2015年網(wǎng)絡(luò)安全威脅的回顧與展望

責(zé)任編輯:editor005

作者:admin

2016-01-19 14:29:30

摘自:安全牛

安天AVL TEAM亦發(fā)現(xiàn)類似Giige等商業(yè)手機(jī)木馬,被攻擊者用來攻擊中國的機(jī)構(gòu)和人員。除了我們對(duì)用戶的責(zé)任外,安天珍惜通過自身長期與兄弟廠商互動(dòng),提供反病毒引擎所形成的產(chǎn)業(yè)角色。

  目 錄

1 導(dǎo)語

面對(duì)威脅高速演進(jìn)變化、防御技術(shù)同樣快速改善的現(xiàn)狀,無論我們做怎樣的努力,都已無法用一篇年報(bào)來涵蓋網(wǎng)絡(luò)安全威脅的全景,這亦使參與本文檔編寫的安天分析工程師們無比糾結(jié)。對(duì)于安天安全研究與應(yīng)急處理中心(安天CERT)來說,在數(shù)年前,年報(bào)工作是相對(duì)簡單的,我們只需從惡意代碼存儲(chǔ)和分析的后臺(tái)系統(tǒng)導(dǎo)出足夠多的統(tǒng)計(jì)圖表,就可以構(gòu)成一篇年度報(bào)告。在網(wǎng)絡(luò)安全領(lǐng)域,惡意代碼自動(dòng)化分析是一個(gè)成型較早的基礎(chǔ)設(shè)施,惡意代碼樣本集更是一個(gè)非常容易進(jìn)行統(tǒng)計(jì)的大集合,這一度讓我們偏離了網(wǎng)絡(luò)安全的本質(zhì),弱化了我們對(duì)保障用戶價(jià)值的信念。

從去年開始,安天顛覆了自身傳統(tǒng)的數(shù)據(jù)表年報(bào)的風(fēng)格,面對(duì)當(dāng)前威脅的縱深化、復(fù)雜化特點(diǎn),大量簡單的統(tǒng)計(jì)已經(jīng)失去意義,我們非常明確地提出了做“觀點(diǎn)型年報(bào)”的自我要求。盡管我們擁有更多的樣本、更多的數(shù)據(jù),但我們依然不敢說已經(jīng)能夠駕馭安全大數(shù)據(jù),目前我們能做到的只有學(xué)習(xí)和思考,我們要學(xué)習(xí)更豐富的數(shù)據(jù)分析方式,我們要做能獨(dú)立思考、有觀點(diǎn)、有立場的安全團(tuán)隊(duì),而非做大數(shù)據(jù)和計(jì)算資源的奴隸。

同時(shí),我們也深知,我們自己的工作是局限的,安天的分析工作更多地是圍繞如何防御高級(jí)持續(xù)性威脅(APT)攻擊和惡意代碼展開,我們坦誠面對(duì)自己對(duì)WEB安全、漏洞挖掘等領(lǐng)域技能積累的一貫不足。此外,由于安天CERT的部門分工所決定的分析視野的不同,本年報(bào)涉及到的移動(dòng)安全相關(guān)內(nèi)容較少,安天移動(dòng)安全公司(AVL TEAM)后續(xù)會(huì)單獨(dú)發(fā)布移動(dòng)安全年報(bào)。

2 高級(jí)持續(xù)性威脅(APT)的層次分化

  圖 I 2015年APT事件時(shí)間與地理位置分布

2.1 2015年被曝光的高級(jí)持續(xù)性威脅(APT)事件

APT攻擊繼續(xù)引領(lǐng)2015年的威脅大潮。從2月,方程式(Equation)組織浮出水面;到5、6月,APT-TOCS和Duqu2.0相繼露出崢嶸;再到8月,藍(lán)白蟻(Blue Termitex)事件的公布,2015年全年共曝光了十多起APT事件。雖然相較于2014年,曝光事件總體數(shù)量有所減少,但從威脅事件的影響力和技術(shù)水準(zhǔn)來看,高水準(zhǔn)的攻擊手法、系統(tǒng)化的攻擊平臺(tái)、商用木馬和標(biāo)準(zhǔn)化滲透平臺(tái)的使用,使得方程式、Duqu2.0和APT-TOCS等事件都極具代表性。

在2015年的APT事件中,“方程式(Equation)”[1]攻擊是較早被披露且含金量極高的攻擊事件。方程式(Equation)組織是一個(gè)活躍了近20年的攻擊組織,其將APT的特點(diǎn)P(持久化)展現(xiàn)的淋漓盡致。該組織不僅能夠早于其他組織發(fā)現(xiàn)更多0day漏洞,且擁有一套用于植入惡意代碼的超級(jí)制式信息武器庫,其中最受關(guān)注、最具特色的攻擊武器是兩個(gè)可以對(duì)數(shù)十種常見品牌硬盤實(shí)現(xiàn)固件植入的惡意模塊。作為一種高級(jí)的持久化手段,其既可以用于感染后的植入,也可以與臭名昭著的“物流鏈”劫持搭配使用。相比之前我們分析過的BIOSKIT和BOOTKIT,該惡意模塊具有更高的隱蔽性,更加難以分析。但多數(shù)被方程式(Equation)“光顧”過的節(jié)點(diǎn),并未觸發(fā)持久化功能,這說明該組織具有堅(jiān)持獲取高價(jià)值目標(biāo)的原則。根據(jù)對(duì)相關(guān)硬盤固件接口的分析,我們認(rèn)為,相關(guān)接口和參數(shù)的獲取,通過人力和時(shí)間投入,依托技術(shù)文檔和逆向分析完全可以實(shí)現(xiàn)。因此,安天CERT不傾向于固件接口的獲得是相關(guān)情報(bào)機(jī)構(gòu)與產(chǎn)業(yè)界協(xié)作的結(jié)果,其更多體現(xiàn)出的是攻擊組織及其資源體系強(qiáng)大的分析能力和堅(jiān)定的作業(yè)意志,也包含其針對(duì)上游進(jìn)行滲透作業(yè)的可能性。而方程式組織所采用的加密策略,則體現(xiàn)出了其作業(yè)的嚴(yán)密性,安天CERT于2015年4月發(fā)布的《方程式(EQUATION),組件加密策略分析》[2],對(duì)此進(jìn)行了進(jìn)一步分析。

