2017年上半年中國網絡安全報告
責編:mhshi |2017-08-02 16:38:13一、惡意軟件與惡意網址
(一)惡意軟件
1. 2017年1至6月病毒概述
(1)病毒疫情總體概述
2017年1至6月,瑞星“云安全”系統共截獲病毒樣本總量3,132萬個,病毒感染次數23.4億次,病毒總體數量比2016年同期上漲35.47%。
報告期內,新增木馬病毒占總體數量的42.33%,依然是第一大種類病毒。蠕蟲病毒為第二大種類病毒,占總體數量的36.35%,第三大種類病毒為灰色軟件病毒(垃圾軟件、廣告軟件、黑客工具、惡意軟件),占總體數量的6.76%。
報告期內,CVE-2017-0199漏洞利用占比70%,位列第一位。該漏洞以RTF文檔為載體,偽裝性非常強,依然是最為常用的漏洞攻擊手段。
(2)病毒感染地域分析
報告期內,新疆省病毒感染3,767萬人次,位列全國第一,其次為北京市3,320萬人次及廣東省2,983萬人次。
2. 2017年1至6月年病毒Top10
根據病毒感染人數、變種數量和代表性進行綜合評估,瑞星評選出了2017年1至6月病毒Top10:
3. 2017年1至6月中國勒索軟件感染現狀
報告期內,瑞星“云安全”系統共截獲勒索軟件樣本44.86萬個,感染共計307萬次,其中廣東省感染37萬次,位列全國第一,其次為北京市20萬次,云南省12萬次及浙江省11萬次。
(二)惡意網址
1. 2017年1至6月全球惡意網址總體概述
2017年1至6月,瑞星“云安全”系統在全球范圍內共截獲惡意網址(URL)總量5,020萬個,其中掛馬網站2,452萬個,詐騙網站2,568萬個。美國惡意URL總量為1,784萬個,位列全球第一,其次是中國1,131萬個,韓國320萬個,分別為二、三位。
2. 2017年1至6月中國惡意網址總體概述
報告期內,北京市惡意網址(URL)總量為541萬個,位列全國第一,其次是陜西省231萬個,以及浙江省64萬個,分別為二、三位。
注:上述惡意URL地址為惡意URL服務器的物理地址。
3. 2017年1至6月中國詐騙網站概述
2017年1至6月,瑞星“云安全”系統共攔截詐騙網站攻擊529萬余次,北京市受詐騙網站攻擊68萬次,位列第一位,其次是浙江省受詐騙網站攻擊66萬次,第三名是廣東省受詐騙網站攻擊65萬次。
報告期內,非法導航類詐騙網站占35%,位列第一位,其次是情色類詐騙網站占20%,時時彩類詐騙網站占17%,分別為二、三位。
4. 2017年1至6月中國主要省市訪問詐騙網站類型
報告期內,北京市、河北省等訪問的詐騙網站類型主要以網絡賭博為主,而黑龍江省、天津市則以色情論壇為主。
5. 詐騙網站趨勢分析
2017年上半年非法導航類詐騙網站占比較多,這類集賭博、六合彩、算命、情色為一體的導航網站,會竊取用戶隱私信息。有些甚至通過木馬病毒盜取用戶銀行卡信息,進行惡意盜刷、勒索等行為。詐騙攻擊主要通過以下手段進行:
■ 利用QQ、微信、微博等聊天工具傳播詐騙網址。
■ 利用垃圾短信“偽基站”推送詐騙網址給用戶進行詐騙。
■ 通過訪問惡意網站推送安裝惡意APP程序竊取用戶隱私信息。
■ 通過第三方下載網站對軟件捆綁木馬病毒誘使用戶下載。
6. 2017年1至6月中國掛馬網站概述
2017年1至6月,瑞星“云安全”系統共攔截掛馬網站攻擊506萬余次,北京市受掛馬攻擊344萬次,位列第一位,其次是陜西省受掛馬攻擊152萬次。
7. 掛馬網站趨勢分析
2017年上半年掛馬攻擊相對減少,攻擊者一般是自建一些導航類或色情類的網站,吸引用戶主動訪問。也有一些攻擊者會先購買大型網站上的廣告位,然后在用戶瀏覽廣告的時候悄悄觸發。如果不小心進入掛馬網站,則會感染木馬病毒,導致大量的寶貴文件資料和賬號密碼丟失,其危害極大。
掛馬防護手段主要為:
■ 拒絕接受陌生人發來的鏈接地址。
■ 禁止瀏覽不安全的網站。
■ 禁止在非正規網站下載軟件程序。
■ 安裝殺毒防護軟件。
二、移動互聯網安全
(一)手機安全
1.手機病毒概述
2017年1至6月,瑞星“云安全”系統共截獲手機病毒樣本253萬個,新增病毒類型以流氓行為、隱私竊取、系統破壞、資費消耗四類為主,其中流氓行為類病毒占比28.35%,位居第一。其次是隱私竊取類病毒占比25.64%,第三名是系統破壞類病毒,占比20.66%。
