2017網絡安全威脅的回顧與展望
時間 2018年07月07日 來源: Antiy CERT
1、網絡安全防御須以敵情想定為前提
我國是網絡大國,也是面臨網絡安全威脅最嚴重的國家之一。近年來,國內金融、能源、交通、教育等行業網絡成為戰略對手攻擊和滲透的主要目標,利用網絡攻擊造成的信息竊取和破壞事件呈現增長趨勢。隨著APT組織的不斷曝光和其背后國家背景的日益明朗,我們必須認識到不能將網絡安全問題窄帶地理解為技術問題,必須注意到網絡安全問題的復雜性與關聯性,圍繞著大國博弈、地緣安全的威脅演進和對抗才是網絡安全問題的主旋律,如果不將這些因素考慮在內,不僅不能看到網絡安全的全貌,并且會丟失網絡安全威脅認知的主體。
正如我們此前反復強調的那樣,需要關注網絡攻擊行為背后的動力性因素。
在這種認知的驅動下,安天經過探索和總結,提出了關鍵信息基礎設施的網絡安全防護需要以“敵情想定”作為前提的觀點。有效的敵情想定就是要將內網已被滲透、供應鏈被上游控制、運營商關鍵路由節點被控制、物流倉儲被滲透劫持、安全規范不能被百分之百落實、關鍵人員被敵方策反等情況作為基本前提假設,以此為基礎展開網絡安全防護工作。2018年1月,我們以“敵情想定是前提,網絡安全實戰化”為主題舉辦了第五屆安天網絡安全冬訓營,旨在打破舊有的以“物理隔離+好人假定+規定推演”構成的自我麻痹式安全觀,以有效的敵情想定為前提,以實戰化作為網絡空間安全防護的第一要求,向承擔著關鍵信息基礎設施防御使命的政企單位輸出能用得起來的安全能力,幫助客戶全面落實網絡安全防御職責,使安全防御體系能夠隨時應對真實的威脅,實現有效的安全價值。
建立有效的敵情想定必須對“敵情”進行全方位了解,本文以此為視角對2017年重大的網絡安全威脅進行回顧和盤點,并提出以下思考和觀點:
APT攻擊事件頻發,其曝光度也在增加,目前已有數以百計的攻擊組織被發現。通過對攻擊組織的深度挖掘,其背后隱藏的支持者正逐漸浮出水面。
超級大國的網絡軍火庫儲備有大量的網絡武器,一旦被竊取泄露,將造成大面積的網絡威脅,后果不堪設想。在2017年,“魔窟”(WannaCry)勒索蠕蟲僅利用美國NSA網絡軍火中的“永恒之藍”(Eternalblue)漏洞,就制造了一場遍及全球的網絡威脅風暴。
民間復合行為體,可能基于民族情感、宗教信仰、政治立場等原因,發起網絡攻擊。在對攻擊行為進行分析中發現,他們采用的是較為常規的攻擊手段,卻能夠擊中對手的關鍵部位,這種民間復合行為體成為了網絡攻擊中不得不考慮的一種作業模式。
攻擊組織往往不會因為被曝光而停下進攻的腳步,只是會暫時停緩自己的攻擊行為。從長時間的跟蹤檢測中發現,這些攻擊組織往往會間斷性的展開網絡攻擊,并且不斷對進攻手段、目的等進行更新修改。因此,我們不能懈怠對已曝光危險組織的持續跟蹤,并在不斷的跟蹤分析過程中,改進防御手段及更新產品能力。
近年金融、銀行系統遭受的APT攻擊在不斷增多,銀行系統暴露出嚴重的網絡安全問題。與一般的直接的經濟利益為目的攻擊不同,美方對銀行SWIFT系統的攻擊體現出了更高級的戰略需求——獲取關鍵信息基礎設施控制權,為實現隨時從監視到攻擊行動的無縫切換奠定基礎。
數據泄露問題依舊高頻發生,對于大量流失的隱私數據,傳統安全問題仍是其發生的主要原因,因而基礎的網絡安全防護措施仍然能夠對數據形成有效的保護屏障。由于數據保護方和竊取方的驅動力相差甚大,因此我們對2018年數據泄露情況的預測并不樂觀,形勢依舊嚴峻。
在商業合作中,乙方自身的安全防御能力能夠對甲方數據的安全性產生直接影響,由于乙方在數據安全保護上的疏漏,造成數據泄露的事件也隨著外包業務的盛行而增多。因此在這種合作中,應當將雙方的安全防護等級提升到同一高度。
虛擬貨幣的炒作膨脹,吸引了大量攻擊者的注意力。而基于貨幣的勒索模式逐漸發生了變化,勒索軟件不再是單純的勒索贖金,而是表現出了一種新的準軍事攻擊的模式。部分勒索軟件其本質目的已經不是勒索贖金,而是實現對特定目標、特定區域設施的破壞。這種攻擊模式不同于以往高級持續性威脅(Advanced Persistent Threat,APT)表現出的高度定向、指哪打哪的模式,而是基于一定的地緣條件,針對特定區域的目標投放木馬,借由勒索軟件自身的傳播進行破壞。為防止這種披著“勒索”外衣的攻擊行為,我們要加強縱深防御體系和能力的建設。
對于資本收益的渴求,使得挖礦木馬滋生并盛行。同時,對于比特幣的攻擊事件更是頻繁而集中。對于大熱的區塊鏈技術,只有保證它的安全性,才能維持其長久的發展。
IoT中安全設計的匱乏,使基礎設施攻擊和隱私數據泄露可能成為IoT威脅的熱點。因此,無論從國家層面還是廠商層面來看,都應加強IoT設備的安全防護,提高攻擊入侵IoT設備的成本,以及加強對IoT設備的安全威脅監測預警。
軟件供應鏈攻擊已經成為突破現有安全防御手段的一種有效方法。由于技術原因,目前國內很多種類的IT產品和服務均被國外壟斷,而自主的產品和服務還不能完全替代國外產品,致使我國面臨著更加嚴峻的軟件供應鏈安全風險。因此,網絡安全業界要按照習近平總書記提出的“總體國家安全觀”的要求,從供應鏈、信息流等更廣闊的視角完善自身的技術能力。
面對威脅和挑戰,安天將繼續做具有體系化視野和解決方案的能力型安全廠商。以真實的敵情想定為前提,以實戰化作為網絡空間安全防御的第一要求,讓安全技術、產品與服務能夠隨時應對真實的威脅,為客戶實現有效的安全價值。
2、APT攻擊正在呈現出網空戰略作業行為的全貌
2.1 隨著攻擊組織的不斷被分析曝光,APT攻擊正在轉化為網絡空間的“戰略陽謀”
隨著APT攻擊事件的頻頻曝光,APT攻擊的威脅已經影響到國家安全、地緣政治及經濟利益等諸多方面,全球各安全廠商、研究院以及第三方機構紛紛投入到APT攻擊組織的研究中。目前全球安全機構共發現了數百個攻擊組織,其中部分攻擊組織有著深厚背景支持。隨著不斷曝光及深度挖掘,隱藏的攻擊組織逐漸浮出水面,其背景也日漸明朗。在戰略陽謀的條件下,從原來的管中窺豹盲人摸象似的斗爭,轉化成與已知物種但必然向我方發動攻擊的猛獸的搏斗,這將是我們在未來一段時間所面臨的必然挑戰,盡管他們還會使用很多我們未知的武器。
從早期的斯諾登事件,到影子經紀人(Shadow Brokers)和維基解密事件,美國中央情報局和國家安全局執行著多個面向網絡空間的情報獲取和監控計劃,從硬件工具到惡意代碼的裝備體系,所針對的目標幾乎涵蓋了智能電子設備類別和操作系統平臺。公開資料和內部的分析研究顯示,“方程式”(Equation)組織是一個長期活躍的有政府背景的攻擊組織,該組織歸屬于美國國家安全局下的特定入侵行動辦公室(TAO),針對特定目標收集情報、潛入攻擊、破解密碼、竊取數據等。多方證據表明,著名的震網(Stuxnet)和火焰(Flame)病毒的幕后操縱者均為“方程式”組織。
2017年5月12日,全球爆發大規模的“魔窟”(WannaCry)[1]勒索軟件感染事件,眾多行業受到影響。該勒索軟件主要利用影子經紀人曝光的美方“網絡軍火”中的“永恒之藍”漏洞進行攻擊。5月23日,賽門鐵克公開發布“魔窟”(WannaCry)攻擊事件與Lazarus組織有著緊密聯系。6月美國國家安全局稱已經獲得一些朝鮮發動WannaCry的證據,據了解這些證據來自各國政府、網絡安全公司和受到攻擊的公司。12月18日,美國總統國土安全和反恐助理托馬斯·博塞特(Thomas Bossert)在《華爾街日報》發表文章指出WannaCry攻擊事件的幕后操縱者為朝鮮。除了境外的一系列報告和數據,國內安全廠商也分析出朝鮮是最值得懷疑的對象。
