压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一、惡意軟件與惡意網(wǎng)址

（一）惡意軟件

1. 2017年1至6月病毒概述

（1）病毒疫情總體概述

2017年1至6月，瑞星“云安全”系統(tǒng)共截獲病毒樣本總量3,132萬(wàn)個(gè)，病毒感染次數(shù)23.4億次，病毒總體數(shù)量比2016年同期上漲35.47%。

報(bào)告期內(nèi)，新增木馬病毒占總體數(shù)量的42.33%，依然是第一大種類病毒。蠕蟲病毒為第二大種類病毒，占總體數(shù)量的36.35%，第三大種類病毒為灰色軟件病毒（垃圾軟件、廣告軟件、黑客工具、惡意軟件），占總體數(shù)量的6.76%。

報(bào)告期內(nèi)，CVE-2017-0199漏洞利用占比70%，位列第一位。該漏洞以RTF文檔為載體，偽裝性非常強(qiáng)，依然是最為常用的漏洞攻擊手段。

（2）病毒感染地域分析

報(bào)告期內(nèi)，新疆省病毒感染3,767萬(wàn)人次，位列全國(guó)第一，其次為北京市3,320萬(wàn)人次及廣東省2,983萬(wàn)人次。

2. 2017年1至6月年病毒Top10

根據(jù)病毒感染人數(shù)、變種數(shù)量和代表性進(jìn)行綜合評(píng)估，瑞星評(píng)選出了2017年1至6月病毒Top10：

3. 2017年1至6月中國(guó)勒索軟件感染現(xiàn)狀

報(bào)告期內(nèi)，瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本44.86萬(wàn)個(gè)，感染共計(jì)307萬(wàn)次，其中廣東省感染37萬(wàn)次，位列全國(guó)第一，其次為北京市20萬(wàn)次，云南省12萬(wàn)次及浙江省11萬(wàn)次。

（二）惡意網(wǎng)址

1. 2017年1至6月全球惡意網(wǎng)址總體概述

2017年1至6月，瑞星“云安全”系統(tǒng)在全球范圍內(nèi)共截獲惡意網(wǎng)址（URL）總量5,020萬(wàn)個(gè)，其中掛馬網(wǎng)站2,452萬(wàn)個(gè)，詐騙網(wǎng)站2,568萬(wàn)個(gè)。美國(guó)惡意URL總量為1,784萬(wàn)個(gè)，位列全球第一，其次是中國(guó)1,131萬(wàn)個(gè)，韓國(guó)320萬(wàn)個(gè)，分別為二、三位。

2. 2017年1至6月中國(guó)惡意網(wǎng)址總體概述

報(bào)告期內(nèi)，北京市惡意網(wǎng)址（URL）總量為541萬(wàn)個(gè)，位列全國(guó)第一，其次是陜西省231萬(wàn)個(gè)，以及浙江省64萬(wàn)個(gè)，分別為二、三位。

注：上述惡意URL地址為惡意URL服務(wù)器的物理地址。

3. 2017年1至6月中國(guó)詐騙網(wǎng)站概述

2017年1至6月，瑞星“云安全”系統(tǒng)共攔截詐騙網(wǎng)站攻擊529萬(wàn)余次，北京市受詐騙網(wǎng)站攻擊68萬(wàn)次，位列第一位，其次是浙江省受詐騙網(wǎng)站攻擊66萬(wàn)次，第三名是廣東省受詐騙網(wǎng)站攻擊65萬(wàn)次。

報(bào)告期內(nèi)，非法導(dǎo)航類詐騙網(wǎng)站占35%，位列第一位，其次是情色類詐騙網(wǎng)站占20%，時(shí)時(shí)彩類詐騙網(wǎng)站占17%，分別為二、三位。

4. 2017年1至6月中國(guó)主要省市訪問(wèn)詐騙網(wǎng)站類型

報(bào)告期內(nèi)，北京市、河北省等訪問(wèn)的詐騙網(wǎng)站類型主要以網(wǎng)絡(luò)賭博為主，而黑龍江省、天津市則以色情論壇為主。

5. 詐騙網(wǎng)站趨勢(shì)分析

2017年上半年非法導(dǎo)航類詐騙網(wǎng)站占比較多，這類集賭博、六合彩、算命、情色為一體的導(dǎo)航網(wǎng)站，會(huì)竊取用戶隱私信息。有些甚至通過(guò)木馬病毒盜取用戶銀行卡信息，進(jìn)行惡意盜刷、勒索等行為。詐騙攻擊主要通過(guò)以下手段進(jìn)行：

■ 利用QQ、微信、微博等聊天工具傳播詐騙網(wǎng)址。

■ 利用垃圾短信“偽基站”推送詐騙網(wǎng)址給用戶進(jìn)行詐騙。

■ 通過(guò)訪問(wèn)惡意網(wǎng)站推送安裝惡意APP程序竊取用戶隱私信息。

■ 通過(guò)第三方下載網(wǎng)站對(duì)軟件捆綁木馬病毒誘使用戶下載。

6. 2017年1至6月中國(guó)掛馬網(wǎng)站概述

2017年1至6月，瑞星“云安全”系統(tǒng)共攔截掛馬網(wǎng)站攻擊506萬(wàn)余次，北京市受掛馬攻擊344萬(wàn)次，位列第一位，其次是陜西省受掛馬攻擊152萬(wàn)次。

7. 掛馬網(wǎng)站趨勢(shì)分析

2017年上半年掛馬攻擊相對(duì)減少，攻擊者一般是自建一些導(dǎo)航類或色情類的網(wǎng)站，吸引用戶主動(dòng)訪問(wèn)。也有一些攻擊者會(huì)先購(gòu)買大型網(wǎng)站上的廣告位，然后在用戶瀏覽廣告的時(shí)候悄悄觸發(fā)。如果不小心進(jìn)入掛馬網(wǎng)站，則會(huì)感染木馬病毒，導(dǎo)致大量的寶貴文件資料和賬號(hào)密碼丟失，其危害極大。

掛馬防護(hù)手段主要為：

■ 拒絕接受陌生人發(fā)來(lái)的鏈接地址。

■ 禁止瀏覽不安全的網(wǎng)站。

■ 禁止在非正規(guī)網(wǎng)站下載軟件程序。

■ 安裝殺毒防護(hù)軟件。

二、移動(dòng)互聯(lián)網(wǎng)安全

（一）手機(jī)安全

1.手機(jī)病毒概述

2017年1至6月，瑞星“云安全”系統(tǒng)共截獲手機(jī)病毒樣本253萬(wàn)個(gè)，新增病毒類型以流氓行為、隱私竊取、系統(tǒng)破壞、資費(fèi)消耗四類為主，其中流氓行為類病毒占比28.35%，位居第一。其次是隱私竊取類病毒占比25.64%，第三名是系統(tǒng)破壞類病毒，占比20.66%。

