在中国网络安全的发展过程中,2016年云集着众多的里程碑节点——习近平总书记在4.19网信工作会议上发表重要讲话;《网络安全法》正式通过,强调全面加强关键基础设施防御;“十三五”规划提出“自主先进”的全新要求……一个未来清晰的地平线正在向远方展开。对中国网安从业者来说,如果说此前十余年的摸索前进,更像是一个为这个“大时代”积蓄力量的过程,那么在2016年则已经正式开启了新时代的大幕。无论对“乐观坚持者”,亦或“悲观放弃者”,还是“临时转型者”来说,这个时代都真实地到来了。
在这个大背景下,安天一直坚持的年度规定动作“安天基础威胁年报”和“安天移动威胁年报”的正式发布日期被一推再推,。移动威胁年报直至3月10日才发布。而基础威胁年报的发布,距离我们在今年1月的安天第四届网络安全冬训营上,向营员分发预发布版已经过去了整整90天,如果说在其他年份,这种拖延和不断修改是因为我们对技术的敬畏和对威胁的警惕,而这一次我们的反复推敲,则是因为我们在自我反思和检验:我们的行动是否跟进了我们的思考,我们的思考是否适配了这个时代!
自2014年起,我们提出了“观点型年报”的自我要求,我们需要有自己的视角、立场和分析预测,我们放弃了传统的以后台恶意代码的数据输出来构筑模板式“统计型”年报,我们深知那些精确到行为和静态标签的“蔚为壮观”的统计数据,虽然看上去很美,但其并不具备足够的参考价值;而用扫描传播次数来作为威胁严重程度的度量衡,尽管对部分类型的风险依旧有效,但作为蠕虫和DDoS时代的产物,其掩盖了那些更为严重的、更为隐蔽的威胁。而仅仅有观点型年报这样的意识就足够吗?我们回看了此前几年安天自己的年报,在充满着“全面转向”、“日趋严重”、“不断浮现”、“接踵而至”等这些成语的描述中,是否真的揭示了威胁的现状和趋势么?
在这份年报中,我们非常谨慎又沉重的提出了以下思考和观点:
APT的攻击重点“转移”到关键信息基础设施既是一种趋势,更是一种既定事实,对超级攻击者来说,关键信息基础设施一直是APT攻击的重点目标,这种攻击围绕持续的信息获取和战场预制展开,在这个过程中CNE(CyberNetworkExploitation,网络情报利用)的行为是CNA(CyberNetworkAttack,网络攻击)的前提准备。
商用攻击平台、商用木马和漏洞利用工具等网络商业军火全面降低了APT攻击成本,提升攻击追溯难度。商业军火的泛滥,首先带来的是金字塔的底层混乱,而不受控的商业武器,更有利于巩固一个单级的世界。
将APT概念泛化到一些使用高级手段和技巧的攻击行为,是不负责任的,没有攻击意图和攻击意志的APT分析,不是可靠的APT分析判定。而恰恰相反的是,高级的网络攻击未必使用高级的技巧和装备,APT攻击者劫持普通恶意代码,包括全面伪装成普通的黑产犯罪可能会成为一种趋势。
IT在我国的信息化建设中,IT基础设施的不完备、信息化建设的“小生产化”等原因导致了我国在架构安全和被动防御层面存在严重的先天基础不足,这也是我国应对风险能力不足的根本原因之一。我们不仅需要守卫一条漫长的、充满弱点的边界,还拥有大量“防御孤岛”和散点。对此,没有更进一步的信息化与安全的同步建设,没有“安全与发展同步推进”,安全防御依然将无法有效展开。
跟随硅谷安全产业圈实践的亦步亦趋,不能有效地全面应对中国所面对的APT风险。硅谷的安全探索更多是面对发达国家政企和行业客户基础安全投入已经在全面产生基础价值的情况下,进行积极防御和威胁情报的加强,但如果脱离了基础能力的高阶安全手段,是不能有效发挥作用的。从具体的风险对抗层面来看,超级攻击者在信道侧的物理优势,以及与传统人力和电磁能力结合的作业特点,将导致C&C、文件Hash信标型威胁情报对其行动的检测价值被大大削弱。
“物理隔离+好人假定+规定”推演,构成了一种安全假象和自我安慰,网络分区策略和隔离手段无疑是必要的安全策略,但如果不能伴随更强有力的内网安全策略,其可能带来更大的安全风险。安全策略和安全投入,需要以内网已被穿透和“内鬼”已经存在为前提假定来实行。
黑产大数据所带来的个体悲剧案例,还只是这一问题的冰山一角,当前数据流失总量,已经构成了准全民化的画像能力,其带来的“威胁情报反用”已经构筑了高精度单点打击,从而带来了较大的国家安全风险。不信息采集的不受控信息资产的离散化、问责体制的不明确,构成了风险加速的主因。
传统WindowsPC恶意代码增速已开始下降,移动等新兴场景恶意代码继续加速发展,同时各种平台下高级恶意代码的隐蔽性和抗分析能力都在不断提升。
威胁情报不只是防御方资源,威胁情报也是情报威胁,是攻防双方的公共地带。同样的数据,对防御方来说是规则和线索,对攻击方来说则是攻击资源和痕迹。
大规模IoT设备的蠕虫感染事件,不能单纯地将其作为DDoS攻击跳板来看。被入侵的这些设备本身具有更多的资源纵深价值,这比使用这些设备参与DDoS攻击所带来的危险更为严重。IoT设备大面积存在的脆弱性,有着更为隐蔽、危害更大的社会安全风险和国家安全风险,只是这种风险,更不容易被感知到罢了。
今天从供应链安全的视角上看,更多的人依然采用从上游抵达下游的“间接路线”来审视。供应链防御作为高价值场景防御的延展,已逐渐为安全管理者所接受。但仅仅把供应链风险视为达到关键目标的外延风险是不够的,供应链不仅是攻击入口,其本身更是重要的目标,未来的网络空间攻防的主战场将围绕“供应链”和“大数据”展开。
