2017网络安全威胁的回顾与展望

时间  2018年07月07日  来源:  Antiy CERT

1、网络安全防御须以敌情想定为前提


         我国是网络大国,也是面临网络安全威胁最严重的国家之一。近年来,国内金融、能源、交通、教育等行业网络成为战略对手攻击和渗透的主要目标,利用网络攻击造成的信息窃取和破坏事件呈现增长趋势。随着APT组织的不断曝光和其背后国家背景的日益明朗,我们必须认识到不能将网络安全问题窄带地理解为技术问题,必须注意到网络安全问题的复杂性与关联性,围绕着大国博弈、地缘安全的威胁演进和对抗才是网络安全问题的主旋律,如果不将这些因素考虑在内,不仅不能看到网络安全的全貌,并且会丢失网络安全威胁认知的主体。
         正如我们此前反复强调的那样,需要关注网络攻击行为背后的动力性因素。
         在这种认知的驱动下,安天经过探索和总结,提出了关键信息基础设施的网络安全防护需要以“敌情想定”作为前提的观点。有效的敌情想定就是要将内网已被渗透、供应链被上游控制、运营商关键路由节点被控制、物流仓储被渗透劫持、安全规范不能被百分之百落实、关键人员被敌方策反等情况作为基本前提假设,以此为基础展开网络安全防护工作。2018年1月,我们以“敌情想定是前提,网络安全实战化”为主题举办了第五届安天网络安全冬训营,旨在打破旧有的以“物理隔离+好人假定+规定推演”构成的自我麻痹式安全观,以有效的敌情想定为前提,以实战化作为网络空间安全防护的第一要求,向承担着关键信息基础设施防御使命的政企单位输出能用得起来的安全能力,帮助客户全面落实网络安全防御职责,使安全防御体系能够随时应对真实的威胁,实现有效的安全价值。
         建立有效的敌情想定必须对“敌情”进行全方位了解,本文以此为视角对2017年重大的网络安全威胁进行回顾和盘点,并提出以下思考和观点:
         APT攻击事件频发,其曝光度也在增加,目前已有数以百计的攻击组织被发现。通过对攻击组织的深度挖掘,其背后隐藏的支持者正逐渐浮出水面。
         超级大国的网络军火库储备有大量的网络武器,一旦被窃取泄露,将造成大面积的网络威胁,后果不堪设想。在2017年,“魔窟”(WannaCry)勒索蠕虫仅利用美国NSA网络军火中的“永恒之蓝”(Eternalblue)漏洞,就制造了一场遍及全球的网络威胁风暴。
         民间复合行为体,可能基于民族情感、宗教信仰、政治立场等原因,发起网络攻击。在对攻击行为进行分析中发现,他们采用的是较为常规的攻击手段,却能够击中对手的关键部位,这种民间复合行为体成为了网络攻击中不得不考虑的一种作业模式。
         攻击组织往往不会因为被曝光而停下进攻的脚步,只是会暂时停缓自己的攻击行为。从长时间的跟踪检测中发现,这些攻击组织往往会间断性的展开网络攻击,并且不断对进攻手段、目的等进行更新修改。因此,我们不能懈怠对已曝光危险组织的持续跟踪,并在不断的跟踪分析过程中,改进防御手段及更新产品能力。
         近年金融、银行系统遭受的APT攻击在不断增多,银行系统暴露出严重的网络安全问题。与一般的直接的经济利益为目的攻击不同,美方对银行SWIFT系统的攻击体现出了更高级的战略需求——获取关键信息基础设施控制权,为实现随时从监视到攻击行动的无缝切换奠定基础。
         数据泄露问题依旧高频发生,对于大量流失的隐私数据,传统安全问题仍是其发生的主要原因,因而基础的网络安全防护措施仍然能够对数据形成有效的保护屏障。由于数据保护方和窃取方的驱动力相差甚大,因此我们对2018年数据泄露情况的预测并不乐观,形势依旧严峻。
         在商业合作中,乙方自身的安全防御能力能够对甲方数据的安全性产生直接影响,由于乙方在数据安全保护上的疏漏,造成数据泄露的事件也随着外包业务的盛行而增多。因此在这种合作中,应当将双方的安全防护等级提升到同一高度。
         虚拟货币的炒作膨胀,吸引了大量攻击者的注意力。而基于货币的勒索模式逐渐发生了变化,勒索软件不再是单纯的勒索赎金,而是表现出了一种新的准军事攻击的模式。部分勒索软件其本质目的已经不是勒索赎金,而是实现对特定目标、特定区域设施的破坏。这种攻击模式不同于以往高级持续性威胁(Advanced Persistent Threat,APT)表现出的高度定向、指哪打哪的模式,而是基于一定的地缘条件,针对特定区域的目标投放木马,借由勒索软件自身的传播进行破坏。为防止这种披着“勒索”外衣的攻击行为,我们要加强纵深防御体系和能力的建设。
         对于资本收益的渴求,使得挖矿木马滋生并盛行。同时,对于比特币的攻击事件更是频繁而集中。对于大热的区块链技术,只有保证它的安全性,才能维持其长久的发展。
         IoT中安全设计的匮乏,使基础设施攻击和隐私数据泄露可能成为IoT威胁的热点。因此,无论从国家层面还是厂商层面来看,都应加强IoT设备的安全防护,提高攻击入侵IoT设备的成本,以及加强对IoT设备的安全威胁监测预警。
         软件供应链攻击已经成为突破现有安全防御手段的一种有效方法。由于技术原因,目前国内很多种类的IT产品和服务均被国外垄断,而自主的产品和服务还不能完全替代国外产品,致使我国面临着更加严峻的软件供应链安全风险。因此,网络安全业界要按照习近平总书记提出的“总体国家安全观”的要求,从供应链、信息流等更广阔的视角完善自身的技术能力。
         面对威胁和挑战,安天将继续做具有体系化视野和解决方案的能力型安全厂商。以真实的敌情想定为前提,以实战化作为网络空间安全防御的第一要求,让安全技术、产品与服务能够随时应对真实的威胁,为客户实现有效的安全价值。


2、APT攻击正在呈现出网空战略作业行为的全貌


2.1 随着攻击组织的不断被分析曝光,APT攻击正在转化为网络空间的“战略阳谋”

         随着APT攻击事件的频频曝光,APT攻击的威胁已经影响到国家安全、地缘政治及经济利益等诸多方面,全球各安全厂商、研究院以及第三方机构纷纷投入到APT攻击组织的研究中。目前全球安全机构共发现了数百个攻击组织,其中部分攻击组织有着深厚背景支持。随着不断曝光及深度挖掘,隐藏的攻击组织逐渐浮出水面,其背景也日渐明朗。在战略阳谋的条件下,从原来的管中窥豹盲人摸象似的斗争,转化成与已知物种但必然向我方发动攻击的猛兽的搏斗,这将是我们在未来一段时间所面临的必然挑战,尽管他们还会使用很多我们未知的武器。
         从早期的斯诺登事件,到影子经纪人(Shadow Brokers)和维基解密事件,美国中央情报局和国家安全局执行着多个面向网络空间的情报获取和监控计划,从硬件工具到恶意代码的装备体系,所针对的目标几乎涵盖了智能电子设备类别和操作系统平台。公开资料和内部的分析研究显示,“方程式”(Equation)组织是一个长期活跃的有政府背景的攻击组织,该组织归属于美国国家安全局下的特定入侵行动办公室(TAO),针对特定目标收集情报、潜入攻击、破解密码、窃取数据等。多方证据表明,著名的震网(Stuxnet)和火焰(Flame)病毒的幕后操纵者均为“方程式”组织。
         2017年5月12日,全球爆发大规模的“魔窟”(WannaCry)[1]勒索软件感染事件,众多行业受到影响。该勒索软件主要利用影子经纪人曝光的美方“网络军火”中的“永恒之蓝”漏洞进行攻击。5月23日,赛门铁克公开发布“魔窟”(WannaCry)攻击事件与Lazarus组织有着紧密联系。6月美国国家安全局称已经获得一些朝鲜发动WannaCry的证据,据了解这些证据来自各国政府、网络安全公司和受到攻击的公司。12月18日,美国总统国土安全和反恐助理托马斯·博塞特(Thomas Bossert)在《华尔街日报》发表文章指出WannaCry攻击事件的幕后操纵者为朝鲜。除了境外的一系列报告和数据,国内安全厂商也分析出朝鲜是最值得怀疑的对象。
         2016年7月安天曝光了追踪四年的攻击组织“白象”(White Elephant),通过对该组织进行长期分析跟踪及溯源,确定该攻击组织为十几人到几十人的攻击小组,组织成员来自印度,并最终锁定其中一名自然人。除“白象”组织外,安天在《潜伏的象群—来自南亚次大陆的系列网络攻击行动》[2]报告中还披露了多个网络攻击组织,这些组织都具有印方背景。除以上几个典型的具有国家背景的网络攻击组织外,安天还跟踪分析了大量攻击组织并分析定位组织所属国家,具体攻击组织及国家归属如图2-1所示。