2. 2017年1至6月手機(jī)病毒Top5

3. 2017年1至6月Android手機(jī)漏洞Top5

（二）2017年1至6月移動(dòng)安全事件

1.勒索病毒偽裝成《王者榮耀輔助工具》襲擊移動(dòng)設(shè)備

2017年6月，一款冒充“王者榮耀輔助工具”的勒索病毒，通過(guò)PC端和手機(jī)端的社交平臺(tái)、游戲群等渠道大肆擴(kuò)散，威脅幾乎所有Android平臺(tái)，設(shè)備一旦感染后，病毒將會(huì)把手機(jī)里面的照片、下載、云盤等目錄下的個(gè)人文件進(jìn)行加密，如不支付勒索費(fèi)用，文件將會(huì)被破壞，還會(huì)使系統(tǒng)運(yùn)行異常。

2.315曝光人臉識(shí)別技術(shù)成手機(jī)潛在威脅

2017年315晚會(huì)上，技術(shù)人員演示了人臉識(shí)別技術(shù)的安全漏洞利用，不管是通過(guò)3D建模將照片轉(zhuǎn)化成立體的人臉模型，還是將普通靜態(tài)自拍照片變?yōu)閯?dòng)態(tài)模式，都可以騙過(guò)手機(jī)上的人臉識(shí)別系統(tǒng)。此外，315還揭露了公共充電樁同樣是手機(jī)的潛在威脅，用戶使用公共充電樁的時(shí)候，只要點(diǎn)擊“同意”按鈕，犯罪分子就可以控制手機(jī)，窺探手機(jī)上的密碼、賬號(hào)，并通過(guò)被控制的手機(jī)進(jìn)行消費(fèi)。

3.亞馬遜、小紅書用戶信息泄露助長(zhǎng)電話詐騙

2017年6月，亞馬遜和小紅書網(wǎng)站用戶遭遇信息泄露危機(jī)，大量個(gè)人信息外泄導(dǎo)致電話詐騙猛增。據(jù)了解，亞馬遜多位用戶遭遇冒充“亞馬遜客服”的退款詐騙電話，其中一位用戶被騙金額高達(dá)43萬(wàn)，小紅書50多位用戶也因此造成80多萬(wàn)的損失。

4.病毒偽裝“Google Play”盜取用戶隱私

2017年6月，一款偽裝成“Google Play”的病毒潛伏在安卓應(yīng)用市場(chǎng)中，該病毒會(huì)偽裝成正常的Android market app，潛伏在安卓手機(jī)ROM中或應(yīng)用市場(chǎng)中誘導(dǎo)用戶下載安裝。該病毒安裝后無(wú)啟動(dòng)圖標(biāo)，運(yùn)行后，會(huì)向系統(tǒng)申請(qǐng)大量高危權(quán)限(發(fā)短信和靜默安裝等)，隨后偽裝成Google Play應(yīng)用并安裝和隱藏在Android系統(tǒng)目錄下。因?yàn)樵凇?system/app/”路徑下的app默認(rèn)都是擁有system權(quán)限的，所以該病毒樣本可以在用戶不知情的情況下，在后臺(tái)靜默下載并安裝應(yīng)用到手機(jī)當(dāng)中，還會(huì)獲取用戶手機(jī)中的隱私信息，給用戶造成系統(tǒng)不穩(wěn)定或隱私泄露等安全性問(wèn)題。

（三）移動(dòng)安全趨勢(shì)分析

1.手機(jī)web瀏覽器攻擊將倍增

Android和IOS平臺(tái)上的web瀏覽器，包括Chrome、Firefox、Safari以及采用類似內(nèi)核的瀏覽器都有可能受到黑客攻擊。因?yàn)橐苿?dòng)瀏覽器是黑客入侵最有效的渠道，通過(guò)利用瀏覽器漏洞，黑客可以繞過(guò)很多系統(tǒng)的安全措施。

2.Android系統(tǒng)將受到遠(yuǎn)程設(shè)備劫持、監(jiān)聽

隨著Android設(shè)備大賣，全球數(shù)以億計(jì)的人在使用智能手機(jī)，遠(yuǎn)程設(shè)備劫持將有可能引發(fā)下一輪的安全問(wèn)題，因?yàn)楹芏嘀悄苁謾C(jī)里存在著大量能夠躲過(guò)谷歌安全團(tuán)隊(duì)審查和認(rèn)證的應(yīng)用軟件。與此同時(shí)，中間人攻擊的數(shù)量將大增，這是因?yàn)楹芏嘈碌闹悄苁謾C(jī)用戶往往缺乏必要的安全意識(shí)，例如他們會(huì)讓自己的設(shè)備自動(dòng)訪問(wèn)不安全的公共WiFi熱點(diǎn)，從而成為黑客中間人攻擊的獵物和犧牲品。

3.物聯(lián)網(wǎng)危機(jī)將不斷加深

如今，關(guān)于“物聯(lián)網(wǎng)開啟了我們智慧生活”的標(biāo)語(yǔ)不絕于耳，但支持物聯(lián)網(wǎng)系統(tǒng)的底層數(shù)據(jù)架構(gòu)是否真的安全、是否已經(jīng)完善，卻很少被人提及，智能家居系統(tǒng)、智能汽車系統(tǒng)里藏有我們太多的個(gè)人信息。嚴(yán)格來(lái)講，所有通過(guò)藍(lán)牙和WiFi連入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備和APP都是不安全的，而這其中最人命關(guān)天的莫過(guò)于可遠(yuǎn)程訪問(wèn)的醫(yī)療設(shè)備，例如大量的超聲波掃描儀等醫(yī)療設(shè)備都使用的是默認(rèn)的訪問(wèn)賬號(hào)和密碼，這些設(shè)備很容易被不法分子利用。

4.木馬病毒、短信和電話詐騙將聯(lián)合作案

常見的電信詐騙，如貴金屬理財(cái)詐騙、假冒銀行客服號(hào)詐騙、網(wǎng)購(gòu)?fù)丝钤p騙、10086積分兌換詐騙等，基本都是由木馬病毒、短信、電話多種方式聯(lián)合完成。這種詐騙方式更加智能化、系統(tǒng)化和可視化，詐騙分子甚至可以掌控被感染用戶的通信社交關(guān)系鏈，往往導(dǎo)致巨大的資金損失。

三、互聯(lián)網(wǎng)安全

（一）2017年1至6月全球網(wǎng)絡(luò)安全事件解讀

1.The Shadow Brokers泄露方程式大量0day漏洞

2017年4月 ，The Shadow Brokers再度放出手中掌握的“方程式組織”使用的大量黑客工具： OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等。其中包括多個(gè)可以遠(yuǎn)程攻擊Windows的0day。受影響的Windows 版本包括Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。這次泄露的工具也直接導(dǎo)致了后來(lái)的WannaCry、Petya的全球爆發(fā)。