面对威胁和挑战,安天将选择做具有体系化视野和解决方案的能力型安全厂商。基于自主创新的威胁检测防御核心技术产品服务,推动积极防御、威胁情报、架构安全和被动防御的有效融合,致力于提供攻击者在难以绕过的攻击环节上叠加攻击者难以预测的安全能力,达成有效防护、高度自动化和可操作化的安全业务价值,这将是未来安天所选择的道路。
*注:“震网”虽然是2010年曝光的,但其计划开始实施是从2006年开始的,故我们称之为十年前。
表1“震网”事件与“乌克兰电力系统遭受攻击事件”对比
“震网”事件
乌克兰电力系统遭受攻击事件
主要攻击目标
伊朗核工业设施
乌克兰电力系统
关联被攻击目标
FooladTechnicEngineeringCo(该公司为伊朗工业设施生产自动化系统)
BehpajoohCo.Elec&Comp.Engineering(开发工业自动化系统)
NedaIndustrialGroup(该公司为工控领域提供自动化服务)
Control-GostarJahedCompany(工业自动化公司)
KalaElectric(该公司是铀浓缩离心机设备主要供应商)
乌克兰最大机场基辅鲍里斯波尔机场
乌克兰矿业公司
乌克兰铁路运营商
乌克兰国有电力公司UKrenergo
乌克兰TBS电视台
作用目标
上位机(Windows、WinCC)、PLC控制系统、PLC
办公机(Windows)、上位机(Windows)、以太网-串口网关
造成后果
延迟了伊朗的核计划,使之错过了成为有核国家的历史机遇。
乌克兰伊万诺-弗兰科夫斯克地区大面积停电
核心攻击原理
修改离心机压力参数、修改离心机转子转速参数
通过控制SCADA系统直接进行界面操作,下达断电指令
使用漏洞
MS08-067(RPC远程执行漏洞)
MS10-046(快捷方式文件解析漏洞)
MS10-061(打印机后台程序服务漏洞)
MS10-07(内核模式驱动程序漏洞)
MS10-092(任务计划程序漏洞)
WINCC口令硬编码
未发现
攻击入口
USB摆渡
人员植入(猜测)
邮件发送带有恶意代码宏的文档
前置信息采集和环境预置
采集打击一体
通讯与控制
高度严密的加密通讯、控制体系
相对比较简单
恶意代码模块情况
庞大严密的模块体系,具有高度的复用性
模块体系,具有复用性
抗分析能力
高强度的本地加密,复杂的调用机制
相对比较简单,易于分析
数字签名
盗用三个主流厂商数字签名
未使用数字签名
攻击成本
超高开发成本
超高维护成本
相对较低
图2“乌克兰电力系统遭受攻击事件”过程总结
在孟加拉国央行被黑客攻击的事件中,攻击者通过网络攻击获得SWIFT系统权限并执行业务操作,通过恶意代码修改SWIFT系统的校验绕过安全验证、篡改报文数据掩盖了非法转账痕迹,以上种种攻击手段的有效利用充分暴露出银行系统自身安全的防护缺陷。传统的银行更多的依赖于封闭式物理隔离提供安全保障,随着网络金融的不断发展,越来越多的交易支付入口、大量的离散的ATM节点、更多的跨行汇兑出现,从而导致了从网络上对银行进行攻击,已经从预言变成一种广泛发生的事实。
关键信息基础设施的防护要防患于未然,而不能完全依赖“事件”推动,更多的针对关键信息基础设施的攻击是高度隐秘的,这种攻击围绕持续的信息获取和战场预制展开,在这个过程中,CNE(网络情报利用)的行为是常态化的,CNA(网络攻击)的前提准备。
图3“乌克兰电力系统遭受攻击事件”线上线下攻击作业图
“方程式”组织在2009年就已经被发现采用线下攻击手段扩展其作业流程,其将携带恶意代码的CD光盘伪装成正常的会议资料邮寄,通过光盘的自启动代码感染目标主机,然后再通过一系列的线上攻击完成整个攻击。
随着我们对风险的认知加深,从网络到达网络空间,我们需要看到的是,我们传统的把虚拟世界安全和物理世界安全割裂看待的思维,我们传统的界定网络风险和现实风险泾渭分明的执念,都会被动摇。我们看到的将只是形形色色攻击者为达成攻击目的所采用的各种攻击手段,至于是单纯地通过网络进行攻击,还是在攻击路径上结合传统的物理和电磁手段,只是高级攻击者的武备选择。
从安全威胁的演进史上来看,传统物理空间和网络空间本来就是联通的,早期黑客针对大型机系统的攻击,很多就是依靠人员混入办公场所踩点的方式完成,就像上世纪凯文·米特尼克装扮成清洁工偷取计算机的操作手册一样。只是随着网络的普及,这种踩点逐步脱离了距离的困扰,并使成本逐渐下降。网络攻击和传统攻击的合流,有两个路径,对于那些习惯网络作业的人,网络攻击只是一种能让攻击者获得心理安全感的方式,并在不断地试探社会法律底线的过程中,逐渐与网络风险威胁正碰;而另外一方面,传统恐怖组织、犯罪团伙也在不断寻觅新的机会。当两者间有足够多的交集时,两害合流就成为必然。
在未来的网络空间博弈中,线上线下的复合式攻击将会越来越多。
表2“白象一代”和“白象二代”的分析对比
白象一代
白象二代
主要威胁目标
巴基斯坦大面积的目标和中国的少数目标(如高等院校)
巴基斯坦和中国的大面积目标,包括教育、军事、科研、媒体等各种目标
先导攻击手段
鱼叉式钓鱼邮件,含直接发送附件
鱼叉式钓鱼邮件,发送带有格式漏洞文档的链接
窃取的文件类型