2. 2017年1至6月手機病毒Top5
3. 2017年1至6月Android手機漏洞Top5
(二)2017年1至6月移動安全事件
1.勒索病毒偽裝成《王者榮耀輔助工具》襲擊移動設備
2017年6月,一款冒充“王者榮耀輔助工具”的勒索病毒,通過PC端和手機端的社交平臺、游戲群等渠道大肆擴散,威脅幾乎所有Android平臺,設備一旦感染后,病毒將會把手機里面的照片、下載、云盤等目錄下的個人文件進行加密,如不支付勒索費用,文件將會被破壞,還會使系統運行異常。
2.315曝光人臉識別技術成手機潛在威脅
2017年315晚會上,技術人員演示了人臉識別技術的安全漏洞利用,不管是通過3D建模將照片轉化成立體的人臉模型,還是將普通靜態自拍照片變為動態模式,都可以騙過手機上的人臉識別系統。此外,315還揭露了公共充電樁同樣是手機的潛在威脅,用戶使用公共充電樁的時候,只要點擊“同意”按鈕,犯罪分子就可以控制手機,窺探手機上的密碼、賬號,并通過被控制的手機進行消費。
3.亞馬遜、小紅書用戶信息泄露助長電話詐騙
2017年6月,亞馬遜和小紅書網站用戶遭遇信息泄露危機,大量個人信息外泄導致電話詐騙猛增。據了解,亞馬遜多位用戶遭遇冒充“亞馬遜客服”的退款詐騙電話,其中一位用戶被騙金額高達43萬,小紅書50多位用戶也因此造成80多萬的損失。
4.病毒偽裝“Google Play”盜取用戶隱私
2017年6月,一款偽裝成“Google Play”的病毒潛伏在安卓應用市場中,該病毒會偽裝成正常的Android market app,潛伏在安卓手機ROM中或應用市場中誘導用戶下載安裝。該病毒安裝后無啟動圖標,運行后,會向系統申請大量高危權限(發短信和靜默安裝等),隨后偽裝成Google Play應用并安裝和隱藏在Android系統目錄下。因為在“/system/app/”路徑下的app默認都是擁有system權限的,所以該病毒樣本可以在用戶不知情的情況下,在后臺靜默下載并安裝應用到手機當中,還會獲取用戶手機中的隱私信息,給用戶造成系統不穩定或隱私泄露等安全性問題。
(三)移動安全趨勢分析
1.手機web瀏覽器攻擊將倍增
Android和IOS平臺上的web瀏覽器,包括Chrome、Firefox、Safari以及采用類似內核的瀏覽器都有可能受到黑客攻擊。因為移動瀏覽器是黑客入侵最有效的渠道,通過利用瀏覽器漏洞,黑客可以繞過很多系統的安全措施。
2.Android系統將受到遠程設備劫持、監聽
隨著Android設備大賣,全球數以億計的人在使用智能手機,遠程設備劫持將有可能引發下一輪的安全問題,因為很多智能手機里存在著大量能夠躲過谷歌安全團隊審查和認證的應用軟件。與此同時,中間人攻擊的數量將大增,這是因為很多新的智能手機用戶往往缺乏必要的安全意識,例如他們會讓自己的設備自動訪問不安全的公共WiFi熱點,從而成為黑客中間人攻擊的獵物和犧牲品。
3.物聯網危機將不斷加深
如今,關于“物聯網開啟了我們智慧生活”的標語不絕于耳,但支持物聯網系統的底層數據架構是否真的安全、是否已經完善,卻很少被人提及,智能家居系統、智能汽車系統里藏有我們太多的個人信息。嚴格來講,所有通過藍牙和WiFi連入互聯網的物聯網設備和APP都是不安全的,而這其中最人命關天的莫過于可遠程訪問的醫療設備,例如大量的超聲波掃描儀等醫療設備都使用的是默認的訪問賬號和密碼,這些設備很容易被不法分子利用。
4.木馬病毒、短信和電話詐騙將聯合作案
常見的電信詐騙,如貴金屬理財詐騙、假冒銀行客服號詐騙、網購退款詐騙、10086積分兌換詐騙等,基本都是由木馬病毒、短信、電話多種方式聯合完成。這種詐騙方式更加智能化、系統化和可視化,詐騙分子甚至可以掌控被感染用戶的通信社交關系鏈,往往導致巨大的資金損失。
三、互聯網安全
(一)2017年1至6月全球網絡安全事件解讀
1.The Shadow Brokers泄露方程式大量0day漏洞