图 2-1 全球APT攻击行动、组织地理位置分布图

         “网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”,APT正是对这一论述的最直观体现。安天在长期研究和跟踪APT事件中发现,攻击组织与安全厂商更像是矛与盾的关系,安全厂商长期持久地跟踪分析APT背后的攻击组织并研究检测防御方法。与此同时,APT攻击组织也针对安全机构采取不断进化和升级以避免被检测和溯源。安全厂商虽然曝光了攻击组织并给出了检测防御建议,但攻击组织的网络行动并不会因被曝光而停歇。攻击组织为达成战略目的会不断更新、修改战术,有些组织甚至会全面规避以往的行为特点和攻击资源,以及利用虚假威胁情报规避追踪。
         从安天对“白象”和“APT-TOCS”(海莲花)[3]的监测情况来看,相关组织的攻击行动依然活跃,从下图“白象”和“APT-TOCS”(海莲花)的活动时间轴可以明显看出,在这两个组织被曝光后只是暂时偃旗息鼓,不久又继续其网络攻击活动。

图 2-2 “白象”、“海莲花”活动时间轴

         网络攻击本身具有易于隐藏攻击源的特性,攻击组织通常会改变其样本特征和基础资源,待事件淡出安全厂商的视野后再次开始行动。因此,防御APT攻击需要持续跟踪分析攻击者的技巧、意图和路径,将这些经验转化为防御改善和产品能力更新,既要有曝光对手的勇锐,也要有戍边十载、不为人知的持续坚守。

2.2 网络空间的军备扩散问题引发全球网络威胁风暴

         网络空间的“军备”,是指具有武器级水准的攻击平台、恶意代码、漏洞及其利用程序,以及其他用于助力达成攻击的工具或组件等。从当前现状来看,主要包括像NSA、CIA这样的超级大国情报机构所研发的相关攻击工具和支撑体系,还包括部分商用工具,如Cobalt Strike等商用攻击平台,Rig、Magnitude等漏洞工具包。
         2017年5月12日一场由网络军备扩散导致的全球网络风暴爆发。下午15时左右,“魔窟”(WannaCry)勒索蠕虫爆发,该蠕虫利用了泄露的NSA的“永恒之蓝”漏洞,短短数日内造成大量政府、企业、医疗等行业内网感染,部分基础设施暂停服务。这是一起严重的因“网络军火”扩散导致的大规模网络安全事件。超级大国无节制地发展网络军备,但又不妥善履行保管义务,已经严重影响互联网的安全基础和信任。从此次事件也可以看出,高能力的网络军火一旦失控泄露,将快速转化为普遍性的攻击能力,从而可以引发雪崩式的社会风险。
         安天CERT在2017年发布的《2016年网络安全威胁的回顾与展望》[4]中提出“网络军火”的扩散全面降低攻击者的攻击成本和勒索模式带动的蠕虫的回潮不可避免等观点。结果未满1个月,安天预测的这种“勒索软件+蠕虫”的传播方式即被不幸言中,并迅速形成了全球性的感染模式。该事件以最直观的方式将网络军备的威力展示在公众视野之下,让全球焦点聚集于网络军备的不当使用和失控扩散问题。另外需要注意的是,“魔窟”(WannaCry)勒索蠕虫仅利用了被曝光的“网络军火”中的“永恒之蓝”(Eternalblue)漏洞,而Shadow Brokers(影子经纪人)曝光的“网络军火”中还有一系列的漏洞及利用工具需要关注和防范。图2-3为Shadow Brokers(影子经纪人)曝光的全部NSA“网络军火”漏洞利用关系图[5]。

图 2-3 2017年4月14日泄露的NSA网络军火装备的漏洞利用关系图

         从“魔窟”(WannaCry)造成的危害来看,超级大国网络军火的攻击性、冲击性非常强。一旦网络军火流落到第三方,并且被大规模使用,肯定会造成大面积的安全事件。然而“魔窟”利用的“永恒之蓝”漏洞只是网络军备中的沧海一粟,高级网络军备如同战略武器一样宝贵和稀缺,更多泄露的网络军火不会进行无控制的传播和扩散,而是在有背景有纪律的网络攻击组织手中谨慎的针对性地使用。这些网络军火的威力绝不低于“永恒之蓝”,只是因为没有造成明显可见的大范围的危害而被人忽视,它们的存在和泄露才是更令人担忧的。自“斯诺登”事件以来,网络上频频爆出超级大国网络军备资料和实体武器样本,这些武器装备有着系统的开发规范和流程、成体系的操作和作业手册、配套的高质量操作人员、以及完善的后勤保障和支撑体系,超级大国依靠先发优势、技术储备和资金支持,建立起一套完整的网络装备作业体系。这些网络军备一旦泄露到互联网将给网络空间造成巨大的潜在威胁。下图是安天基于已掌握的美方网络军备以攻击目标、作业场景、作业方式和支撑体系梳理的两幅图(宏观:2-4美方网络装备体系分区图、微观:2-5方程式组织主机作业模块积木图)[6]。

图 2-4 美方网络装备体系分区图

图 2-5 方程式组织主机作业模块积木图

         综上所述,部分世界强国的网络军备能力已经足够强大,在网络军备失控的状态之下,会给网络空间带来毁灭性的影响。从这个意义讲,所有发动网络攻击的国家都在进行着可怕的冒险,所有试图开展网络军备竞赛和发动网络袭击的国家,都如同释放瓶子里的魔鬼,一旦打开将一发不可收拾。

2.3 民间复合行为体成为了一种必须考虑的作业样式

         民间复合行为体是指有一定安全攻击能力,可能在不同事件中参与,不是纯粹的官方组织,但可能基于一定的政治立场、宗教信仰,从而在不同的攻击行动中,会有比较模糊的攻击行为,亦可能有国家背景。
         2016年12月30日,美国国土安全部和FBI公布13页俄罗斯利用黑客介入美国选举的报告,这是美国首次在官方报告中点名俄罗斯主使恶意黑客攻击。报告中公开指责俄罗斯黑客干扰美国大选。同时,2017年发生的多个美国政治组织和个人的电子邮件外泄事件与俄罗斯政府有关。黑客所使用的技术和服务器出自俄罗斯。只有俄罗斯高级别官员授权,俄罗斯黑客才会从事这些活动。
         2017年6月,根据美国《纽约时报》报道,普京称有“爱国心的”俄罗斯黑客可能以私人方式卷入干涉美国总统大选的网络袭击事件。普京称这些“爱国的黑客”可能了解了一些国际关系后,以“自认为正确的方式打击他们认为对俄罗斯不利的事”。
         从对攻击组织(APT28)的分析中我们可以看到,攻击组织采用的攻击手法、技术与常规网络攻击活动没有明显区别,战略性的行动并不必然使用先进的武器,看似用粗糙的方法,打击到对手的关键部位,影响对手基础稳定性。
         2017年下半年起,多起借“勒索”之名进行破坏攻击的事件爆发,从“伪必加”到“坏兔子”,勒索模式逐渐发生了变化,勒索软件不再是单纯的勒索赎金,而是表现出了一种新的准军事攻击的模式。这种新模式下的勒索软件依然披着勒索的外衣,试图伪装自己,混淆视听。事后通过对这些事件的分析发现,大部分事件的发起者并非来自国家背景,而多为民间复合行为体。
         勒索蠕虫“魔窟”攻击者仅收到价值14万美元的比特币赎金,“伪必加”开发者早在7月初就开始收网,此时距离“伪必加”的爆发时间还不到一个月。部分勒索软件其本质目的已经不是勒索赎金,而是实现对特定目标、特定区域设施的破坏。这种攻击模式不同于以往高级持续性威胁(Advanced Persistent Threat,APT)表现出的高度定向、指哪打哪的模式,而是基于一定的地缘条件,针对特定区域的目标投放木马,借由勒索软件自身的传播进行破坏。例如,“伪必加”是通过一款会计服务与业务管理软件的更新进行传播,它主要投放区域是乌克兰地区;“坏兔子”的投放入口是东欧的一些新闻媒体网站,许多东欧当地的政府部门和企业都受到了攻击;“Erebus”的初始投放入口是韩国网络托管公司“Nayana”;甚至还出现了“Magniber”这种只对韩文系统的计算机进行破坏的勒索软件。这种区域半定向的攻击方式迅速地给投放区域带来了负面的影响,同时由于其传播的不定向性,在一定程度上增加了安全研究人员的调查周期。
         我们对2017年爆发的几个典型勒索软件家族特点进行了总结,如下表所示。