  圖 II 方程式(Equation)惡意代碼的演進(jìn)、原理與機(jī)理

2011年后,沒有安全廠商或組織報(bào)道Duqu繼續(xù)活躍的跡象,業(yè)內(nèi)一度認(rèn)為其已經(jīng)停止活動(dòng)。然而在2015年初發(fā)現(xiàn)的一系列攻擊事件中,出現(xiàn)了Duqu的全新版本,Duqu2.0就此重裝上陣,并對(duì)卡巴斯基進(jìn)行了滲透攻擊。Duqu2.0的重要特點(diǎn)是惡意代碼只會(huì)駐留在被感染機(jī)器的內(nèi)存當(dāng)中,利用漏洞執(zhí)行內(nèi)核級(jí)別的代碼,硬盤中無法查到痕跡。雖然重啟系統(tǒng)時(shí)惡意代碼會(huì)被暫時(shí)清除,但是攻擊者可以在直接聯(lián)網(wǎng)的少數(shù)計(jì)算機(jī)中部署驅(qū)動(dòng)程序,從而通過遠(yuǎn)程桌面會(huì)話或之前獲得的用戶憑證將Duqu2.0重新部署到整個(gè)平臺(tái)。不得不說的是,像Duqu這樣有著政府支持的高成本的APT攻擊基礎(chǔ)設(shè)施,不僅擁有復(fù)雜的、插件化模塊體系,其作業(yè)組織也具備直接挑戰(zhàn)世界頂級(jí)安全公司的自信。

與“方程式(Equation)”所擁有的裝備武庫和Duqu2.0強(qiáng)大的體系化能力相比,有些APT組織難有雄厚的資金支持、先進(jìn)的武器儲(chǔ)備和強(qiáng)大的攻擊能力,特別是難以具備建制化的高水平攻擊隊(duì)伍,所以他們另辟蹊徑,利用開放或商業(yè)化的標(biāo)準(zhǔn)化的滲透平臺(tái)生成惡意代碼和其他攻擊載荷,向目標(biāo)進(jìn)行部署和攻擊。2015年5月,在安天發(fā)現(xiàn)的一例針對(duì)中國官方機(jī)構(gòu)的攻擊事件(APT-TOCS)[3]中,攻擊者就是使用自動(dòng)化攻擊測(cè)試平臺(tái)Cobalt Strike生成了利用信標(biāo)模式進(jìn)行通信的Shellcode,實(shí)現(xiàn)了對(duì)目標(biāo)主機(jī)的遠(yuǎn)程控制能力。這種利用測(cè)試平臺(tái)進(jìn)行攻擊滲透的方式以及無惡意代碼實(shí)體文件、定時(shí)發(fā)送心跳包等行為在一定程度上可以規(guī)避主機(jī)安全防護(hù)軟件的查殺與防火墻的攔截,同時(shí)對(duì)可信計(jì)算環(huán)境、云檢測(cè)、沙箱檢測(cè)等安全環(huán)節(jié)和手段均有對(duì)抗能力。該攻擊控制目標(biāo)主機(jī)的方式非常隱蔽,難以被發(fā)現(xiàn),并且具備攻擊多種平臺(tái)的能力,如Windows、Linux、Mac等。經(jīng)過線索關(guān)聯(lián),這一事件被認(rèn)為與友商所公布的“海蓮花”事件,源于同一攻擊組織,但其作業(yè)方式與既往相比顯現(xiàn)出較大差異。從本次事件的分析結(jié)果及我們長期的監(jiān)控情況來看,商用木馬、標(biāo)準(zhǔn)化的滲透平臺(tái)等已經(jīng)被廣泛用于各種定向持續(xù)攻擊中,特別是針對(duì)中國目標(biāo)的攻擊中。這種成本較低的攻擊模式不僅降低了對(duì)攻擊者能力和資源儲(chǔ)備的要求,還導(dǎo)致對(duì)依托大數(shù)據(jù)分析來辨識(shí)線索鏈的過程產(chǎn)生更多的干擾,并使“編碼心理學(xué)”等一些我們過去更擅長的分析方法失去作用。

2.2 日趨活躍的“商業(yè)軍火”

傳統(tǒng)意義的APT攻擊更多地讓人聯(lián)想到精干的作業(yè)團(tuán)隊(duì)、強(qiáng)大的用于攻擊的基礎(chǔ)設(shè)施、專業(yè)的0day漏洞挖掘小組以及惡意代碼的編寫小組等。因此,多數(shù)的APT研究者更愿意把更多目光放在具有這些特點(diǎn)的事件上。但APT-TOCS等事件則用一種新的方式,為一些技術(shù)能力和資源相對(duì)有限的國家和組織提供了另一種選擇。該事件也說明,隨著攻擊平臺(tái)、商用木馬和開源惡意工具的使用,網(wǎng)絡(luò)軍火被更加廣泛的使用可能成為一種趨勢(shì)。從安天過去的跟蹤來看,這種威脅已經(jīng)存在近五年之久,但依然缺乏有效檢測(cè)這類威脅的產(chǎn)品和手段。安天CERT分析小組之所以將APT-TOCS事件定位為準(zhǔn)APT事件,是因?yàn)樵摴羰录环矫娣螦PT攻擊針對(duì)高度定向目標(biāo)作業(yè)的特點(diǎn),同時(shí)隱蔽性較強(qiáng)、具有多種反偵測(cè)手段。但同時(shí),與我們過去所熟悉的很多APT事件中,進(jìn)攻方具備極高的成本承擔(dān)能力與巨大的能力儲(chǔ)備不同,其成本門檻并不高,事件的惡意代碼并非由攻擊者自身進(jìn)行編寫構(gòu)造,商業(yè)攻擊平臺(tái)使事件的攻擊者不再需要高昂的惡意代碼的開發(fā)成本,相關(guān)攻擊平臺(tái)亦為攻擊者提供了大量可選注入手段,為惡意代碼的加載和持久化提供了配套方法,這種方式降低了攻擊的成本,使得缺少雄厚資金、也沒有精英黑客的國家和組織依托現(xiàn)有商業(yè)攻擊平臺(tái)提供的服務(wù)即可進(jìn)行接近APT級(jí)的攻擊水準(zhǔn),而這種高度“模式化”攻擊也會(huì)讓攻擊缺少鮮明的基因特點(diǎn),從而更難追溯。

  圖 III Cobalt Strike滲透測(cè)試平臺(tái)的能力覆蓋圖

  圖 IV 安天對(duì)APT-TOCS攻擊的可視化復(fù)現(xiàn)