2.WannaCry勒索襲擊全球

2017年5月，一款名為WannaCry的勒索病毒席卷包括中國(guó)、美國(guó)、俄羅斯及歐洲在內(nèi)的100多個(gè)國(guó)家。我國(guó)部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)遭受攻擊。勒索軟件利用了微軟SMB遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144，微軟已在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月黑客組織影子經(jīng)紀(jì)人（The Shadow Brokers）公布的方程式組織（Equation Group）使用的“EternalBlue”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者在借鑒了“EternalBlue”后進(jìn)行了這次全球性的大規(guī)模勒索攻擊事件。

3.Petya病毒借勒索之名襲擊多國(guó)

新勒索病毒petya襲擊多國(guó)，影響的國(guó)家有英國(guó)、烏克蘭、俄羅斯、印度、荷蘭、西班牙、丹麥等，包括烏克蘭首都國(guó)際機(jī)場(chǎng)、烏克蘭國(guó)家儲(chǔ)蓄銀行、郵局、地鐵、船舶公司、俄羅斯的石油和天然氣巨頭 Rosneft， 丹麥的航運(yùn)巨頭馬士基公司，美國(guó)制藥公司默克公司，還有美國(guó)律師事務(wù)所DLA Piper，甚至是核能工廠都遭到了攻擊。報(bào)道稱,這輪病毒足以與五月席卷全球的勒索病毒的攻擊性相提并論。與WannaCry相比，該病毒會(huì)加密NTFS分區(qū)、覆蓋MBR、阻止機(jī)器正常啟動(dòng)，使計(jì)算機(jī)無(wú)法使用，影響更加嚴(yán)重。

4.Amnesia攻擊全球DVR設(shè)備組建僵尸網(wǎng)絡(luò)

Amnesia是一款基于IOT/Linux蠕蟲“Tsunami”的變種，被黑客用來(lái)組建僵尸網(wǎng)絡(luò)。它允許攻擊者利用未修補(bǔ)的遠(yuǎn)程代碼執(zhí)行漏洞攻擊其硬盤錄像機(jī)( DVR )設(shè)備。該漏洞已被安全研究人員在TVT Digital（深圳同為數(shù)碼）制造的DVR（硬盤錄像機(jī)）設(shè)備中被發(fā)現(xiàn)，并波及了全球70多家的供應(yīng)商品牌。據(jù)數(shù)據(jù)統(tǒng)計(jì)顯示全球有超過(guò)22.7萬(wàn)臺(tái)設(shè)備受此影響，而臺(tái)灣、美國(guó)、以色列、土耳其和印度為主要分布地區(qū)。

5.勒索韓國(guó)網(wǎng)絡(luò)托管公司的Erebus 病毒

2017年6月份，韓國(guó)網(wǎng)絡(luò)托管公司 Nayana 在6月10日遭受網(wǎng)絡(luò)攻擊，導(dǎo)致旗下153臺(tái)Linux 服務(wù)器與3,400個(gè)網(wǎng)站感染Erebus勒索軟件。事件發(fā)生后，韓國(guó)互聯(lián)網(wǎng)安全局、國(guó)家安全機(jī)構(gòu)已與警方展開聯(lián)合調(diào)查，Nayana公司也表示，他們會(huì)積極配合，盡快重新獲取服務(wù)器控制權(quán)限。在努力無(wú)果后，Nayana公司最終還是選擇以支付贖金的方式換取其服務(wù)器的控制權(quán)限，向勒索黑客支付價(jià)值100萬(wàn)美元的比特幣，來(lái)解密鎖指定的文件。

6.總結(jié)

瑞星安全專家通過(guò)對(duì)2017年1至6月的互聯(lián)網(wǎng)安全事件分析發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊有可能逐漸演變?yōu)榫W(wǎng)絡(luò)恐怖主義，黑客組織有預(yù)謀地利用網(wǎng)絡(luò)并以網(wǎng)絡(luò)為攻擊目標(biāo)，攻擊全球各個(gè)國(guó)家，并且破壞國(guó)家的政治穩(wěn)定、經(jīng)濟(jì)安全，擾亂社會(huì)秩序，制造轟動(dòng)效應(yīng)的恐怖活動(dòng)。隨著全球信息網(wǎng)絡(luò)化的發(fā)展，破壞力驚人的網(wǎng)絡(luò)恐怖主義正在成為世界的新威脅。為此，防范網(wǎng)絡(luò)恐怖主義已成為維護(hù)國(guó)家安全的重要課題。

（二）全球網(wǎng)絡(luò)掃描異?；钴S

網(wǎng)絡(luò)掃描是一些網(wǎng)絡(luò)攻擊的前奏，也是一些網(wǎng)絡(luò)威脅活動(dòng)的體現(xiàn)，通過(guò)捕捉網(wǎng)絡(luò)掃描行為，可以感知到網(wǎng)絡(luò)空間的威脅態(tài)勢(shì)，是了解網(wǎng)絡(luò)空間安全狀況的最好途徑之一。

根據(jù)瑞星全球威脅情報(bào)采集網(wǎng)絡(luò)采集的網(wǎng)絡(luò)掃描數(shù)據(jù)，瑞星總結(jié)出以下特點(diǎn)：

1、Telnet默認(rèn)端口成為最大被掃描對(duì)象

大量的Telnet掃描來(lái)自于服務(wù)器、網(wǎng)絡(luò)設(shè)備、IoT設(shè)備等運(yùn)行Linux系統(tǒng)的計(jì)算設(shè)備，主要原因是目前相當(dāng)活躍的巨大的僵尸網(wǎng)絡(luò)，例如Linux.Gafgyt和Linux.Mirai這兩大僵尸網(wǎng)絡(luò)家族。

2、445端口被瘋狂掃描

由于今年NSA武器庫(kù)泄露，通過(guò)445端口利用“永恒之藍(lán)”漏洞，成為入侵Windows系統(tǒng)計(jì)算機(jī)的最為簡(jiǎn)單便捷的方法。不久前Linux 上使用的Samba服務(wù)也爆出遠(yuǎn)程執(zhí)行漏洞(CVE-2017-7494),影響Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中間的版本，同樣是使用445端口，被稱為L(zhǎng)inux上的“永恒之藍(lán)”。

Windows系統(tǒng)和Linux系統(tǒng)這兩個(gè)漏洞的產(chǎn)生直接導(dǎo)致了445端口的瘋狂掃描和針對(duì)性的攻擊事件的暴增。通過(guò)該漏洞傳播的WannaCry勒索以及后來(lái)的Petya，同時(shí)借助該漏洞傳播的門羅幣挖礦機(jī)和組建僵尸網(wǎng)絡(luò)的各種BOT肆虐網(wǎng)絡(luò)，極大破壞了網(wǎng)絡(luò)環(huán)境。

基于如此高頻的445掃描，再次提示務(wù)必做好服務(wù)器安全工作，安裝相應(yīng)的安全更新，避免成為網(wǎng)絡(luò)掃描者手到擒來(lái)的“獵物”，徹底結(jié)束NSA武器庫(kù)泄露帶來(lái)的不良影響。