*.doc*.docx*.xls*.ppt
*.pps*.pptx*.xlsx*.pdf
*.pptx*.xlsx*.pdf*.csv
*.pst*.jpeg
社会工程技巧
PE双扩展名、打开内嵌图片,图片伪造为军事情报、法院判决书等,较为粗糙
未见使用
CVE-2014-4114
CVE-2012-0158
CVE-2015-1761
二进制攻击载荷开发编译环境
VC、VB、DEVC++、AutoIT
VisualC#、AutoIT
二进制攻击载荷加壳情况
少数使用UPX
不加壳
数字签名盗用/仿冒
未见
攻击组织规模猜想
10~16人,水平参差不齐
有较高攻击能力的小分队
威胁后果判断
造成一定威胁后果
可能造成严重后果
安天通过长期深入分析,追踪挖掘攻击组织的线索,并基于互联网公开信息,进行了攻击者画像,认为这是一个由10~16人组成的攻击小组。
图4“白象一代”攻击组织画像
对于类似“白象”这样的攻击组织,因缺少人脉和电磁能力作为掩护,其更多依赖类似电子邮件这样的互联网入口。从一个全景的防御视图来看,这本来是一个可以收紧的入口,但对于基础感知、检测、防御能力不足的社会肌体来说,这种具有定向性的远程攻击是高度有效的,而且会淹没在大量其他的非定向的安全事件中。
而当前一种值得反思的状态是,在一种“没有对手”的状态下推进和推演网络安全。“物理隔离+好人假定+规定推演”,构成了一种安全假象和自我安慰,网络分区策略和隔离手段无疑是必备且必要的安全策略,但如果不能伴随更强有力的内网安全策略,其可能带来更大的安全风险。安全策略和安全投入,需要以内网已被穿透和“内鬼”已经存在为前提假定来实行。
大国防御力,由设计所引导、以产业为基础、与投入相辅相成,但最终其真实水平,要在与攻击者和窥探者的真实对垒中来检验。
2015年初卡巴斯基和安天先后对“方程式”组织使用的恶意代码进行分析曝光后,“方程式”组织又在2016年一系列事件中浮出水面。在2016年8月和10月,一个自称“影子经纪人”(ShadowBrokers)的黑客团体所曝光的资料显示了“方程式”组织和此前被斯诺登曝光的ANT攻击装备存在一定联系,并由此看到其针对Cisco、Juniper、Fortinet等防火墙产品达成注入和持久化的能力。“影子经纪人”爆料“方程式”组织从2000年开始入侵了全球大量服务器,包括部分Solaris、Oracle-ownedUnix等版本的操作系统,尽管并未提供证据,但这与安天的捕获分析工作相互印证,一个关于这个超级攻击组织的几乎无死角的、全平台化攻击能力已经日趋清晰。在这种情况下,安天于2016年11月4日发布了《从“方程式”到“方程组”——Equation攻击组织高级恶意代码的全平台能力解析》[5]报告,独家分析了其在Solaris平台上和Linux平台的攻击样本,这是业内首次正式证实这些“恶灵”真实存在的公开分析。
图5“影子经济人”爆料的“方程式”组织在2000~2010年间在全球范围内入侵服务器的情况
在过去数年,这种分析如此漫长、复杂和艰难,超出了我们之前对“震网(Stuxnet)”、“火焰(Flame)”的分析和复现中所面临的挑战。这种高度复杂、隐蔽的全能高级恶意代码,无论是对受害者,还是分析者来说,都是一个巨大的挑战。特别是当其打击范围几乎覆盖所有体系结构与操作系统的时候,相对更擅长Windows、Linux和Android等主流操作系统平台下恶意代码分析的传统安全分析团队明显感受到了巨大的压力和挑战。如果用这个组织的名称“方程式”做一个关于分析难度的比喻的话,我们需要破解的已经并不只是一个“方程式”,而是更为复杂的多元多次的“方程组”。通过梳理当前对“方程式”组织的主要分析成果和爆料,可以看到“方程式”组织的多平台操作系统覆盖能力图表:
表3“方程式”组织多平台操作系统覆盖能力拼图
信息
Windows
Linux
Solaris
Oracle-ownedUnix
FreeBSD
MacOS
安天:修改硬盘固件的木马探索方程式(EQUATION)组织的攻击组件[6]
分析样本载荷和硬盘持久化能力
安天:方程式(EQUATION)部分组件中的加密技巧分析[7]
分析加密算法
卡巴斯基:Equation:TheDeathStarofMalwareGalaxy[8]
揭秘方程式攻击组织
卡巴斯基:AFannyEquation:"Iamyourfather,Stuxnet"[9]
Fanny组件分析
卡巴斯基:EquationGroup:fromHoustonwithlove[10]
Doublefantasy分析
卡巴斯基:《EQUATIONGROUP:QUESTIONSANDANSWERS》[11]
方程式组织:问与答
猜测
TheHackerNews:《ShadowBrokersrevealslistofServersHackedbytheNSA》
曝光存在
安天:EQUATION《从“方程式”到“方程组”——Equation攻击组织高级恶意代码的全平台能力解析》[5]
曝光存在,分析相
关载荷
注:安天在Solaris样本中分析出的UserAgent具有Solaris标识,而卡巴斯基在“EQUATIONGROUP:QUESTIONSANDANSWERS”中披露出曾捕获到MacOSX的UserAgent的信息,由此来看,尽管安天、卡巴斯基等厂商,目前都尚未捕获MacOSX的样本,但方程式组织针对MacOSX的攻击载荷是真实存在的。