與APT-TOCS事件中的Cobalt Strike所扮演的角色有所不同,Hacking-Team是一個(gè)專門為攻擊者提供工具和手段的公司。2015年7月,由于遭到入侵,Hacking Team逾400G數(shù)據(jù)泄露。關(guān)于Hacking-Team被盜了什么的問題,形象的回答就是“軍火庫、賬房和衣櫥都被洗劫了”。大量含源代碼的木馬程序、多個(gè)未公開的0day漏洞、電子郵件、商業(yè)合同、項(xiàng)目資料和監(jiān)聽錄音遭到泄露,無異于向本就充滿著威脅的網(wǎng)絡(luò)環(huán)境投放了一枚重磅炸彈。這種具有商用水準(zhǔn)的多平臺(tái)木馬的泄露,瞬間提升了黑產(chǎn)編寫木馬的能力,泄露的漏洞也迅速出現(xiàn)在一些普通的攻擊中。

安天AVL TEAM亦發(fā)現(xiàn)類似Giige等商業(yè)手機(jī)木馬,被攻擊者用來攻擊中國的機(jī)構(gòu)和人員。

正如我們今年在APT-TOCS事件報(bào)告中指出的那樣“鑒于網(wǎng)絡(luò)攻擊技術(shù)具有極低的復(fù)制成本的特點(diǎn),當(dāng)前已經(jīng)存在嚴(yán)峻的網(wǎng)絡(luò)軍備擴(kuò)散風(fēng)險(xiǎn)。商業(yè)滲透攻擊測(cè)試平臺(tái)的出現(xiàn),一方面成為高效檢驗(yàn)系統(tǒng)安全的有利工具,但對(duì)于缺少足夠的安全預(yù)算、難以承擔(dān)更多安全成本的國家、行業(yè)和機(jī)構(gòu)來說,會(huì)成為一場噩夢(mèng)。在這個(gè)問題上,一方面需要各方面建立更多的溝通和共識(shí);而另一方面毫無疑問的是當(dāng)前在攻防兩端均擁有全球最頂級(jí)能力的超級(jí)大國,對(duì)于有效控制這種武器級(jí)攻擊手段的擴(kuò)散,應(yīng)該負(fù)起更多的責(zé)任”。

2.3 APT的層次化能力

近年來的APT事件中,超級(jí)APT組織擁有大量0day漏洞和豪華的攻擊裝備儲(chǔ)備,甚至是“揮霍”0day漏洞,而同時(shí),我們一些攻擊組織則利用現(xiàn)有平臺(tái)和商用木馬來完成的攻擊事件;同樣也有一些技術(shù)相對(duì)粗糙,手段亦不高明的攻擊事件也同樣體現(xiàn)出攻擊方持續(xù)和定向攻擊作業(yè)的特點(diǎn)。因此,我們不禁要問,近年來的攻擊事件在攻擊手法、能力和技術(shù)儲(chǔ)備上存在諸多差異,那么究竟該以何種標(biāo)準(zhǔn)去定義APT?

從技術(shù)能力、資源儲(chǔ)備、攻擊手段等方面綜合考慮,安天將APT攻擊能力細(xì)分為A2PT(“高級(jí)的”APT)、APT、準(zhǔn)APT、輕量級(jí)APT幾個(gè)等級(jí)。A2PT,顧名思義,就是高級(jí)的APT,該命名我們受到Michael Cloppert的 《Why Stuxnet Isn’t APT》一文啟發(fā)。在2015年全年的APT事件中,我們前文介紹的“方程式”用修改硬盤固件的方式作為持久化支點(diǎn),被稱為“世界上最復(fù)雜的網(wǎng)絡(luò)攻擊”;Duqu2.0沿用當(dāng)年的Duqu和Stuxnet的思路,形成了系統(tǒng)化的攻擊基礎(chǔ)設(shè)施,并讓卡巴斯基這樣的世界級(jí)公司承認(rèn)自己淪為此次事件的受害者。這些攻擊組織綜合能力明顯具有領(lǐng)先一代的特點(diǎn),因此他們是A2PT,我們也注意到一些同行稱之為GPT(上帝模式的APT攻擊)。

而類似HAVEX這樣具有較高攻擊水準(zhǔn)和較強(qiáng)資源儲(chǔ)備的攻擊,則毫無疑問是我們傳統(tǒng)意義上的經(jīng)典APT的代表。

然而,有一些攻擊組織并不能與以上具有的較高的攻擊水準(zhǔn)和較強(qiáng)的資源儲(chǔ)備的攻擊組織相比,他們無論是技術(shù)水平還是資源儲(chǔ)備,都遜色得多。為了完成攻擊目標(biāo),攻擊者只能開發(fā)水準(zhǔn)較低的惡意代碼,或者直接利用現(xiàn)有的攻擊平臺(tái)和商用木馬生成惡意代碼。APT-TOCS事件即由此而來,安天的分析人員經(jīng)過對(duì)本次事件的分析,發(fā)現(xiàn)攻擊者具有較高的攻擊水準(zhǔn)和持久、定向的攻擊意圖,然而經(jīng)過更深層次的分析,我們發(fā)現(xiàn),本次事件所體現(xiàn)的高水準(zhǔn)竟是來源于Cobalt Strike這個(gè)自動(dòng)化攻擊測(cè)試平臺(tái)。較高的攻擊水準(zhǔn)、持久化能力和與之相反的較低的研發(fā)成本相結(jié)合,成就了APT-TOCS事件,也讓我們?yōu)橹O(shè)定了“準(zhǔn)APT”的定義。

  圖 V 安天復(fù)盤HangOver事件中被攻擊某個(gè)主機(jī)的場景

安天CERT在2015年底,全文公開了兩年前對(duì)HangOver組織攻擊中國兩所大學(xué)的分析報(bào)告[4],讓研究者進(jìn)一步回顧了這個(gè)“亂扔EXE”的APT攻擊組織。這種粗糙的攻擊水準(zhǔn)不僅無法與“方程式”這種超級(jí)攻擊相比,也明顯低于其他已知的APT攻擊?;诖饲皩?duì)“HangOver行動(dòng)”的捕獲與分析,以及后來的事件關(guān)聯(lián)和可視化復(fù)現(xiàn)工作,我們把這種基于“人海戰(zhàn)術(shù)”的不夠“高級(jí)”的APT攻擊,稱為輕量級(jí)APT攻擊。

