AhnLab安全月刊

Size: px

Start display at page:

Download "AhnLab安全月刊"

政停昌
5 years ago
Views:

1 Vol 年上半年安全威胁总结及下半年展望

2 2016 年上半年安全威胁总结及下半年展望 2016 年上半年关键词 : 勒索软件针对性攻击 2016 年上半年, 如预计, 勒索软件的种类和数量呈现几何式增长, 并造成了很多损失针对性攻击和敌对性攻击者发起的针对社会基础设施的攻击也是连续不断另外, 攻击者利用 Exploit kit 结合恶意广告 (Malvertising) 的手法, 针对不特定多数进行大规模的恶意感染移动设备方面, 恶意利用 root 权限的恶意应用比 2015 年增加了四倍继上半年的趋势, 预计下半年勒索软件威胁针对社会基础设施的网络攻击等还会持续发生又由于通过地下黑市兜售的恶意软件服务越来越活跃起来, 未来的网络攻击范围和类型将会更加多样, 还预计未来可能会出现针对金融技术服务的移动安全威胁本刊将介绍 AhnLab 世界级的安全事件响应机构 ASEC(AhnLab Security Emergency response Center) 的网络安全专家们评选的 2016 年上半五大安全威胁和下半年五大展望 2016 年上半年五大安全威胁 01 勒索软件的几何式增长 2016 年上半年, 勒索软件的种类和数量呈现几何式增长, 并造成了很多损失很可能是勒索软件即服务 (RaaS) 的出现导致勒索软件传播更活跃起来另外, 自出现以来很旺盛活动的 TeslaCrypt 突然宣布终止恶意行为,TeslaCrypt 一结束活动, 就出现了被称为 CryptXXX 的勒索软件通过有名的社交网站传播, 并带来很大损失除此之外, 加密 MBR(Master Boot Record) 的 Petya 针对医疗机关的 SamSam 逐步删除用户文件的 JigSwa 语音通知用户的 Cerber 在全世界疯狂传播的 Locky 通过 USB 传播的 Zcryptor 等勒索软件分别出现在上半年通过恶意利用 Flash Silverlight 等软件漏洞的 Exploit 工具的传播呈现了增加趋势这可能是黑客为了通过偷渡式下载 (Driveby-Download) 方式提高感染成功率, 并索取最大的利益这些勒索软件不分国家和地区, 在全世界范围内同时多发地出现在韩国,TeslaCrypt Locky Cerber CryptXXX 等勒索软件的感染频率突出包括 AhnLab 在内的诸多网络安全提供商纷纷强化了勒索软件检测技术, 并研发了主动检测和拦截的功能等做出了积极响应 02 隐秘且不断持续的针对性攻击的威胁针对性攻击的对象有限, 并且隐秘地进行, 因此事前检测并非容易而这种针对性攻击的威胁目前还在继续年初, 北朝鲜的第四次核实验后, 韩国出现了冒称韩国政府部门和国家机关的电子邮件随即, 发生了安全提供商的证书被泄漏事件和传播伪造 DRM 解决方案的恶意软件事件另外, 韩国国内的航空公司和军火提供商遭黑客攻击, 导致内部信息被泄露还有军部网站被黑客攻击, 导致服务被停止的事件在海外, 针对性攻击的威胁也在持续乌克兰的停电事件是被称为 Black Energy 的恶意软件攻击发电所而导致还发现了针对主要国家的金融和保险服务的 LatentBot 攻击 2

