安天20年新闻
从引领技术创新潮流,到创造有效客户安全价值;从十年打造安全引擎,稳坐网络安全上游,到直接对接客户,承担赋能责任;从单一引擎赋能,到平台化、体系化价值输出;从核心团队自我牺牲,到创业者共创共享。安天自主创新的基因不改,承担国家安全需求的使命感尤为坚定,产品、服务、能力支撑系统不断强大完善,安天正在经历目标升级、模式自新、能力再造、机制重塑。从今伊始, 迈向一个新的二十年征程就此开启。
- 2020
- 2020
- 2020
- 2019
- 2019
- 2019
- 2018
- 2018
- 2018
- 2018
- 2017
- 2017
- 2017
- 2016
- 2016
- 2015
- 2014
- 2013
- 2012
- 2011
- 2010
- 2009
- 2008
- 2007
- 2006
- 2006
- 2006
- 2005
- 2004
- 2003
- 2003
- 2001
-
2020年利用新冠疫情的安全事件
新型冠状病毒感染的肺炎疫情发生后,安天启动重大社会事件网络安全应急值守制度,发现和跟踪多起利用新冠肺炎疫情相关信息传播勒索软件、挖矿木马、远控后门等多种类型的恶意代码实施网络攻击的案例,对此,安天CERT开展深入分析并将相关详细信息及时上报国家和地方相关主管部门,给出详细的防范建议,提供专家团队24小时值守和智甲医疗行业版免费服务新型肺炎定点医院,同时发布三款安全工具免费版本,为全国医疗卫生领域和网络安全领域的“战疫情”保驾护航。
-
2020年Ryuk勒索软件
2020年1月至3月下旬,工业企业的生产网络或办公网络遭受数十起勒索软件攻击,其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业,加密企业关键数据信息,导致企业停工、停产,造成重大的经济损失。对此,安天工控安全组联合安天CERT针对Ryuk勒索软件进行深度分析,在此基础上,阐述勒索软件对工业企业的威胁,给出工业企业防御勒索的建议,并形成对应报告。
-
2020年精准投放恶意代码行动
2020年4月,安天CERT联合哈尔滨工业大学网络安全响应组通过网络安全监测发现了一起僵尸网络和挖矿木马事件,该事件针对Linux系统,包含服务器和智能设备。攻击者通过配置IP列表对目标主机选择性地下载运行Tsunami僵尸程序或“魔铲”挖矿木马,全球范围内涉及政府部门、金融行业、互联网企业、媒体、运营商等多种目标,国内也有大量目标。对此,安全CERT对其样本开展深入分析,绘制事件对应的ATT&CK映射图谱,给出针对性防护建议。
-
2019年Sodinokibi勒索软件
2019年5月,安天CERT监测到了多起利用钓鱼邮件传播Sodinokibi勒索软件的事件。该勒索软件从2019年4月26日开始出现,其传播方式主要为钓鱼邮件、RDP暴力破解和漏洞利用。对此,安全CERT开展样本深入分析,结合代码、C2、邮件、漏洞利用等关联分析,判定该勒索软件团伙是一个不断套用、利用其他现有恶意工具作为攻击载体,传播勒索软件、挖矿木马、窃密程序,在全球范围内实施普遍性、非针对性勒索、挖矿、窃密行为的具有一定规模的黑产组织;并提供切实有效的防御及查杀措施,形成对应分析报告。
-
2019年WannaMine挖矿蠕虫
WannaMine挖矿蠕虫利用EternalBlue(“永恒之蓝”)漏洞使用445端口在局域网内传播自身,形成更加庞大的挖矿网络。2019年5月,安天接到某重要单位的求助后,在电话远程协助用户处置的同时,派出应急服务小组携应急响应处置资源于当日飞抵用户现场,六小时完成对该挖矿蠕虫引发的内网大规模感染事件的处置,为用户及时止损和恢复加固,获得了用户高度评价;并形成对应报告,提供类似事件的应急处置方案及后续安全建议。
-
2019年Phobos勒索软件