  圖 VI 安天在《A2PT與準(zhǔn)APT中的攻擊武器》報(bào)告中繪制的APT的能力層次示意圖

2.4 不要誤讀APT

安天反復(fù)強(qiáng)調(diào)的一個(gè)觀點(diǎn)是,APT不是一個(gè)新概念,該詞由美國空軍上校Greg Rattray于2006年首次提出,用以概括具有堅(jiān)定攻擊意志的戰(zhàn)略對(duì)手的攻擊行為,距今已有九年的時(shí)間,APT并不是對(duì)此類攻擊唯一的概括、甚至亦不是最早的表達(dá),只是其他的一些概念未得到更多關(guān)注罷了。如從技術(shù)手法上看,曾有部分新興廠商提出了高級(jí)逃逸技術(shù)(Advanced Evasion Technique, AET)的概念,其對(duì)攻擊逃逸技術(shù)的一些基礎(chǔ)特點(diǎn)進(jìn)行概括,目的是推廣一些具有新的安全特性的產(chǎn)品。AET描述的是一類具體的攻擊技術(shù)和方法,顯然沒有APT這樣宏觀。而從歷史延續(xù)來看,更具有傳統(tǒng)的是“定向性威脅”一詞,在一些研究者眼中,很多人認(rèn)為“定向性威脅”比APT在技術(shù)表達(dá)上更為準(zhǔn)確,并且它的歷史也更為悠久。包括IDC等咨詢機(jī)構(gòu)至今仍然沒有單獨(dú)劃分APT領(lǐng)域,而是把反APT的廠商和產(chǎn)品歸類到反定向性威脅的領(lǐng)域中。而在這種情況下,APT依然是熱度最高的一個(gè)詞匯,是因?yàn)槠渚哂蟹浅I詈竦恼魏徒?jīng)濟(jì)背景。政治背景是指:APT本身承載著超級(jí)大國在全球博弈中將對(duì)手臉譜化的需要;經(jīng)濟(jì)背景則是指:以FireEye為代表的新銳廠商,在防御美國所遭受攻擊的工程中,需要借助一個(gè)概念來細(xì)分市場。因此,如果我們脫離這些背景,或者說完全站在FireEye等美國廠商的視角去解讀APT,特別是中國所面臨的APT攻擊風(fēng)險(xiǎn),那么我們極有可能會(huì)被誤導(dǎo)。

在APT事件的持續(xù)跟蹤分析中,安天一直在避免兩種傾向:一種是因?yàn)槟承┉h(huán)節(jié)的技術(shù)不夠高明,而草率否定某個(gè)攻擊屬于APT;另一種則是因?yàn)槟硞€(gè)攻擊利用了較新的漏洞或者采用了較為高明的技巧,就盲目宣布發(fā)現(xiàn)了APT事件。我們目前并不能給APT的層次制定一個(gè)準(zhǔn)確的邊界,至少不能夠僅憑在攻擊事件中利用社工等手段采取針對(duì)性攻擊就判定其為APT事件。例如,2015年12月2日夜間,安天監(jiān)控預(yù)警體系感知到如下信息線索:某知名作家在新浪微博發(fā)布消息,稱有人以發(fā)送“采訪提綱”為借口,利用微博私信功能,發(fā)送惡意代碼鏈接,利用百度網(wǎng)盤向目標(biāo)人群投送惡意代碼[5]。此次事件顯然與上文中提到的定向威脅等因素相吻合,但最終我們綜合分析后,認(rèn)為從目標(biāo)的分布等因素來看,認(rèn)為這不是一組APT事件。因此將一個(gè)攻擊事件定性為APT事件,決不能以偏概全,要綜合更深入的因素,并占有更多數(shù)據(jù),才不會(huì)有所疏漏。而APT的層次劃分,則應(yīng)視事件定性后對(duì)作業(yè)手段和資源儲(chǔ)備等進(jìn)行全面評(píng)估而定。

我們至今在追影等產(chǎn)品界面上堅(jiān)持使用“疑似APT攻擊”一詞,其原因是我們認(rèn)為,APT是不能依據(jù)簡單的條件來判定的,APT的定性首先要結(jié)合發(fā)起方與受害方、攻擊的動(dòng)機(jī)與后果,其次才看作業(yè)過程與手段。一個(gè)高明的攻擊技巧,或者幾個(gè)疑似0day漏洞的利用,都不足以將一起攻擊事件定性為APT。否則,一個(gè)數(shù)據(jù)采集能力非常有限的分析者,就很容易因其無法發(fā)現(xiàn)某個(gè)攻擊的大面積分布,而簡單聲稱其發(fā)現(xiàn)了APT事件。

對(duì)于APT的高級(jí)性與持續(xù)性,我們需要重新思考。高級(jí)不是絕對(duì)的,而是相對(duì)性的概念,它可能是相對(duì)于攻擊者所擁有的資源攻擊體系中位于高點(diǎn)能力;更是攻防所使用的能力相對(duì)于攻擊者防御反制能力的勢(shì)能落差。持續(xù)性以具象的行動(dòng)為依托,一定會(huì)映射到一些具體的行為,如加密通訊、隱秘信道等。從微觀上看,持續(xù)性未必是通過長久的鏈接或心跳實(shí)現(xiàn),還可能是體現(xiàn)在持續(xù)化的能力或者反復(fù)進(jìn)入的能力;而從宏觀上看,這種持續(xù)并不因被防御方短時(shí)間內(nèi)切斷而終止,取決于攻擊方的作業(yè)意志和成本支撐能力。

3 非法泄露的數(shù)據(jù)和隱私正在匯入地下經(jīng)濟(jì)的基礎(chǔ)設(shè)施

在2015年,由網(wǎng)絡(luò)攻擊引發(fā)的數(shù)據(jù)泄露事件依舊猖獗,醫(yī)療、保健、電信運(yùn)營商等行業(yè)和人事管理、社保、稅務(wù)等政府部門受災(zāi)嚴(yán)重,身份證、社保、電話、信用卡、醫(yī)療、財(cái)務(wù)、保險(xiǎn)等相關(guān)信息都是黑客竊取的目標(biāo)。從目前來看,拖庫攻擊、終端木馬和APP的超量采集、流量側(cè)的信息劫持獲取,已經(jīng)成為數(shù)據(jù)泄露的三個(gè)主要渠道。信息泄露的背后已經(jīng)形成了一條完整的利益鏈,這些用戶信息或被用于團(tuán)伙詐騙、釣魚,或被用于精準(zhǔn)營銷。