3 黑客组织 Pawn Strom( 又被称为 Sofacy ) 向美国外交部和民主党发起了攻击针对性攻击主要利用在黑客组织索取犯罪收益, 但有时候是为了在政治军事经济外交等发生纠纷与冲突时占优势而利用为发起针对性攻击, 选定攻击对象, 并掌握攻击对象的信息尤为重要最近, 社交网站 Twitter Tumblr LinkedIn Myspace 和 GitHub 等被泄露了大量的用户帐户信息, 这种个人信息泄漏事故很有可能给黑客提供物色攻击对象和事先搜集信息为防止泄漏的信息被黑客恶意利用并造成 2 次损失, 需要紧密关注 03 针对社会基础设施的多样的攻击针对社会基础设施的攻击主要是由敌对的攻击者而发生 2015 年 12 月发生的乌克兰大规模停电事件和 2016 年 2 月孟加拉国中央银行巨款被窃案真相被揭露是黑客的行为尤其, 孟加拉国中央银行被窃案是针对 SWIFT 系统的攻击, 在越南乌克兰等也发现了针对 SWIFT 系统的攻击相对这种对于电力和金融系统的攻击, 在韩国发生的公交车站的信息显示屏被攻击事件可算是开玩笑而已铁道系统等交通设施和上水道水坝等也有被攻击事例发生通常认为国家基础设施系统的安全构筑得很完善但是, 今年发生的多起安全事件和德国核电所很晚才发现的老式的恶意软件等安全漏洞仍然存在国家基础设施对社会的影响极高, 加上与国民的安全有着紧密的联系因此, 国家需要寻找有关方便性基础设施的稳定性和安全性的适当的均衡 04 恶意广告 (Malvertising) 和 Web 全自动攻击工具 (Web Exploit Kit) 的活跃随着勒索软件市场的活跃,Exploit Kit(EK) 用来大量感染攻击对象, 出现了多样的 Exploit Kit 2016 年上半年, 气焰嚣张的 Angler EK 和 Nuclear EK 的活动虽然已结束, 但是包括 Magnitude EK Neutrino EK RIG EK 和 Sundown EK 等多样的 EK 的活动还是很活跃另外, 通过 EK 传播恶意软件时使用了恶意广告 (Malvertising) 方式恶意广告 (Malvertising) 利用广告软件 (Adware) 的网络或网站的广告条幅, 尤其通过广告公司的服务器提供的广告条幅, 恶意利用 EK 的多层次的重定向 (Redirection) 由此, 发生针对不特定多数的大规模的感染, 即使找到传播源也很难阻止在上半年, 利用漏洞传播的恶意软件大多数呈现为谋求金钱利益的勒索软件和域欺骗 (Pharming) 两极分化, 但是由于勒索软件的全世界范围的广泛传播, 域欺骗并没有受到注目勒索软件以欧洲为中心, 目的是攫取虚拟货币 - 比特币 ; 而域欺骗以东亚中心, 目的是通过攫取银行账户信息后盗取实际货币 05 试图手机 root 及恶意利用 root 权限的恶意应用的增加 2016 年上半年发现了多数恶意利用 root 权限的恶意应用恶意应用利用 root 权限是为了在用户不知情的情况下安装恶意应用, 且无法使用安全程序来检测和删除恶意应用被安装后, 利用 root 权限盗取个人信息显示广告等进行一系列没有用户同意的恶意行为 2016 年收集到的 root 恶意应用的数量比 2015 年下半年增加了大约 4 倍, 呈现了急剧上升的趋势最近发现的 Godless 恶意应用为了在安卓操作系统 5.1(Lollipop) 以下攫取 root 权限, 利用多个漏洞这种恶意应用的主要目的是通过安装应用和显示广告获取收益, 预计日后也将持续增加 2016 年下半年五大展望 01 基于黑市的恶意软件即服务 (Malware-as-a-Service) 的活跃随着 Tor 的匿名化和暗网 (the Dark Web) 的使用越来越方便, 恶意软件即服务 (Malware-as-a-Service, MaaS) 通过黑市活跃起来 MaaS 是指恶意软件编写者开发出恶意代码, 并提供给其他犯罪分子, 即通过 MaaS 提供用于网络攻击的多样的服务随着 MaaS 的活跃, 服务提供者之间的竞争也越来越加剧, 这使他们提供的恶意软件的价格逐渐降低, 而功能和种类更加多样化通过 MaaS 不仅可以订购恶意软件, 还可以购买传播恶意软件所需的零日漏洞代码混淆服务 Exploit Kit 和垃圾网络支付费用就可以买到网络攻击所需的各种工具, 这酷似在大型超市购买商品行为 MaaS 模式的黑市采取了将网络攻击基础设施的维护中发生的一系列技术问题和计划网络攻击并执行所需的专门知识全部委托的形式, 这种方式也意味着任何人都可以成为网络攻击者由于这种原因, 在 2016 年上半年通过垃圾邮件和 Exploit Kit 的恶意软件急速传播, 代表案例有勒索软件通过 MaaS 获得的攻击所需的要素可以组合成各种形式, 日后发生的网络攻击的范围可能变得越来越多样化, 不论 DDoS 勒索软件金融恶意软件等现有的安全威胁, 还会利用在内部威胁个人和企业信息泄漏针对性攻击等 3