2017年4月 ,The Shadow Brokers再度放出手中掌握的“方程式組織”使用的大量黑客工具: OddJob, EasyBee, EternalRomance, FuzzBunch, EducatedScholar, EskimoRoll, EclipsedWing, EsteemAudit, EnglishMansDentist, MofConfig, ErraticGopher, EmphasisMine, EmeraldThread, EternalSynergy, EwokFrenzy, ZippyBeer, ExplodingCan, DoublePulsar等。其中包括多個可以遠程攻擊Windows的0day。受影響的Windows 版本包括Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。這次泄露的工具也直接導致了后來的WannaCry、Petya的全球爆發。
2.WannaCry勒索襲擊全球
2017年5月,一款名為WannaCry的勒索病毒席卷包括中國、美國、俄羅斯及歐洲在內的100多個國家。我國部分高校內網、大型企業內網和政府機構專網遭受攻擊。勒索軟件利用了微軟SMB遠程代碼執行漏洞CVE-2017-0144,微軟已在今年3月份發布了該漏洞的補丁。2017年4月黑客組織影子經紀人(The Shadow Brokers)公布的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者在借鑒了“EternalBlue”后進行了這次全球性的大規模勒索攻擊事件。
3.Petya病毒借勒索之名襲擊多國
新勒索病毒petya襲擊多國,影響的國家有英國、烏克蘭、俄羅斯、印度、荷蘭、西班牙、丹麥等,包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、郵局、地鐵、船舶公司、俄羅斯的石油和天然氣巨頭 Rosneft, 丹麥的航運巨頭馬士基公司,美國制藥公司默克公司,還有美國律師事務所DLA Piper,甚至是核能工廠都遭到了攻擊。報道稱,這輪病毒足以與五月席卷全球的勒索病毒的攻擊性相提并論。與WannaCry相比,該病毒會加密NTFS分區、覆蓋MBR、阻止機器正常啟動,使計算機無法使用,影響更加嚴重。
4.Amnesia攻擊全球DVR設備組建僵尸網絡
Amnesia是一款基于IOT/Linux蠕蟲“Tsunami”的變種,被黑客用來組建僵尸網絡。它允許攻擊者利用未修補的遠程代碼執行漏洞攻擊其硬盤錄像機( DVR )設備。該漏洞已被安全研究人員在TVT Digital(深圳同為數碼)制造的DVR(硬盤錄像機)設備中被發現,并波及了全球70多家的供應商品牌。據數據統計顯示全球有超過22.7萬臺設備受此影響,而臺灣、美國、以色列、土耳其和印度為主要分布地區。
5.勒索韓國網絡托管公司的Erebus 病毒
2017年6月份,韓國網絡托管公司 Nayana 在6月10日遭受網絡攻擊,導致旗下153臺Linux 服務器與3,400個網站感染Erebus勒索軟件。事件發生后,韓國互聯網安全局、國家安全機構已與警方展開聯合調查,Nayana公司也表示,他們會積極配合,盡快重新獲取服務器控制權限。在努力無果后,Nayana公司最終還是選擇以支付贖金的方式換取其服務器的控制權限,向勒索黑客支付價值100萬美元的比特幣,來解密鎖指定的文件。
6.總結
瑞星安全專家通過對2017年1至6月的互聯網安全事件分析發現,網絡攻擊有可能逐漸演變為網絡恐怖主義,黑客組織有預謀地利用網絡并以網絡為攻擊目標,攻擊全球各個國家,并且破壞國家的政治穩定、經濟安全,擾亂社會秩序,制造轟動效應的恐怖活動。隨著全球信息網絡化的發展,破壞力驚人的網絡恐怖主義正在成為世界的新威脅。為此,防范網絡恐怖主義已成為維護國家安全的重要課題。
(二)全球網絡掃描異常活躍
網絡掃描是一些網絡攻擊的前奏,也是一些網絡威脅活動的體現,通過捕捉網絡掃描行為,可以感知到網絡空間的威脅態勢,是了解網絡空間安全狀況的最好途徑之一。
根據瑞星全球威脅情報采集網絡采集的網絡掃描數據,瑞星總結出以下特點:
1、Telnet默認端口成為最大被掃描對象
大量的Telnet掃描來自于服務器、網絡設備、IoT設備等運行Linux系統的計算設備,主要原因是目前相當活躍的巨大的僵尸網絡,例如Linux.Gafgyt和Linux.Mirai這兩大僵尸網絡家族。