  圖 VII 2015年重大數(shù)據(jù)泄露事件

“拖庫門”事件的每一次曝光都令人關(guān)注,但實(shí)際上,依托這些數(shù)據(jù)達(dá)成的侵害往往早已存在,在其曝光時(shí),其“價(jià)值”已經(jīng)衰減。很多拖庫數(shù)據(jù)都是在被攻擊者充分利用、經(jīng)過多手轉(zhuǎn)賣后才會(huì)曝光。當(dāng)前,數(shù)據(jù)泄露的地下產(chǎn)業(yè)鏈已經(jīng)成熟,并且有了完整的分工協(xié)作程序。其模式往往包括:拖庫、洗庫、撞庫和再洗庫等階段。當(dāng)前,地下產(chǎn)業(yè)已經(jīng)形成了與需求對(duì)接的一個(gè)“綜合業(yè)務(wù)代理機(jī)制”,在“需求方”提出目標(biāo)后,“業(yè)務(wù)代理”會(huì)找到接手的“攻擊者”,“攻擊者”成功拖庫后拿到客戶的傭金,并且將獲得的數(shù)據(jù)庫洗庫,可以直接提取其中可變現(xiàn)的部分(如有預(yù)存款或虛擬貨幣的賬戶);之后,這些數(shù)據(jù)會(huì)被用來撞庫,嘗試登陸其他有價(jià)值的網(wǎng)站,再對(duì)撞庫成功的數(shù)據(jù)進(jìn)行層層利用。經(jīng)過日積月累,和相互交換,攻擊組織和黑產(chǎn)團(tuán)伙的數(shù)據(jù)庫會(huì)越來越龐大,數(shù)據(jù)類型越來越豐富,危害也就越來越嚴(yán)重。

并非所有數(shù)據(jù)都是從“拖庫”攻擊中獲得的,同樣也有直接從終端和流量獲取的。2015年,因惡意代碼導(dǎo)致的信息泄露事件中,XcodeGhost事件[6]是一個(gè)值得所有IT從業(yè)人員深刻反思的事件。截止到2015年9月20日,各方累計(jì)確認(rèn)發(fā)現(xiàn)共692種APP受到污染,其中包括微信、滴滴、網(wǎng)易云音樂等流行應(yīng)用。盡管有人認(rèn)為被竊取的信息“價(jià)值有限”,但一方面其數(shù)量十分龐大,隨之衍生的風(fēng)險(xiǎn)也可能十分嚴(yán)重;另一方面,通過向開發(fā)工具中植入代碼來污染其產(chǎn)品,這種方式值得我們警醒。同時(shí),本次事件采用非官方供應(yīng)鏈污染的方式,也反映出了我國互聯(lián)網(wǎng)廠商研發(fā)環(huán)境的缺陷和安全意識(shí)薄弱的現(xiàn)狀。

  圖 VIII 安天在XcodeGhost事件報(bào)告中繪制的非官方供應(yīng)鏈污染示意圖

近兩年在國內(nèi)肆虐的短信攔截木馬在2015年不斷出現(xiàn)新變種,并結(jié)合社會(huì)工程學(xué)手段瘋狂傳播,竊取用戶的聯(lián)系人、短信、設(shè)備信息等,如安天本年度重點(diǎn)分析處理的“相冊(cè)木馬”[7]。從PC側(cè)上看,2011年出現(xiàn)的Tepfer木馬家族目前依舊活躍,且已有數(shù)十萬變種,Tepfer家族可以盜取60種以上的FTP客戶端軟件保存的密碼、10種以上的瀏覽器保存的密碼、31種比特幣信息;還能獲取多個(gè)郵件客戶端保存的密碼,是一個(gè)利用垃圾郵件傳播,無需交互、自動(dòng)竊密并上傳的木馬家族[8]。

大量數(shù)據(jù)的泄露一方面讓用戶的虛擬財(cái)產(chǎn)受到威脅,另一方面也使各種詐騙、精準(zhǔn)釣魚攻擊變得更簡單。之前大多數(shù)的詐騙都是采用廣撒網(wǎng)的形式,而大量數(shù)據(jù)泄露使黑客的社工庫完善后,可以有針對(duì)性地利用泄露信息匹配并精確定位用戶,以此進(jìn)行的詐騙和釣魚攻擊將更具欺騙性。

從過去來看,流量側(cè)的灰色活動(dòng),更多用來劫持頁面、騙取點(diǎn)擊的方式來變現(xiàn),但這種普遍性的流量劫持,同樣具備著流量側(cè)竊取的能力,這一點(diǎn)對(duì)于HTTPS尚未有效普及的國內(nèi)網(wǎng)絡(luò)應(yīng)用來看,是具有高度殺傷力的。更何況HTTPS在過去兩年,同樣暴露出了大量工程實(shí)現(xiàn)層面的問題,包括CDN等的挑戰(zhàn)。

人的身份幾乎是永久的,關(guān)系是基本穩(wěn)定的,此類數(shù)據(jù)泄露帶來的影響,很難在短時(shí)間內(nèi)被沖淡。一個(gè)值得關(guān)注的情況是,隨著黑產(chǎn)的規(guī)模化,這些數(shù)據(jù)將持續(xù)匯入黑產(chǎn)的“基礎(chǔ)設(shè)施”當(dāng)中,從而使其可能具備超越公共安全和安全廠商的資源能力,同時(shí)也不排除這種地下基礎(chǔ)設(shè)施搖身一變,以“威脅情報(bào)”的形式,同時(shí)為黑產(chǎn)和白帽子服務(wù)。

4 用戶需要負(fù)責(zé)任的漏洞披露機(jī)制和更細(xì)膩的漏洞應(yīng)急指導(dǎo)

2015年,安天向CNVD報(bào)送漏洞數(shù)量為7,780條,但需要坦誠的是,這并不是我們擅長的領(lǐng)域。

  圖 IX 2015年安天每月上報(bào)漏洞情況

2015年初的一個(gè)漏洞(CVE-2015-0002)引發(fā)了業(yè)內(nèi)的廣泛討論。起因是Google的安全小組發(fā)現(xiàn)了一個(gè)Windows8.1的漏洞,在微軟尚未對(duì)漏洞做出修補(bǔ)的情況下,Google嚴(yán)格按照自身的標(biāo)準(zhǔn),在第90天公布了漏洞詳情。此舉迅速引發(fā)了業(yè)內(nèi)對(duì)漏洞披露方式的探討,微軟稱谷歌這么做“完全把個(gè)人私心放在了用戶安全之上”,也有人認(rèn)為谷歌的做法“充分地尊重了用戶”。為了在保護(hù)用戶安全和保障用戶的知情權(quán)之間尋求平衡,一些漏洞披露方采用了更靈活的漏洞披露方式。例如,一些漏洞平臺(tái)在今年的漏洞信息中屏蔽掉一些敏感的IP地址、域名等信息,盡量避免出現(xiàn)漏洞的廠商遭遇微軟類似的尷尬。2015年業(yè)內(nèi)出現(xiàn)了對(duì)某偽基站漏洞的激烈爭論,對(duì)有極大修復(fù)成本、缺少快速修復(fù)可能性的基礎(chǔ)設(shè)施和重要系統(tǒng)漏洞,該如何進(jìn)行負(fù)責(zé)任的漏洞披露,也是業(yè)內(nèi)需要討論的問題。“幽靈(Ghost)”漏洞在2015年年初被發(fā)現(xiàn),該漏洞存在于GLib庫中。GLib是Linux系統(tǒng)中最底層的API,幾乎其它任何運(yùn)行庫都會(huì)依賴于GLib。由于GLib除了封裝Linux操作系統(tǒng)所提供的系統(tǒng)服務(wù)外,本身也提供了許多其它功能的服務(wù),“幽靈”漏洞幾乎影響了所有Linux操作系統(tǒng),一些研究者認(rèn)為,其影響力堪比“破殼”漏洞。