2016年7月安天曝光了追蹤四年的攻擊組織“白象”(White Elephant),通過對該組織進行長期分析跟蹤及溯源,確定該攻擊組織為十幾人到幾十人的攻擊小組,組織成員來自印度,并最終鎖定其中一名自然人。除“白象”組織外,安天在《潛伏的象群—來自南亞次大陸的系列網絡攻擊行動》[2]報告中還披露了多個網絡攻擊組織,這些組織都具有印方背景。除以上幾個典型的具有國家背景的網絡攻擊組織外,安天還跟蹤分析了大量攻擊組織并分析定位組織所屬國家,具體攻擊組織及國家歸屬如圖2-1所示。
圖 2-1 全球APT攻擊行動、組織地理位置分布圖
“網絡安全的本質是對抗,對抗的本質是攻防兩端能力的較量”,APT正是對這一論述的最直觀體現。安天在長期研究和跟蹤APT事件中發現,攻擊組織與安全廠商更像是矛與盾的關系,安全廠商長期持久地跟蹤分析APT背后的攻擊組織并研究檢測防御方法。與此同時,APT攻擊組織也針對安全機構采取不斷進化和升級以避免被檢測和溯源。安全廠商雖然曝光了攻擊組織并給出了檢測防御建議,但攻擊組織的網絡行動并不會因被曝光而停歇。攻擊組織為達成戰略目的會不斷更新、修改戰術,有些組織甚至會全面規避以往的行為特點和攻擊資源,以及利用虛假威脅情報規避追蹤。
從安天對“白象”和“APT-TOCS”(海蓮花)[3]的監測情況來看,相關組織的攻擊行動依然活躍,從下圖“白象”和“APT-TOCS”(海蓮花)的活動時間軸可以明顯看出,在這兩個組織被曝光后只是暫時偃旗息鼓,不久又繼續其網絡攻擊活動。
圖 2-2 “白象”、“海蓮花”活動時間軸
網絡攻擊本身具有易于隱藏攻擊源的特性,攻擊組織通常會改變其樣本特征和基礎資源,待事件淡出安全廠商的視野后再次開始行動。因此,防御APT攻擊需要持續跟蹤分析攻擊者的技巧、意圖和路徑,將這些經驗轉化為防御改善和產品能力更新,既要有曝光對手的勇銳,也要有戍邊十載、不為人知的持續堅守。
2.2 網絡空間的軍備擴散問題引發全球網絡威脅風暴
網絡空間的“軍備”,是指具有武器級水準的攻擊平臺、惡意代碼、漏洞及其利用程序,以及其他用于助力達成攻擊的工具或組件等。從當前現狀來看,主要包括像NSA、CIA這樣的超級大國情報機構所研發的相關攻擊工具和支撐體系,還包括部分商用工具,如Cobalt Strike等商用攻擊平臺,Rig、Magnitude等漏洞工具包。
2017年5月12日一場由網絡軍備擴散導致的全球網絡風暴爆發。下午15時左右,“魔窟”(WannaCry)勒索蠕蟲爆發,該蠕蟲利用了泄露的NSA的“永恒之藍”漏洞,短短數日內造成大量政府、企業、醫療等行業內網感染,部分基礎設施暫停服務。這是一起嚴重的因“網絡軍火”擴散導致的大規模網絡安全事件。超級大國無節制地發展網絡軍備,但又不妥善履行保管義務,已經嚴重影響互聯網的安全基礎和信任。從此次事件也可以看出,高能力的網絡軍火一旦失控泄露,將快速轉化為普遍性的攻擊能力,從而可以引發雪崩式的社會風險。
安天CERT在2017年發布的《2016年網絡安全威脅的回顧與展望》[4]中提出“網絡軍火”的擴散全面降低攻擊者的攻擊成本和勒索模式帶動的蠕蟲的回潮不可避免等觀點。結果未滿1個月,安天預測的這種“勒索軟件+蠕蟲”的傳播方式即被不幸言中,并迅速形成了全球性的感染模式。該事件以最直觀的方式將網絡軍備的威力展示在公眾視野之下,讓全球焦點聚集于網絡軍備的不當使用和失控擴散問題。另外需要注意的是,“魔窟”(WannaCry)勒索蠕蟲僅利用了被曝光的“網絡軍火”中的“永恒之藍”(Eternalblue)漏洞,而Shadow Brokers(影子經紀人)曝光的“網絡軍火”中還有一系列的漏洞及利用工具需要關注和防范。圖2-3為Shadow Brokers(影子經紀人)曝光的全部NSA“網絡軍火”漏洞利用關系圖[5]。
圖 2-3 2017年4月14日泄露的NSA網絡軍火裝備的漏洞利用關系圖
從“魔窟”(WannaCry)造成的危害來看,超級大國網絡軍火的攻擊性、沖擊性非常強。一旦網絡軍火流落到第三方,并且被大規模使用,肯定會造成大面積的安全事件。然而“魔窟”利用的“永恒之藍”漏洞只是網絡軍備中的滄海一粟,高級網絡軍備如同戰略武器一樣寶貴和稀缺,更多泄露的網絡軍火不會進行無控制的傳播和擴散,而是在有背景有紀律的網絡攻擊組織手中謹慎的針對性地使用。這些網絡軍火的威力絕不低于“永恒之藍”,只是因為沒有造成明顯可見的大范圍的危害而被人忽視,它們的存在和泄露才是更令人擔憂的。自“斯諾登”事件以來,網絡上頻頻爆出超級大國網絡軍備資料和實體武器樣本,這些武器裝備有著系統的開發規范和流程、成體系的操作和作業手冊、配套的高質量操作人員、以及完善的后勤保障和支撐體系,超級大國依靠先發優勢、技術儲備和資金支持,建立起一套完整的網絡裝備作業體系。這些網絡軍備一旦泄露到互聯網將給網絡空間造成巨大的潛在威脅。下圖是安天基于已掌握的美方網絡軍備以攻擊目標、作業場景、作業方式和支撐體系梳理的兩幅圖(宏觀:2-4美方網絡裝備體系分區圖、微觀:2-5方程式組織主機作業模塊積木圖)[6]。
圖 2-4 美方網絡裝備體系分區圖
圖 2-5 方程式組織主機作業模塊積木圖
綜上所述,部分世界強國的網絡軍備能力已經足夠強大,在網絡軍備失控的狀態之下,會給網絡空間帶來毀滅性的影響。從這個意義講,所有發動網絡攻擊的國家都在進行著可怕的冒險,所有試圖開展網絡軍備競賽和發動網絡襲擊的國家,都如同釋放瓶子里的魔鬼,一旦打開將一發不可收拾。
2.3 民間復合行為體成為了一種必須考慮的作業樣式
民間復合行為體是指有一定安全攻擊能力,可能在不同事件中參與,不是純粹的官方組織,但可能基于一定的政治立場、宗教信仰,從而在不同的攻擊行動中,會有比較模糊的攻擊行為,亦可能有國家背景。
2016年12月30日,美國國土安全部和FBI公布13頁俄羅斯利用黑客介入美國選舉的報告,這是美國首次在官方報告中點名俄羅斯主使惡意黑客攻擊。報告中公開指責俄羅斯黑客干擾美國大選。同時,2017年發生的多個美國政治組織和個人的電子郵件外泄事件與俄羅斯政府有關。黑客所使用的技術和服務器出自俄羅斯。只有俄羅斯高級別官員授權,俄羅斯黑客才會從事這些活動。
2017年6月,根據美國《紐約時報》報道,普京稱有“愛國心的”俄羅斯黑客可能以私人方式卷入干涉美國總統大選的網絡襲擊事件。普京稱這些“愛國的黑客”可能了解了一些國際關系后,以“自認為正確的方式打擊他們認為對俄羅斯不利的事”。
從對攻擊組織(APT28)的分析中我們可以看到,攻擊組織采用的攻擊手法、技術與常規網絡攻擊活動沒有明顯區別,戰略性的行動并不必然使用先進的武器,看似用粗糙的方法,打擊到對手的關鍵部位,影響對手基礎穩定性。
2017年下半年起,多起借“勒索”之名進行破壞攻擊的事件爆發,從“偽必加”到“壞兔子”,勒索模式逐漸發生了變化,勒索軟件不再是單純的勒索贖金,而是表現出了一種新的準軍事攻擊的模式。這種新模式下的勒索軟件依然披著勒索的外衣,試圖偽裝自己,混淆視聽。事后通過對這些事件的分析發現,大部分事件的發起者并非來自國家背景,而多為民間復合行為體。
勒索蠕蟲“魔窟”攻擊者僅收到價值14萬美元的比特幣贖金,“偽必加”開發者早在7月初就開始收網,此時距離“偽必加”的爆發時間還不到一個月。部分勒索軟件其本質目的已經不是勒索贖金,而是實現對特定目標、特定區域設施的破壞。這種攻擊模式不同于以往高級持續性威脅(Advanced Persistent Threat,APT)表現出的高度定向、指哪打哪的模式,而是基于一定的地緣條件,針對特定區域的目標投放木馬,借由勒索軟件自身的傳播進行破壞。例如,“偽必加”是通過一款會計服務與業務管理軟件的更新進行傳播,它主要投放區域是烏克蘭地區;“壞兔子”的投放入口是東歐的一些新聞媒體網站,許多東歐當地的政府部門和企業都受到了攻擊;“Erebus”的初始投放入口是韓國網絡托管公司“Nayana”;甚至還出現了“Magniber”這種只對韓文系統的計算機進行破壞的勒索軟件。這種區域半定向的攻擊方式迅速地給投放區域帶來了負面的影響,同時由于其傳播的不定向性,在一定程度上增加了安全研究人員的調查周期。