3、來(lái)自中國(guó)地區(qū)的網(wǎng)絡(luò)掃描對(duì)數(shù)據(jù)庫(kù)服務(wù)更感興趣

數(shù)據(jù)顯示，從IP的角度看，來(lái)自中國(guó)的網(wǎng)絡(luò)掃描更加青睞數(shù)據(jù)庫(kù)服務(wù)器。其中，對(duì)MySQL、MSSQL的掃描次數(shù)、源IP個(gè)數(shù)，都位于全球第一。雖然無(wú)法準(zhǔn)確判斷掃描者在確認(rèn)數(shù)據(jù)庫(kù)服務(wù)類型之后的下一步動(dòng)作，但也不妨礙我們推斷出“掃描者”對(duì)數(shù)據(jù)庫(kù)服務(wù)及數(shù)據(jù)資產(chǎn)的渴望。

（三）僵尸網(wǎng)絡(luò)持續(xù)影響全球網(wǎng)絡(luò)

根據(jù)2017上半年采集的數(shù)據(jù)顯示，全球范圍內(nèi)最為活躍的兩大著名的僵尸網(wǎng)絡(luò)，分別為L(zhǎng)inux.Gafgyt/Linux 和 Linux.Mirai。

Linux.Gafgyt最主要的功能是Telnet掃描。在執(zhí)行Telnet掃描時(shí)，木馬會(huì)嘗試連接隨機(jī)IP地址的23號(hào)端口。如果連接成功，木馬會(huì)根據(jù)內(nèi)置的用戶名/密碼列表，嘗試猜測(cè)登錄。登錄成功后，木馬會(huì)發(fā)出相應(yīng)命令，下載多個(gè)不同架構(gòu)的BOT可執(zhí)行文件，并嘗試運(yùn)行。

Linux.Mirai病毒是一種通過(guò)互聯(lián)網(wǎng)搜索并控制物聯(lián)網(wǎng)設(shè)備并發(fā)起DDOS攻擊的一種病毒，當(dāng)掃描到一個(gè)物聯(lián)網(wǎng)設(shè)備（比如網(wǎng)絡(luò)攝像頭、智能開關(guān)等）后就嘗試使用默認(rèn)密碼進(jìn)行登陸，一旦登陸成功，這臺(tái)物聯(lián)網(wǎng)設(shè)備就進(jìn)入“肉雞”名單，黑客操控此設(shè)備開始攻擊其他網(wǎng)絡(luò)設(shè)備。

構(gòu)建僵尸網(wǎng)絡(luò)IOT設(shè)備類型分布

四、趨勢(shì)展望

（一）勒索軟件蠕蟲化

勒索軟件蠕蟲化的結(jié)果是恐怖的，2017年的WannaCry就震驚全球。通過(guò)蠕蟲的傳播手段將勒索軟件迅速的分發(fā)到全球存在漏洞的機(jī)器上，造成的破壞將是毀滅性的。以往的傳播手段主要是通過(guò)垃圾郵件和EK工具網(wǎng)站掛馬等，采用被動(dòng)手段，效果有限。但通過(guò)蠕蟲化被動(dòng)為主動(dòng)，將起到“事半功倍”的效果?！癢annaCry”已經(jīng)驗(yàn)證了效果。不能想象勒索軟件和蠕蟲在不久的將來(lái)將會(huì)結(jié)合得愈來(lái)愈緊密。

（二）Linux病毒仍保持快速增長(zhǎng)

2017年1至6月，瑞星“云安全”系統(tǒng)共截獲Linux病毒樣本總量42萬(wàn)個(gè)，遠(yuǎn)遠(yuǎn)超過(guò)了2013年、2014年和2015年的總和。瑞星早在2014年底發(fā)布的《Linux系統(tǒng)安全報(bào)告》就已預(yù)測(cè)，在接下來(lái)幾年中針對(duì)Linux 的病毒將要有個(gè)爆發(fā)性的增長(zhǎng)。這種增長(zhǎng)勢(shì)頭可以預(yù)見仍將持續(xù)很長(zhǎng)一段時(shí)間。

在2017年上半截獲的Linux平臺(tái)的惡意軟件種類可以看出，僵尸網(wǎng)絡(luò)依然是Linux平臺(tái)下最為活躍的惡意軟件類型。其中Linux.Gafgyt和 Linux.Mirai依然是最為流行、活躍的僵尸網(wǎng)絡(luò)，這也解釋為了為何Telnet/SSH端口被大量掃描。

另外，針對(duì)Linux系統(tǒng)的勒索軟件數(shù)量也開始上升，雖然數(shù)量遠(yuǎn)遠(yuǎn)不及Windows平臺(tái)，主要還是受眾人群數(shù)量少和攻擊面狹窄的原因，但是一被勒索，損失將會(huì)非常慘重。相對(duì)于個(gè)人PC而言，運(yùn)行Linux的服務(wù)器、網(wǎng)絡(luò)設(shè)備、IoT設(shè)備，一旦受到勒索軟件的入侵，將導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)停機(jī)等現(xiàn)象，后果更為嚴(yán)重，損失也更為巨大。

瑞星安全專家對(duì)目前典型的Linux惡意軟件進(jìn)行了簡(jiǎn)單說(shuō)明：

1、致使大半個(gè)美國(guó)斷網(wǎng)的Mirai病毒

2016年10月份，美國(guó)互聯(lián)網(wǎng)服務(wù)供應(yīng)商Dyn宣布在當(dāng)?shù)貢r(shí)間21日早上6點(diǎn)遭遇了一次“分布式拒絕服務(wù)”（DDoS）攻擊，Dyn為互聯(lián)網(wǎng)站提供基礎(chǔ)設(shè)施服務(wù)，客戶包括推特、Paypal、Spotify等知名公司，該攻擊導(dǎo)致許多網(wǎng)站在美國(guó)東海岸無(wú)法登陸訪問(wèn)。這次攻擊的背后的始作俑者是一款稱為“Mirai”的蠕蟲病毒，Mirai病毒是一種通過(guò)互聯(lián)網(wǎng)搜索物聯(lián)網(wǎng)設(shè)備的病毒，當(dāng)掃描到一個(gè)物聯(lián)網(wǎng)設(shè)備（比如網(wǎng)絡(luò)攝像頭、智能開關(guān)等）后就嘗試使用默認(rèn)密碼進(jìn)行登陸，一旦登陸成功，這臺(tái)物聯(lián)網(wǎng)設(shè)備就進(jìn)入“肉雞”名單，黑客操控此設(shè)備開始攻擊其他網(wǎng)絡(luò)設(shè)備。據(jù)統(tǒng)計(jì)一共有超過(guò)百萬(wàn)臺(tái)物聯(lián)網(wǎng)設(shè)備參與了此次 DDoS 攻擊。