Adobe Flash的安全性一直飽受爭議,被譽(yù)為“黑產(chǎn)軍團(tuán)的軍火庫”。APT28和Pawn Strom都利用了Adobe Flash的0day漏洞進(jìn)行APT攻擊,2015年全年上報(bào)的Flash漏洞更是多達(dá)300余條。Hacking -Team的數(shù)據(jù)泄露事件,將Flash漏洞的實(shí)際危害性和影響力推到當(dāng)年頂點(diǎn),暴露出的三個(gè)漏洞幾乎能夠影響所有平臺(tái)、所有版本的Flash。其中被發(fā)現(xiàn)的第二個(gè)漏洞(CVE-2015-5122)甚至被黑客團(tuán)隊(duì)?wèi)蚍Q為“過去四年里最漂亮的Flash漏洞”。

年底,被稱為“破壞之王”的Java反序列化漏洞事件爆發(fā)。早在2015年1月28日,就有報(bào)告介紹了Java反序列化漏洞能夠利用常用Java庫Apache Commons Collections實(shí)現(xiàn)任意代碼的執(zhí)行,然而當(dāng)時(shí)并沒有引起太多關(guān)注。其在WebLogic、WebSphere、JBoss、Jenkins和OpenNMS中均能實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行,獲取權(quán)限后泄漏數(shù)據(jù)庫。該漏洞被曝出九個(gè)月后依然沒有發(fā)布有效的補(bǔ)丁,其危害影響時(shí)間較長。目前,大量政府門戶網(wǎng)站和信息管理系統(tǒng)受該漏洞的影響十分嚴(yán)重,目前受影響最大的是WebLogic和JBoss兩個(gè)應(yīng)用服務(wù)器。

不得不說,業(yè)內(nèi)對(duì)嚴(yán)重漏洞的預(yù)判能力正在下降,從2014年的“心臟出血(HeartBleed)”、“破殼(Bash Shellshock)”,到2015年的“幽靈(Ghost)”,都給人以措手不及感,而在漏洞出現(xiàn)后的快速跟進(jìn)中,業(yè)內(nèi)反而開始逐步喪失耐心指導(dǎo)用戶止損和進(jìn)行精細(xì)處置的應(yīng)急傳統(tǒng)。但這些工作盡管并不吸引眼球,卻對(duì)于機(jī)構(gòu)、行業(yè)用戶來說具有更有效的價(jià)值。

5 勒索軟件引領(lǐng)PC惡意代碼威脅關(guān)注度,成為用戶的噩夢(mèng)

2015年安天捕獲PC端惡意代碼新增家族數(shù)為3,109個(gè)、新增變種2,243,062種,這些變種覆蓋了億級(jí)的樣本HASH。相比于2014年,惡意代碼總數(shù)雖然有所增加,但已經(jīng)不再是2006~2012年間那種爆炸式的增長。

需要說明的是,我們無法確保這個(gè)統(tǒng)計(jì)足夠精確,新增家族數(shù)的減少,并不能完全反映惡意代碼的實(shí)際情況,更多的是我們過度依賴自動(dòng)化命名的結(jié)果,從而對(duì)大量樣本只能給出通用命名。盡管我們還在盡力維護(hù)一個(gè)完整的命名體系,但面對(duì)惡意代碼數(shù)量多年的快速膨脹,以及惡意代碼的開源和交易,幾乎所有的安全廠商都失去了完整的基于嚴(yán)格編碼繼承性的家族命名關(guān)聯(lián)跟進(jìn)能力。各廠商大量采用編譯器、行為等為惡意代碼命名以及類似Agent這樣粗糙的自動(dòng)化命名,就是這種窘境的明證。而很多短小的WebShell,本身亦未有足夠的信息,去判定其演進(jìn)和關(guān)聯(lián)。在今天,我們應(yīng)該更多地在分析實(shí)踐中,通過基于向量、行為之間的關(guān)系搜索,去尋覓惡意代碼之間、安全事件與惡意代碼之間的關(guān)系,而不是希望自動(dòng)化給我們帶來一切。

在2015年惡意代碼家族變種數(shù)量排行榜前十名中,木馬程序占六席,而其他四席被相對(duì)輕量級(jí)的Hacktool、和Grayware所占據(jù)(也有一些安全廠商將這些稱為PUA,即:用戶不需要的應(yīng)用)。這個(gè)比例相對(duì)此前數(shù)年木馬壟斷排行榜的情況已經(jīng)有了很大變化。在互聯(lián)網(wǎng)經(jīng)濟(jì)帶來更多變通道的情況下,一些攻擊者的作業(yè)方式開始具有更強(qiáng)的隱蔽性。上榜惡意代碼的主要功能是下載、捆綁、竊密、遠(yuǎn)程控制等行為,例如Trojan/Win32.Badur是一個(gè)通過向用戶系統(tǒng)中下載、安裝大量應(yīng)用程序獲利的木馬程序,該木馬會(huì)在后臺(tái)下載多款推廣軟件,使用靜默安裝的方法在用戶系統(tǒng)中安裝指定的應(yīng)用程序,并從軟件廠商或推廣人處獲取利益。今年,廣告程序有三個(gè)家族進(jìn)入了排行榜,除AdLoad這個(gè)以行為命名的家族(家族樣本未必具備同源性)外,另外兩個(gè)廣告程序家族都是具有親緣性的龐大家族Eorezo和Browsefox,兩個(gè)家族中帶有數(shù)字簽名的樣本占總樣本比重分別為32.9%和79.9%,它們通過與其他程序捆綁、下載網(wǎng)站、下載者等進(jìn)行傳播,其安裝模式通常為靜默安裝,主要的功能是瀏覽器劫持和域名重定向,通過修改用戶搜索結(jié)果顯示各種在線廣告公司的廣告來獲利。而排名第八位的惡作劇程序ArchSMS實(shí)際上是一個(gè)勒索軟件,今年在全球范圍內(nèi)有較大規(guī)模的感染,國內(nèi)感染量也非常多,它會(huì)彈出警告窗體,通知用戶系統(tǒng)磁盤被格式化(實(shí)際上未格式化,因此我們將其暫定為惡作劇程序)等虛假消息,恐嚇用戶發(fā)送短信并以此進(jìn)行敲詐。