我們對2017年爆發的幾個典型勒索軟件家族特點進行了總結,如下表所示。
表 2-1 2017年爆發的幾個典型勒索軟件家族
于互聯網的高流動性,這種攻擊方式存在著較大的“誤傷概率”,是一種“殺人一萬、自損三千”的攻擊方式。安天的工程師認為,這種獨特的攻擊行為可能是由具有國家背景支持的民間攻擊組織所承載的,我們將其稱之為“民間復合行為體”。這些民間復合行為體的目的不在于“勒索”而是“破壞”,因此在戰術上選擇了一種“損人不利己”、“多損人少損己”的方式來給對手制造混亂。這些民間復合行為體不需要很強的作業能力,甚至他們的攻擊行為都可能被誤認為是普通的黑產犯罪,而一旦這種帶有明顯目的性的破壞行為開始實施,會對關鍵信息基礎設施造成極大危害。
我們推測像“必加”、“壞兔子”這種破壞性質多于勒索性質的勒索軟件,在今后會更多地用于對特定區域的定向攻擊中。由這種民間復合行為體針對指定區域進行病毒投放的攻擊在今后會愈演愈烈,而打著“勒索”旗號實為“破壞”的攻擊方式也會被更多的組織所使用。勒索軟件的攻防已經從單純的網絡空間較量變成具有一定政治意義的“軟較量”——當對手配合政治事件以這種方式來宣示“存在”或“立場”時,如果不能快速有效地做出響應,則給己方帶來的混亂和損失會更加嚴重,有效完善縱深防御體系和能力勢在必行。
2.4 陳舊漏洞在APT攻擊中依然被高頻使用
在普遍直覺認知上,大部分人認為APT攻擊可能較多采用0-day漏洞,但事實上APT組織在網絡攻擊中更傾向于使用包括1-day在內的陳舊漏洞,不同的攻擊組織也存在挖掘儲備能力的差異和攻擊成本限制,大量APT組織會使用1-day漏洞,將漏洞披露后的空窗期時間段視為攻擊的黃金時間。2017年對安全研究人員而言,有很多耳熟能詳的漏洞編號,包括微軟Office的CVE-2017-0199、CVE-2017-8759、CVE-2017-11826、CVE-2017-11882(CVE-2018-0802)以及Adobe Flash的CVE-2017-11292。
APT-TOCS(海蓮花)組織在CVE-2017-8759披露后的一周時間形成了有效的攻擊載荷。卡巴斯基檢測到APT BlackOasis利用Adobe Flash的0-day漏洞CVE-2017-11292進行攻擊活動,但在Adobe公布CVE-2017-11292補丁兩天之后,APT28就已將其構建成武器載荷。2017年11月14日,微軟發布了CVE-2017-11882漏洞補丁。向微軟披露該漏洞的安全公司EMBEDI在11月20日,通過Github公開了該漏洞的PoC,隨后11月21日Github出現了一鍵制作的包含11882漏洞利用攻擊代碼的腳本。在此之后,該1-day漏洞才逐漸被APT34、白象等能力稍弱的APT組織利用。
2017年4月11日微軟發布CVE-2017-0199漏洞補丁。FireEye的安全研究人員表示,在4月9日該漏洞利用載荷已經在地下市場出售,在漏洞公開的黃金期已經有組織開始使用。隨著時間推移,該漏洞利用攻擊被泛化開始針對金融等行業,而不再是針對少數目標的APT攻擊。更多的APT組織(APT34、APT-TOCS、白象組織)獲取到漏洞利用代碼后也開始使用,將該漏洞作為武器裝備用于針對性的攻擊活動中。
從防御方的角度來看,對于存在陳舊漏洞的系統,如果沒有形成有效的防御體系,也沒有建立起有效的安全加固,那么無疑是將目標暴露在攻擊者的視野之下。過去防御方往往關注的是補丁檢查和漏洞檢查,但目前的情況是從漏洞公布到打補丁,快速縮短攻擊敞口期還沒有做到。從知曉漏洞披露信息后,既要修補漏洞,也要分析漏洞的攻擊敞口期,對于已有漏洞風險的系統,需要面向擁有不同層次的、不同漏洞利用攻擊敞口期的攻擊對手進行分析處理。不僅要打補丁還要按照可能被攻陷的假設做出處置。
3、關鍵基礎設施成為APT攻擊的重點
3.1 “魔窟”(WannaCry)勒索蠕蟲檢驗關鍵基礎設施的網絡安全隱患
2017年5月12日20時左右,全球爆發大規模勒索軟件感染事件,我國大量行業企業內網也遭受大規模感染。這一事件以真實的網絡攻擊驗證了全球大量關鍵信息基礎設施的網絡安全漏洞,全球的關鍵信息基礎設施的安全隱患令人擔憂。
該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口的SMB漏洞MS17-010,微軟在2017年3月份發布了該漏洞的補丁。如果相關基礎設施系統能落實網絡安全防護合規制度,安裝安全防護軟件,及時更新系統補丁,完全可以規避此次的攻擊事件。但從全球被感染的數量來看,大量基礎設施系統如醫院、學校、機場、公共服務機構等均有被感染的案例。正是如此,一場本應可以避免的網絡風暴給全球造成了極大影響。
安天在該事件發生后啟動A級風險應急(最高級),成立應急網絡工作小組,在不同維度(分析、響應、處置、溯源、防護)開展工作,為用戶解決問題或疑問,全面分析了樣本的執行邏輯和流程、加密邏輯、條件和算法、文件恢復的原理并給出恢復方法、文件解密的原理和提供解密工具,同時也解密一些關于支付贖金錢包固定是否對應支付者的問題,澄清關于各種變種傳言問題,還基于樣本原始數據分析該勒索蠕蟲的可能來源。
圖 3-1 安天針對“魔窟”(WannaCry)事件跟進響應時間表
盡管包括安天在內的安全廠商在此事件中反應迅速,第一時間給出了防護解決方案,阻止了更大范圍的感染,但在全國范圍內仍有大量主機被感染。雖然隨后的幾天我們給出了恢復和解密方案,但是由于條件和環境的限制,大部分的主機并不能挽回丟失被加密文件的損失。一場本應該御敵在千里之外的威脅就這樣對我們的信息系統造成了永久性破壞,這種極為慘烈的損失,昭示了內網安全的欠賬,也說明我們長期在簡單的邊界防護、物理隔離的基礎上經營出的安全圖景,是一種“眼不見為凈”式的自欺,無法通過攻擊者的檢驗。
3.2 謹防針對金融、銀行系統的APT攻擊
近幾年來,涉及金融、銀行系統的攻擊事件不斷曝光,隨著對這些事件的跟蹤與分析,安全廠商逐漸發現這些事件的一部分屬于APT事件,攻擊行動的最終目的是盜取錢財。事件背后的組織有規模較小的黑客組織,也有具有國家背景的龐大團體。孟加拉國央行遭遇攻擊就是典型的APT攻擊事件,該事件普遍被安全機構認為與“拉撒路”(Lazarus)組織有關,多個安全機構發布報告認為“拉撒路”組織也是“魔窟”(WannaCry)勒索蠕蟲的幕后黑手。安全機構進一步證實了組織的網絡攻擊行動的目的之一是獲取資金。
從全球網絡攻擊活動來看,目前針對金融、銀行相關的網絡攻擊活動日趨增多,尤其是一些相對不發達的國家也試圖在網絡空間拓展戰略優勢。這些國家一方面從網絡空間進行情報竊取,對敵對國家信息數據進行破壞,另一方面發揮網絡攻擊組織的技術優勢,針對金融、銀行系統進行攻擊,從而竊取資金達到“以戰養戰”的作業規劃,利用竊取的資金對網絡攻擊行動的開銷進行支撐。
圖 3-2 近些年針對金融、銀行系統的APT攻擊事件
通過對相關事件的分析來看,部分銀行暴露出自身的網絡安全問題。攻擊者通過網絡就可以獲得銀行關鍵主機的權限并加以操作,“物理隔離”準則并沒有起到隔離威脅的作用,關鍵終端也沒有實現有效的安全防護,這些都暴露出銀行系統存在的問題。而在這些針對銀行的攻擊事件中,有一起引起了我們的關注。
3.3 美方攻擊中東地區銀行SWIFT系統事件復盤
2017年4月14日,“影子經紀人”曝光了一批與NSA相關的數據。其中包含一個名為SWIFT的文件夾,主要涉及美方針對中東的SWIFT服務部門(或合作伙伴)的攻擊。以此為線索,我們對美方的此次攻擊進行了復盤。