2.勒索韓國(guó)網(wǎng)絡(luò)托管公司的Erebus病毒

2017年6月份，韓國(guó)網(wǎng)絡(luò)托管公司 Nayana 在6月10日遭受網(wǎng)絡(luò)攻擊，導(dǎo)致旗下153臺(tái)Linux 服務(wù)器與3,400個(gè)網(wǎng)站感染Erebus勒索軟件。事件發(fā)生后，韓國(guó)互聯(lián)網(wǎng)安全局、國(guó)家安全機(jī)構(gòu)已與警方展開聯(lián)合調(diào)查，Nayana公司也表示，他們會(huì)積極配合，盡快重新獲取服務(wù)器控制權(quán)限。在努力無(wú)果后，Nayana公司最終還是選擇以支付贖金的方式換取其服務(wù)器的控制權(quán)限，即向勒索黑客支付價(jià)值100萬(wàn)美元的比特幣，來(lái)解密鎖指定的文件。

3.以DVR設(shè)備為目標(biāo)的IOT蠕蟲Amnesia

Amnesia是一款基于IOT/Linux蠕蟲“Tsunami”的變種，被黑客用來(lái)組建僵尸網(wǎng)絡(luò)。它允許攻擊者利用未修補(bǔ)的遠(yuǎn)程代碼執(zhí)行漏洞攻擊其硬盤錄像機(jī)( DVR )設(shè)備。該漏洞已被安全研究人員在TVT Digital（深圳同為數(shù)碼）制造的DVR（硬盤錄像機(jī)）設(shè)備中發(fā)現(xiàn)，并波及了全球70多家的供應(yīng)商品牌。據(jù)數(shù)據(jù)統(tǒng)計(jì)顯示全球有超過(guò)22.7萬(wàn)臺(tái)設(shè)備受此影響，而臺(tái)灣、美國(guó)、以色列、土耳其和印度為主要分布區(qū)。

4.感染家庭路由器用來(lái)”挖礦”的Darlloz 蠕蟲病毒

Darlloz 是一款Linux IoT蠕蟲病毒，能夠迅速感染家用路由器，機(jī)頂盒，安全攝像頭以及其它一些能夠聯(lián)網(wǎng)的家用設(shè)備,成功感染后會(huì)在設(shè)備中安裝CPUMiner程序進(jìn)行挖礦，將這些個(gè)設(shè)備變成為攻擊者賺錢的礦機(jī)。其中中國(guó)、印度、韓國(guó)和美國(guó)受感染較嚴(yán)重。

5.CIA OutlawCountry和Gyrfalcon的曝光

維基解密最近曝光了CIA項(xiàng)目OutlawCountry，這個(gè)項(xiàng)目的目的在于讓CIA能夠入侵并且遠(yuǎn)程監(jiān)聽運(yùn)行Linux系統(tǒng)的電腦。CIA黑客能夠把目標(biāo)計(jì)算機(jī)上的所有出站網(wǎng)絡(luò)流量重定向到CIA控制的計(jì)算機(jī)系統(tǒng)，以便竊取或者注入數(shù)據(jù)。OutlawCountry工具中包含一個(gè)內(nèi)核模塊，CIA黑客可以通過(guò)shell訪問(wèn)目標(biāo)系統(tǒng)加載模塊，并且可以在目標(biāo)linux主機(jī)創(chuàng)建一個(gè)名稱非常隱蔽的Netfilter表?！癘utlawCountry 1.0版本包含針對(duì)64位CentOS/RHEL 6.x的內(nèi)核模塊，這個(gè)模塊只會(huì)在默認(rèn)內(nèi)核下工作。另外OutlawCountry v1.0只支持在PREROUTING中添加隱蔽DNAT規(guī)則。

Gyrfalcon也是維基解密曝光的CIA內(nèi)部一款針對(duì)Linux的工具。Gyrfalcon 能夠收集全部或部分 OpenSSH 的會(huì)話流量，包括 OpenSSH 用戶的用戶名和密碼。Gryfalcon 的工作原理是通過(guò)以 OpenSSH 客戶端為目標(biāo)，在活動(dòng)的SSH會(huì)話中獲取用戶信息。通過(guò)這款工具竊取到的信息以加密文件的方式保存在本地，后通過(guò)通訊渠道傳送到攻擊者的計(jì)算機(jī)上。

瑞星安全研究人員通過(guò)分析全球的僵尸網(wǎng)絡(luò)發(fā)現(xiàn)，大量組建僵尸網(wǎng)絡(luò)用來(lái)DDos攻擊的，Linux系統(tǒng)占的比較多。具體僵尸網(wǎng)絡(luò)利用惡意軟件列表如下：

（三）物聯(lián)網(wǎng)（IoT）設(shè)備面臨的安全威脅越發(fā)突出

IoT設(shè)備最近幾年發(fā)展神速，但是隨之增加的安全問(wèn)題愈加嚴(yán)峻。這些設(shè)備中往往缺乏相關(guān)的安全措施，而且這些設(shè)備大多運(yùn)行基于Linux的操作系統(tǒng)，攻擊者利用Linux的已知漏洞，能夠輕易實(shí)施攻擊。致使大半個(gè)美國(guó)斷網(wǎng)的Mirai，以DVR設(shè)備為目標(biāo)的Amnesia，感染家庭路由器用來(lái)”挖礦”的Darlloz等病毒都將矛頭指向了這些脆弱的IoT設(shè)備。可以預(yù)見這些脆弱的IoT設(shè)備隨著數(shù)量的增加，安全問(wèn)題將愈發(fā)嚴(yán)峻。

專題1：網(wǎng)絡(luò)攝像頭泄露用戶隱私分析報(bào)告

近兩年來(lái)網(wǎng)絡(luò)攝像頭市場(chǎng)火爆，購(gòu)買一個(gè)小小的攝像頭，通過(guò)家庭WIFI接入網(wǎng)絡(luò)，不需要太過(guò)于復(fù)雜的設(shè)置，簡(jiǎn)單的注冊(cè)賬號(hào)配對(duì)成功后，用戶就可以在手機(jī)端實(shí)時(shí)查看你要的監(jiān)控畫面，甚是方便。而且網(wǎng)絡(luò)攝像頭價(jià)格低至百元，入手門檻非常低，所以很快便成了居家防盜、監(jiān)控寵物、公司監(jiān)控等方面的利器。

1、攝像頭漏洞形成

用戶在使用攝像頭設(shè)備進(jìn)行配置時(shí)，會(huì)分配一個(gè)公網(wǎng)IP和端口，設(shè)備默認(rèn)存在admin，user，guest登錄用戶，密碼均為默認(rèn)密碼或簡(jiǎn)單密碼。通過(guò)訪問(wèn)公網(wǎng)IP和端口，輸入賬號(hào)和密碼就可以登陸攝像頭監(jiān)控管理界面，對(duì)攝像頭所拍攝的畫面進(jìn)行實(shí)時(shí)管理和監(jiān)控。