安天希望用自己的工作告诉用户,那些关于超级攻击组织全平台覆盖能力的种种爆料并非传说,而且是一种真实的威胁,是一种既定的事实。而这种武器,不仅被用于攻击隔离网内的传统高等级目标,也被用于攻击互联网节点。
在我国安全防御的实践中,有一种先入为主的观点,即认为由于各种规定和约束,暴露在互联网上的节点,乃至能够访问互联网的内网中,并不存放高价值的信息。“一切有价值的信息都存在于隔离网内”——这是一个美好的愿景和想象,但并非是这个信息大量产生、高速流动时代的真实情况。同时在大数据时代,高价值信息的定义和范围也在不断变化着。更多的信息资产已经不可避免地分布在公共网络体系中,而对这些资产的窥视和攻击也在持续增加着。而超级攻击组织则是类似攻击的始作俑者和长期实践者。
针对DNS服务器的入侵,可以辅助对其他网络目标实现恶意代码注入和信息劫持;针对邮件服务器的植入可以将用户所有的邮件通联一网打尽,针对运营商骨干节点的持久化,可以用来获取全方位的信息,包括收获类似Camberdada[12]计划中说的那种“轻而易举的胜利(AnEasyWin)”。
商业军火通常具有以下几个特点:
l具备武器级水准
商业军火不是一般性质的恶意代码或者漏洞情报,而是具有武器级水准的攻击装备,以CobaltStrike为例,其尽管号称是开源漏洞测试平台Metasploit和Armitage(Metasploit的图形界面)的商用版本,但其Payload能力完全是按照实战设计的——可投放载荷覆盖全操作系统平台、格式文档载荷包括大量可构造溢出格式、载荷可以实现样本不落地、窃密加密回传和远程加密控制。其根本不是一般意义上的漏洞扫描测试平台,更不是军火商自我比喻的靶弹,而是真实的、带有战斗目的的导弹。
l高附加值交易是维持商业军火交易供需关系的纽带
商业军火尽管反复出现在APT攻击中,但商业军火的供应是商业行为,而不是类似TAO等攻击组织人员的职务行为。同时,尽管木马交易和漏洞交易一直都存在,但商业军火不是传统黑产低水准的木马交易买卖,也不是传统的漏洞收购,而是高质量的攻击装备“商品”,这使这种交易既是高附加值的,也是规模化的。如其提供的是实际有效的能力,包括0Day漏洞利用工具,而不是基本的漏洞信息或POC,其木马往往带有较高的模块化水平和Rootkit能力。
l商业军火的出品机构往往具有一定的政经背景
以CobaltStrike的出品人RaphaelMudge为例(美国),他曾经是美国空军的安全研究员、渗透实验的测试者。并深度参与了RedTeam项目。
表4RaphaelMudge的履历
公司/项目/机构
职位
StrategiccyberLLC
创始者和负责人
2012.1-至今
特拉华州空军国民警卫队
领导,传统预备役
2009-至今
Cobaltstrike
项目负责人
2011.11-2012.5
TDI
高级安全工程师
2010.8-2011.6
Automattic
代码Wrangler
2009.7-2010.8
FeedbackArmy,AftertheDeadline
创始人
2008.7-2009.11
美国空军研究实验室
系统工程师
2006.4-2008.3
美国空军
通信与信息军官
2004.3-2008-3
l商业军火背景下的能力流动导致威胁复杂化
商业军火一定程度上,在被作为一种“以攻验防”的安全产品在出售,但其对于信息安全的先发国家和发展中国家的影响明显是不同的,对长期落实纵深防御理念,基础防护手段实现了长期有效投入,积极防御和威胁情报已经产生作用的信息系统来说,商业军火的影响是有限的,但对于发展中国家的信息体系,则可能是一种灾难。因此商业军火的泛滥,首先带来的是金字塔的底层混乱,而不受控的商业武器,更有利于巩固一个单极的世界。
图6网络攻击中的商业军火覆盖面
APT攻击事件更容易令人联想到高级攻击手段,或是专属开发攻击装备、购买商业军火等装备;亦或是使用盗取的数字签名、使用独有或购买的漏洞等手段。因APT事件的攻击装备和手段被曝光后,其攻击装备和手段被其他攻击组织、地下黑色产业链、普通黑客等效仿,使得APT攻击技术常态化。反之,APT攻击以目的达成为目标,对针对性目标造成破坏或信息窃取为最终目的,其达成最终目的的攻击装备和手段并不必然是高级的攻击装备和手段。
根据美国的国土安全部(DHS)与国家网络安全和通信集成中心(NCCIC)发布的《灰熊草原-俄罗斯的恶意网络活动》(GRIZZLYSTEPPE–RussianMaliciousCyberActivity)报告[15]来看,攻击者使用的攻击手段如传统的鱼叉式电子邮件攻击、水坑攻击等,投放的载荷为带有恶意宏代码的Office文档、利用的是已知漏洞嵌入恶意代码的RTF格式文件,安装到目标主机的恶意代码是常规的远程控制工具。在这种看起来很普通的攻击装备和技巧下,攻击组织通过单方面爆料的方式,试图影响政治平衡。正如物理学中,力有大小、方向和作用点三要素一样,看似同样的攻击技巧和攻击手段,施加于不同作业面,完全可能产生不同的效果。因此,APT判断的核心依然是作业背景和攻击组织判定,将APT概念泛化到一些使用高级手段和技巧的非定向性攻击行为,是不负责任的,没有攻击意图和攻击意志的APT判定,是不可靠的。