SWIFT即“環球同業銀行金融電訊協會”,是國際銀行同業間的國際合作組織,成立于1973年,該組織推出了標準化銀行間結算系統即SWIFT系統。SWIFT系統在全球銀行業應用十分廣泛,為銀行的結算提供了安全、可靠、快捷、標準化、自動化的通訊業務,大大提高了銀行的結算速度。本次攻擊的主要目標為EastNets和BCG,均為SWIFT服務部門或合作伙伴,負責為銀行提供SWIFT服務。 在比利時、約旦、埃及和阿聯酋設有辦公室,而BCG則負責巴拿馬和委內瑞拉的業務。
本次曝光的資料主要是關于代號為JEEPFLEA_MARKET和JEEPFLEA_ 的兩個行動。JEEPFLEA_POWDER是針對BCG的行動。曝光的文檔顯示,當時該行動尚未取得進展。JEEPFLEA_MARKET是針對EastNets的行動。當時已經獲得2個管理服務器和9個業務服務器的權限。
攻擊者分別從來自哈薩克斯坦、德國、中國臺灣以及日本的4個IP發起攻擊。攻擊的大致過程是:首先攻擊架設在網絡邊界上的4個Juniper防火墻;接下來攻擊企業級防火墻,由1臺Cisco ASA防火墻和1臺Juniper防火墻構成;然后攻擊管理服務器,總共2臺;最后攻擊業務服務器,總共9臺。9臺業務服務器分別服務于不同的金融機構(在圖中已經標出),有的是共享服務器,同時服務于幾家不同的金融機構。圖中分別用不同的顏色表示出了不同攻擊者的攻擊路徑,攻擊者最終從業務服務器中獲得了局域網內的口令信息以及SWIFT交易信息。
圖 3-3 美方攻擊中東地區銀行SWIFT系統事件復盤
根據已有的材料中曝光的內容可知,美方在攻擊SWIFT機構時利用了多款工具,如表3-1所示。
表 3-1 攻擊EastNets所使用的網絡攻擊工具及漏洞
此次攻擊事件中使用的各類0-day漏洞體現了美方強大的網空攻擊能力。美方的網空攻擊裝備體系以全平臺、全功能為發展目標,并具有模塊化特點,使得美方的作業能夠以“需要什么拿什么”而非“需要什么開發什么”的方式展開,很好地滿足各種網絡環境下的行動作業要求。更重要的是,與上一節中提到的大多數針對銀行的攻擊事件不同,美方對銀行SWIFT系統的攻擊并不以獲取直接的經濟利益為目的,而是體現出了更高級的戰略需求——獲取關鍵信息基礎設施控制權。
為實現隨時從監視到攻擊行動的無縫切換,美國一直秉承“持久化一切可以持久化的節點”的理念,并將其作為一種重要的戰略資源儲備,為長期的信息竊取和日后可能的網絡戰做準備。據斯諾登披露的NSA內部文件顯示,對網絡的監視僅僅是美國“數字戰爭戰略”中的“第0階段”。一旦“隱形持久化植入程序”滲入目標系統,實現對目標系統的“永久訪問”,那么“第3階段”就已經實現。這一階段被稱為“主宰”,可見美方認為對目標網絡設備或節點系統的控制權的重要性。而這些都是為最終的網絡戰做準備。一旦在目標系統達成持久控制,攻擊者就能夠實現隨時從監視到攻擊行動的無縫切換,即由計算機網絡利用(即CNE)轉換為計算機網絡攻擊(即CNA),對目標網絡或系統進行破壞和摧毀。
因此,根據“敵情想定”的原則,有必要從之前根據“既成損害事實”對潛伏網絡威脅進行研判的傳統模式,轉為從總體國家安全觀的高度來確認支撐關鍵信息基礎設施的網絡設備和節點系統的國家安全重要性級別,并且將高級別關鍵信息基礎設施中出現的攻擊受控事件與持久化潛伏威脅作為必須“第一時間發現、第一時間獵殺、第一時間全網清除”的“零容忍”目標。
4、數據泄露問題持續惡化
2017年12月上旬,互聯網上曝出了暗網中有史以來最大的一起數據庫泄露事件。暗網監控公司4iQ發現暗網中出現了高達41GB的數據文件,其中包含14億份以明文形式存儲的賬號郵箱和密碼等登錄憑證。據統計其中有14%的信息是從未暴露過的,可以推斷,在未來的一段時間內,互聯網中基于此次數據庫泄露而引發的攻擊事件會大量發生。
從數據泄露的數量上來看,有相關調查稱僅2017年上半年數據的泄露總量就超過了2016年全年的總量。例如,國內知名網絡購物平臺京東在2017年上半年被曝泄露了50億條公民信息,原因是販賣此類信息的非法團伙中的一名主要成員應聘該互聯網公司的網絡工程師職位,入職后利用職務之便以及所在公司平臺的影響力竊取大量信息。在國外也有類似情況發生,例如,黑客利用東京都政府網站框架中的Apache Struts 2漏洞發起攻擊,導致10億條信用卡信息泄露。由此可見,雖然數據泄露問題討論了多年,很多社會組織也加強了網絡防御的力度,但是從效果來看,并未達到理想的狀態。
傳統的安全問題仍然是造成數據泄露的主要原因。網站漏洞、惡意程序、釣魚網站、公司內部心存不滿惡意報復的員工以及與“黑產”組織勾結的“內鬼”等仍舊是數據泄露的源頭。回顧2017年發生的數據泄露事件,可以認識到做好基礎的網絡安全防護措施仍然是防范數據泄露的重要基礎及有效方法。網站管理員應該定期掃描并檢查網站系統是否存在漏洞;檢查操作系統中是否存在可被用于遠程控制或者竊取系統敏感信息的惡意程序;個人用戶應該提高自身的安全意識,有效鑒別釣魚網站通過“高仿”其他合法網站的方式騙取用戶的高價值信息;作為大型互聯網公司的管理者,應該針對內部員工,建立細粒度的權限管理方法,避免員工利用組織內部權限設置的疏忽來從事違法犯罪活動。圖4-1展示了2017年部分典型數據泄露事件的匯總信息,實際發生的此類安全事件必然要比圖表中的內容多很多,從這些信息中可以看出,無論國內還是國外,針對數據泄露問題,我們還有很多工作要做。
圖 4-1 2017年數據泄漏情況
隨著黑客攻擊技術花樣的不斷翻新,展現出的攻擊面逐漸變大,數據泄漏的新源頭也不斷增多。這其中,商業合作中的伙伴關系是值得關注的新源頭。目前很多組織為了給用戶提供便利,以及加速業務執行速度,普遍選擇外包或者與其他公司發展商業合作。在這種情況下,即使組織自身的安全措施做的很好,但是由合作伙伴的疏忽而造成的數據泄露事件,仍然會波及組織本身。在這一點上,體現最明顯的當屬2017年發生在Amazon Web Services(AWS)存儲服務器上的一系列敏感信息泄露事件。例如,美國私人安全公司TigerSwan的雇傭簡歷由于其合作的第三方招聘公司TalentPen在AWS上的安全疏忽,導致超過9400份雇傭簡歷被泄露。時代華納公司因為其合作伙伴,知名云服務供應商BroadSoft,未妥善保護AWS存儲器中的數據,導致時代華納400萬客戶信息在線泄露。在類似的合作關系中,外包公司的工作往往就代表了甲方組織自身的形象,由于外包服務提供方引發的安全事件,會直接影響到甲方組織自身的數據安全以及企業形象。因此在這種合作的過程中,應該將組織自身的安全實踐應用于所有的合作伙伴。這樣可以對外展現出統一的信息安全形象。
圖 4-2 數據泄漏導致全民畫像及關系被分析
對于2018年數據泄露情況的預測,我們不持樂觀態度。根據過往幾年的情況來看,此類安全問題呈現出逐年惡化的趨勢。在表象當中存在著客觀的內因:對于保護數據的一方來說,并沒有一種強烈的驅動力鞭策著防御方做出明顯的改變來扭轉數據泄露的趨勢。相反,竊取數據的一方由于受到強烈并且明確的經濟利益驅使,會想方設法掌握新的攻擊技術并且竊取更大量更敏感的數據。攻守兩方對待數據態度的截然不同,導致數據泄露事件多年來未見緩解的征兆,并且這種差別很難在短時間內彌補,因此2018年數據泄露的形勢依然會十分嚴峻。
從數據的采集、生產和運營方來說,加強數據安全保護,是必須履行的責任;從另一方面,大規模數據泄露,包括已經被竊取數據的存量,早已成為撞庫攻擊、社工滲透等攻擊方的基礎資源,是所有防御者必須考慮的既定事實。
5、虛擬貨幣的炒作膨脹帶來更多的網絡攻擊
虛擬貨幣在2017年頗具話題性,在2017年初還只有1000美元的比特幣,到12月20日已經達到了近17000美元,暴漲了16倍之多,并且這個數值并非最高點。美國芝加哥商品交易所在2017年12月18日推出了比特幣期貨合約,這個重磅消息使比特幣在2017年12月17日打破了20000美元的大關,一度達到了20089美元,而比特幣火爆的另外一面則是一波又一波與之相關的網絡攻擊事件。