由于用戶安全意識(shí)較低，對(duì)網(wǎng)絡(luò)攝像頭所帶來(lái)的危害沒有直觀意識(shí)，并沒有對(duì)設(shè)備默認(rèn)的賬戶進(jìn)行修改，導(dǎo)致惡意攻擊者通過(guò)網(wǎng)絡(luò)掃描進(jìn)行攻擊，獲取到攝像頭公網(wǎng)IP和端口，對(duì)賬戶和密碼進(jìn)行攻擊，成功獲取攝像頭管理界面，甚至可對(duì)攝像頭設(shè)備進(jìn)行管理、錄像，拍照，語(yǔ)音監(jiān)聽等操作。

2、攝像頭掃描設(shè)備在群里公開售賣

瑞星安全專家通過(guò)某平臺(tái)搜索到各種網(wǎng)絡(luò)攝像頭品牌，價(jià)格不等，有的支持wifi功能，無(wú)需布線即可使用，可進(jìn)行家用或商用，可謂功能齊全。

通過(guò)暗訪，加入攝像頭破解交流群，然后就有人主動(dòng)詢問(wèn)是否需要攝像頭IP地址，可實(shí)時(shí)觀看監(jiān)控畫面，也有人詢問(wèn)是否需要攝像頭設(shè)備掃描軟件，在攝像頭錄像交流群中里發(fā)現(xiàn)有人對(duì)攝像頭IP地址進(jìn)行販賣，一批攝像頭IP地址包括成功的賬號(hào)和密碼，IP地址數(shù)量幾十到幾百不等，1個(gè)攝像頭IP地址售賣30元，2個(gè)可監(jiān)控的攝像頭IP地址售賣50元不等。

通過(guò)調(diào)查發(fā)現(xiàn)，有人會(huì)在群里發(fā)布某些被黑用戶的家庭隱私錄像、圖片等，在某個(gè)時(shí)間段還要進(jìn)行實(shí)時(shí)播放，這將對(duì)被黑用戶的個(gè)人隱私造成極大的危害。

同時(shí)，有人還會(huì)對(duì)攻擊成功的攝像頭設(shè)備進(jìn)行標(biāo)注，分類明確，同時(shí)可監(jiān)控幾十個(gè)攝像頭設(shè)備。惡意攻擊者對(duì)攝像頭用戶進(jìn)行實(shí)時(shí)監(jiān)控，觀看用戶的日常起居。想想在生活中的一舉一動(dòng)都被人時(shí)時(shí)刻刻監(jiān)視，就令人害怕。

也有人對(duì)攝像頭設(shè)備掃描軟件進(jìn)行出售，售賣價(jià)格為50元。購(gòu)買者自己購(gòu)買了軟件后自己進(jìn)行攝像頭設(shè)備掃描。通過(guò)渠道得到一款攝像頭設(shè)備掃描軟件，軟件配置簡(jiǎn)單，輸入IP地址點(diǎn)擊開始就能自動(dòng)掃描。

通過(guò)分析發(fā)現(xiàn)，軟件是全自動(dòng)，如果掃描成功會(huì)輸出結(jié)果，成功的顯示登陸成功并附帶登錄賬號(hào)和密碼，失敗的顯示登陸失敗。用戶和密碼都是較為常見的簡(jiǎn)單類型，大多數(shù)用戶名和密碼相同，也有較為簡(jiǎn)單的密碼。

使用掃描成功的進(jìn)行連接，通過(guò)訪問(wèn)IP地址和端口，輸入正確的賬號(hào)密碼，就能進(jìn)入到監(jiān)控界面，經(jīng)過(guò)短暫加載，攝像頭遠(yuǎn)程傳輸?shù)漠嬅骈_始播放，且清晰度相當(dāng)高，可以看到室內(nèi)的物品擺設(shè)，也能看到部分物品的字體、畫面是實(shí)時(shí)播放，在界面功能中可以對(duì)監(jiān)控進(jìn)行錄像、拍照、監(jiān)聽等操作。

瑞星安全專家稱這種掃描主要依靠掃描器掃描，通過(guò)掃描器對(duì)IP地址和端口進(jìn)行大范圍的掃描，掃描出匹配的攝像頭設(shè)備類型，然后使用一些弱口令密碼進(jìn)行校驗(yàn)登錄，常見的網(wǎng)絡(luò)攝像頭設(shè)備弱口令是admin，user，guest，123456，admin123，admin888。

3、網(wǎng)絡(luò)攝像頭同樣支持APP

通過(guò)分析發(fā)現(xiàn)網(wǎng)絡(luò)攝像頭同樣支持APP，在手機(jī)上安裝一款A(yù)PP軟件，選擇相應(yīng)的產(chǎn)品型號(hào)，填上IP地址和端口，輸入正確的用戶名和密碼，就能監(jiān)控到攝像頭拍攝的畫面。

網(wǎng)絡(luò)安全專家從測(cè)試結(jié)果來(lái)看，目前有關(guān)視頻畫面泄露的問(wèn)題主要集中在網(wǎng)絡(luò)攝像頭云平臺(tái)登錄邏輯漏洞問(wèn)題和手機(jī)APP軟件漏洞兩個(gè)方面，其他可能導(dǎo)致信息泄露的問(wèn)題也存在，但是相比之下數(shù)量較少。

4、網(wǎng)絡(luò)攝像頭被曝近八成不合格

據(jù)了解，目前市面上的網(wǎng)絡(luò)攝像頭多數(shù)分為兩種：一種是連接在PC端，作為視頻聊天使用，價(jià)格不是很高，安全系數(shù)較低；另一種是固定在家中某個(gè)位置，常年與家中的WiFi相連接，起到安全保護(hù)的作用，價(jià)位高，看上去比較安全。

其實(shí)，這兩種攝像頭都存在不同的安全風(fēng)險(xiǎn)。如果攝像頭直接連接到網(wǎng)絡(luò)上，那么安全風(fēng)險(xiǎn)是一樣的。視頻攝像頭在電腦開機(jī)時(shí)，還有可能存在被“直播”的隱患。一位業(yè)內(nèi)人士表示，用做安保的攝像頭因?yàn)殚L(zhǎng)期處于工作狀態(tài)，信息被盜取的可能性就更大一些。

之前，央視曾多次報(bào)道過(guò)攝像頭漏洞泄露用戶隱私的問(wèn)題，這種曝光是為了讓民眾在生活中的隱私能夠有一個(gè)自我保護(hù)的安全意識(shí)行為，但是結(jié)果卻相反，大多數(shù)用戶對(duì)于個(gè)人隱私的保護(hù)意識(shí)相對(duì)薄弱。

5、安全專家建議

1、購(gòu)買監(jiān)控或者智能家居產(chǎn)品時(shí)，盡量選擇一些大品牌和正規(guī)廠商，可以對(duì)所選品牌進(jìn)行一些調(diào)查，根據(jù)相關(guān)報(bào)道了解產(chǎn)品的安全和口碑如何。在安全性和管理規(guī)范上，正規(guī)廠商相對(duì)于小廠商來(lái)講更安全。

2、在使用時(shí)，對(duì)默認(rèn)密碼進(jìn)行修改，設(shè)置一定強(qiáng)度的密碼，及時(shí)關(guān)注攝像頭軟件的提醒。