Phobos勒索软件家族于2019年初被发现并不断更新病毒变种,其变种最早于2019年9月末被发现,其传播方式主要为RDP暴力破解和钓鱼邮件;程序运行后使用“RSA+AES”算法加密文档文件和可执行文件,并在加密后创建txt格式和hta格式的勒索信;该勒索软件家族在全球多个行业扩散,感染面积大,变种更新频繁。2019年10月,安天CERT对勒索软件家族新变种开展深入分析,提供防护建议和切实有效的防御及查杀措施,形成对应分析报告。
-
2018年GandCrab勒索软件
2018年2月,一款勒索达世币(DASH)的勒索软件GandCrab被发现,其为首个勒索比特币以外的虚拟货币的勒索软件;该勒索软件使用RSA算法加密,通过Necurs僵尸网络分发垃圾邮件及漏洞工具包(Exploit Kit)进行传播,使用的漏洞工具包有RIG、GrandSoft等。安天CERT迅速对其样本展开深入分析,给出针对性防护建议,提供切实有效的防御及查杀措施,并形成分析报告。
-
2018年GlobeImposter勒索软件
GlobeImposter家族于2017年5月份被首次发现,一般使用包含混淆的JaveScript脚本的垃圾邮件进行传播,使用RSA2048算法加密用户文件并勒索比特币。其最新变种的加密文件使用.CHAK扩展名,取消了勒索付款的比特币钱包地址及回传信息的“洋葱”网络地址,而是通过邮件来告知受害者付款方式,使其获利更加容易方便。对此,2018年2月基于用户反馈,安天CERT对GlobeImposter家族的新变种样本进行了深入分析,给出针对性防护建议,提供切实有效的防御及查杀措施,形成对应分析报告。
-
2018年ATM恶意代码Prilex
恶意代码家族Trojan/Win32.Prilex,针对特定品牌的ATM自动取款机,最初在2017年10月被披露用于针对拉丁美洲葡萄牙语系ATM的攻击活动。恶意代码使用Visual Basic 6.0(VB6)编写,代码中夹杂着“Ol?Jos?Boa tarde”等葡萄牙语,攻击者伪造并替换ATM应用程序屏幕,等待受害者输入密码,获取受害者密码信息后,将密码等数据回传到攻击者的远端服务器。Prilex家族是攻击者在熟识目标之后,针对目标编写设计的、具有针对性的恶意代码。对此,安天CERT对该恶意代码样本进行了深入分析,提供切实有效的防御及查杀措施,形成对应分析报告。
-
2018年“挖矿”木马
“挖矿”活动运行在受害者计算机上,依赖于solo式或连入矿池方式,在矿池中获得shares并转换成稳定收益,主要特征表现为消耗受害者主机资源和浪费其电量;该活动随着虚拟货币被疯狂炒作而日益兴盛。有鉴于“挖矿”恶意代码肆虐,安天CERT对典型“挖矿”恶意软件及投递方式进行深入分析,提供判别“挖矿”行为方法及解决方案,形成对应分析报告。
-
2017年“魔窟”(WannaCry)
“魔窟”(WannaCry)勒索软件利用了基于445端口的SMB漏洞MS17-010,借鉴黑客组织“影子经纪人”(Shadow Brokers)公布的“方程式”组织(Equation Group)使用的“网络军火”中所含该漏洞的利用程序,北京时间2017年5月12日被攻击者或攻击组织蓄意发动造成全球爆发,致使我国大量行业企业内网遭受大规模感染。安天CERT通过紧急分析,快速响应,第一时间发布专杀工具、文件恢复和解密工具,提供详细的解决方案和有效应对策略建议,并形成针对该勒索蠕虫的深度分析报告,为广大用户最大程度上降低该勒索软件的负面影响做出了突出贡献。
-
2017年“暗云Ⅲ”
北京时间2017年5月26日19时,安天CERT监测到中国发生了一次大规模的DDoS攻击事件。事件中参与攻击的源地址覆盖广泛,几乎在全国所有省市运营商的骨干网络上均有明显活动。研究人员将此次攻击命名为“RainbowDay”——“暗云Ⅲ”。经过多次取证分析发现,其恶意代码感染量较大,并且其恶意代码的功能非常复杂,利用带有正常数字签名的文件进行传播,同时具有下载文件执行、刷流量、DDoS攻击等行为。对此,安天CERT对“暗云Ⅲ”发动DDoS攻击的目标进行全面梳理,对其样本开展深入分析,并给出详细解决方案,形成对应分析报告。