2、445端口被瘋狂掃描
由于今年NSA武器庫泄露,通過445端口利用“永恒之藍”漏洞,成為入侵Windows系統計算機的最為簡單便捷的方法。不久前Linux 上使用的Samba服務也爆出遠程執行漏洞(CVE-2017-7494),影響Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中間的版本,同樣是使用445端口,被稱為Linux上的“永恒之藍”。
Windows系統和Linux系統這兩個漏洞的產生直接導致了445端口的瘋狂掃描和針對性的攻擊事件的暴增。通過該漏洞傳播的WannaCry勒索以及后來的Petya,同時借助該漏洞傳播的門羅幣挖礦機和組建僵尸網絡的各種BOT肆虐網絡,極大破壞了網絡環境。
基于如此高頻的445掃描,再次提示務必做好服務器安全工作,安裝相應的安全更新,避免成為網絡掃描者手到擒來的“獵物”,徹底結束NSA武器庫泄露帶來的不良影響。
3、來自中國地區的網絡掃描對數據庫服務更感興趣
數據顯示,從IP的角度看,來自中國的網絡掃描更加青睞數據庫服務器。其中,對MySQL、MSSQL的掃描次數、源IP個數,都位于全球第一。雖然無法準確判斷掃描者在確認數據庫服務類型之后的下一步動作,但也不妨礙我們推斷出“掃描者”對數據庫服務及數據資產的渴望。
(三)僵尸網絡持續影響全球網絡
根據2017上半年采集的數據顯示,全球范圍內最為活躍的兩大著名的僵尸網絡,分別為Linux.Gafgyt/Linux 和 Linux.Mirai。
Linux.Gafgyt最主要的功能是Telnet掃描。在執行Telnet掃描時,木馬會嘗試連接隨機IP地址的23號端口。如果連接成功,木馬會根據內置的用戶名/密碼列表,嘗試猜測登錄。登錄成功后,木馬會發出相應命令,下載多個不同架構的BOT可執行文件,并嘗試運行。
Linux.Mirai病毒是一種通過互聯網搜索并控制物聯網設備并發起DDOS攻擊的一種病毒,當掃描到一個物聯網設備(比如網絡攝像頭、智能開關等)后就嘗試使用默認密碼進行登陸,一旦登陸成功,這臺物聯網設備就進入“肉雞”名單,黑客操控此設備開始攻擊其他網絡設備。
構建僵尸網絡IOT設備類型分布
四、趨勢展望
(一)勒索軟件蠕蟲化
勒索軟件蠕蟲化的結果是恐怖的,2017年的WannaCry就震驚全球。通過蠕蟲的傳播手段將勒索軟件迅速的分發到全球存在漏洞的機器上,造成的破壞將是毀滅性的。以往的傳播手段主要是通過垃圾郵件和EK工具網站掛馬等,采用被動手段,效果有限。但通過蠕蟲化被動為主動,將起到“事半功倍”的效果。“WannaCry”已經驗證了效果。不能想象勒索軟件和蠕蟲在不久的將來將會結合得愈來愈緊密。
(二)Linux病毒仍保持快速增長
2017年1至6月,瑞星“云安全”系統共截獲Linux病毒樣本總量42萬個,遠遠超過了2013年、2014年和2015年的總和。瑞星早在2014年底發布的《Linux系統安全報告》就已預測,在接下來幾年中針對Linux 的病毒將要有個爆發性的增長。這種增長勢頭可以預見仍將持續很長一段時間。
在2017年上半截獲的Linux平臺的惡意軟件種類可以看出,僵尸網絡依然是Linux平臺下最為活躍的惡意軟件類型。其中Linux.Gafgyt和 Linux.Mirai依然是最為流行、活躍的僵尸網絡,這也解釋為了為何Telnet/SSH端口被大量掃描。
另外,針對Linux系統的勒索軟件數量也開始上升,雖然數量遠遠不及Windows平臺,主要還是受眾人群數量少和攻擊面狹窄的原因,但是一被勒索,損失將會非常慘重。相對于個人PC而言,運行Linux的服務器、網絡設備、IoT設備,一旦受到勒索軟件的入侵,將導致數據丟失、系統停機等現象,后果更為嚴重,損失也更為巨大。
瑞星安全專家對目前典型的Linux惡意軟件進行了簡單說明:
1、致使大半個美國斷網的Mirai病毒