图72016年国内重大数据泄露事件
威胁情报是攻防双方的公共地带。例如C&C,对防御方来说是规则和线索,对攻击方来说则是攻击资源和痕迹。安全事件的追踪溯源是为了定性事件性质、实施针对性防御策略、追踪溯源攻击者或组织机构等,而追踪溯源技术中使用的关键基因在威胁情报中具有非常具象的表现,威胁情报的共享目的和实现,为更高效、全面的事件追踪提供有力的支撑。而广泛的威胁情报开放查询,也为攻击者分析自身是否存在暴露和反向分析防御者的手段带来了入口,虽然威胁情报提供厂商可以通过对查询者的查询数据及过程进行目的分析,但在这种反向作业手段并未形成行业共识时,这种反向作业技术也并不成熟,威胁情报提供厂商并不能明确的区分自身用户和攻击者是否有重叠的部分。如果不能把威胁情报服务收敛于客户的自有资产范围,可能会带来新的目标制导。
2016年安天捕获的新增传统恶意代码家族数为*1,280个,新增变种数为912,279种,这些变种覆盖了亿级的样本Hash。传统恶意代码的增量开始放缓,移动和新兴场景的恶意代码开始不断上升。同时,APT攻击作业中的恶意代码样本的模块化和抗分析特性也在进一步增强。而无论PC端还是移动端,勒索软件都将成为重要威胁。
*注:由于安天基础威胁年报和移动威胁年报是分开发布的,所以基础威胁年报的统计中不包括移动系统的恶意代码。
图82016年PC平台恶意代码行为分类排行
国外研究者Danahy认为[16]“敲诈者”病毒的崛起是两个因素造成的:其一是越来越多的犯罪分子发现这种攻击方式利润丰厚;其二是勒索工具、开发包和服务的易用性和破坏力不断提高。安天研究人员对此的补充观点是——“比特币匿名支付和匿名网络带来的犯罪隐蔽性也是其中重要的原因。”[17]
2016年全球多家医院遭受勒索软件SamSam的袭击,在医院电子资产、患者信息等被加密后,被敲诈了上百万美金的赎金,同时患者的健康与生命均受到不同程度的威胁。这是2016年,首例曝光的大规模针对企业客户的勒索软件事件,勒索软件通过JBoss漏洞或其他漏洞攻击包组成的攻击组件对企业客户进行攻击,其在成功入侵一台终端计算机后,利用这台计算机作为“支点”,通过半自动化手段进行内网攻击,尽可能的感染内网中的其他计算机,扩大加密的电子资产数量,甚至加密用以备份的电子资产。在安天《2015年网络安全威胁的回顾与展望》[18]中曾提出的“勒索软件将成为全球个人用户甚至企业客户最直接的威胁,除加密用户文件、敲诈比特币外,勒索攻击者极有可能发起更有针对性的攻击来扩大战果,如结合内网渗透威胁更多的企业重要资料及数据。”等观点已经完全被2016年发生的勒索事件所验证。
图9蠕虫时代的传播入口到勒索软件的传播入口
图10需要警惕的勒索软件入口
安天CERT曾在2004年绘制了当时的主流蠕虫与传播入口示意图(图9左图早期图表),该图曾被多位研究者引用。可以肯定的是,尽管其中很多方式在DEP(DataExecutionPrevention,数据执行保护)和ASLR(AddressSpaceLayoutRandomization,地址空间布局随机化)等安全强化下已经失效,但存在问题的老版本系统依然存在。勒索模式带动的蠕虫的回潮不可避免,同时利用现有僵尸网络分发,针对新兴IoT场景漏洞传播和制造危害等问题都会广泛出现。而从已经发生的事件来看,被敲诈者不仅包括最终用户,而且大规模用户被绑架后,厂商也遭到敲诈。
金钱夜未眠,在巨大的经济利益驱使下,未来勒索软件的传播途径和破坏方式也会变得愈加复杂和难以防范。作为安天智甲的开发者,我们期望帮助更多用户防患于未然。
当前,安全威胁泛化已经成为常态,但我们依然采用与我们在前两次年报中发布“网络安全威胁泛化与分布”一样的方式,以一张新的图表来说明2016年威胁泛化的形势。
物联网是由不需要人工干预的具有传感系统的智能设备组成的网络,在现今的人类社会中,IoT存在于社会应用的各个角落,如可穿戴设备、车联网、智能家庭、智慧城市、工业4.0等。当IoT产生威胁时,它会不分地域、不分行业的影响到全社会。
目前,依托IoT设备的僵尸网络的规模不断增长,典型的IoTDDoS僵尸网络家族包括2013年出现的CCTV系列、肉鸡MM系列[20](ChickenMM,数字系列10771、10991、25000、36000)、BillGates、Mayday、PNScan、gafgyt等众多基于Linux的跨平台DDoS僵尸网络家族,安天对这些木马的规范命名如下。
表5截止到Mirai事件发生时,IoT僵尸网络的样本情况
家族名称
变种数量
样本HASH数量
Trojan[DDoS]/Linux.Mirai
2
大于100
Trojan[DDoS]/Linux.Xarcen
5
大于1000
Trojan[DDoS]/Linux.Znaich
3
大于500
Trojan/Linux.PNScan
大于50
Trojan[Backdoor]/Linux.Mayday
11
Trojan[DDoS]/Linux.DnsAmp
Trojan[Backdoor]/Linux.Ganiw
大于3000
Trojan[Backdoor]/Linux.Dofloo