-
2017年“魔鼬”
北京时间2017年7月30日,安天CERT发现一种具备拒绝服务(DDoS)攻击能力的新型木马。经过分析,安天CERT研究人员认为该木马属于一个新家族,并将其命名为“魔鼬”。通过关联查询安天对于DDoS攻击的历史监测数据,发现本次事件中受攻击的域名同时也在遭受Trojan/Linux.BillGates、Trojan/Linux.Mayday等家族的DDoS攻击。安天CERT通过受攻击目标梳理、事件样本分析、相关事件关联,给出针对性防护建议,并形成对应分析报告。
-
2016年“Locky” 勒索软件
2016年2月,安天CERT发现一类利用垃圾邮件进行传播、使用绑架用户数据的方法对用户进行敲诈勒索的勒索软件“Locky”,是首例具有中文提示的比特币勒索软件;该勒索软件通过RSA-2048和AES-128算法对100多种文件类型进行加密,同时在每个存在加密文件的目录下释放一个名为_Locky_recover_instructions.txt的勒索提示文件。安天CERT对“Locky”样本的本地行为进行了深入分析,发布对应分析报告,并给出针对性防护建议。
-
2016年Mirai
北京时间2016年10月22日,安天CERT针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件启动高等级分析流程,进行了跟进分析。依据我司对典型IoT DDoS僵尸网络家族的规范命名,对本次事件中被广泛关注的Mirai源码进行了深入分析,形成对应的安全响应报告,提出了在IOT僵尸网络严重威胁网络基础设施安全的背景下的北美DNS服务商遭Mirai木马DDoS攻击的分析思考;与此同时,我司捕获并分析了大量关于智能设备、路由器的恶意样本,并配合主管部门对部分设备进行了现场取证。
-
2015年黑色能量(BlackEnergy)
黑色能量(BlackEnergy)是一种贩卖于俄罗斯地下网络、用于实施自动化犯罪活动的高流行度恶意软件;该软件最初被设计用于创建僵尸网络并实施DDoS攻击,逐渐演变为支持多种插件(可根据不同攻击意图组合使用)的工具。该软件由生成器(builder)和服务端脚本组成,前者用于生成感染受害主机的客户端程序,后者用于配置C&C(命令控制服务器);运行于C&C的脚本还会提供调用接口,供攻击者用于控制BOT。该软件先后在2008年俄罗斯与格鲁吉亚冲突期间被用于实施网络攻击、2014年被犯罪组织“Quedagh”用于收集乌克兰政府情报等。根据CNCERT/CC需求,安天CERT于北京时间2015年1月13日18时,据各方资料收集、整理相关样本107个,并形成本简报初稿。
-
2014年CTB-Locker
2014年,CTB-Locker(Curve-Tor-Bitcoin Locker)通过邮件附件传播,采用高强度加密算法对用户系统中的文档、图片、数据库等重要资料进行加密,并采用弹出窗体和修改桌面背景等方式,以销毁用户文件为要挟,勒索用户在96小时内支付8比特币(约合当时人民币1万元)赎金。因该勒索软件家族通过洋葱路由(Tor)和完全匿名的比特币交易方式获取赎金,使得该勒索软件的作者难以追踪。对此,安天CERT通过捕获样本,开展了深入分析。
-
2013年CryptoLocker
2013年9月,CryptoLocker被首次发现,通常以邮件附件的方式进行传播。在附件执行进而感染包括Windows XP、Windows Vista、Windows 7、Windows 8在内的大部分Windows操作系统后,使用RSA&AES对特定类型的文件进行加密并弹出勒索弹窗,敲诈受害用户在72小时或4天内使用moneypak或比特币付款300美元或欧元。对此,安天CERT通过捕获样本,开展了深入分析。
-
2012年利用Java漏洞的跨平台恶意代码