2016年10月份,美國互聯網服務供應商Dyn宣布在當地時間21日早上6點遭遇了一次“分布式拒絕服務”(DDoS)攻擊,Dyn為互聯網站提供基礎設施服務,客戶包括推特、Paypal、Spotify等知名公司,該攻擊導致許多網站在美國東海岸無法登陸訪問。這次攻擊的背后的始作俑者是一款稱為“Mirai”的蠕蟲病毒,Mirai病毒是一種通過互聯網搜索物聯網設備的病毒,當掃描到一個物聯網設備(比如網絡攝像頭、智能開關等)后就嘗試使用默認密碼進行登陸,一旦登陸成功,這臺物聯網設備就進入“肉雞”名單,黑客操控此設備開始攻擊其他網絡設備。據統計一共有超過百萬臺物聯網設備參與了此次 DDoS 攻擊。
2.勒索韓國網絡托管公司的Erebus病毒
2017年6月份,韓國網絡托管公司 Nayana 在6月10日遭受網絡攻擊,導致旗下153臺Linux 服務器與3,400個網站感染Erebus勒索軟件。事件發生后,韓國互聯網安全局、國家安全機構已與警方展開聯合調查,Nayana公司也表示,他們會積極配合,盡快重新獲取服務器控制權限。在努力無果后,Nayana公司最終還是選擇以支付贖金的方式換取其服務器的控制權限,即向勒索黑客支付價值100萬美元的比特幣,來解密鎖指定的文件。
3.以DVR設備為目標的IOT蠕蟲Amnesia
Amnesia是一款基于IOT/Linux蠕蟲“Tsunami”的變種,被黑客用來組建僵尸網絡。它允許攻擊者利用未修補的遠程代碼執行漏洞攻擊其硬盤錄像機( DVR )設備。該漏洞已被安全研究人員在TVT Digital(深圳同為數碼)制造的DVR(硬盤錄像機)設備中發現,并波及了全球70多家的供應商品牌。據數據統計顯示全球有超過22.7萬臺設備受此影響,而臺灣、美國、以色列、土耳其和印度為主要分布區。
4.感染家庭路由器用來”挖礦”的Darlloz 蠕蟲病毒
Darlloz 是一款Linux IoT蠕蟲病毒,能夠迅速感染家用路由器,機頂盒,安全攝像頭以及其它一些能夠聯網的家用設備,成功感染后會在設備中安裝CPUMiner程序進行挖礦,將這些個設備變成為攻擊者賺錢的礦機。其中中國、印度、韓國和美國受感染較嚴重。
5.CIA OutlawCountry和Gyrfalcon的曝光
維基解密最近曝光了CIA項目OutlawCountry,這個項目的目的在于讓CIA能夠入侵并且遠程監聽運行Linux系統的電腦。CIA黑客能夠把目標計算機上的所有出站網絡流量重定向到CIA控制的計算機系統,以便竊取或者注入數據。OutlawCountry工具中包含一個內核模塊,CIA黑客可以通過shell訪問目標系統加載模塊,并且可以在目標linux主機創建一個名稱非常隱蔽的Netfilter表。“OutlawCountry 1.0版本包含針對64位CentOS/RHEL 6.x的內核模塊,這個模塊只會在默認內核下工作。另外OutlawCountry v1.0只支持在PREROUTING中添加隱蔽DNAT規則。
Gyrfalcon也是維基解密曝光的CIA內部一款針對Linux的工具。Gyrfalcon 能夠收集全部或部分 OpenSSH 的會話流量,包括 OpenSSH 用戶的用戶名和密碼。Gryfalcon 的工作原理是通過以 OpenSSH 客戶端為目標,在活動的SSH會話中獲取用戶信息。通過這款工具竊取到的信息以加密文件的方式保存在本地,后通過通訊渠道傳送到攻擊者的計算機上。
瑞星安全研究人員通過分析全球的僵尸網絡發現,大量組建僵尸網絡用來DDos攻擊的,Linux系統占的比較多。具體僵尸網絡利用惡意軟件列表如下:
(三)物聯網(IoT)設備面臨的安全威脅越發突出
IoT設備最近幾年發展神速,但是隨之增加的安全問題愈加嚴峻。這些設備中往往缺乏相關的安全措施,而且這些設備大多運行基于Linux的操作系統,攻擊者利用Linux的已知漏洞,能夠輕易實施攻擊。致使大半個美國斷網的Mirai,以DVR設備為目標的Amnesia,感染家庭路由器用來”挖礦”的Darlloz等病毒都將矛頭指向了這些脆弱的IoT設備。可以預見這些脆弱的IoT設備隨著數量的增加,安全問題將愈發嚴峻。
專題1:網絡攝像頭泄露用戶隱私分析報告
近兩年來網絡攝像頭市場火爆,購買一個小小的攝像頭,通過家庭WIFI接入網絡,不需要太過于復雜的設置,簡單的注冊賬號配對成功后,用戶就可以在手機端實時查看你要的監控畫面,甚是方便。而且網絡攝像頭價格低至百元,入手門檻非常低,所以很快便成了居家防盜、監控寵物、公司監控等方面的利器。
1、攝像頭漏洞形成