3、經(jīng)常登錄攝像頭進(jìn)行查看，如發(fā)現(xiàn)實(shí)際拍攝角度與安裝時(shí)發(fā)生變化等情況，需要檢查賬號(hào)安全并及時(shí)修改密碼。

4、關(guān)注所用品牌攝像頭安全方面的消息，如果發(fā)現(xiàn)設(shè)備漏洞應(yīng)停止使用，等待廠家更新，并保證所使用的攝像頭軟件是最新版本。

專題2：反病毒技術(shù)分享：動(dòng)態(tài)防御成“敲詐軟件”最有效克星

眾所周知，腳本病毒與宏病毒是勒索軟件經(jīng)常使用的傳播手段，近年來(lái)，“敲詐軟件”呈現(xiàn)快速增長(zhǎng)趨勢(shì)，病毒作者經(jīng)常將病毒腳本作為郵件附件發(fā)送給受害者，其運(yùn)行后會(huì)下載勒索病毒等高危病毒，使用戶造成嚴(yán)重的經(jīng)濟(jì)損失。

瑞星安全專家介紹，Nemucod家族是一個(gè)近年來(lái)十分流行的腳本病毒，其主要是一些混淆變型的JS或VBS腳本，被“黑客”附加在電子郵件中投遞給潛在受害者，激活后腳本代碼從遠(yuǎn)程服務(wù)器下載勒索軟件到本地并運(yùn)行。

瑞星安全專家通過(guò)持續(xù)跟蹤近期收集的相關(guān)家族樣本，發(fā)現(xiàn)由于腳本代碼混淆成本非常低，同一個(gè)版本的源碼，可以在短時(shí)間內(nèi)通過(guò)不同的混淆策略構(gòu)造出大量的不同靜態(tài)特征的變種類型。下面，瑞星安全研究員將分別介紹樣本的一些靜態(tài)混淆變化特點(diǎn)以及動(dòng)態(tài)對(duì)抗手法。

一、靜態(tài)混淆變化特點(diǎn)

Nemucod家族樣本混淆的時(shí)候，主要是對(duì)原樣本代碼中出現(xiàn)的關(guān)鍵字符串（如：網(wǎng)址，函數(shù)方法名，函數(shù)調(diào)用參數(shù)串等）進(jìn)行處理，一種是對(duì)字符串明文進(jìn)行隨機(jī)長(zhǎng)度拆分，執(zhí)行的時(shí)候進(jìn)行拼接。另一種是對(duì)整個(gè)字符串進(jìn)行加密，執(zhí)行時(shí)通過(guò)特定函數(shù)解密后再使用。

（1）明文串隨機(jī)拆分

對(duì)于拆出來(lái)的子串，依據(jù)JS的語(yǔ)法特點(diǎn)，主要有三種表現(xiàn)形式：字符串形式，數(shù)組形式和函數(shù)形式。

（2）通過(guò)解密函數(shù)解密

除了核心字符串混淆之外，整個(gè)代碼文件還用了一些其他的混淆策略，常見的有三種：變量名和函數(shù)名長(zhǎng)度內(nèi)容隨機(jī)化，隨機(jī)插入無(wú)效的垃圾代碼和隨機(jī)插入各種注釋信息。無(wú)效垃圾代碼主要表現(xiàn)形式：隨機(jī)插入重復(fù)的賦值語(yǔ)句，構(gòu)造無(wú)效的代碼塊。

二、動(dòng)態(tài)對(duì)抗手法

瑞星安全專家經(jīng)過(guò)分析發(fā)現(xiàn)，大量Nemucod變種經(jīng)過(guò)動(dòng)態(tài)還原后，其實(shí)所對(duì)應(yīng)的源碼模板變化不太大。通過(guò)動(dòng)態(tài)跑JS腳本，獲取腳本運(yùn)行的中間結(jié)果進(jìn)行檢測(cè)，效果顯著。但是，動(dòng)態(tài)跑JS代碼需要依據(jù)代碼邏輯動(dòng)態(tài)執(zhí)行，若虛擬機(jī)對(duì)于某些函數(shù)功能模擬不正確就導(dǎo)致最終跑出來(lái)的中間結(jié)果是不完整的，從而影響特征掃描。對(duì)抗腳本虛擬機(jī)，目前發(fā)現(xiàn)的有以下幾種方式：

（1）檢測(cè)運(yùn)行環(huán)境

調(diào)用接口獲取Windows目錄下第一個(gè)子目錄，檢測(cè)該子目錄文件名長(zhǎng)度，若文件名長(zhǎng)度大于1則執(zhí)行代碼。

調(diào)用接口獲取C盤文件系統(tǒng)類型，若文件系統(tǒng)類型為NTFS且特定變量符號(hào)指定類型才執(zhí)行代碼。

調(diào)用接口獲取C盤磁盤容量，若磁盤容量字節(jié)數(shù)大于特定值才執(zhí)行代碼。

調(diào)用接口，獲取C盤host文件屬性和類型，滿足指定值才執(zhí)行代碼。

調(diào)用接口獲取C盤的序列號(hào)，非0的情況下才執(zhí)行代碼。

調(diào)用接口獲取當(dāng)前操作系統(tǒng)的語(yǔ)言類型，只有包含1033（英語(yǔ)）的才執(zhí)行代碼。

對(duì)于特定語(yǔ)句/*cc_on */這個(gè)語(yǔ)句在IE和Wscript環(huán)境中，被當(dāng)作代碼語(yǔ)句執(zhí)行，而在一般的Jscript引擎中，/**/會(huì)被當(dāng)作注釋，所包含的語(yǔ)句是不會(huì)被執(zhí)行的。從語(yǔ)句邏輯可知，一般的模擬器是不會(huì)執(zhí)行變量Time申明和復(fù)制操作那一句的，那么后邊的和Time變量相關(guān)的方法調(diào)用也會(huì)出錯(cuò)。

調(diào)用接口設(shè)置當(dāng)前時(shí)間值（秒），立馬獲取當(dāng)前時(shí)間值（秒），若設(shè)置的值與獲取的值相同則執(zhí)行代碼。

（2）下載域名隨機(jī)化

每個(gè)變種所帶的下載域名都不同，而且沒有變化規(guī)律，在域名串上攔截很難。

（3）多層腳本嵌套執(zhí)行

使用多層腳本調(diào)用執(zhí)行功能，即使JS層被跑開了，但是內(nèi)層的腳本依然存在混淆，那么單單跑開外層腳本，得到的腳本串依然存在混淆，那就加大了檢測(cè)的難度。

第一層混淆是JS的，若順利跑開后，可以得到內(nèi)層的PowerShell腳本，通過(guò)CMD命令行方式啟動(dòng)的，可以看到內(nèi)層的PowerShell腳本也是這種字符串隨機(jī)拆分然后拼接執(zhí)行的。