圖 5-1 2017年比特幣對美元價格走勢
5.1 虛擬貨幣的炒作使勒索軟件影響范圍加大
勒索軟件Cerber是2017年上半年最流行的勒索軟件,Cerber利用了勒索軟件即服務RaaS(Ransomware-as-a-Service)的黑產模式,定制出利用Magnitude漏洞攻擊工具的勒索軟件,在亞洲國家進行傳播,其主要攻擊目標是韓國,我國也有大量用戶感染。勒索蠕蟲“魔窟”(WannaCry)在2017年5月份席卷全球,影響了超過100個國家和地區,我國大量行業企業內網遭受大規模感染。截止到5月13日23時,病毒影響范圍進一步擴大,包括企業、醫療、電力、能源、銀行、交通等多個行業均受到不同程度的影響,安天緊急發布了多篇報告和專殺工具。而在“魔窟”爆發僅僅一個月后,“偽必加”(notPetya)橫空出世,它通過軟件供應鏈傳播,樣本復雜程度高于“必加”[7],對于被感染者殺傷力更大。10月下旬,“壞兔子”(BadRabbit)利用NSA泄露漏洞“永恒浪漫”進行傳播,感染了大部分位于俄羅斯、烏克蘭、土耳其和德國的目標。這些勒索軟件不僅勒索價值高額美元的比特幣,有些還具有破壞計算機系統的能力。
5.1 多種加密貨幣挖礦木馬攻擊事件盛行
如果說勒索軟件帶給攻擊者的一次性的收益不能令其滿足,那挖礦程序是他們更好的選擇。挖礦程序會給攻擊者們帶來雖然低但是長期的收益,這對部分勒索軟件開發者顯然有更大的誘惑力。目前通過挖礦來獲取比特幣獎勵越來越困難,也就是說需要的算力日益增長,GPU挖礦模式已經不再適合于挖取比特幣,專用集成電路ASIC(Application Specific Integrated Circuit)挖礦機成為主流,但ASIC礦機成本高昂,因此新興數字貨幣不斷出現。目前挖礦木馬的主要目標是門羅幣(Monero),門羅幣采用的是基于CryptoNight PoW的挖礦算法,抵制ASIC,“Bondnet”、“Adylkuzz”、“CoinMiner”等挖礦僵尸網絡開始興起。另外,在網站上添加挖礦腳本的方式在2017年開始流行,“Coinhive”、“reasedoper”、“MarineTraffic”等挖礦腳本層出不窮,安全公司Malwarebytes稱平均每天阻止800萬個挖礦請求。攻擊者還會為瀏覽器擴展植入挖礦程序,流氓軟件推廣也成為了挖礦程序傳播的溫床。著名激活工具KMSpico以及星巴克Wi-Fi近日也被曝出被植入挖礦程序,由此可見,隨著虛擬貨幣不斷增加和價格上升,挖礦木馬也將會不斷增加,傳播方式也會不斷變化。而在關鍵編碼技術上,2017年的挖礦木馬普遍沒有采用加密、混淆或Rootkit等技術,2018年很可能是挖礦木馬能力大幅提高的一年,如何防范提高能力的挖礦木馬將是重中之重。
圖 5-2 加密貨幣的情況
5.3 針對比特幣的攻擊事件更加頻繁和集中
比特幣存在于名為比特幣錢包的文件之中,比特幣錢包是可以被入侵、篡改、竊取和轉移的,比特幣的暴漲自然引來了黑客們的關注。加密貨幣礦業公司NiceHash支付系統遭到黑客入侵導致6400萬美元的損失因而暫停運營,韓國比特幣交易站點Youbit在2017年第二次遭受重大網絡攻擊后宣布關停,總共損失約5700比特幣,價值數千萬美元。一些遠控作者也開始針對比特幣投資者開發惡意代碼,如名為“Gunbot”的木馬使用釣魚郵件,針對比特幣用戶使用加密貨幣的誘餌,引導用戶下載并運行惡意代碼,竊取錢包文件,清空賬戶貨幣。當前比特幣仍然存在很多潛在的安全性問題,互聯網服務提供商可以攔截比特幣節點的網絡流量,比特幣托管集中化也會導致容易受到路由攻擊。在接下來的一年中,對比特幣本身的攻擊顯然會更加頻繁和集中。
6、基礎設施和隱私數據或將成為IoT威脅的新熱點
物聯網(IoT)的普及建設已經深入工業基礎設施、農業、物流、智能醫療、交通、智能家居等領域。人們對智能生活寄予美好的愿景,卻很少了解物聯網存在的安全問題。物聯網能夠為生活帶來便利,但也將安全威脅從互聯網帶入生活場景。物聯網既是互聯網技術的延伸,又與互聯網有明顯區別,直接將互聯網威脅解決方案用于物聯網威脅場景,只能解決互聯網場景下熟知的問題,而忽視了物聯網真正存在的威脅隱患。
圖 6-1 IoT應用的泛化
6.1 物聯網惡意代碼開源衍生眾多變種
2017年12月13日,制造Mirai僵尸網絡的三名男子承認其罪行,即2016年利用IoT設備發起針對美國東海岸DNS服務商Dyn的大規模DDoS攻擊,造成許多知名網站訪問受到影響。Mirai開源導致大量的變種出現,黑產團伙基于開源修改的能力非常強,其中包括對Persirai、IoT_reaper的修改,增強了多個IoT設備漏洞的傳播,而Trojan[DDoS]/Linux.Mirai.Nov則利用其它僵尸網絡進行傳播。
Mirai衍生的重要變種如下:
2017-02 ?德國電信斷網事件詳細分析:Mirai家族變種7547端口利用路由器等設備的TR-069/TR-064 漏洞進行傳播。
2017-10? Mirai變種Rowdy物聯網惡意軟件襲擊我國有線電視網。
2017-10? IoTroop利用多個路由器漏洞變種[8]。
2017-11? 利用僵尸網絡Dofloo交叉傳播Mirai.Nov[9]。
2017-12? Mirai變種Satori當前會在掃描過程中使用兩個漏洞利用(exploit),在端口37215、端口52869上進行自動化蠕蟲攻擊。
6.2 傳統僵尸網絡向IoT平臺快速發展
Billgates、Xor、臺風、ChickenMM等傳統僵尸網絡從Windows、Linux傳統x86平臺向IoT多種嵌入式架構平臺ARM、MIPS快速演進。2017年7月26日,安天通過威脅情報自動化監控系統捕獲新僵尸網絡家族Jenki,其被控端木馬已經在Windows、IoT、Linux三大領域上迅速擴散,已知感染方式主要是通過其他家族的僵尸網絡進行交叉感染。
6.3 物聯網惡意家族迅速發展
Gafgyt于2014年8月第一次被發現,2014年末黑客組織“LizardSquard”利用該樣本發起一起DDoS引起安全界的小范圍關注。2015年1月Gafgyt的源代碼被公開,出現越來越多的變種,安全威脅日趨嚴重。因存在默認密碼、弱密碼、嚴重漏洞未及時修復等因素,IoT受控機使僵尸網絡的規模和在線時長大幅增加,發送DDoS攻擊和垃圾郵件的速度也得到了增強。亦正亦邪、行為乖張的IoT僵尸網絡紛至沓來,Hajime控制了大量的IoT設備但未發動過任何攻擊,甚至攻擊者自稱是為人們敲響安全的警鐘;BrickerBot在2017年4月首次發現,通過掃描網絡中易受攻擊的IoT設備,利用漏洞將IoT設備變成磚。但其作者認為這將迫使所有者安裝更新固件,免受Mirai攻擊,到目前為止,已經凍結了超過1000萬臺設備。
通過對僵尸網絡中的受控機按照Windows、Linux系統以及IoT設備分類分析發現,其中IoT設備類型的受控機最多,占比61.37%;其次是Linux系統的受控機,占比20.85%,Windows系統的受控機僅占比17.78%。IoT設備因其漏洞較多、漏洞修復周期較長且易于入侵、控制,已成為最易被感染的受控機類型。
6.4 存在的問題
互聯網的生態里,安全不是最先考慮的,甚至是等產品成型之后再構建安全設計,如增加身份認證、訪問控制、更新補丁等。PC系統如Windows、macOS、Linux等,移動系統如Android、iOS等已經具有較好的安全屬性并且存在提升的空間。而在物聯網的生態中,難以像互聯網一樣去思考其安全設計,產品在流水線上就已經定型了。