用戶在使用攝像頭設備進行配置時,會分配一個公網IP和端口,設備默認存在admin,user,guest登錄用戶,密碼均為默認密碼或簡單密碼。通過訪問公網IP和端口,輸入賬號和密碼就可以登陸攝像頭監控管理界面,對攝像頭所拍攝的畫面進行實時管理和監控。
由于用戶安全意識較低,對網絡攝像頭所帶來的危害沒有直觀意識,并沒有對設備默認的賬戶進行修改,導致惡意攻擊者通過網絡掃描進行攻擊,獲取到攝像頭公網IP和端口,對賬戶和密碼進行攻擊,成功獲取攝像頭管理界面,甚至可對攝像頭設備進行管理、錄像,拍照,語音監聽等操作。
2、攝像頭掃描設備在群里公開售賣
瑞星安全專家通過某平臺搜索到各種網絡攝像頭品牌,價格不等,有的支持wifi功能,無需布線即可使用,可進行家用或商用,可謂功能齊全。
通過暗訪,加入攝像頭破解交流群,然后就有人主動詢問是否需要攝像頭IP地址,可實時觀看監控畫面,也有人詢問是否需要攝像頭設備掃描軟件,在攝像頭錄像交流群中里發現有人對攝像頭IP地址進行販賣,一批攝像頭IP地址包括成功的賬號和密碼,IP地址數量幾十到幾百不等,1個攝像頭IP地址售賣30元,2個可監控的攝像頭IP地址售賣50元不等。
通過調查發現,有人會在群里發布某些被黑用戶的家庭隱私錄像、圖片等,在某個時間段還要進行實時播放,這將對被黑用戶的個人隱私造成極大的危害。
同時,有人還會對攻擊成功的攝像頭設備進行標注,分類明確,同時可監控幾十個攝像頭設備。惡意攻擊者對攝像頭用戶進行實時監控,觀看用戶的日常起居。想想在生活中的一舉一動都被人時時刻刻監視,就令人害怕。
也有人對攝像頭設備掃描軟件進行出售,售賣價格為50元。購買者自己購買了軟件后自己進行攝像頭設備掃描。通過渠道得到一款攝像頭設備掃描軟件,軟件配置簡單,輸入IP地址點擊開始就能自動掃描。
通過分析發現,軟件是全自動,如果掃描成功會輸出結果,成功的顯示登陸成功并附帶登錄賬號和密碼,失敗的顯示登陸失敗。用戶和密碼都是較為常見的簡單類型,大多數用戶名和密碼相同,也有較為簡單的密碼。
使用掃描成功的進行連接,通過訪問IP地址和端口,輸入正確的賬號密碼,就能進入到監控界面,經過短暫加載,攝像頭遠程傳輸的畫面開始播放,且清晰度相當高,可以看到室內的物品擺設,也能看到部分物品的字體、畫面是實時播放,在界面功能中可以對監控進行錄像、拍照、監聽等操作。
瑞星安全專家稱這種掃描主要依靠掃描器掃描,通過掃描器對IP地址和端口進行大范圍的掃描,掃描出匹配的攝像頭設備類型,然后使用一些弱口令密碼進行校驗登錄,常見的網絡攝像頭設備弱口令是admin,user,guest,123456,admin123,admin888。
3、網絡攝像頭同樣支持APP
通過分析發現網絡攝像頭同樣支持APP,在手機上安裝一款APP軟件,選擇相應的產品型號,填上IP地址和端口,輸入正確的用戶名和密碼,就能監控到攝像頭拍攝的畫面。
網絡安全專家從測試結果來看,目前有關視頻畫面泄露的問題主要集中在網絡攝像頭云平臺登錄邏輯漏洞問題和手機APP軟件漏洞兩個方面,其他可能導致信息泄露的問題也存在,但是相比之下數量較少。
4、網絡攝像頭被曝近八成不合格
據了解,目前市面上的網絡攝像頭多數分為兩種:一種是連接在PC端,作為視頻聊天使用,價格不是很高,安全系數較低;另一種是固定在家中某個位置,常年與家中的WiFi相連接,起到安全保護的作用,價位高,看上去比較安全。
其實,這兩種攝像頭都存在不同的安全風險。如果攝像頭直接連接到網絡上,那么安全風險是一樣的。視頻攝像頭在電腦開機時,還有可能存在被“直播”的隱患。一位業內人士表示,用做安保的攝像頭因為長期處于工作狀態,信息被盜取的可能性就更大一些。
之前,央視曾多次報道過攝像頭漏洞泄露用戶隱私的問題,這種曝光是為了讓民眾在生活中的隱私能夠有一個自我保護的安全意識行為,但是結果卻相反,大多數用戶對于個人隱私的保護意識相對薄弱。
5、安全專家建議
1、購買監控或者智能家居產品時,盡量選擇一些大品牌和正規廠商,可以對所選品牌進行一些調查,根據相關報道了解產品的安全和口碑如何。在安全性和管理規范上,正規廠商相對于小廠商來講更安全。
2、在使用時,對默認密碼進行修改,設置一定強度的密碼,及時關注攝像頭軟件的提醒。