表 2-1 2017年爆发的几个典型勒索软件家族

         于互联网的高流动性,这种攻击方式存在着较大的“误伤概率”,是一种“杀人一万、自损三千”的攻击方式。安天的工程师认为,这种独特的攻击行为可能是由具有国家背景支持的民间攻击组织所承载的,我们将其称之为“民间复合行为体”。这些民间复合行为体的目的不在于“勒索”而是“破坏”,因此在战术上选择了一种“损人不利己”、“多损人少损己”的方式来给对手制造混乱。这些民间复合行为体不需要很强的作业能力,甚至他们的攻击行为都可能被误认为是普通的黑产犯罪,而一旦这种带有明显目的性的破坏行为开始实施,会对关键信息基础设施造成极大危害。
         我们推测像“必加”、“坏兔子”这种破坏性质多于勒索性质的勒索软件,在今后会更多地用于对特定区域的定向攻击中。由这种民间复合行为体针对指定区域进行病毒投放的攻击在今后会愈演愈烈,而打着“勒索”旗号实为“破坏”的攻击方式也会被更多的组织所使用。勒索软件的攻防已经从单纯的网络空间较量变成具有一定政治意义的“软较量”——当对手配合政治事件以这种方式来宣示“存在”或“立场”时,如果不能快速有效地做出响应,则给己方带来的混乱和损失会更加严重,有效完善纵深防御体系和能力势在必行。

2.4 陈旧漏洞在APT攻击中依然被高频使用

         在普遍直觉认知上,大部分人认为APT攻击可能较多采用0-day漏洞,但事实上APT组织在网络攻击中更倾向于使用包括1-day在内的陈旧漏洞,不同的攻击组织也存在挖掘储备能力的差异和攻击成本限制,大量APT组织会使用1-day漏洞,将漏洞披露后的空窗期时间段视为攻击的黄金时间。2017年对安全研究人员而言,有很多耳熟能详的漏洞编号,包括微软Office的CVE-2017-0199、CVE-2017-8759、CVE-2017-11826、CVE-2017-11882(CVE-2018-0802)以及Adobe Flash的CVE-2017-11292。
         APT-TOCS(海莲花)组织在CVE-2017-8759披露后的一周时间形成了有效的攻击载荷。卡巴斯基检测到APT BlackOasis利用Adobe Flash的0-day漏洞CVE-2017-11292进行攻击活动,但在Adobe公布CVE-2017-11292补丁两天之后,APT28就已将其构建成武器载荷。2017年11月14日,微软发布了CVE-2017-11882漏洞补丁。向微软披露该漏洞的安全公司EMBEDI在11月20日,通过Github公开了该漏洞的PoC,随后11月21日Github出现了一键制作的包含11882漏洞利用攻击代码的脚本。在此之后,该1-day漏洞才逐渐被APT34、白象等能力稍弱的APT组织利用。
         2017年4月11日微软发布CVE-2017-0199漏洞补丁。FireEye的安全研究人员表示,在4月9日该漏洞利用载荷已经在地下市场出售,在漏洞公开的黄金期已经有组织开始使用。随着时间推移,该漏洞利用攻击被泛化开始针对金融等行业,而不再是针对少数目标的APT攻击。更多的APT组织(APT34、APT-TOCS、白象组织)获取到漏洞利用代码后也开始使用,将该漏洞作为武器装备用于针对性的攻击活动中。
         从防御方的角度来看,对于存在陈旧漏洞的系统,如果没有形成有效的防御体系,也没有建立起有效的安全加固,那么无疑是将目标暴露在攻击者的视野之下。过去防御方往往关注的是补丁检查和漏洞检查,但目前的情况是从漏洞公布到打补丁,快速缩短攻击敞口期还没有做到。从知晓漏洞披露信息后,既要修补漏洞,也要分析漏洞的攻击敞口期,对于已有漏洞风险的系统,需要面向拥有不同层次的、不同漏洞利用攻击敞口期的攻击对手进行分析处理。不仅要打补丁还要按照可能被攻陷的假设做出处置。


3、关键基础设施成为APT攻击的重点


3.1 “魔窟”(WannaCry)勒索蠕虫检验关键基础设施的网络安全隐患

         2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网也遭受大规模感染。这一事件以真实的网络攻击验证了全球大量关键信息基础设施的网络安全漏洞,全球的关键信息基础设施的安全隐患令人担忧。
         该勒索软件迅速感染全球大量主机的原因是利用了基于445端口的SMB漏洞MS17-010,微软在2017年3月份发布了该漏洞的补丁。如果相关基础设施系统能落实网络安全防护合规制度,安装安全防护软件,及时更新系统补丁,完全可以规避此次的攻击事件。但从全球被感染的数量来看,大量基础设施系统如医院、学校、机场、公共服务机构等均有被感染的案例。正是如此,一场本应可以避免的网络风暴给全球造成了极大影响。
         安天在该事件发生后启动A级风险应急(最高级),成立应急网络工作小组,在不同维度(分析、响应、处置、溯源、防护)开展工作,为用户解决问题或疑问,全面分析了样本的执行逻辑和流程、加密逻辑、条件和算法、文件恢复的原理并给出恢复方法、文件解密的原理和提供解密工具,同时也解密一些关于支付赎金钱包固定是否对应支付者的问题,澄清关于各种变种传言问题,还基于样本原始数据分析该勒索蠕虫的可能来源。

图 3-1 安天针对“魔窟”(WannaCry)事件跟进响应时间表

         尽管包括安天在内的安全厂商在此事件中反应迅速,第一时间给出了防护解决方案,阻止了更大范围的感染,但在全国范围内仍有大量主机被感染。虽然随后的几天我们给出了恢复和解密方案,但是由于条件和环境的限制,大部分的主机并不能挽回丢失被加密文件的损失。一场本应该御敌在千里之外的威胁就这样对我们的信息系统造成了永久性破坏,这种极为惨烈的损失,昭示了内网安全的欠账,也说明我们长期在简单的边界防护、物理隔离的基础上经营出的安全图景,是一种“眼不见为净”式的自欺,无法通过攻击者的检验。

3.2 谨防针对金融、银行系统的APT攻击

         近几年来,涉及金融、银行系统的攻击事件不断曝光,随着对这些事件的跟踪与分析,安全厂商逐渐发现这些事件的一部分属于APT事件,攻击行动的最终目的是盗取钱财。事件背后的组织有规模较小的黑客组织,也有具有国家背景的庞大团体。孟加拉国央行遭遇攻击就是典型的APT攻击事件,该事件普遍被安全机构认为与“拉撒路”(Lazarus)组织有关,多个安全机构发布报告认为“拉撒路”组织也是“魔窟”(WannaCry)勒索蠕虫的幕后黑手。安全机构进一步证实了组织的网络攻击行动的目的之一是获取资金。
         从全球网络攻击活动来看,目前针对金融、银行相关的网络攻击活动日趋增多,尤其是一些相对不发达的国家也试图在网络空间拓展战略优势。这些国家一方面从网络空间进行情报窃取,对敌对国家信息数据进行破坏,另一方面发挥网络攻击组织的技术优势,针对金融、银行系统进行攻击,从而窃取资金达到“以战养战”的作业规划,利用窃取的资金对网络攻击行动的开销进行支撑。