通過(guò)上述內(nèi)容我們可以看到，Nemucod家族樣本在靜態(tài)混淆變化上，依據(jù)所用語(yǔ)言的語(yǔ)法特性，把樣本核心功能串碎片化并且增加各種垃圾代碼，使得樣本代碼膨脹，代碼邏輯結(jié)構(gòu)復(fù)雜化。在動(dòng)態(tài)對(duì)抗手法上，通過(guò)構(gòu)造奇特的代碼運(yùn)行條件，使用多層代碼調(diào)用策略并且層層代碼做混淆，增加動(dòng)態(tài)還原JS代碼的難度。

殺毒軟件在檢測(cè)該家族樣本時(shí)，不管是從靜態(tài)特征上還是從動(dòng)態(tài)行為上，都會(huì)增加不小的難度。與病毒之間的對(duì)抗本來(lái)就是你來(lái)我往，持續(xù)跟蹤家族樣本并且及時(shí)依據(jù)樣本特征更新殺軟的檢測(cè)方式方法，才能很好實(shí)現(xiàn)對(duì)該家族的查殺。

專題3：The Shadow Brokers方程式工具包分析

2017年4月，The Shadow Brokers公布了第三批NSA（美國(guó)國(guó)家安全局）使用的網(wǎng)絡(luò)入侵工具。泄露的資料中包括一整套完整的入侵和控制工具。泄露資料中包括FuzzBunch 攻擊平臺(tái)，DanderSpiritz 遠(yuǎn)控平臺(tái)，和一個(gè)復(fù)雜的后門oddjob還包括NSA 對(duì)SWIFT進(jìn)行攻擊的一些資料信息。經(jīng)分析這一次泄露出來(lái)的工具涉及的面更廣，危害也更大。

FuzzBunch 攻擊平臺(tái)

FuzzBunch攻擊平臺(tái)主要是通過(guò)遠(yuǎn)程溢出攻擊網(wǎng)絡(luò)上存在漏洞的機(jī)器，攻擊成功后植入指定后門。該平臺(tái)類似于大名鼎鼎的Metasploit工具，但更先進(jìn)的是它使用的exp幾乎全是操作系統(tǒng)級(jí)的遠(yuǎn)程溢出0day，攻擊目標(biāo)幾乎囊括了全系列的Windows系統(tǒng)。雖然微軟在MS17-010中放出了補(bǔ)丁，但對(duì)于那些沒有及時(shí)打補(bǔ)丁和內(nèi)網(wǎng)中的用戶來(lái)說(shuō)，這幾乎就是一個(gè)災(zāi)難。

此次放出來(lái)的exp大部分是針對(duì)SMB協(xié)議的，SMBv1、SMBv2和SMBv3的都有，不難看出NSA非常鐘情于SMB協(xié)議的漏洞。受影響的操作系統(tǒng)從Windows NT，XP到2012全線覆蓋。在部分python源碼里面顯示工具開發(fā)早于2012年，幾乎所有的exp都是系統(tǒng)級(jí)的遠(yuǎn)程溢出，不需要什么釣魚啊，訪問(wèn)網(wǎng)頁(yè)啊，打開文檔等用戶交互操作，只要能訪問(wèn)到你機(jī)器就可以攻擊，而且是指哪打哪，細(xì)思恐極！可想而知，這些年來(lái)NSA通過(guò)這些漏洞在互聯(lián)網(wǎng)上來(lái)去，幾乎就是如入無(wú)人之境。此處放出來(lái)的文件分析發(fā)現(xiàn)還并不是所有的文件，不排除NSA正在使用更多更先進(jìn)的工具。

平臺(tái)框架由python開發(fā)，功能采用模塊化實(shí)現(xiàn)，易于擴(kuò)展。主要模塊如下表所示：

平臺(tái)使用類似MSF，采用傻瓜化操作，只要指定攻擊的IP、Exploit和Payload就可以進(jìn)行工作。Exp相對(duì)穩(wěn)定，在幾臺(tái)測(cè)試的未打補(bǔ)丁的機(jī)器上都能成功溢出。

圖：使用Eternalblue溢出XP成功

圖：使用Eternalchampion溢出xp成功

Eternalblue溢出成功后默認(rèn)在用戶的機(jī)器上植入Darkpulsar Payload。該P(yáng)ayload的功能相對(duì)較少，主要功能有執(zhí)行shellcode和加載DLL，為以后植入復(fù)雜的后門做準(zhǔn)備。

這些攻擊工具危害是巨大的，好在微軟在上個(gè)月發(fā)布的MS17-010的補(bǔ)丁中對(duì)這些個(gè)漏洞進(jìn)行了修復(fù)。用戶為了避免被攻擊，需及時(shí)更新補(bǔ)丁，由于Windows XP和2003，微軟已經(jīng)停止更新，用戶必須手動(dòng)關(guān)閉139,445和3389等端口，避免受到攻擊。

DanderSpiritz 遠(yuǎn)控平臺(tái)

DanderSpiritz是泄露工具中的一整套完整的遠(yuǎn)控平臺(tái)。由Java實(shí)現(xiàn)的框架，python實(shí)現(xiàn)的插件系統(tǒng)。和許多世面上常見的后門的模式類似，可以主動(dòng)連接控制端也可以等客戶端反彈回來(lái)。還有一種比較有意思的模式：Trigger模式，向指定的主機(jī)發(fā)送一個(gè)HTTP包或一封郵件去觸發(fā)后門。

圖：主界面截圖

平臺(tái)可以配置生成PeedleCheap后門。后門可以是EXE也可以是DLL，支持32位和64位系統(tǒng)。

配置選項(xiàng)中可以指定監(jiān)聽的端口，可以指定反彈的IP和端口，還可以指定要注入的進(jìn)程名，同時(shí)，還會(huì)生成一對(duì)RSA公私鑰，供后門中使用。

圖：配置成功生成的后門

后門可以通過(guò)Darkpulsar進(jìn)行植入，也可以單獨(dú)以文件的形式進(jìn)行植入，該后門的功能豐富，終端、文件操作等所有想要的功能都具備了，是一個(gè)功能非常全面的后門。

圖：終端支持的命令

DanderSpiritz中的功能不僅只有這一個(gè)后門那么簡(jiǎn)單，具體有哪些能力還在研究中，隨著研究的深入，肯定還會(huì)有新的功能被發(fā)掘出來(lái)。

總結(jié)

從這些泄露的攻擊工具中不難看出NSA的攻擊步驟，先使用FuzzBunch平臺(tái)進(jìn)行溢出攻擊，溢出成功后加載Darkpulsar，再通過(guò)Darkpulsar植入PeedleCheap，最終反彈到DanderSpiritz平臺(tái)。

此次泄露的是完整的一套攻擊工具，任何人拿來(lái)經(jīng)過(guò)一定的摸索就可以使用進(jìn)行攻擊。雖然微軟補(bǔ)丁已經(jīng)發(fā)布，F(xiàn)uzzBunch平臺(tái)可能會(huì)失去作用，但是DanderSpiritz卻可以拿來(lái)一直使用，危害較大。