大于2000
Trojan[Backdoor]/Linux.Gafgyt
28
大于8000
Trojan[Backdoor]/Linux.Tsunami
71
Worm/Linux.Moose
1
大于10
Worm[Net]/Linux.Darlloz
图11Mirai的破解密码档针对品牌默认口令的攻击映射
IoT设备利用种类繁多的网络协议技术使得网络空间与来自物理世界的信息交互成为可能。但是IoT自身具备以下不安全因素:IoT设备自身多数未嵌入安全机制,同时其又多半不在传统的IT网络之内,等于游离于安全感知能力之外,一旦遇到问题也不能有效响应;大部分的IoT设备24小时在线,其是比桌面Windows更“稳定”的攻击源;作为主流桌面操作系统的Windows的内存安全(如DEP、ASLR、SEHOP)等方面的能力不断强化,依托远程开放端口击穿Windows变得日趋困难,但对于普遍没有经过严格的安全设计的IoT设备的远程注入的成功率则高的多。
物联网就是物物相连的互联网,是未来信息社会重要基础支撑环节之一。物联网是在互联网基础上延伸和扩展的网络,物联网并不仅仅是网络,它还可以利用感知技术、信息传感等技术的嵌入式传感器、设备及系统构建成复杂的涉及实体社会空间的应用,这些应用所在的设备很多都是维系民生的重要节点的关键基础设施设备,甚至包括关键工控设施的基础传感器。因此,安全性必须加入到产品的设计中,而不是采用把默认密码硬编码到固件中、Web接口轻易被绕过等方法,仅考虑部署简易,将安全置之度外,势必会留下安全威胁隐患。被入侵的这些设备本身具有更多的资源纵深价值,这比使用这些设备参与DDoS攻击所带来的危险更为严重。因此,无论从国家层面还是厂商层面来看,都应加强IoT设备的安全防护,提高攻击入侵IoT设备的成本,以及加强对IoT设备的安全威胁监测预警。
汽车行业是国民经济发展的中流砥柱,新能源汽车、智能化和网联化正在加速汽车行业的发展,催生了车联网、无人驾驶、高精度定位、大数据等技术在汽车行业的应用,为“互联网+汽车”添加催化剂。汽车行业在智能化和网联化方面的发展趋势,也催生了汽车电子行业的更新变革,从芯片、车载电子控制系统到车机系统等软硬件供应商,以TSP为主的车联网服务供应商,都有新玩家入局和老玩家出局的情况发生,整个汽车电子行业正在进入重新洗牌阶段。
智能汽车面临着复杂的直接攻击风险和供应链安全风险,从直接风险来看包括:
物理接触:通过和车辆的物理接触实现攻击,主要攻击模式为在车上通过插入OBD攻击车载系统。
近场通信劫持:在离车辆较近距离方位内,主要通过劫持相应近场通信协议如nfc,蓝牙等,进行重放攻击,典型攻击为破解无线钥匙,开启车门。
远程控制:该种攻击无需接触或靠近车辆,通过对“端-管-云”三者的其中一环进行攻击达到盗取用户信息、甚至控制车辆的操作。
因此汽车整体的信息安全必然涉及“两端一云”(手机端/汽车端+车联网云服务),从攻击面上来说,包括了手机终端,汽车端车机系统,汽车端电子控制系统,和车联网云服务以及近场和远程通信的各种安全问题,因此所涉及到的信息安全方案一定是综合性的,涉及到的供应商也是各个层面的,比如车载安全芯片,车载防火墙,车机娱乐系统安全加固,车载App威胁检测与防护,车载系统安全OTA升级,通信加密与认证,手机App威胁检测与防护,云安全等。最终在汽车信息安全市场,车联网安全的未来将从单纯的车辆安全扩展到智能交通体系的安全和整个社会安全,越来越多的APT攻击以影响社会安全为目的,因此应该在高烈度对抗的假定情景下思考智能交通的安全。安天当前依托智能终端侧威胁检测防御的扎实基础,正在形成服务于车联网“检测+防护+服务+感知”的防护体系。
从IT体系来看,IT设备、智能手机、智能设备、部分产品组件、软件产品等处于供应链上游节点,相对于供应链条上的其他节点,是难以验证的具有特定功能的黑盒,这使得攻击者在攻击意图的驱使下,可使用户在不知情的情况下遭受攻击。部分厂商可在不同的软、硬件产品中加入信息采集模块,预置后门,或在研发阶段预留调试接口,给攻击者留下可利用的途径,一旦成功入侵,重要信息泄露等安全事件将随之而来,而这些产品可以直接影响到实体社会空间,那么造成的损失也不可估量。除此之外,硬件产品的缺省口令和硬编码也使得各种硬件产品存在安全隐患。
智能设备的快速发展与应用在改变人们学习、工作、娱乐等生活方式的同时,也存在大量的安全隐患,除了智能设备本身的安全问题与事件外,这些新兴设备和场景均可能成为新的攻击入口。与传统安全防护体系不同之处在于,除新兴设备和场景的自身安全系统不健全外,安全防护与预警体系也并未完全覆盖这些新兴设备和场景,这就给攻击者带来了新的攻击入口,例如进入监管不到位的接入了新兴设备的物理隔离网络。
但带有“合法”签名的恶意代码,早已不再是APT攻击的专利,我们在2016年看到的所有恶意代码的数字签名统计情况是,接近五分之一的WindowsPE恶意代码带有数字签名,五分之一以上的带有数字签名的WindowsPE恶意代码有可以通过验证的数字签名。其中大量的签发证书并不来自盗用,而来自正常的流程的申请。