图 3-2 近些年针对金融、银行系统的APT攻击事件

         通过对相关事件的分析来看,部分银行暴露出自身的网络安全问题。攻击者通过网络就可以获得银行关键主机的权限并加以操作,“物理隔离”准则并没有起到隔离威胁的作用,关键终端也没有实现有效的安全防护,这些都暴露出银行系统存在的问题。而在这些针对银行的攻击事件中,有一起引起了我们的关注。

3.3 美方攻击中东地区银行SWIFT系统事件复盘

         2017年4月14日,“影子经纪人”曝光了一批与NSA相关的数据。其中包含一个名为SWIFT的文件夹,主要涉及美方针对中东的SWIFT服务部门(或合作伙伴)的攻击。以此为线索,我们对美方的此次攻击进行了复盘。
         SWIFT即“环球同业银行金融电讯协会”,是国际银行同业间的国际合作组织,成立于1973年,该组织推出了标准化银行间结算系统即SWIFT系统。SWIFT系统在全球银行业应用十分广泛,为银行的结算提供了安全、可靠、快捷、标准化、自动化的通讯业务,大大提高了银行的结算速度。本次攻击的主要目标为EastNets和BCG,均为SWIFT服务部门或合作伙伴,负责为银行提供SWIFT服务。 在比利时、约旦、埃及和阿联酋设有办公室,而BCG则负责巴拿马和委内瑞拉的业务。
         本次曝光的资料主要是关于代号为JEEPFLEA_MARKET和JEEPFLEA_ 的两个行动。JEEPFLEA_POWDER是针对BCG的行动。曝光的文档显示,当时该行动尚未取得进展。JEEPFLEA_MARKET是针对EastNets的行动。当时已经获得2个管理服务器和9个业务服务器的权限。
         攻击者分别从来自哈萨克斯坦、德国、中国台湾以及日本的4个IP发起攻击。攻击的大致过程是:首先攻击架设在网络边界上的4个Juniper防火墙;接下来攻击企业级防火墙,由1台Cisco ASA防火墙和1台Juniper防火墙构成;然后攻击管理服务器,总共2台;最后攻击业务服务器,总共9台。9台业务服务器分别服务于不同的金融机构(在图中已经标出),有的是共享服务器,同时服务于几家不同的金融机构。图中分别用不同的颜色表示出了不同攻击者的攻击路径,攻击者最终从业务服务器中获得了局域网内的口令信息以及SWIFT交易信息。

图 3-3 美方攻击中东地区银行SWIFT系统事件复盘

         根据已有的材料中曝光的内容可知,美方在攻击SWIFT机构时利用了多款工具,如表3-1所示。

表 3-1 攻击EastNets所使用的网络攻击工具及漏洞


         此次攻击事件中使用的各类0-day漏洞体现了美方强大的网空攻击能力。美方的网空攻击装备体系以全平台、全功能为发展目标,并具有模块化特点,使得美方的作业能够以“需要什么拿什么”而非“需要什么开发什么”的方式展开,很好地满足各种网络环境下的行动作业要求。更重要的是,与上一节中提到的大多数针对银行的攻击事件不同,美方对银行SWIFT系统的攻击并不以获取直接的经济利益为目的,而是体现出了更高级的战略需求——获取关键信息基础设施控制权。
         为实现随时从监视到攻击行动的无缝切换,美国一直秉承“持久化一切可以持久化的节点”的理念,并将其作为一种重要的战略资源储备,为长期的信息窃取和日后可能的网络战做准备。据斯诺登披露的NSA内部文件显示,对网络的监视仅仅是美国“数字战争战略”中的“第0阶段”。一旦“隐形持久化植入程序”渗入目标系统,实现对目标系统的“永久访问”,那么“第3阶段”就已经实现。这一阶段被称为“主宰”,可见美方认为对目标网络设备或节点系统的控制权的重要性。而这些都是为最终的网络战做准备。一旦在目标系统达成持久控制,攻击者就能够实现随时从监视到攻击行动的无缝切换,即由计算机网络利用(即CNE)转换为计算机网络攻击(即CNA),对目标网络或系统进行破坏和摧毁。
         因此,根据“敌情想定”的原则,有必要从之前根据“既成损害事实”对潜伏网络威胁进行研判的传统模式,转为从总体国家安全观的高度来确认支撑关键信息基础设施的网络设备和节点系统的国家安全重要性级别,并且将高级别关键信息基础设施中出现的攻击受控事件与持久化潜伏威胁作为必须“第一时间发现、第一时间猎杀、第一时间全网清除”的“零容忍”目标。


4、数据泄露问题持续恶化


         2017年12月上旬,互联网上曝出了暗网中有史以来最大的一起数据库泄露事件。暗网监控公司4iQ发现暗网中出现了高达41GB的数据文件,其中包含14亿份以明文形式存储的账号邮箱和密码等登录凭证。据统计其中有14%的信息是从未暴露过的,可以推断,在未来的一段时间内,互联网中基于此次数据库泄露而引发的攻击事件会大量发生。
         从数据泄露的数量上来看,有相关调查称仅2017年上半年数据的泄露总量就超过了2016年全年的总量。例如,国内知名网络购物平台京东在2017年上半年被曝泄露了50亿条公民信息,原因是贩卖此类信息的非法团伙中的一名主要成员应聘该互联网公司的网络工程师职位,入职后利用职务之便以及所在公司平台的影响力窃取大量信息。在国外也有类似情况发生,例如,黑客利用东京都政府网站框架中的Apache Struts 2漏洞发起攻击,导致10亿条信用卡信息泄露。由此可见,虽然数据泄露问题讨论了多年,很多社会组织也加强了网络防御的力度,但是从效果来看,并未达到理想的状态。
         传统的安全问题仍然是造成数据泄露的主要原因。网站漏洞、恶意程序、钓鱼网站、公司内部心存不满恶意报复的员工以及与“黑产”组织勾结的“内鬼”等仍旧是数据泄露的源头。回顾2017年发生的数据泄露事件,可以认识到做好基础的网络安全防护措施仍然是防范数据泄露的重要基础及有效方法。网站管理员应该定期扫描并检查网站系统是否存在漏洞;检查操作系统中是否存在可被用于远程控制或者窃取系统敏感信息的恶意程序;个人用户应该提高自身的安全意识,有效鉴别钓鱼网站通过“高仿”其他合法网站的方式骗取用户的高价值信息;作为大型互联网公司的管理者,应该针对内部员工,建立细粒度的权限管理方法,避免员工利用组织内部权限设置的疏忽来从事违法犯罪活动。图4-1展示了2017年部分典型数据泄露事件的汇总信息,实际发生的此类安全事件必然要比图表中的内容多很多,从这些信息中可以看出,无论国内还是国外,针对数据泄露问题,我们还有很多工作要做。

图 4-1 2017年数据泄漏情况

         随着黑客攻击技术花样的不断翻新,展现出的攻击面逐渐变大,数据泄漏的新源头也不断增多。这其中,商业合作中的伙伴关系是值得关注的新源头。目前很多组织为了给用户提供便利,以及加速业务执行速度,普遍选择外包或者与其他公司发展商业合作。在这种情况下,即使组织自身的安全措施做的很好,但是由合作伙伴的疏忽而造成的数据泄露事件,仍然会波及组织本身。在这一点上,体现最明显的当属2017年发生在Amazon Web Services(AWS)存储服务器上的一系列敏感信息泄露事件。例如,美国私人安全公司TigerSwan的雇佣简历由于其合作的第三方招聘公司TalentPen在AWS上的安全疏忽,导致超过9400份雇佣简历被泄露。时代华纳公司因为其合作伙伴,知名云服务供应商BroadSoft,未妥善保护AWS存储器中的数据,导致时代华纳400万客户信息在线泄露。在类似的合作关系中,外包公司的工作往往就代表了甲方组织自身的形象,由于外包服务提供方引发的安全事件,会直接影响到甲方组织自身的数据安全以及企业形象。因此在这种合作的过程中,应该将组织自身的安全实践应用于所有的合作伙伴。这样可以对外展现出统一的信息安全形象。