2012年,一款利用Java漏洞(CVE-2012-0507)的跨平台恶意代码通过下载远程恶意代码至目标用户电脑并判断所感染的系统平台,针对Windows平台和Mac OS平台分别从同一个服务器下载并运行使用C++写的后门程序和使用Python语言写的类似木马(名为update.py),在用户不知情的状态下远程发送上传/下载文件、截取屏幕、运行命令等命令。2012年5月,安天CERT捕获到该恶意代码样本,深入分析后给出针对性防护建议。
-
2011年ADRD
2011年,ADRD木马(又名HongTouTou木马)通过植入多款合法软件,利用多家论坛、下载站点分发下载实现大范围传播。该木马依靠其开启系统服务、定时回传手机信息、接收控制指令和URL、访问前述URL对应链接并下载文件等恶意行为,致使受到该木马感染的用户手机产生大量网络数据流量,受害者被收取流量费用、遭受资金损失的同时,攻击者通过增加搜索链接的访问量而获益。安天CERT在第一时间捕获到该木马后随即进行了深入分析,于北京时间2011年2月18日率先发表了ADRD木马的分析报告,并提供了详细的解决方案和专杀工具(AVL PK for Android);手机用户通过下载我司提供的专杀工具实现便捷检测和卸载清除,避免了进一步的经济损失。
-
2010年“鬼影”
2010年,通过文件捆绑进行传播的“鬼影”病毒肆虐,该病毒运行后衍生反制反系统安全软件和隐藏自身、修改系统引导区(MBR)的模块,同时具有下载并运行其他病毒文件(如AV终结者,盗号木马等)的功能;其中,因该病毒修改系统引导区(MBR)后,导致病毒先于操作系统启动,致使恶意代码清除难度增加。对此,安天CERT开展了深入分析,并提供行之有效的清除措施。
-
2009年GameThief
2009年,随网络游戏一同兴盛的游戏盗号木马家族及变种数量众多,尤其是流行度极高的多款网络游戏对应的盗号木马更是几乎接近泛滥,例如OnlineGames、Lmir、WOW、QQGame、PlayGames等。安天CERT对其中较为典型的游戏盗号木马进行了深入分析,并给予广大游戏爱好者对应防范建议。
-
2008年Conficker
Conficker利用MS08-067漏洞进行传播,传播方式包括但不限于U盘、网络共享等。根据媒体报道,该病毒于2008年11月出现后,在短短3个月左右时间内造成200多个国家数千万台机器被感染。安天CERT对Conflicker病毒展开了系统地分析,深度剖析该病毒利用漏洞触发机理,详细记录其破坏系统默认属性设置项,全面监控其自动搜索局域网内其他存在漏洞的电脑、激活漏洞并同感染系统创建链接进而实现远程感染的一系列过程,为后续开展针对性防护工作提供了可靠依据。
-
2007年AV终结者
AV终结者,别称“帕虫”,是一系列具备反击杀毒软件、破坏系统安全模式、植入木马下载器等破坏性的病毒、木马和蠕虫。该病毒利用了IFEO(映像劫持)技术,不仅造成同时期大量杀毒软件和安全防御工具无法正常运行,而且通过破坏受害主机的安全模式致使其无法在安全模式下查杀病毒,与此同时,盗取用户有价值的信息。该病毒主要通过可移动存储介质和指定软件捆绑传播。对此,安全CERT对其进行了深入分析。
-
2006年敲诈者(Trojan_Agent.BQ)
2006年6月14日,安天在2006年6月9日捕获了国内最早出现的Redplus敲诈者木马,该木马会隐藏用户的文档文件,向用户勒索70元至200元不等的赎金。Redplus木马运行后首先弹出虚假正版软件的对话框,点击OK后,会弹出勒索窗口。安天将截获的样本、解决方案,以及病毒作者在代码中留存的个人姓名、手机号等信息上报给CNERT(国家互联网应急中心),该木马病毒也是CNCERT网站首个披露的勒索软件。
-
2006年魔波(Mocbot)