3、經常登錄攝像頭進行查看,如發現實際拍攝角度與安裝時發生變化等情況,需要檢查賬號安全并及時修改密碼。
4、關注所用品牌攝像頭安全方面的消息,如果發現設備漏洞應停止使用,等待廠家更新,并保證所使用的攝像頭軟件是最新版本。
專題2:反病毒技術分享:動態防御成“敲詐軟件”最有效克星
眾所周知,腳本病毒與宏病毒是勒索軟件經常使用的傳播手段,近年來,“敲詐軟件”呈現快速增長趨勢,病毒作者經常將病毒腳本作為郵件附件發送給受害者,其運行后會下載勒索病毒等高危病毒,使用戶造成嚴重的經濟損失。
瑞星安全專家介紹,Nemucod家族是一個近年來十分流行的腳本病毒,其主要是一些混淆變型的JS或VBS腳本,被“黑客”附加在電子郵件中投遞給潛在受害者,激活后腳本代碼從遠程服務器下載勒索軟件到本地并運行。
瑞星安全專家通過持續跟蹤近期收集的相關家族樣本,發現由于腳本代碼混淆成本非常低,同一個版本的源碼,可以在短時間內通過不同的混淆策略構造出大量的不同靜態特征的變種類型。下面,瑞星安全研究員將分別介紹樣本的一些靜態混淆變化特點以及動態對抗手法。
一、靜態混淆變化特點
Nemucod家族樣本混淆的時候,主要是對原樣本代碼中出現的關鍵字符串(如:網址,函數方法名,函數調用參數串等)進行處理,一種是對字符串明文進行隨機長度拆分,執行的時候進行拼接。另一種是對整個字符串進行加密,執行時通過特定函數解密后再使用。
(1)明文串隨機拆分
對于拆出來的子串,依據JS的語法特點,主要有三種表現形式:字符串形式,數組形式和函數形式。
(2)通過解密函數解密
除了核心字符串混淆之外,整個代碼文件還用了一些其他的混淆策略,常見的有三種:變量名和函數名長度內容隨機化,隨機插入無效的垃圾代碼和隨機插入各種注釋信息。無效垃圾代碼主要表現形式:隨機插入重復的賦值語句,構造無效的代碼塊。
二、動態對抗手法
瑞星安全專家經過分析發現,大量Nemucod變種經過動態還原后,其實所對應的源碼模板變化不太大。通過動態跑JS腳本,獲取腳本運行的中間結果進行檢測,效果顯著。但是,動態跑JS代碼需要依據代碼邏輯動態執行,若虛擬機對于某些函數功能模擬不正確就導致最終跑出來的中間結果是不完整的,從而影響特征掃描。對抗腳本虛擬機,目前發現的有以下幾種方式:
(1)檢測運行環境
調用接口獲取Windows目錄下第一個子目錄,檢測該子目錄文件名長度,若文件名長度大于1則執行代碼。
調用接口獲取C盤文件系統類型,若文件系統類型為NTFS且特定變量符號指定類型才執行代碼。
調用接口獲取C盤磁盤容量,若磁盤容量字節數大于特定值才執行代碼。
調用接口,獲取C盤host文件屬性和類型,滿足指定值才執行代碼。
調用接口獲取C盤的序列號,非0的情況下才執行代碼。
調用接口獲取當前操作系統的語言類型,只有包含1033(英語)的才執行代碼。
對于特定語句/*cc_on */這個語句在IE和Wscript環境中,被當作代碼語句執行,而在一般的Jscript引擎中,/**/會被當作注釋,所包含的語句是不會被執行的。從語句邏輯可知,一般的模擬器是不會執行變量Time申明和復制操作那一句的,那么后邊的和Time變量相關的方法調用也會出錯。
調用接口設置當前時間值(秒),立馬獲取當前時間值(秒),若設置的值與獲取的值相同則執行代碼。
(2)下載域名隨機化
每個變種所帶的下載域名都不同,而且沒有變化規律,在域名串上攔截很難。
(3)多層腳本嵌套執行
使用多層腳本調用執行功能,即使JS層被跑開了,但是內層的腳本依然存在混淆,那么單單跑開外層腳本,得到的腳本串依然存在混淆,那就加大了檢測的難度。
第一層混淆是JS的,若順利跑開后,可以得到內層的PowerShell腳本,通過CMD命令行方式啟動的,可以看到內層的PowerShell腳本也是這種字符串隨機拆分然后拼接執行的。
通過上述內容我們可以看到,Nemucod家族樣本在靜態混淆變化上,依據所用語言的語法特性,把樣本核心功能串碎片化并且增加各種垃圾代碼,使得樣本代碼膨脹,代碼邏輯結構復雜化。在動態對抗手法上,通過構造奇特的代碼運行條件,使用多層代碼調用策略并且層層代碼做混淆,增加動態還原JS代碼的難度。
殺毒軟件在檢測該家族樣本時,不管是從靜態特征上還是從動態行為上,都會增加不小的難度。與病毒之間的對抗本來就是你來我往,持續跟蹤家族樣本并且及時依據樣本特征更新殺軟的檢測方式方法,才能很好實現對該家族的查殺。