图 4-2 数据泄漏导致全民画像及关系被分析

         对于2018年数据泄露情况的预测,我们不持乐观态度。根据过往几年的情况来看,此类安全问题呈现出逐年恶化的趋势。在表象当中存在着客观的内因:对于保护数据的一方来说,并没有一种强烈的驱动力鞭策着防御方做出明显的改变来扭转数据泄露的趋势。相反,窃取数据的一方由于受到强烈并且明确的经济利益驱使,会想方设法掌握新的攻击技术并且窃取更大量更敏感的数据。攻守两方对待数据态度的截然不同,导致数据泄露事件多年来未见缓解的征兆,并且这种差别很难在短时间内弥补,因此2018年数据泄露的形势依然会十分严峻。
         从数据的采集、生产和运营方来说,加强数据安全保护,是必须履行的责任;从另一方面,大规模数据泄露,包括已经被窃取数据的存量,早已成为撞库攻击、社工渗透等攻击方的基础资源,是所有防御者必须考虑的既定事实。


5、虚拟货币的炒作膨胀带来更多的网络攻击


         虚拟货币在2017年颇具话题性,在2017年初还只有1000美元的比特币,到12月20日已经达到了近17000美元,暴涨了16倍之多,并且这个数值并非最高点。美国芝加哥商品交易所在2017年12月18日推出了比特币期货合约,这个重磅消息使比特币在2017年12月17日打破了20000美元的大关,一度达到了20089美元,而比特币火爆的另外一面则是一波又一波与之相关的网络攻击事件。

图 5-1 2017年比特币对美元价格走势

5.1 虚拟货币的炒作使勒索软件影响范围加大

         勒索软件Cerber是2017年上半年最流行的勒索软件,Cerber利用了勒索软件即服务RaaS(Ransomware-as-a-Service)的黑产模式,定制出利用Magnitude漏洞攻击工具的勒索软件,在亚洲国家进行传播,其主要攻击目标是韩国,我国也有大量用户感染。勒索蠕虫“魔窟”(WannaCry)在2017年5月份席卷全球,影响了超过100个国家和地区,我国大量行业企业内网遭受大规模感染。截止到5月13日23时,病毒影响范围进一步扩大,包括企业、医疗、电力、能源、银行、交通等多个行业均受到不同程度的影响,安天紧急发布了多篇报告和专杀工具。而在“魔窟”爆发仅仅一个月后,“伪必加”(notPetya)横空出世,它通过软件供应链传播,样本复杂程度高于“必加”[7],对于被感染者杀伤力更大。10月下旬,“坏兔子”(BadRabbit)利用NSA泄露漏洞“永恒浪漫”进行传播,感染了大部分位于俄罗斯、乌克兰、土耳其和德国的目标。这些勒索软件不仅勒索价值高额美元的比特币,有些还具有破坏计算机系统的能力。

5.1 多种加密货币挖矿木马攻击事件盛行

         如果说勒索软件带给攻击者的一次性的收益不能令其满足,那挖矿程序是他们更好的选择。挖矿程序会给攻击者们带来虽然低但是长期的收益,这对部分勒索软件开发者显然有更大的诱惑力。目前通过挖矿来获取比特币奖励越来越困难,也就是说需要的算力日益增长,GPU挖矿模式已经不再适合于挖取比特币,专用集成电路ASIC(Application Specific Integrated Circuit)挖矿机成为主流,但ASIC矿机成本高昂,因此新兴数字货币不断出现。目前挖矿木马的主要目标是门罗币(Monero),门罗币采用的是基于CryptoNight PoW的挖矿算法,抵制ASIC,“Bondnet”、“Adylkuzz”、“CoinMiner”等挖矿僵尸网络开始兴起。另外,在网站上添加挖矿脚本的方式在2017年开始流行,“Coinhive”、“reasedoper”、“MarineTraffic”等挖矿脚本层出不穷,安全公司Malwarebytes称平均每天阻止800万个挖矿请求。攻击者还会为浏览器扩展植入挖矿程序,流氓软件推广也成为了挖矿程序传播的温床。著名激活工具KMSpico以及星巴克Wi-Fi近日也被曝出被植入挖矿程序,由此可见,随着虚拟货币不断增加和价格上升,挖矿木马也将会不断增加,传播方式也会不断变化。而在关键编码技术上,2017年的挖矿木马普遍没有采用加密、混淆或Rootkit等技术,2018年很可能是挖矿木马能力大幅提高的一年,如何防范提高能力的挖矿木马将是重中之重。

图 5-2 加密货币的情况

5.3 针对比特币的攻击事件更加频繁和集中

         比特币存在于名为比特币钱包的文件之中,比特币钱包是可以被入侵、篡改、窃取和转移的,比特币的暴涨自然引来了黑客们的关注。加密货币矿业公司NiceHash支付系统遭到黑客入侵导致6400万美元的损失因而暂停运营,韩国比特币交易站点Youbit在2017年第二次遭受重大网络攻击后宣布关停,总共损失约5700比特币,价值数千万美元。一些远控作者也开始针对比特币投资者开发恶意代码,如名为“Gunbot”的木马使用钓鱼邮件,针对比特币用户使用加密货币的诱饵,引导用户下载并运行恶意代码,窃取钱包文件,清空账户货币。当前比特币仍然存在很多潜在的安全性问题,互联网服务提供商可以拦截比特币节点的网络流量,比特币托管集中化也会导致容易受到路由攻击。在接下来的一年中,对比特币本身的攻击显然会更加频繁和集中。


6、基础设施和隐私数据或将成为IoT威胁的新热点


         物联网(IoT)的普及建设已经深入工业基础设施、农业、物流、智能医疗、交通、智能家居等领域。人们对智能生活寄予美好的愿景,却很少了解物联网存在的安全问题。物联网能够为生活带来便利,但也将安全威胁从互联网带入生活场景。物联网既是互联网技术的延伸,又与互联网有明显区别,直接将互联网威胁解决方案用于物联网威胁场景,只能解决互联网场景下熟知的问题,而忽视了物联网真正存在的威胁隐患。

图 6-1 IoT应用的泛化

6.1 物联网恶意代码开源衍生众多变种

         2017年12月13日,制造Mirai僵尸网络的三名男子承认其罪行,即2016年利用IoT设备发起针对美国东海岸DNS服务商Dyn的大规模DDoS攻击,造成许多知名网站访问受到影响。Mirai开源导致大量的变种出现,黑产团伙基于开源修改的能力非常强,其中包括对Persirai、IoT_reaper的修改,增强了多个IoT设备漏洞的传播,而Trojan[DDoS]/Linux.Mirai.Nov则利用其它僵尸网络进行传播。
         Mirai衍生的重要变种如下:
         2017-02  德国电信断网事件详细分析:Mirai家族变种7547端口利用路由器等设备的TR-069/TR-064 漏洞进行传播。
         2017-10  Mirai变种Rowdy物联网恶意软件袭击我国有线电视网。
         2017-10  IoTroop利用多个路由器漏洞变种[8]。
         2017-11  利用僵尸网络Dofloo交叉传播Mirai.Nov[9]。
         2017-12  Mirai变种Satori当前会在扫描过程中使用两个漏洞利用(exploit),在端口37215、端口52869上进行自动化蠕虫攻击。

6.2 传统僵尸网络向IoT平台快速发展

         Billgates、Xor、台风、ChickenMM等传统僵尸网络从Windows、Linux传统x86平台向IoT多种嵌入式架构平台ARM、MIPS快速演进。2017年7月26日,安天通过威胁情报自动化监控系统捕获新僵尸网络家族Jenki,其被控端木马已经在Windows、IoT、Linux三大领域上迅速扩散,已知感染方式主要是通过其他家族的僵尸网络进行交叉感染。