表 6-1 互聯網和物聯網的比較
IoT短期內不能在功耗、計算能力、數據加密等方面具有成型的解決方案,但是考慮IoT生態的整體性,需要構建嵌入式設備、終端設備和云端三個方面的安全設計。
自2016年Mirai僵尸網絡攻擊事件之后,在2017年觀察到大量的IoT設備被不同的僵尸網絡控制。因此在2018年再次發生針對基礎設施的攻擊也不意外,可能包括DDoS、勒索攻擊、劫持設備作為代理、發送垃圾郵件等等。另外IoT存在的另一個值得關注的威脅是隱私數據泄露,如工控系統、醫療設備以及個人應用中的數據可被攻擊者利用。用戶需要仔細閱讀IoT產品中涉及數據收集部分的隱私條款,具有數據隱私維權意識。工控設施的基礎傳感器擴大了工控系統的攻擊面,而涉及登錄憑證的隱私數據則打開了工控系統的大門。因此,無論從國家層面還是廠商層面來看,都應加強IoT設備的安全防護,加強對IoT設備的安全威脅監測預警。
7、供應鏈主戰場的戰爭已經打響
安天在2016年網絡威脅的年報中,提醒公眾圍繞供應鏈的網空戰爭正在拉開序幕,并指出“供應鏈從來就不只是網絡對抗中的外圍陣地,而是更為核心和致命的主戰場”。2017年偽必加攻擊、ShadowPad攻擊等多起高調的攻擊正印證了安天的預測。供應鏈戰爭已經全面打響,給上游承包商、系統、公司和供應商帶來了嚴重危害。賽門鐵克預測在2018年[10],攻擊者將利用機器學習和人工智能等技術發起對供應鏈的攻擊,供應鏈戰爭將愈發激烈。
安天是基于對Xshellghost、XcodeGhost等軟件供應鏈安全事件的理解和應用場景的實際情況,構建了“軟件供應鏈安全環節簡易示意圖”,指出軟件供應鏈中包括的主要環節和潛在的安全威脅。示意圖被設計成一個包含上下游角色和中間環節的階梯鏈結構,結構中的上、下游是相對的,根據場景的不同,當角色處于產品提供方時便位于上游,當角色處于產品使用方時便位于下游,一個場景中的下游角色可能是另一個場景中的上游,整個示意圖是一個不斷迭代的階梯鏈結構。
圖 7-1軟件供應鏈安全環節示意圖
7.1 軟件供應鏈上游安全隱患
供應鏈上游的安全隱患包括源碼、庫的篡改或污染,開發工具污染以及違規操作三個主要方向。攻擊者通過從公開的各類信息中尋找供應鏈中的薄弱環節,利用不斷提升的專業技術來突破網絡防御。通過對源代碼的篡改,算法的深度污染以及開源軟件本身安全缺陷的利用,傳統的“可信”變成了不可信,同時也說明供應鏈上游的脆弱性。此外,開發工具被惡意代碼篡改以及產品中預置的后門和漏洞都為惡意攻擊者留下了機會。
2017年9月14日,Xshellghost事件即為產品中的某一模塊源碼被植入惡意后門代碼,用以發起請求獲取敏感信息。9月18日,思科研究人員發現系統維護軟件CCleaner被植入合法數字簽名的惡意代碼。在2013年斯諾登曝光的資料中顯示,NSA和英國情報機構可破解包括VPN和HTTPS在內的絕大多數互聯網隱私保護和加密技術,說明NSA可以隨意獲取大量所需的信息[11]。2015年一份安全測試數據顯示,一個季度內30款知名二次開發開源軟件存在3511個高危安全漏洞。
XcodeGhost[12]事件是非官方供應鏈污染的典型事件,2015年9月14日起,蘋果操作系統macOS X上的集成開發工具Xcode被加入惡意模塊進行篡改,可能導致彈窗攻擊和被遠程控制的風險,并感染了692種App,此事件被認為是移動安全史上最嚴重的惡意代碼感染事件之一。在2014年CNCERT的一次集中通報[13]中,提及了Cisco、Linksys、Netgear、Tenda、D-link等主流網絡設備廠商上百個批次產品預置后門的情況,這些后門和漏洞的存在為網絡空間安全埋下了巨大隱患,對國家網絡的穩定和信息數據的安全構成嚴重威脅。
上述軟件供應鏈上游典型安全事件為高價值網絡設計者、運營者敲響了警鐘,警醒我們供應鏈上游安全的脆弱性,一旦軟件供應鏈的上游被滲透,那么對網絡安全造成的損失是不可估量的。對于構建開發環境的環境安全、過程安全,以及更廣泛的供應鏈安全,我們還需時刻保持警惕。
7.1 信息流、運輸流的安全隱患
信息流是指為了傳遞商品和服務信息,在供應鏈上、下游之間,各節點及節點間的信息活動。運輸流則主要指與硬件產品相關的運輸和流通環節。在信息流中主要存在監管審核漏洞導致官方應用市場出現惡意軟件、第三方站/分發站等非授權分發沖擊安全供應鏈、服務站信息和數據泄露問題以及網絡通信劫持四個主要安全隱患。在2017年10月,Windows 10秋季創意者推出更新后,惡意攻擊者利用盜版激活需求在KMS激活工具中植入流行的挖礦代碼。在信息流中供應鏈威脅范圍不僅在傳統的PC、移動平臺,也可能在物聯網平臺產生威脅隱患。2017年12月25日,開源嵌入式Web服務器GoAhead曝出遠程代碼執行漏洞CVE-2017-17562,GoAhead部署在包括Comcast、D-Link、ZTE、HP、Siemens、Canon等物聯網設備,雖然沒有具體威脅事件,但已有漏洞利用代碼,物聯網供應鏈威脅初見端倪。在運輸流中主要存在物流運輸劫持的安全隱患。
為了避免無序、分散的網絡分享傳播造成的盜版、安全等問題,IOS和Android兩大手機系統都設有獨立的監管、審核、分發渠道,即便如此,依然無法杜絕惡意代碼的應用在官方渠道中出現。除Xcode事件外,AppStore在Apple官方的監管之下依然出現惡意代碼事件。對于社交平臺、電子商務、醫療、銀行等機構需要存儲大量的用戶信息,這些信息通常存儲在數據中心或相關機構的服務器中,一旦服務器受到攻擊,就會面臨大量用戶信息泄露的風險。此外,在信息傳輸的過程中可能會遭到劫持和竊取,在斯諾登曝光的相關文檔中就包含通信劫持的項目和工具。如“拱形”計劃(CamberDADA)主要針對以俄羅斯卡巴斯基為主的安全廠商進行監控,其中安天也在其監控的范圍之內。“量子”(Quantum)攻擊工具不僅能夠在運營商的網絡中持久化存在,還能夠通過劫持用戶的通訊獲取情報和資源,甚至重定向網絡連接或修改網絡流量數據。
2012年斯諾登泄露的資料顯示,NSA會采用物流鏈劫持的方式進行硬件植入[14],首先攔截發送到目標地區的計算機和網絡設備的物流過程,然后由TAO(特定入侵行動辦公室)情報和技術人員完成固件植入程序,并重新打包發送到目標地區。2016年維基解密曝光的大量CIA資料文檔“Vault 7”,其中“暗物質”(Dark Matter)中DarkSeaSkies是一種持久存在于Apple macBook計算機可擴展固件接口(EFI)固件中的惡意植入軟件,其攻擊流程如圖7-2所示[15]。網絡安全廠商ZeroFOX公司高級分析師喬納森·尼古拉斯解釋稱,這種利用USB轉以太網適配器的惡意軟件安裝方式似乎代表著這些入侵工具僅適用于單個目標,而無法實現大規模監控活動。
圖 7-2 DarkSeaSkies攻擊流程
7.3 軟件供應鏈下游安全隱患
軟件供應鏈下游是通過信息流、運輸流獲取到相應的產品、代碼、工具、服務等進行使用的角色。一般而言,軟件供應鏈下游面臨的安全問題主要出現在對上游提供產品、工具的驗證和使用過程中。
針對Windows系統的一項調查發現,盜版軟件的安全性存在很大的問題,其中超4成的盜版操作系統含木馬病毒。微軟對不同地區不同版本的Win7光盤調查發現,24%包含各種高危木馬病毒,54%安裝后發現操作系統被不同程度的修改,因此盜版光盤的安全性存在嚴重問題。隨著智能手機的發展,惡意的root軟件會利用Android手機操作系統中的一些漏洞,隨意將用戶的短信、聯系人、通話記錄等信息上傳到他們自己的服務器上,而如果這些重要的信息落入惡意攻擊者手中,可能會給用戶帶來更多的困擾。此外,應用程序數字簽名體系已經被穿透,安天在2016年的網絡安全威脅年報上就已經提到Duqu2.0、Android系統等惡意代碼盜用合法數字簽名的事件。在2017年安天也發現了多次數字簽名穿透事件,網絡空間安全正在面臨一個更加惡劣的環境。
