运行产生的噪音。

8. Windows激活工具被植入病毒“薅羊毛”

金山毒霸安全实验室监测发现,国内最流行的若干款Windows激活工具都被蓄意植入了“薅羊毛”病毒,“薅羊毛”病毒每天感染上万台电脑。

病毒会将多个浏览器主页锁定为2345,在用户网购时强行劫持浏览器,伪造推广业绩赚取佣金。

18.jpg

当用户浏览到京东、淘宝、蘑菇街、唯品会、苏宁、国美等电商网站时,并就会自动在浏览器地址栏插入自己的推广ID。这样,只要用这台电脑购物,病毒作者就能从中赚取佣金。

病毒会用一个不可见的浏览器窗口模拟点击视频网站广告链接,达到刷广告流量的目的。受影响的视频网站包括优酷、爱奇艺、搜狐、PPTV等等。按单个广告视频点击0.5元计算,该病毒每天仅靠虚假点击可以骗取收入上万元。

在金山毒霸公布该病毒的技术报告及作者信息之后,病毒作者迅速关闭了控制服务器,清空了Github空间,销声匿迹了。

在金山毒霸公布小马Windows激活工具带毒之后 ,又有其他安全厂商爆出其他盗版激活工具同样被植入病毒。网友在使用Windows、Office、Adobe全家桶等破解工具时,务必开启杀毒软件保护。避免自己的电脑成为别人薅羊毛或挖矿的工具。

9. 利用Office漏洞刻意构造攻击文档进行精准攻击

今年,一系列利用Office高危漏洞攻击的案例不断涌现,主要利用点:

1.CVE-2017-0199 :word在处理OLE2LINK对象时,对Content-Type处理不当,造成远程执行hta文件;

2.CVE-2017-8570 :ppt在处理Moniker对象时,会自动激活该对象,导致sct脚本执行;

3.CVE-2017-11826 :docx文档中,在处理font标签不当,造成的内存破坏进而结合堆喷射造成代码执行;

4.CVE-2017-8759 :在处理soap的location标签中,未考虑换行符,造成.net代码注入,通过引入新的SOAP XML指定SOAP WSDL模块解析完成代码执行;

5.CVE-2017-11882 :旧版的公式编辑器,存在栈溢出,由于没有任何漏洞缓解策略,可通过改返回地址为程序内WinExec函数进而执行代码,常见利用方式有

a. 通过WebDAV

b.使用mshta

c.结合office的自动释放机制执行

Office及Adobe Flash、PDF的高危安全漏洞,经常被用来刻意构造攻击文件,对特定目标进行精准攻击。大部分网民对文档攻击缺乏认知,安全软件的防御往往不如针对EXE的拦截响应快,攻击者容易得手。


10.个人信息保护任重道远

2017年,仍然观察到大量个人信息泄露事件。新华社的一篇报道曝光了多地反诈骗中心的调查结果:目前电信网络诈骗案件 90% 以上是违法分子靠掌握公民详细信息进行的精准诈骗,从已破获案件看,“内鬼”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。

2017年,许多年轻人为几千元的数码产品、几百块钱的化妆品卷入现金贷。参与借贷的人已不存在任何隐私,包括身份证、手机号、银行卡号、学生证、学信网帐号、支付宝帐号等等绝不可以泄露给他人的信息,均拱手交给高利贷组织。随之不断出现“女大学生裸 贷”、“某某学生借贷数十万被逼跳楼”之类的悲剧事件。

现金贷公司还会出于风控目的近乎公开的非法买卖个人信息,使用网络爬虫抓取个人信息。随着国家对现金贷的管制升级,大量现金贷公司业务停滞,破产倒闭者不在少数,这些组织和个人手里掌握的大量个人信息,随时会威胁贷款人的信息安全。

个人信息保护需要安全厂商、国家机关、存储数据的企业和组织,以及网民携手联防,仅靠任何单一的环节,并不能消除风险。

三、下一年会有什么?

除非比特币泡沫破裂,我们预计在今后相当长的时间里,挖矿病毒都将是最热门的攻击方式,不仅仅挖比特币,其他山寨币的挖矿病毒都会跟着火爆。

由于国内电商持续火爆,随着消费升级浪潮而来的,会有大量病毒以薅羊毛为盈利点。各自媒体平台、网络视频平台,都有一些流量奖励政策可被利用。点击欺诈是互联网诞生以来就存在的古老生意,预计刷广告流量的病毒仍然会有较高的感染率。

勒索病毒覆盖电脑和手机双平台,以加密文件勒索比特币或其他山寨币为手段的病毒仍将持续产生危害。

同时,我们推测,针对软件开发、分发领域的攻击仍将持续,软件开发者必须高度重视这类攻击,避免让自己的用户成为肉鸡。

2017网络安全研究报告高清PDF版本下载链接: https://pan.baidu.com/s/1bYxHjK 密码: u72b


本期内容转载自:

http://www.freebuf.com/column/158078.html

http://www.freebuf.com/column/158195.html

Did you find apk for android? You can find new Free Android Games and apps.

关于作者

居正

大道至简

一条评论

发表评论