6.3 物联网恶意家族迅速发展

         Gafgyt于2014年8月第一次被发现,2014年末黑客组织“LizardSquard”利用该样本发起一起DDoS引起安全界的小范围关注。2015年1月Gafgyt的源代码被公开,出现越来越多的变种,安全威胁日趋严重。因存在默认密码、弱密码、严重漏洞未及时修复等因素,IoT受控机使僵尸网络的规模和在线时长大幅增加,发送DDoS攻击和垃圾邮件的速度也得到了增强。亦正亦邪、行为乖张的IoT僵尸网络纷至沓来,Hajime控制了大量的IoT设备但未发动过任何攻击,甚至攻击者自称是为人们敲响安全的警钟;BrickerBot在2017年4月首次发现,通过扫描网络中易受攻击的IoT设备,利用漏洞将IoT设备变成砖。但其作者认为这将迫使所有者安装更新固件,免受Mirai攻击,到目前为止,已经冻结了超过1000万台设备。
         通过对僵尸网络中的受控机按照Windows、Linux系统以及IoT设备分类分析发现,其中IoT设备类型的受控机最多,占比61.37%;其次是Linux系统的受控机,占比20.85%,Windows系统的受控机仅占比17.78%。IoT设备因其漏洞较多、漏洞修复周期较长且易于入侵、控制,已成为最易被感染的受控机类型。

6.4 存在的问题

         互联网的生态里,安全不是最先考虑的,甚至是等产品成型之后再构建安全设计,如增加身份认证、访问控制、更新补丁等。PC系统如Windows、macOS、Linux等,移动系统如Android、iOS等已经具有较好的安全属性并且存在提升的空间。而在物联网的生态中,难以像互联网一样去思考其安全设计,产品在流水线上就已经定型了。

表 6-1 互联网和物联网的比较

         IoT短期内不能在功耗、计算能力、数据加密等方面具有成型的解决方案,但是考虑IoT生态的整体性,需要构建嵌入式设备、终端设备和云端三个方面的安全设计。
         自2016年Mirai僵尸网络攻击事件之后,在2017年观察到大量的IoT设备被不同的僵尸网络控制。因此在2018年再次发生针对基础设施的攻击也不意外,可能包括DDoS、勒索攻击、劫持设备作为代理、发送垃圾邮件等等。另外IoT存在的另一个值得关注的威胁是隐私数据泄露,如工控系统、医疗设备以及个人应用中的数据可被攻击者利用。用户需要仔细阅读IoT产品中涉及数据收集部分的隐私条款,具有数据隐私维权意识。工控设施的基础传感器扩大了工控系统的攻击面,而涉及登录凭证的隐私数据则打开了工控系统的大门。因此,无论从国家层面还是厂商层面来看,都应加强IoT设备的安全防护,加强对IoT设备的安全威胁监测预警。


7、供应链主战场的战争已经打响


         安天在2016年网络威胁的年报中,提醒公众围绕供应链的网空战争正在拉开序幕,并指出“供应链从来就不只是网络对抗中的外围阵地,而是更为核心和致命的主战场”。2017年伪必加攻击、ShadowPad攻击等多起高调的攻击正印证了安天的预测。供应链战争已经全面打响,给上游承包商、系统、公司和供应商带来了严重危害。赛门铁克预测在2018年[10],攻击者将利用机器学习和人工智能等技术发起对供应链的攻击,供应链战争将愈发激烈。
         安天是基于对Xshellghost、XcodeGhost等软件供应链安全事件的理解和应用场景的实际情况,构建了“软件供应链安全环节简易示意图”,指出软件供应链中包括的主要环节和潜在的安全威胁。示意图被设计成一个包含上下游角色和中间环节的阶梯链结构,结构中的上、下游是相对的,根据场景的不同,当角色处于产品提供方时便位于上游,当角色处于产品使用方时便位于下游,一个场景中的下游角色可能是另一个场景中的上游,整个示意图是一个不断迭代的阶梯链结构。

图 7-1软件供应链安全环节示意图

7.1 软件供应链上游安全隐患

         供应链上游的安全隐患包括源码、库的篡改或污染,开发工具污染以及违规操作三个主要方向。攻击者通过从公开的各类信息中寻找供应链中的薄弱环节,利用不断提升的专业技术来突破网络防御。通过对源代码的篡改,算法的深度污染以及开源软件本身安全缺陷的利用,传统的“可信”变成了不可信,同时也说明供应链上游的脆弱性。此外,开发工具被恶意代码篡改以及产品中预置的后门和漏洞都为恶意攻击者留下了机会。
         2017年9月14日,Xshellghost事件即为产品中的某一模块源码被植入恶意后门代码,用以发起请求获取敏感信息。9月18日,思科研究人员发现系统维护软件CCleaner被植入合法数字签名的恶意代码。在2013年斯诺登曝光的资料中显示,NSA和英国情报机构可破解包括VPN和HTTPS在内的绝大多数互联网隐私保护和加密技术,说明NSA可以随意获取大量所需的信息[11]。2015年一份安全测试数据显示,一个季度内30款知名二次开发开源软件存在3511个高危安全漏洞。
         XcodeGhost[12]事件是非官方供应链污染的典型事件,2015年9月14日起,苹果操作系统macOS X上的集成开发工具Xcode被加入恶意模块进行篡改,可能导致弹窗攻击和被远程控制的风险,并感染了692种App,此事件被认为是移动安全史上最严重的恶意代码感染事件之一。在2014年CNCERT的一次集中通报[13]中,提及了Cisco、Linksys、Netgear、Tenda、D-link等主流网络设备厂商上百个批次产品预置后门的情况,这些后门和漏洞的存在为网络空间安全埋下了巨大隐患,对国家网络的稳定和信息数据的安全构成严重威胁。
         上述软件供应链上游典型安全事件为高价值网络设计者、运营者敲响了警钟,警醒我们供应链上游安全的脆弱性,一旦软件供应链的上游被渗透,那么对网络安全造成的损失是不可估量的。对于构建开发环境的环境安全、过程安全,以及更广泛的供应链安全,我们还需时刻保持警惕。

7.1 信息流、运输流的安全隐患

         信息流是指为了传递商品和服务信息,在供应链上、下游之间,各节点及节点间的信息活动。运输流则主要指与硬件产品相关的运输和流通环节。在信息流中主要存在监管审核漏洞导致官方应用市场出现恶意软件、第三方站/分发站等非授权分发冲击安全供应链、服务站信息和数据泄露问题以及网络通信劫持四个主要安全隐患。在2017年10月,Windows 10秋季创意者推出更新后,恶意攻击者利用盗版激活需求在KMS激活工具中植入流行的挖矿代码。在信息流中供应链威胁范围不仅在传统的PC、移动平台,也可能在物联网平台产生威胁隐患。2017年12月25日,开源嵌入式Web服务器GoAhead曝出远程代码执行漏洞CVE-2017-17562,GoAhead部署在包括Comcast、D-Link、ZTE、HP、Siemens、Canon等物联网设备,虽然没有具体威胁事件,但已有漏洞利用代码,物联网供应链威胁初见端倪。在运输流中主要存在物流运输劫持的安全隐患。
         为了避免无序、分散的网络分享传播造成的盗版、安全等问题,IOS和Android两大手机系统都设有独立的监管、审核、分发渠道,即便如此,依然无法杜绝恶意代码的应用在官方渠道中出现。除Xcode事件外,AppStore在Apple官方的监管之下依然出现恶意代码事件。对于社交平台、电子商务、医疗、银行等机构需要存储大量的用户信息,这些信息通常存储在数据中心或相关机构的服务器中,一旦服务器受到攻击,就会面临大量用户信息泄露的风险。此外,在信息传输的过程中可能会遭到劫持和窃取,在斯诺登曝光的相关文档中就包含通信劫持的项目和工具。如“拱形”计划(CamberDADA)主要针对以俄罗斯卡巴斯基为主的安全厂商进行监控,其中安天也在其监控的范围之内。“量子”(Quantum)攻击工具不仅能够在运营商的网络中持久化存在,还能够通过劫持用户的通讯获取情报和资源,甚至重定向网络连接或修改网络流量数据。
         2012年斯诺登泄露的资料显示,NSA会采用物流链劫持的方式进行硬件植入[14],首先拦截发送到目标地区的计算机和网络设备的物流过程,然后由TAO(特定入侵行动办公室)情报和技术人员完成固件植入程序,并重新打包发送到目标地区。2016年维基解密曝光的大量CIA资料文档“Vault 7”,其中“暗物质”(Dark Matter)中DarkSeaSkies是一种持久存在于Apple macBook计算机可扩展固件接口(EFI)固件中的恶意植入软件,其攻击流程如图7-2所示[15]。网络安全厂商ZeroFOX公司高级分析师乔纳森·尼古拉斯解释称,这种利用USB转以太网适配器的恶意软件安装方式似乎代表着这些入侵工具仅适用于单个目标,而无法实现大规模监控活动。