2006年8月14日,在魔波(Mocbot)事件中,安天在3小时内完成初步分析,及时发布了警报和分析报告,提供专杀工具AVL PK,安天紧急为国内应急组织和运营商提供了VDS设备,在24小时内发现了超过26万个感染节点。其后安天在近十天的分析中,详解了其利用微软MS06-040攻击成功后,如何将文件传递到受害主机的过程,并从IRC频道入手、破解了其登陆识别机制、密码及IRC命令集合含义、掌握了IRC命令列表和控制者的认证方法。基于研究和已具备的引擎能力,安天向有关部门提供了手动清除方案和网络自动清除专杀工具,有效阻止病毒的继续传播并进行了专项清除,有效阻止了魔波病毒在我国肆虐。
-
2006年熊猫烧香(Dvldr)
2006年国内大批计算机突然被感染,可执行文件的图标都被改为熊猫举着三根香的模样,这也是国内用户首次直接面恶意代码,该病毒可以自动传播、自动感染硬盘,还能中止反病毒软件进程并且会删除扩展名为gho的文件,在当时引起了较大的社会反响和经济损失,安天CERT小组紧急投入到该病毒数百个版本分析工作中,对不同变种的特点、传播方式、样本进行了全面、系统的剖析,该病毒后续也成为安天CERT新人的学习样例。
-
2005年灰鸽子(Hupigon)
灰鸽子木马病毒2001年出现,2005逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生,灰鸽子本身具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是能在服务端高度隐藏自己,使受害者无从得知感染此病毒。灰鸽子也因为这些特性成为当年国内最流行的后门之一。安天CERT小组对该病毒及上百个主要变种进行了全面的分析和研究,用样本标签、行为分析、病毒描述等方式揭示该病毒的本质,并协助相关部门进行网内清理行动。
-
2004年震荡波(Sasser)
2004年4月30日,“震荡波”蠕虫在国内爆发,安天CERT小组第一时间对该蠕虫部署严密监控,并对捕获到的样本紧急分析,于5月7日发布AVLPK“震荡波”袖珍解决方案。同时,根据计算机犯罪取证研究经验,使用病毒作者追踪的编码心理学方法,成功推断出该蠕虫与当年早些时间的另一个蠕虫“网络天空”的作者为同一人,并初步判定作者位于德国。不久,德国下萨克森州罗滕堡的18岁少年Sven Jaschan因涉嫌编写该蠕虫而被捕,证实了安天CERT小组的推断。
-
2003年口令蠕虫(Dvldr)
2003年3月8日,“哈工大-安天联合CERT小组”在多个监控节点发现异常,在用户配合下,经流量分析,采集到后来被命名为口令蠕虫(Dvldr)的样本。联合CERT小组发布了《紧急蠕虫事态分析报告》并进行了多次更新,同时向受影响的高校及企业用户提供处置方案和专杀工具,为网络管理员提供大规模扫描验证工具和疫苗投放工具。之后安天协助有关部门进行了历时近3个月的分析朔源工作,找到了我国最早一批受害主机,大致确定了该蠕虫最早进入我国时间。该事件是我国第一个上报给时任国家最高领导人的计算机病毒事件。
-
2003年冲击波(Blaster)
2003年7月,“哈工大-安天联合CERT小组”因微软公布RPC漏洞发出威胁预警,8月12日,冲击波(Blaster)蠕虫在国内爆发。教育网监控节点发现大量异常RPC扫描,取得受害主机获取病毒样本后,初步判定为利用微软相关漏洞的新蠕虫。经紧急分析,撰写分析报告,发布专杀、免疫工具,响应工作持续近1个月。这是安天首次在应急响应中采用免疫的思路,在教育网内应急响应过程中,安天为用户提供了用ARP压制感染节点的思路,取得良好效果。
-
2001年红色代码II(RedCodeII)
2001年8月6日,红色代码蠕虫变种“红色代码II”(Code Red II)在国内爆发。安天用尚在雏形中的蜜罐系统捕获了相关样本,并在BBS水木清华站率先发出了该病毒的预警;在发出预警的6小时后,安天发布了专杀工具;后又为相关部门普查漏洞和感染分布情况编写了行命令扫描工具。这也确立了安天在此后类似事件中采用快速发布预警、对公众发布专杀工具、为管理机构提供感染和威胁普查工具的基本工作思路。