供應鏈中的每一個環節都可能成為間諜活動和信號情報運作的攻擊對象,這種攻擊方式已經成為APT時代網絡定向攻擊的另一種手段,因此供應鏈攻擊必將成為一個不容忽視的問題。通過上述對具體供應鏈事件的分析,指出供應鏈環節面臨的各種安全隱患,同時也應該注意到我國正面臨著更加嚴重的軟件供應鏈安全風險。軟件供應鏈的戰爭已經打響,惡意攻擊者會最大限度地利用供應鏈環節放入安全隱患,供應鏈的戰爭只會愈演愈烈,而且未來還會出現更加先進的攻擊技術。
7.4 供應鏈安全威脅引發的思考
從前文中的事例可以看出,軟件供應鏈攻擊已經成為突破現有安全防御手段的一種有效方法,嚴重威脅用戶的安全。尤其對于關鍵信息基礎設施內網,單靠現有的安全模式和離散的安全手段,難以達成有效防護,必須依靠具有創新性的新模式、新思路,實現安全能力的抵近部署和集中感知,形成深度的威脅情報和態勢感知能力,最終實現對軟件供應鏈攻擊的有效防護和快速響應,達成有效的安全價值。對于用戶來說,需要形成終端側、流量側、邊界側安全防護能力的全覆蓋,實現多種安全能力的協同防御和有效融合。同時,借助威脅情報、態勢感知等高階安全手段,快速發現威脅,形成全面綜合的安全防護能力。
同時應該注意到,由于技術上的原因,目前國內很多種類的IT產品和服務均被國外壟斷,而自主的產品和服務還不能完全替代國外產品,致使我國面臨著更加嚴峻的軟件供應鏈安全風險。從大國博弈的視角來看,位于供應鏈上游的國家既可利用其先發優勢和強大的產業能力形成上游對下游的制約,超級大國也可將其在供應鏈中所處的上游優勢轉化為獨有的服務于其情報機構的作業能力,繼續擴大上游對下游的壓制。對于處于供應鏈下游的國家來說,這種優勢差,一時難以逆轉,安全隱患短時間內也無法消弭。從“震網”、“方程式”和“烏克蘭停電”等代表性事件中,攻擊者因供應鏈位勢差而形成的優勢已可見一斑。
因此,我們再次重申,不能把供應鏈攻擊僅僅理解成一種“曲線”進入核心IT場景的外圍攻擊手段,我們有理由確信,供應鏈從來就不只是網絡對抗中的外圍陣地,而是更為核心和致命的主戰場。供應鏈的戰爭已經全面打響,對我們安全廠商來說是挑戰,同時也是機遇。網絡安全業界要按照總書記提出的“總體國家安全觀”的要求,從供應鏈、信息流等更廣闊的視角完善自身的技術能力。
8、構建體系化的防御能力
8.1 體系化的防御能力才能應對體系化的進攻
2017年10月18日,習近平總書記在中國共產黨第十九次全國代表大會上的報告中將“網絡安全”作為和“恐怖主義”、“氣候變化”等相提并論的非傳統安全威脅,這體現了國家對網絡安全的一貫重視。當前網絡安全形勢錯綜復雜,我國既面臨來自超級大國的全面安全壓力,也面臨地緣競合國家的多方挑戰。報告中三次提及“軍民融合”,軍民融合為能力型安全廠商在網絡空間為國鑄盾,提供了廣闊天地。從網絡空間攻防角度來看,防御能力是戰略能力的基本盤,綜合的防御體系能夠提升對手的攻擊成本、制約對手的能力展開、干擾對手的攻擊決策、削弱對手的攻擊效果。在世界各大國大面積進行信息化的情況下,相互之間的博弈主動權漸進地轉化為防御能力,轉化為對對手攻擊的削弱程度。有效的防御構成了一種戰略威懾力,體系化的防御能力才能夠對抗體系化的進攻。
2017年底,美國發布了《國家安全戰略報告》,首次將中國定位為“對手”國家,并將奧巴馬政府的“重返亞太戰略”修改為“重返印太戰略”,鑒于地緣政治環境的新特點,在美國國家安全戰略中提出“網絡攻擊為對手提供了低成本和可否認的機會,從而能夠嚴重破壞或摧毀關鍵基礎設施、削弱美國企業、削弱聯邦網絡”,并強調“確定并優先考慮風險、建立可防御的政府網絡、阻止惡意的網絡參與者、改進信息共享和感知、部署防御層次。”等方面作為優先考慮的行動。對于網絡攻擊“美國將在必要時打擊利用網絡空間攻擊美國的惡意行為者。當面臨在網絡空間采取行動打擊惡意行為者的機會時,美國考慮的選擇是直面風險,而不是風險規避”。
面對國家級行為體的威脅,如何建立體系化防御,成為了擺在安全工作者和承擔著關鍵信息基礎設施防御使命的政企單位相關負責人面前的一道難題。2018年4月20日,習近平總書記在全國網絡安全和信息化工作會議上的重要講話為解決這個問題提出了方向指引和具體要求。
8.2 關口前移,防患于未然
在2018年4月20日的“4·20”講話中,習近平總書記強調,構建“關口前移,防患于未然”的網絡安全管理體系。“關口前移”對落實網絡安全防護的方法提出了重要要求,而“防患于未然”則形成了鮮明的以防護效果為導向的指引要求。
深入落實“關口前移”工作要求首先應深入理解“關口”的內涵意義,不能將其片面窄化為“安全網關”或“網絡入口”,而是應當理解成為“落實安全能力的重要控制點”。其關鍵在于有效解決安全能力的“結合面”和“覆蓋面”問題。“結合面”主要是指網絡安全防御能力與物理、網絡、系統、應用、數據與用戶等各個層級的深度結合,以“面向失效的設計”為原則,在信息化環境的各個層級考慮如何結合網絡安全防御能力,確保防御能力與實際情況緊密結合。“覆蓋面”指的是要將網絡安全防御能力部署到信息化基礎設施和信息系統的“每一個角落”,力求最大化覆蓋構成網絡的各個組成實體,包括桌面終端、服務器系統、云系統、通信鏈路、網絡設備、安全設備乃至人員等,避免由于在局部的安全盲區或者安全短板而導致整個網絡安全防御體系的失效。重要的是,在網絡安全體系建設實施的過程中,必須在投資預算和資源配備等方面予以充分保障,以確保將“關口前移”要求落到實處,在此基礎上進一步建設實現有效的態勢感知體系。
在做好“關口前移”的基礎上,進一步加強網絡安全防護運行工作,除了采用定期檢查和突發事件應急響應等偏被動的常規機制外,還需提升安全防護工作的主動性,將安全管理與防護措施落實前移至規劃與建設等系統生命周期的早期階段,將態勢感知驅動的實時防護機制融入系統運行維護過程,實現常態化的威脅發現與響應處置工作,從而實現“防患于未然”。
9、十八載初心不改 青年安天整裝待發
十八年創業之旅,我們不斷拼搏、思考、積累、成熟,從7個人三臺半電腦到千人規模的集團化安全企業;從應對惡意代碼疫情爆發,到深度分析溯源高級持續性威脅;從反病毒引擎的單點堅守到走向動態、綜合的整體安全防御解決方案。安天作為網絡安全企業走過了從初生的嬰兒、稚嫩的少年到一個青年廠商的成長過程。青年廠商恰逢新的時代,新時代有新的機遇與挑戰,安天作為青年廠商,要有新的認知,要有新的作為。
(1)自主先進研發再上征程
堅持自主研發,追求能力先進,從安天創業伊始就寫入了安天人的靈魂當中。安天第一代創業者,在團隊宣言中寫下了“我們追求卓爾不群,以平庸和抄襲為恥”。2001年,團隊確立以惡意代碼批量自動化分析處理的平臺支撐反病毒引擎和防護產品的發展思路,2002年,團隊在重點攻關課題中解決了骨干網場景下惡意代碼全規則線速檢測問題。2004年,我們提出了細粒度可嵌入反病毒引擎的概念,在這條思路的延展下,安天在發展的第一個十年終于成為網絡安全的上游技術廠商,為兄弟廠商提供檢測能力輸出。2010年起,通過四年時間在移動安全領域的快速聚焦,打造了移動惡意代碼檢測能力的全球高地。時至今日,安天交出了一份累計為數十萬臺網絡設備和網絡安全設備以及超過十二億部智能設備提供檢測能力的答卷。
但同時我們需要看到,隨著信息化的高速發展和安全威脅的快速演進,網絡安全核心技術的含義會不斷發生變化,先進性要求會不斷提升。安全威脅對抗已經從惡意代碼查殺等單點對抗演變成高成本的體系性對抗,反病毒引擎本身已經從原來的威脅對抗核心,下沉為必備的標準化能力單元。僅僅沿著惡意代碼威脅檢測技術的慣性發展,不能達成安天對堅持保持自主先進的自我要求,更無法有效應對國家和用戶的需求。在長期與惡意代碼的檢測對抗中所積累出的能力模塊和支撐體系,完全可以服務和延展到更廣闊的全面威脅對抗場景中。通過此前在端點、流量、分析、處置和安全管理上形成的基礎,安天啟動了第三次創業,開始了向綜合能力型廠商的轉型。