图 7-2 DarkSeaSkies攻击流程

7.3 软件供应链下游安全隐患

         软件供应链下游是通过信息流、运输流获取到相应的产品、代码、工具、服务等进行使用的角色。一般而言,软件供应链下游面临的安全问题主要出现在对上游提供产品、工具的验证和使用过程中。
         针对Windows系统的一项调查发现,盗版软件的安全性存在很大的问题,其中超4成的盗版操作系统含木马病毒。微软对不同地区不同版本的Win7光盘调查发现,24%包含各种高危木马病毒,54%安装后发现操作系统被不同程度的修改,因此盗版光盘的安全性存在严重问题。随着智能手机的发展,恶意的root软件会利用Android手机操作系统中的一些漏洞,随意将用户的短信、联系人、通话记录等信息上传到他们自己的服务器上,而如果这些重要的信息落入恶意攻击者手中,可能会给用户带来更多的困扰。此外,应用程序数字签名体系已经被穿透,安天在2016年的网络安全威胁年报上就已经提到Duqu2.0、Android系统等恶意代码盗用合法数字签名的事件。在2017年安天也发现了多次数字签名穿透事件,网络空间安全正在面临一个更加恶劣的环境。
         供应链中的每一个环节都可能成为间谍活动和信号情报运作的攻击对象,这种攻击方式已经成为APT时代网络定向攻击的另一种手段,因此供应链攻击必将成为一个不容忽视的问题。通过上述对具体供应链事件的分析,指出供应链环节面临的各种安全隐患,同时也应该注意到我国正面临着更加严重的软件供应链安全风险。软件供应链的战争已经打响,恶意攻击者会最大限度地利用供应链环节放入安全隐患,供应链的战争只会愈演愈烈,而且未来还会出现更加先进的攻击技术。

7.4 供应链安全威胁引发的思考

         从前文中的事例可以看出,软件供应链攻击已经成为突破现有安全防御手段的一种有效方法,严重威胁用户的安全。尤其对于关键信息基础设施内网,单靠现有的安全模式和离散的安全手段,难以达成有效防护,必须依靠具有创新性的新模式、新思路,实现安全能力的抵近部署和集中感知,形成深度的威胁情报和态势感知能力,最终实现对软件供应链攻击的有效防护和快速响应,达成有效的安全价值。对于用户来说,需要形成终端侧、流量侧、边界侧安全防护能力的全覆盖,实现多种安全能力的协同防御和有效融合。同时,借助威胁情报、态势感知等高阶安全手段,快速发现威胁,形成全面综合的安全防护能力。
         同时应该注意到,由于技术上的原因,目前国内很多种类的IT产品和服务均被国外垄断,而自主的产品和服务还不能完全替代国外产品,致使我国面临着更加严峻的软件供应链安全风险。从大国博弈的视角来看,位于供应链上游的国家既可利用其先发优势和强大的产业能力形成上游对下游的制约,超级大国也可将其在供应链中所处的上游优势转化为独有的服务于其情报机构的作业能力,继续扩大上游对下游的压制。对于处于供应链下游的国家来说,这种优势差,一时难以逆转,安全隐患短时间内也无法消弭。从“震网”、“方程式”和“乌克兰停电”等代表性事件中,攻击者因供应链位势差而形成的优势已可见一斑。
         因此,我们再次重申,不能把供应链攻击仅仅理解成一种“曲线”进入核心IT场景的外围攻击手段,我们有理由确信,供应链从来就不只是网络对抗中的外围阵地,而是更为核心和致命的主战场。供应链的战争已经全面打响,对我们安全厂商来说是挑战,同时也是机遇。网络安全业界要按照总书记提出的“总体国家安全观”的要求,从供应链、信息流等更广阔的视角完善自身的技术能力。


8、构建体系化的防御能力


8.1 体系化的防御能力才能应对体系化的进攻

         2017年10月18日,习近平总书记在中国共产党第十九次全国代表大会上的报告中将“网络安全”作为和“恐怖主义”、“气候变化”等相提并论的非传统安全威胁,这体现了国家对网络安全的一贯重视。当前网络安全形势错综复杂,我国既面临来自超级大国的全面安全压力,也面临地缘竞合国家的多方挑战。报告中三次提及“军民融合”,军民融合为能力型安全厂商在网络空间为国铸盾,提供了广阔天地。从网络空间攻防角度来看,防御能力是战略能力的基本盘,综合的防御体系能够提升对手的攻击成本、制约对手的能力展开、干扰对手的攻击决策、削弱对手的攻击效果。在世界各大国大面积进行信息化的情况下,相互之间的博弈主动权渐进地转化为防御能力,转化为对对手攻击的削弱程度。有效的防御构成了一种战略威慑力,体系化的防御能力才能够对抗体系化的进攻。
         2017年底,美国发布了《国家安全战略报告》,首次将中国定位为“对手”国家,并将奥巴马政府的“重返亚太战略”修改为“重返印太战略”,鉴于地缘政治环境的新特点,在美国国家安全战略中提出“网络攻击为对手提供了低成本和可否认的机会,从而能够严重破坏或摧毁关键基础设施、削弱美国企业、削弱联邦网络”,并强调“确定并优先考虑风险、建立可防御的政府网络、阻止恶意的网络参与者、改进信息共享和感知、部署防御层次。”等方面作为优先考虑的行动。对于网络攻击“美国将在必要时打击利用网络空间攻击美国的恶意行为者。当面临在网络空间采取行动打击恶意行为者的机会时,美国考虑的选择是直面风险,而不是风险规避”。
         面对国家级行为体的威胁,如何建立体系化防御,成为了摆在安全工作者和承担着关键信息基础设施防御使命的政企单位相关负责人面前的一道难题。2018年4月20日,习近平总书记在全国网络安全和信息化工作会议上的重要讲话为解决这个问题提出了方向指引和具体要求。

8.2 关口前移,防患于未然

         在2018年4月20日的“4·20”讲话中,习近平总书记强调,构建“关口前移,防患于未然”的网络安全管理体系。“关口前移”对落实网络安全防护的方法提出了重要要求,而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。
         深入落实“关口前移”工作要求首先应深入理解“关口”的内涵意义,不能将其片面窄化为“安全网关”或“网络入口”,而是应当理解成为“落实安全能力的重要控制点”。其关键在于有效解决安全能力的“结合面”和“覆盖面”问题。“结合面”主要是指网络安全防御能力与物理、网络、系统、应用、数据与用户等各个层级的深度结合,以“面向失效的设计”为原则,在信息化环境的各个层级考虑如何结合网络安全防御能力,确保防御能力与实际情况紧密结合。“覆盖面”指的是要将网络安全防御能力部署到信息化基础设施和信息系统的“每一个角落”,力求最大化覆盖构成网络的各个组成实体,包括桌面终端、服务器系统、云系统、通信链路、网络设备、安全设备乃至人员等,避免由于在局部的安全盲区或者安全短板而导致整个网络安全防御体系的失效。重要的是,在网络安全体系建设实施的过程中,必须在投资预算和资源配备等方面予以充分保障,以确保将“关口前移”要求落到实处,在此基础上进一步建设实现有效的态势感知体系。
         在做好“关口前移”的基础上,进一步加强网络安全防护运行工作,除了采用定期检查和突发事件应急响应等偏被动的常规机制外,还需提升安全防护工作的主动性,将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段,将态势感知驱动的实时防护机制融入系统运行维护过程,实现常态化的威胁发现与响应处置工作,从而实现“防患于未然”。