4 02 针对社会基础设施的网络恐怖的威胁持续发生针对社会基础设施的攻击比一般的网络攻击成功率很低, 攻击金融机关以外也不会有金钱利益发生但是, 一旦攻击成功便引起社会混乱, 还会起到极大化宣传的效果尤其, 针对社会基础设施的网络恐怖行为比一般的恐怖行为或军事攻击很难追踪和报复, 因此针对社会基础设施的攻击经常被利用在恐怖组织的恐怖行为或者敌对国之间的攻击行为这种攻击动机来自宗教和政治矛盾和纠纷, 而不是金钱利益由于宗教和政治纠纷不容易解决, 因此针对社会基础设施的攻击也将会持续不断大部分的社会基础设施没有直接连接到网络, 而是在网络分离状态下运行但是仍然存在连接网络的系统, 管理该系统的用户以不方便为借口时常违反安全策略攻击者为了寻找这种安全漏洞, 将试图以多样的方式对社会基础设施发动攻击如果没有做好充分的事前预防和响应, 可能导致重大的损失为了使攻击失效或损失降到最低, 需要做好充分的事前预防工作和响应 03 勒索软件威胁的增加导致的损失持续增加勒索软件威胁呈现类似于上半年的情况, 预计越来越增加 TeslaCrypt Nuclear EK Angler EK 在上半年终止了活动, 传播 Lokcy 勒索软件的 Nercus Botnet 曾一度停滞但是最近 Nercus Botnet 重新开始传播 Locky 和 Cerber,Neutrino EK 则代替了 Angler EK 的位置活动随着 RaaS 的活跃和勒索软件形成一个巨大的市场, 未来可能会出现更加多样的勒索软件未来出现的勒索软件不仅可以加密 MBR, 还可能会加密系统的其他领域另外, 还有可能出现针对医疗机关的 SamSam 之类的针对其他产业的勒索软件最近通过利用零日漏洞的恶意广告手法来大量传播恶意软件, 虽然是已知的勒索软件也有可能扩大活动范围并继续导致用户损失最近发生的 Brexit 事件导致比特币的价格暴涨, 可以预测要求比特币的勒索软件的活动越来越活跃起来最后, 为了躲避安全厂商的积极应对, 勒索软件也会增加多样的功能 04 利用组织内部受信任的公用软件的针对性攻击仔细观察此前发现的针对性攻击案例, 可以发现主要通过中央管理解决方案网页和电子邮件等传播恶意软件但预计日后可能会通过内部使用的公用软件来传播恶意软件 2016 年发生了安全提供商和 ERP 解决方案提供商的数字签名被盗用事件, 攻击者利用盗取的证书制作了被签名的恶意软件安全提供商的 DRM(Digital Rights Management, 数字版权管理 ) 解决方案伪造事件是攻击者恶意利用企业内部使用的安全程序来攻击的攻击者仅限于企业内部公用的软件和服务器为攻击对象来传播, 并可以长期潜伏通常, 内部的发布服务器和通过发布服务器管理的公用软件使用内网来管理, 因此用户根本就不会想到攻击者通过内网来攻击这种利用公用软件的攻击方式预计日后会持续增加, 因此需要用户的格外注意 05 对金融科技 (FinTech) 服务的移动安全威胁的出现随着金融科技服务的增加, 可能会出现瞄准攫取金融信息的恶意应用 2014 年末, 金融科技成为了热门的行业, 出现了多样的移动快捷支付服务随着最近终端机制作商推出的移动快捷支付服务和利用应用的快捷支付服务广泛被使用, 很可能会出现利用这种支付服务获取非法收益的恶意应用过去也出现过瞄准移动小额支付攻击的恶意应用, 当前也持续出现冒称移动在线银行应用欲攫取用户的个人金融信息的恶意应用快捷支付等金融科技服务已扩大到整个社会, 因此相关的安全威胁也会持续出现 4

5 cn.ahnlab.com 关于 AhnLab Ahnlab 的尖端技术和服务不断满足当今世界日新月异的安全需求, 确保我们客户的业务连续性, 并致力于为所有客户打造一个安全的计算环境我们提供全方位的安全阵容, 包括经过证实的适用于桌面和服务器的世界级防病毒产品移动安全产品网上交易安全产品网络安全设备以及咨询服务 AhnLab 已经牢固地确立了其市场地位, 其销售伙伴遍布全球许多国家和地区北京市朝阳区望京阜通东大街 1 号望京 SOHO 塔 2 B 座室上海市闵行区万源路 2158 号 18 幢泓毅大厦 1201 室电话 : ( 北京 ) / ( 上海 ) cn.sales@ahnlab.com 2016 AhnLab, Inc. All rights reserved.

AhnLab安全月刊

AhnLab安全月刊 2016.12 Vol. 49 2016 年安全威胁回顾 2016 年席卷全球的安全威胁 TOP5 适者生存, 激烈的竞争中安全威胁的演变达尔文认为, 生物之间存在着生存争斗, 适应者生存下来, 不适者则被淘汰, 这就是自然的选择 2016 年的安全威胁趋势如同达尔文的适者生存的原则, 从简单的进化为复杂的, 通过它们的生态环境共生的同时也进行激烈的竞争, 结果是被淘汰或者变得更加强大后再出现