在人们的印象中,证书的安全性更多在算法层面,例如被讨论更多的是散列算法的安全性对证书的影响,但正如我们反复指出的那样“如果没有端点的系统安全作为保障,那么加密和认证都会成为伪安全。”证书的密码协议设计固然重要,但其并不足以保证证书体系的安全,遗憾的是,以WindowsPE格式为代表的现有代码证书体系,是在端点窃密安全威胁还没有成为主流的情况下建立的,在这个体系中,证书签发环境的安全、证书统一管理和废止机制、证书机构自身的系统安全都没有得到足够的重视。
而迄今为止,Linux系统未能建立起普适的签名认证体系,包括Windows平台下的一些著名开源软件,也依然在二进制版本的发布中没有引入数字签名机制。毫无疑问,这为Linux下的安全防御带来了进一步的困难。
签名体系本身是不足以独立在一个开放的场景中保证供应链安全的,但不管如何,代码签名体系依然是供应链安全体系的重要基石,其更重要的意义是实现发布者验证和追溯机制。没有代码签名体系的世界,注定是更坏的世界。
互联网商业模式是基于用户信息和行为的,包括部分隐私采集聚合、基于与大数据分析带来价值和便利性、用户通过放弃部分系统控制权和个人信息来置换便利的免费服务。在个人用户已经将这种信息采集视为无可奈何的常态的时候,也为机构用户的安全带来问题,例如与云盘等功能连接的文档编辑和笔记工具可能导致文档编辑内容的泄露,输入法的云特性导致敏感输入内容的泄露等等。
在过去的种种案例总结中,供应链攻击更多的被作为一种“曲线”进入核心IT场景的外围攻击手段,这是频繁发生的事件,但如果这是我们理解这一问题的唯一方式,就是把战略问题战术化了。我们有理由确信:未来的网络安全的对抗,是围绕“供应链”和“大数据”展开的,供应链从来就不只是网络对抗中的外围阵地,而是更为核心和致命的主战场。
习近平总书记在4.19讲话中指出“树立正确的网络安全观。理念决定行动”,并深刻诠释了网络安全的基本认知规律,在正确网络安全观建立之后,寻找有效的方法,并进行实践就是非常重要的工作。网络安全的进步是两方面的,即一方面是在与威胁的对抗和研判中,不断提升自身能力,另一方面是不断实现对错误的观念与方法的扬弃,从而达成持续进步。
如何尊重网络安全的整体性、动态性、开放性、相对性、共同性,而避免割裂、静态、封闭、绝对、孤立的错误安全方法呢?如何落实“全天候全方位感知网络安全态势”、“有效防护”的要求,如何实践“动态、综合的防护理念”?如何达成“安全和发展要同步推进”?安天人也在不断地思考、总结和实践。
安天围绕“塔防”思路的持续推进安全了事件,塔防的核心思想是,利用防御方拥有环境部署的先发优势,形成防御阵地,在边界、流量、端点部署可以协同联动的防御感知环节,并扩展客户的深度分析能力。安天以厂商、客户和对抗三视角推动系统有效防护的达成,最终达到削弱、迟滞和呈现对手的目的。
而特别让我们深入思考的是,高级攻击者普遍搭建模拟沙盘,对防御方各种安全产品进行模拟测试。如何让安全产品在客户侧形成攻击者难以预测的能力?在经过了不断的尝试、思考和对抗演练后,安天确定了以“下一代威胁检测引擎、深度客户赋能、交互式可视化分析”为导向建立安天产品基因。
2016年,安天先后发布了全新版本的终端防护产品“智甲”、流量监测产品“探海”、深度分析产品“追影”,威胁情报产品“AVLInsight”等,对产品线进行了完善改造。安天也成功树立了在军队、公安、海关、电力、金融、运营商等高安全等级客户的标杆案例,并承担了多个态势感知与监控预警平台的总体研发工作。
2012年,在安天早期的态势感知系统的开发中,通过引入威胁的可视化展示,提升了系统表现力,并提出了“让安全可见”的口号。在随后的安全实践中,我们致力于将安全的可视化从一种纯粹的展示技术转化为一种操作工具模式,以实现在不同时点的资产和威胁的关联分析。我们明确了态势感知首先是一种建立在可靠的基础感知检测能力、深度分析分析能力、顶层研判能力和操作化流程上的安全业务系统。同时我们也经常面对的问题是,态势感知与传统的SIEM与SOC的差异是什么?SIEM和SOC是一种有效的安全实践,其将更多离散的安全环节聚合为一个整体。但我们需要看到,SIEM和SOC是在安全产品本身在各自为战的时代出现的,其更强调的是对既有安全能力的整合、对日志的汇集,对于如何按照一个系统的安全方法为指导、以顶层安全业务价值来牵引,来规划更合理的客户端和流量侧的能力,缺乏自上而下的要求。安天拥有完整的端点、网络侧和分析能力积累,检测分析能力跨越传统PC、移动与新兴场景,这为我们从上层态势感知的业务需求反过来设计更细粒度的感知能力提供了便利。
从流量侧上,我们在2013年的XDEF上指出[22],传统的网络实时检测更多的是在和蠕虫和DDoS等威胁对抗中,基于载荷和行为会反复重现而设计的,而对于APT攻击中载荷高度定向而一次性的投放,则考虑不足,流量监测必须形成对载荷的有效捕获还原,联动分析的能力。而在2016年,我们在流量检测设备追影上,为实现基于深度定制化规则的向前追溯和向后的条件守候做了更多的工作。让设备可以在高速实时化检测和全要素采集检测两个模式间切换,通过把记录从五元组扩展到十三元组,实现更有效的追溯能力,同时借助安天下一代威胁检测引擎的向量解析能力,我们把网络监测的规则扩展能力,从简单的信标扩展,升级到向量级规则的扩展。