9、十八载初心不改 青年安天整装待发


         十八年创业之旅,我们不断拼搏、思考、积累、成熟,从7个人三台半电脑到千人规模的集团化安全企业;从应对恶意代码疫情爆发,到深度分析溯源高级持续性威胁;从反病毒引擎的单点坚守到走向动态、综合的整体安全防御解决方案。安天作为网络安全企业走过了从初生的婴儿、稚嫩的少年到一个青年厂商的成长过程。青年厂商恰逢新的时代,新时代有新的机遇与挑战,安天作为青年厂商,要有新的认知,要有新的作为。
         (1)自主先进研发再上征程
         坚持自主研发,追求能力先进,从安天创业伊始就写入了安天人的灵魂当中。安天第一代创业者,在团队宣言中写下了“我们追求卓尔不群,以平庸和抄袭为耻”。2001年,团队确立以恶意代码批量自动化分析处理的平台支撑反病毒引擎和防护产品的发展思路,2002年,团队在重点攻关课题中解决了骨干网场景下恶意代码全规则线速检测问题。2004年,我们提出了细粒度可嵌入反病毒引擎的概念,在这条思路的延展下,安天在发展的第一个十年终于成为网络安全的上游技术厂商,为兄弟厂商提供检测能力输出。2010年起,通过四年时间在移动安全领域的快速聚焦,打造了移动恶意代码检测能力的全球高地。时至今日,安天交出了一份累计为数十万台网络设备和网络安全设备以及超过十二亿部智能设备提供检测能力的答卷。
         但同时我们需要看到,随着信息化的高速发展和安全威胁的快速演进,网络安全核心技术的含义会不断发生变化,先进性要求会不断提升。安全威胁对抗已经从恶意代码查杀等单点对抗演变成高成本的体系性对抗,反病毒引擎本身已经从原来的威胁对抗核心,下沉为必备的标准化能力单元。仅仅沿着恶意代码威胁检测技术的惯性发展,不能达成安天对坚持保持自主先进的自我要求,更无法有效应对国家和用户的需求。在长期与恶意代码的检测对抗中所积累出的能力模块和支撑体系,完全可以服务和延展到更广阔的全面威胁对抗场景中。通过此前在端点、流量、分析、处置和安全管理上形成的基础,安天启动了第三次创业,开始了向综合能力型厂商的转型。
         反病毒引擎的研发是为了实现引擎、支撑平台和分析工程师的自我闭环,而在我们走向系统性能力交付厂商的过程中,需要实现产品能力和客户流程的闭环,更要达成面对威胁的响应闭环。在这一个复杂的大场景中,所需的核心技术是一个复杂的能力点群。
         为了更好的落实“安全与发展同步推进”的工作要求,深入理解信息化与网络安全的关系,更好地达成防御价值。我们翻译并引入了“滑动标尺”模型,并推动使之成为国内能力型安全厂商的公共模型。在我们推动将其转化为设计实践的过程中,我们对自身的能力积累有了进一步的认识,同时更发现了自身更多的不足。
         在推动这些设计规划的实践和参考中,我们加深了网络信息系统是一个复杂系统工程的认识。我们深刻认识到网络安全威胁不可能依靠单点创新来应对,不可能有一招鲜吃遍天的银弹,而是需要扎实做好先期规划、落实大量基础工作,需要基于能力积累的叠加演进,需要整体性、系统性的综合提升。
         (2)敌情想定引导实战化产品导向
         从2001年对“红色代码II”进行捕获预警,安天在此后的十年间,针对“口令蠕虫”、“震荡波”、“冲击波”、“魔波”等大规模安全事件,安天尝试了漏洞利用预警、主机免疫和专杀、网络监测规则分享、网络管理员提供多种灵活处置手段的响应尝试。安天CERT获得了有关部门“应急之魂”的赞誉。而在2010年后,随着以“震网”为代表的国家和政经集团背景的APT攻击威胁的兴起,安天迅速转型,将主要应急响应人力和资源布防在APT深入分析、响应的第一线。针对“震网”、“毒曲”、“火焰”、“乌克兰停电”等第三方遭遇的事件进行了深度复盘分析(包括沙盘复现),针对境外“白象”、“方程式”、“海莲花”等组织对我方的攻击和所使用的装备,进行了深度分析,并将其中一例攻击锁定到自然人。在此过程中,我们从获取对手的投放载荷进行分析入手,结合综合开放情报,逐渐绘制出对手的能力图谱。对网络安全敌情形成了相对全面的认识,并看到了自身能力与最高级别对手攻击能力间的差距。
         在此背景下,安天在2017年6月,提出了有效的敌情想定,是我方进行有效的系统布防规划的前提条件。提出要走出“物理隔离+好人假定+规定推演”带来的自我麻痹,并在第五届网络安全冬训营上,提出了“敌情想定是前提,网络安全实战化”的号召。
         实战化的网络安全产品,面向真实的敌情想定,以可靠的系统能力为基础,在安全业务流程中,易于由普通操作维护人员掌握使用,达成有效安全价值。
         从ATool内核分析工具到移动威胁情报系统,安天历史上输出了许多不乏具有专业感的工具产品,包括在安天探海威胁检测系统上,提供了用户自定义威胁检测决策树的尝试。这些固然有一定积极意义,但如果将网络安全产品和工具置于少数专家才能使用的位置,就必然使安全产品处于严重的原厂依赖当中,不可能达成更普遍的安全价值。这是安天人在经历了更广泛的用户侧使用考验后所得到的实际经验和教训,是安天未来产品核心的改进方向。
         习近平总书记2016年5月25日视察安天,在听取了安天人的汇报后,对安天人说“你们也是国家队,虽然你们是民营企业”。作为网络安全国家队,我们将需要以更扎实的能力和更踏实的努力对接国家网络安全的实际需求和工作要求。在这些方面,青年安天既有供应链安全赋能的独家优势,同时也面临着政企场景下安全与信息化融合规划的新能力需求挑战。我们积极应对,整装待发。
         如果说十八年前,我们带着一个简单的梦想和一些不切实际的自信出发了;那么今天,我们将带着持续的技术积累和自我反思,面对着更加明确的责任使命再上征程!
         我们坚信我们的选择,我们从不对自身的方法与思路讳莫如深,我们期待有更多的能力型厂商出现,共同探索支撑达成有效安全防护价值的系统性方法。
         我们在路上。我们坚信,天道酬勤、天道嘉勇!

 

附录一:参考资料


[1]安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告
http://www.antiy.com/response/wannacry.html
[2]潜伏的象群—来自南亚次大陆的系列网络攻击行动
http://www.antiy.com/response/The_Latest_Elephant_Group.html
[3]安天:一例针对中方机构的准APT攻击中所使用的样本分析
http://www.antiy.com/response/APT-TOCS.html
[4]2016年网络安全威胁的回顾与展望
http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html
[5]安天关于系统化应对NSA网络军火装备的操作手册
http://www.antiy.com/response/Antiy_Wannacry_NSA.html
[6]安天:方程式组织EQUATION DRUG平台解析
http://www.antiy.com/response/EQUATION_DRUG/EQUATION_DRUG.html
[7]安天针对攻击乌克兰等国的“必加”(PETYA)病毒分析与应对
http://www.antiy.com/response/petya.html
[8]僵尸网络团伙利用MIRAI开源代码改造升级攻击装备
http://www.freebuf.com/articles/web/153689.html
[9]A New IoT Botnet Storm is Coming
https://research.checkpoint.com/new-iot-botnet-storm-coming/
[10]2018年网络安全预测
https://www.symantec.com/connect/blogs/2018-0
[11]斯诺登向英国卫报曝光NSA和英国情报机构可破解大部分加密通讯
https://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security
[12]安天实验室关于XcodeGhost事件的分析报告
http://www.antiy.com/response/xcode/xcodeghost.pdf
[13]CNCERT路由器后门通报
http://www.cert.org.cn/publish/main/9/2014/20140210091555248367162/20140210091555248367162_.html
[14]Photos of an NSA “upgrade” factory show Cisco router getting implant
https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant/
[15]DarkSeaSkies
https://www.wikileaks.org/vault7/document/DarkSeaSkies_v1_0_TDR/DarkSeaSkies_v1_0_TDR.pdf
[16]IOT僵尸网络严重威胁网络基础设施安全
http://www.antiy.com/response/Mirai/Mirai.html
[17]安天防勒索解决方案
http://www.antiy.com/response/wannacry/Antiy_Wannacry_Solution.pdf
[18]安天应对微软SMB漏洞(CVE-2017-11780)响应手册
http://www.antiy.com/response/CVE-2017-11780/CVE-2017-11780.html