  圖 X 2015年惡意代碼家族變種數(shù)量排行榜

在2015年P(guān)C平臺(tái)惡意代碼行為分類排行榜中(HASH),以獲取利益為目的的廣告行為再次排在第一位,下載行為因其隱蔽性、實(shí)用性強(qiáng)的特點(diǎn)數(shù)量依然較多,捆綁行為與后門行為分列三、四位,備受關(guān)注的勒索軟件位列第九位。安天CERT在2015年8月3日發(fā)布報(bào)告《揭開勒索軟件的真面目》[9],詳細(xì)地揭露了勒索軟件的傳播方式、勒索形式、歷史演進(jìn)以及相應(yīng)的防御策略。而在2015年12月4日,我們又跟據(jù)敲詐軟件依托JS腳本進(jìn)行郵件傳播的新特點(diǎn),跟進(jìn)發(fā)布了《郵件發(fā)送JS腳本傳播敲詐者木馬的分析報(bào)告》[10]。

  圖 XI 2015年P(guān)C平臺(tái)惡意代碼行為分類排行

6 威脅將隨“互聯(lián)網(wǎng)+”向縱深領(lǐng)域擴(kuò)散與泛化

2013年,我們用泛化(Malware/Other)一詞,說明安全威脅向智能設(shè)備等新領(lǐng)域的演進(jìn),之后泛化(Malware/Other)一直被作為主要的威脅趨勢(shì),占據(jù)了安天威脅通緝令的“小王”位置兩年之久。在這兩年,除我們熟悉的Windows、Linux和其他類Unix系統(tǒng)、iOS、Android等平臺(tái)外,安全威脅在小到智能汽車、智能家居、智能穿戴,大到智慧城市中已經(jīng)無所不在。

在2015年,這種安全威脅泛化已經(jīng)成為常態(tài),但我們依然采用與我們?cè)谏弦荒昴陥?bào)中發(fā)布“2014年網(wǎng)絡(luò)安全威脅泛化與分布”一樣的方式,以一張新的圖表來說明2015年威脅泛化的形勢(shì)。

  7 思考2016

7.1 2016年網(wǎng)絡(luò)安全形勢(shì)預(yù)測(cè)

高級(jí)威脅向普通威脅轉(zhuǎn)化的速度會(huì)日趨加快,任何在精妙的APT攻擊中所使用的思路一旦被曝光,就會(huì)迅速被更多的普通攻擊者學(xué)習(xí)和模仿。而以國家和政經(jīng)集團(tuán)為背景的攻擊者也會(huì)與地下黑產(chǎn)有更多的耦合。由于商業(yè)化攻擊平臺(tái)和商用木馬具有節(jié)省開發(fā)成本、干擾追蹤等特點(diǎn),越來越多的攻擊組織將使用成型或半成型的商業(yè)攻擊平臺(tái)、商業(yè)木馬和黑產(chǎn)大數(shù)據(jù)基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)攻擊的組合武器。“核威懾”的時(shí)代令人遠(yuǎn)慮,但“武器擴(kuò)散”的年代則會(huì)帶來更多現(xiàn)實(shí)的困擾。

勒索軟件將成為全球個(gè)人用戶甚至企業(yè)客戶最直接的威脅,除加密用戶文件、敲詐比特幣外,勒索攻擊者極有可能發(fā)起更有針對(duì)性的攻擊來擴(kuò)大戰(zhàn)果,如結(jié)合內(nèi)網(wǎng)滲透威脅更多的企業(yè)重要資料及數(shù)據(jù)。也不排除其會(huì)嘗試郵件之外更多的投送方式,在更多郵件服務(wù)商開啟默認(rèn)全程加密后,在流量側(cè)難以有效發(fā)現(xiàn)和阻斷,因此對(duì)敲詐者過濾的責(zé)任除了郵件服務(wù)商本身,則又回到了終端安全廠商。

基于簡單信標(biāo)共享層次的威脅情報(bào)會(huì)遭遇挑戰(zhàn),利用腳本、內(nèi)存駐留、無實(shí)體文件等隱藏蹤跡的攻擊方法將更為盛行。例如,APT-TOCS中使用PowerShell作為文件載體進(jìn)行加載惡意代碼。在這種技術(shù)面前,簡單的文件HASH共享將無法有效應(yīng)對(duì)。此外,隨著更多攻擊者占據(jù)種種網(wǎng)絡(luò)設(shè)備資源,更為隱蔽的通訊方式將逐漸讓更多攻擊者擺脫對(duì)固定域名C&C的依賴。因此這種基于文件HASH和地址的通訊信標(biāo)檢測(cè),未來注定在對(duì)抗APT攻擊中難以占據(jù)上風(fēng)。同時(shí),我們需要提醒我們的同仁,威脅情報(bào)的共享體系,同樣使其具有了很大被污染的可能性

“上游廠商”將遭受更多的攻擊,導(dǎo)致整個(gè)供應(yīng)鏈、工具鏈的脆弱性增加。攻擊者會(huì)將目光轉(zhuǎn)向防護(hù)能力稍弱的第三方供應(yīng)商,以其受信任的身份為跳板,攻擊防護(hù)能力較強(qiáng)的企業(yè),從而帶來更大面積的影響。例如,攻擊者對(duì)分析工具、安全工具等的攻擊可以影響逆向愛好者和惡意代碼分析師;對(duì)開發(fā)場景的攻擊可以影響其大量用戶和高敏感的用戶,使用者會(huì)將其判定為受信程序或軟件;對(duì)出廠設(shè)備預(yù)安裝惡意代碼可以直接影響用戶。因此,上游廠商和開發(fā)商需要擔(dān)負(fù)起更有效的布防責(zé)任。同時(shí),因?yàn)橹袊袠I(yè)資質(zhì)門檻的問題,OEM、貼牌等行為更為普遍,而盜版工具鏈、偽原創(chuàng)等問題也十分常見,因此威脅圖譜往往更為復(fù)雜,供應(yīng)鏈透明化的呼聲需要變成行動(dòng)。

我們還需要注意到的是,隨著中國政府以“互聯(lián)網(wǎng)+”盤活傳統(tǒng)產(chǎn)業(yè)的努力,中國所面臨的安全威脅也將向傳統(tǒng)的工業(yè)和基礎(chǔ)設(shè)施中快速逼近。