当沙箱被当成一种“检测引擎”看待的时候,作为沙箱技术长期的探索实践者,我们认为这种思路是偏颇的。沙箱提供的检测结果是发散的,这种拆解发散后的动态向量的价值比起判断结论更为重要。安天坚持以有效触发格式文档和浏览器漏洞、细粒度揭示恶意行为细节和产生威胁情报作为安天追影分析产品的主要导向,并坚持将前置部署的沙箱成为用户侧私有化的安全能力。
安天在2016年对自身提出的下一代威胁检测引擎的理念进行了实践,使反病毒引擎从一个决策器,变成一个带有决策功能的分析器。传统反病毒引擎的基本工作原理是跳过无毒格式,对风险格式进行预处理,并输出判别结果和威胁名称。而安天下一代威胁检测引擎在上述功能的基础上,增加了全格式对象识别和深度解析的机制,从而使上层的人工分析、自动编排和人工智能,有了更细粒度的决策空间。
同时作为重要的供应链安全厂商,安天正在从一个解决恶意代码问题的安全厂商角色,转变到能承担起更多的责任的安全厂商角色。安天AVLInside为手机厂商不仅提供了反恶意代码能力,更将Wi-Fi安全、支付安全、URL安全等融合起来。通过进入系统底层,解决安全应用和恶意程序的平权问题。供应链的全面扩展,延展了安天的威胁感知能力,形成了安天为金融等高安全需求的行业客户,提供安全风险和威胁情报的定向分析输出能力。
正是基于可靠的基础检测分析能力和供应链感知能力,安天持续提升了态势感知平台的感知粒度和业务想象力。而在形成基础大数据分析能力上,避免事件淹没,通过业务流程,实现整体研判和决策,并以资产、信誉视角展开可视化工作,使之回归资产价值保障的本质。
2016年,安天、360企业安全等厂商,在分析报告、会议报告等场合,多次使用了“能力型安全厂商”一词。我们对能力型安全厂商理解如下:
“具有坚定的解决用户安全问题的信仰,具有直面安全威胁的信念和勇气,恪守安全厂商应具备的道德与价值观。
致力于自主研发和技术创新,拥有带有独特技术价值的核心技术,在安全威胁的感知、检测、防御、分析等方面,在感知体系、大数据积累以及其他安全关键技术方面,有自己的特色和特长。”
“在分析报告、技术BLOG、早新闻等环节,积极互认和肯定对方成果,具名说明对方工作和贡献,对对方技术成果给出原厂链接。
对于重大事件、重大漏洞、关键系统等的分析工作,如果有一方已经做了较多的工作及较为深入的分析,本着积极互动,少做重复和无用功的原则,基于已经取得的合作方成果进行叠加深入分析。”
推动积极防御、威胁情报与架构安全和被动防御的有效融合,致力于提供攻击者在攻击难以绕过的环节上叠加攻击者难以预测的安全能力,达成高度自动化和可操作化的安全业务价值,这将是未来安天所选择的道路。
基于自主创新的威胁检测防御核心技术产品服务,推动积极防御、威胁情报与架构安全和被动防御的有效融合,致力于提供攻击者在攻击难以绕过的环节上叠加攻击者难以预测的安全能力,达成有效防护和高度自动化和可操作化的安全业务价值,这将是未来安天所选择的道路。
做一个能力型厂商很难,而一个能力型厂商希望达成真正的客户价值则更难。“夫夷以近,则游者众;险以远,则至者少”。我们对网络安全事业的理解决定了我们要永远选择爬最陡的坡,走最荆棘的路。过去如此,未来也是如此。
[1]安天:《乌克兰电力系统遭受攻击事件综合分析报告》
[2]SANSICS关于乌克兰停电事件系列报告
[3]ESET关于乌克兰停电事件系列报告
[4]安天:《白象的舞步——来自南亚次大陆的网络攻击》
[5]安天:《从“方程式”到“方程组——EQUATION攻击组织高级恶意代码的全平台能力解析》
[6]安天:《修改硬盘固件的木马探索方程式(EQUATION)组织的攻击组件》
[7]安天:《方程式(EQUATION)部分组件中的加密技巧分析》
[8]Kaspersky:Equation:TheDeathStarofMalwareGalaxy
[9]Kaspersky:AFannyEquation:"Iamyourfather,Stuxnet"
[10]Kaspersky:EquationGroup:fromHoustonwithlove
[11]Kaspersky:Equation_group_questions_and_answers
[12]AnEasyWin:UsingSIGINTtoLearnaboutNewViruses
[13]安天:《一例针对中方机构的准APT攻击中所使用的样本分析》
[14]360:OceanLotus(海莲花)APT报告
[15]USCERT:GrizzlySteppe
[16]nextwaveofransomwarecoulddemandmillions
[18]安天:《2015年网络安全威胁的回顾与展望》
[19]安天:《DDoS攻击组织肉鸡美眉分析》
[20]安天:《IoT僵尸网络严重威胁网络基础设施安全》
[21]Kaspersky:Duqu2.0组织盗用富士康证书
[22]走出蠕虫木马地带——传统反网络恶意代码方法的成因与应对APT的局限
全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
关于反病毒引擎更多信息请访问:
安天企业安全公司更多信息请访问:
安天移动安全公司(AVLTEAM)更多信息请访问:
安天是一家反病毒引擎和解决方案厂商,提供检测PC恶意代码和移动恶意代码的顶级反病毒引擎和下一代反病毒服务。