專題3:The Shadow Brokers方程式工具包分析
2017年4月,The Shadow Brokers公布了第三批NSA(美國國家安全局)使用的網絡入侵工具。泄露的資料中包括一整套完整的入侵和控制工具。泄露資料中包括FuzzBunch 攻擊平臺,DanderSpiritz 遠控平臺,和一個復雜的后門oddjob還包括NSA 對SWIFT進行攻擊的一些資料信息。經分析這一次泄露出來的工具涉及的面更廣,危害也更大。
FuzzBunch 攻擊平臺
FuzzBunch攻擊平臺主要是通過遠程溢出攻擊網絡上存在漏洞的機器,攻擊成功后植入指定后門。該平臺類似于大名鼎鼎的Metasploit工具,但更先進的是它使用的exp幾乎全是操作系統級的遠程溢出0day,攻擊目標幾乎囊括了全系列的Windows系統。雖然微軟在MS17-010中放出了補丁,但對于那些沒有及時打補丁和內網中的用戶來說,這幾乎就是一個災難。
此次放出來的exp大部分是針對SMB協議的,SMBv1、SMBv2和SMBv3的都有,不難看出NSA非常鐘情于SMB協議的漏洞。受影響的操作系統從Windows NT,XP到2012全線覆蓋。在部分python源碼里面顯示工具開發早于2012年,幾乎所有的exp都是系統級的遠程溢出,不需要什么釣魚啊,訪問網頁啊,打開文檔等用戶交互操作,只要能訪問到你機器就可以攻擊,而且是指哪打哪,細思恐極!可想而知,這些年來NSA通過這些漏洞在互聯網上來去,幾乎就是如入無人之境。此處放出來的文件分析發現還并不是所有的文件,不排除NSA正在使用更多更先進的工具。
平臺框架由python開發,功能采用模塊化實現,易于擴展。主要模塊如下表所示:
平臺使用類似MSF,采用傻瓜化操作,只要指定攻擊的IP、Exploit和Payload就可以進行工作。Exp相對穩定,在幾臺測試的未打補丁的機器上都能成功溢出。
圖:使用Eternalblue溢出XP成功
圖:使用Eternalchampion溢出xp成功
Eternalblue溢出成功后默認在用戶的機器上植入Darkpulsar Payload。該Payload的功能相對較少,主要功能有執行shellcode和加載DLL,為以后植入復雜的后門做準備。
這些攻擊工具危害是巨大的,好在微軟在上個月發布的MS17-010的補丁中對這些個漏洞進行了修復。用戶為了避免被攻擊,需及時更新補丁,由于Windows XP和2003,微軟已經停止更新,用戶必須手動關閉139,445和3389等端口,避免受到攻擊。
DanderSpiritz 遠控平臺
DanderSpiritz是泄露工具中的一整套完整的遠控平臺。由Java實現的框架,python實現的插件系統。和許多世面上常見的后門的模式類似,可以主動連接控制端也可以等客戶端反彈回來。還有一種比較有意思的模式:Trigger模式,向指定的主機發送一個HTTP包或一封郵件去觸發后門。
圖:主界面截圖
平臺可以配置生成PeedleCheap后門。后門可以是EXE也可以是DLL,支持32位和64位系統。
配置選項中可以指定監聽的端口,可以指定反彈的IP和端口,還可以指定要注入的進程名,同時,還會生成一對RSA公私鑰,供后門中使用。
圖:配置成功生成的后門
后門可以通過Darkpulsar進行植入,也可以單獨以文件的形式進行植入,該后門的功能豐富,終端、文件操作等所有想要的功能都具備了,是一個功能非常全面的后門。
圖:終端支持的命令
DanderSpiritz中的功能不僅只有這一個后門那么簡單,具體有哪些能力還在研究中,隨著研究的深入,肯定還會有新的功能被發掘出來。
總結
從這些泄露的攻擊工具中不難看出NSA的攻擊步驟,先使用FuzzBunch平臺進行溢出攻擊,溢出成功后加載Darkpulsar,再通過Darkpulsar植入PeedleCheap,最終反彈到DanderSpiritz平臺。
此次泄露的是完整的一套攻擊工具,任何人拿來經過一定的摸索就可以使用進行攻擊。雖然微軟補丁已經發布,FuzzBunch平臺可能會失去作用,但是DanderSpiritz卻可以拿來一直使用,危害較大。