反病毒引擎的研發是為了實現引擎、支撐平臺和分析工程師的自我閉環,而在我們走向系統性能力交付廠商的過程中,需要實現產品能力和客戶流程的閉環,更要達成面對威脅的響應閉環。在這一個復雜的大場景中,所需的核心技術是一個復雜的能力點群。
為了更好的落實“安全與發展同步推進”的工作要求,深入理解信息化與網絡安全的關系,更好地達成防御價值。我們翻譯并引入了“滑動標尺”模型,并推動使之成為國內能力型安全廠商的公共模型。在我們推動將其轉化為設計實踐的過程中,我們對自身的能力積累有了進一步的認識,同時更發現了自身更多的不足。
在推動這些設計規劃的實踐和參考中,我們加深了網絡信息系統是一個復雜系統工程的認識。我們深刻認識到網絡安全威脅不可能依靠單點創新來應對,不可能有一招鮮吃遍天的銀彈,而是需要扎實做好先期規劃、落實大量基礎工作,需要基于能力積累的疊加演進,需要整體性、系統性的綜合提升。
(2)敵情想定引導實戰化產品導向
從2001年對“紅色代碼II”進行捕獲預警,安天在此后的十年間,針對“口令蠕蟲”、“震蕩波”、“沖擊波”、“魔波”等大規模安全事件,安天嘗試了漏洞利用預警、主機免疫和專殺、網絡監測規則分享、網絡管理員提供多種靈活處置手段的響應嘗試。安天CERT獲得了有關部門“應急之魂”的贊譽。而在2010年后,隨著以“震網”為代表的國家和政經集團背景的APT攻擊威脅的興起,安天迅速轉型,將主要應急響應人力和資源布防在APT深入分析、響應的第一線。針對“震網”、“毒曲”、“火焰”、“烏克蘭停電”等第三方遭遇的事件進行了深度復盤分析(包括沙盤復現),針對境外“白象”、“方程式”、“海蓮花”等組織對我方的攻擊和所使用的裝備,進行了深度分析,并將其中一例攻擊鎖定到自然人。在此過程中,我們從獲取對手的投放載荷進行分析入手,結合綜合開放情報,逐漸繪制出對手的能力圖譜。對網絡安全敵情形成了相對全面的認識,并看到了自身能力與最高級別對手攻擊能力間的差距。
在此背景下,安天在2017年6月,提出了有效的敵情想定,是我方進行有效的系統布防規劃的前提條件。提出要走出“物理隔離+好人假定+規定推演”帶來的自我麻痹,并在第五屆網絡安全冬訓營上,提出了“敵情想定是前提,網絡安全實戰化”的號召。
實戰化的網絡安全產品,面向真實的敵情想定,以可靠的系統能力為基礎,在安全業務流程中,易于由普通操作維護人員掌握使用,達成有效安全價值。
從ATool內核分析工具到移動威脅情報系統,安天歷史上輸出了許多不乏具有專業感的工具產品,包括在安天探海威脅檢測系統上,提供了用戶自定義威脅檢測決策樹的嘗試。這些固然有一定積極意義,但如果將網絡安全產品和工具置于少數專家才能使用的位置,就必然使安全產品處于嚴重的原廠依賴當中,不可能達成更普遍的安全價值。這是安天人在經歷了更廣泛的用戶側使用考驗后所得到的實際經驗和教訓,是安天未來產品核心的改進方向。
習近平總書記2016年5月25日視察安天,在聽取了安天人的匯報后,對安天人說“你們也是國家隊,雖然你們是民營企業”。作為網絡安全國家隊,我們將需要以更扎實的能力和更踏實的努力對接國家網絡安全的實際需求和工作要求。在這些方面,青年安天既有供應鏈安全賦能的獨家優勢,同時也面臨著政企場景下安全與信息化融合規劃的新能力需求挑戰。我們積極應對,整裝待發。
如果說十八年前,我們帶著一個簡單的夢想和一些不切實際的自信出發了;那么今天,我們將帶著持續的技術積累和自我反思,面對著更加明確的責任使命再上征程!
我們堅信我們的選擇,我們從不對自身的方法與思路諱莫如深,我們期待有更多的能力型廠商出現,共同探索支撐達成有效安全防護價值的系統性方法。
我們在路上。我們堅信,天道酬勤、天道嘉勇!
附錄一:參考資料
[1]安天針對勒索蠕蟲“魔窟”(WannaCry)的深度分析報告
http://www.antiy.com/response/wannacry.html
[2]潛伏的象群—來自南亞次大陸的系列網絡攻擊行動
http://www.antiy.com/response/The_Latest_Elephant_Group.html
[3]安天:一例針對中方機構的準APT攻擊中所使用的樣本分析
http://www.antiy.com/response/APT-TOCS.html
[4]2016年網絡安全威脅的回顧與展望
http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
[5]安天關于系統化應對NSA網絡軍火裝備的操作手冊
http://www.antiy.com/response/Antiy_Wannacry_NSA.html
[6]安天:方程式組織EQUATION DRUG平臺解析
http://www.antiy.com/response/EQUATION_DRUG/EQUATION_DRUG.html
[7]安天針對攻擊烏克蘭等國的“必加”(PETYA)病毒分析與應對
http://www.antiy.com/response/petya.html
[8]僵尸網絡團伙利用MIRAI開源代碼改造升級攻擊裝備
http://www.freebuf.com/articles/web/153689.html
[9]A New IoT Botnet Storm is Coming
https://research.checkpoint.com/new-iot-botnet-storm-coming/
[10]2018年網絡安全預測
https://www.symantec.com/connect/blogs/2018-0
[11]斯諾登向英國衛報曝光NSA和英國情報機構可破解大部分加密通訊
https://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
[12]安天實驗室關于XcodeGhost事件的分析報告
http://www.antiy.com/response/xcode/xcodeghost.pdf
[13]CNCERT路由器后門通報
http://www.cert.org.cn/publish/main/9/2014/20140210091555248367162/20140210091555248367162_.html
[14]Photos of an NSA “upgrade” factory show Cisco router getting implant
https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/
[15]DarkSeaSkies
https://www.wikileaks.org/vault7/document/DarkSeaSkies_v1_0_TDR/DarkSeaSkies_v1_0_TDR.pdf
[16]IOT僵尸網絡嚴重威脅網絡基礎設施安全
http://www.antiy.com/response/Mirai/Mirai.html
[17]安天防勒索解決方案
http://www.antiy.com/response/wannacry/Antiy_Wannacry_Solution.pdf
[18]安天應對微軟SMB漏洞(CVE-2017-11780)響應手冊
http://www.antiy.com/response/CVE-2017-11780/CVE-2017-11780.html