7.2 我們?cè)谛袆?dòng)、我們?cè)诼飞?/strong>

我們終于要插播廣告了……

在過去的2015年,安天完成了從反病毒檢測(cè)引擎供應(yīng)商,到高級(jí)威脅檢測(cè)能力廠商的角色調(diào)整,初步形成了以“安天實(shí)驗(yàn)室”為母體,“企業(yè)安全”與“移動(dòng)安全(AVL TEAM)”為兩翼的集團(tuán)化布局。我們希望以有效的檢測(cè)分析能力和數(shù)據(jù)儲(chǔ)備為基礎(chǔ),依托在反惡意代碼和反APT方面長期的嘗試和積累,為用戶創(chuàng)造更有效、更直接的安全價(jià)值。

同時(shí)在過去一年中,我們改善了自身的一些產(chǎn)品,以使之獲得更有效的緩存和向前回溯的能力。我們改進(jìn)了沙箱技術(shù),使之能夠更有效地觸發(fā)惡意行為,同時(shí)對(duì)PE樣本有更深的行為揭示能力;我們讓反病毒引擎不再簡單地充當(dāng)一個(gè)鑒定器,而是變成一個(gè)知識(shí)體系;我們也繼續(xù)加大了對(duì)移動(dòng)安全相關(guān)領(lǐng)域的研究和投入,并在AV-C上下半年的兩次測(cè)試中,成為全球唯一一個(gè)獲得檢出率雙百分成績的廠商。通過這些工作所帶來的產(chǎn)品改進(jìn),安天已經(jīng)形成了以PTD探海威脅檢測(cè)系統(tǒng)(前身是安天VDS網(wǎng)絡(luò)病毒檢測(cè)系統(tǒng))為流量側(cè)探針,以IEP智甲終端防御系統(tǒng)為終端防線,以PTA追影威脅分析系統(tǒng)為分析縱深能力的高級(jí)威脅檢測(cè)防護(hù)方案,并通過結(jié)合態(tài)勢(shì)感知和監(jiān)控預(yù)警通報(bào)來滿足行業(yè)用戶和主管部門的需求。

我們對(duì)威脅情報(bào)共享機(jī)制和大數(shù)據(jù)都給予了足夠的關(guān)注,我們也堅(jiān)信威脅情報(bào)不是簡單的信標(biāo)挖掘與互換,其需要可靠的安全威脅檢測(cè)能力作為支撐。同時(shí)更要警惕情報(bào)共享體系遭到上游污染,從而導(dǎo)致情報(bào)價(jià)值降低,甚至產(chǎn)生反作用。

向前臺(tái)產(chǎn)品的轉(zhuǎn)型,可以讓我們更好地為用戶服務(wù),但我們依然專注于反APT與反惡意代碼領(lǐng)域,既不會(huì)跟隨新概念而搖擺,也不會(huì)被提供“無死角”解決方案的想象所誘惑。

除了我們對(duì)用戶的責(zé)任外,安天珍惜通過自身長期與兄弟廠商互動(dòng),提供反病毒引擎所形成的產(chǎn)業(yè)角色。

我們以可靠檢測(cè)能力支撐威脅情報(bào),我們以檢測(cè)能力輸出共建安全生態(tài)。

這是我們對(duì)于安天自身的產(chǎn)業(yè)責(zé)任和未來的理解。

8 2015的辭歲心語

在安天度過第15個(gè)年頭,在最早加入安天CERT的分析工程師已經(jīng)四十不惑的時(shí)候,我們承認(rèn)我們都有過彷徨、有過動(dòng)搖。但如果你認(rèn)真地問我們,“你心力憔悴么?”——我們要回答:“不!”。

安全工作者與安全威脅間進(jìn)行的本身就是一場永不終止的心力長跑,雙方進(jìn)行的不止是力量的抗衡,同樣也是心靈與意志的較量。無論是地下經(jīng)濟(jì)從業(yè)者對(duì)利益的孜孜以求,還是APT的發(fā)起者堅(jiān)定的攻擊意志,都驅(qū)動(dòng)著對(duì)手的不知疲倦,這終將會(huì)使網(wǎng)絡(luò)安全成為靠勤奮者和堅(jiān)定者堅(jiān)持的行業(yè)。

但我們需要堅(jiān)持的不止是這種勤奮和堅(jiān)定,還有我們的正直。我們堅(jiān)持防御者的立場,堅(jiān)持對(duì)保障用戶價(jià)值的使命,堅(jiān)持對(duì)安全威脅受害者感同身受的情感,堅(jiān)持對(duì)原則和底線的敬畏,這是我們事業(yè)的基礎(chǔ)和前提。因?yàn)槲ㄓ写?,我們的努力和進(jìn)步,才有真正的意義!

附錄一:參考資料

修改硬盤固件的木馬——探索方程式(EQUATION)組織的攻擊組件

安天技術(shù)文章匯編(十二)APT(高級(jí)持續(xù)性威脅)專題(第二分冊(cè))

一例以“采訪”為社工手段的定向木馬攻擊分析

Xcode非官方版本惡意代碼污染事件(XcodeGhost)的分析與綜述

附錄二:關(guān)于安天

安天從反病毒引擎研發(fā)團(tuán)隊(duì)起步,目前已發(fā)展成為擁有四個(gè)研發(fā)中心、監(jiān)控預(yù)警能力覆蓋全國、產(chǎn)品與服務(wù)輻射多個(gè)國家的先進(jìn)安全產(chǎn)品供應(yīng)商。安天歷經(jīng)十五年持續(xù)積累,形成了海量安全威脅知識(shí)庫,并綜合應(yīng)用網(wǎng)絡(luò)檢測(cè)、主機(jī)防御、未知威脅鑒定、大數(shù)據(jù)分析、安全可視化等方面經(jīng)驗(yàn),推出了應(yīng)對(duì)持續(xù)、高級(jí)威脅(APT)的先進(jìn)產(chǎn)品和解決方案。安天技術(shù)實(shí)力得到行業(yè)管理機(jī)構(gòu)、客戶和伙伴的認(rèn)可,安天已連續(xù)四屆蟬聯(lián)國家級(jí)安全應(yīng)急支撐單位資質(zhì),亦是CNNVD六家一級(jí)支撐單位之一。安天移動(dòng)檢測(cè)引擎是獲得全球首個(gè)AV-TEST(2013)年度獎(jiǎng)項(xiàng)的中國產(chǎn)品,全球超過十家以上的著名安全廠商都選擇安天作為檢測(cè)能力合作伙伴。

 

關(guān)于反病毒引擎更多信息請(qǐng)?jiān)L問: http://www.antiy.com(中文)

http://www.antiy.net(英文)

關(guān)于安天反APT相關(guān)產(chǎn)品更多信息請(qǐng)?jiān)L問: http://www.antiy.cn

 

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)