2018上半年网络安全观察
2018-08-22
近年来,安全事件逐渐成为媒体的宠儿,尤其是个人信息泄露、银行资金窃取和IoT 设备的攻击利用事件 牵动着众人的眼球。在公众关注度方面,从近两年的百度指数就能看出,“个人信息泄露”和“黑客”等关键词的整体日均值都在历史中高位波动,网络安全和信息安全已经不仅仅是一个技术问题,而是关乎普罗大众的民生问题。
与此同时,安全厂商的视角也在慢慢变化。从RSA 近年的主题上看,2016 年的“Connect to Protect”,2017 的“Power of OpportUNITY”到2018 年的“Now Matters”,同时,关键词也从往年的威胁情报、人工智能到今年的应急响应和威胁狩猎,可以看出,安全厂商们不再满足于概念性的奔走呼号,联动防御和破除孤岛已成共识,在多年的技术积累上厚积薄发,真真正正化被动为主动,切切实实关注落地实效和响应时效。
漏洞发现,攻击利用和应急响应,是攻防双方角力的主战场。兵者诡变,从去年的臭名昭著的Wannacry 事件到后来的WannaMine和Smominru,永恒之蓝漏洞相继被用在勒索软件和挖矿僵尸网络中,攻击的目标和攻击的手段在变,不变的是攻击者对利益的诉求。兵贵神速,安全的战役,难就难在防御者如何才能在攻防条件不对等的情况下,快速地跟进形势,扩充自己的武器库和提前布局。孙子曰“知彼良知,胜乃不殆;知天知地,胜乃不穷”。
威胁情报的核心正是一个“知”字,从数据到信息到知识,这几年来的落地实践逐渐让安全厂商能够从海量的攻击数据、基础数据和外部情报中,去伪存真,抽丝剥茧,对攻击者个体能够形成多个剖面的详尽刻画,同时对攻击者群体能够快速提取共性及关联,构建出网络空间的深层感知体系。
据金沙js1996威胁情报中心观测,近20% 的攻击源发起过多种类型的攻击,其攻击类型的转换时序满足攻击链逐步深入的特性,例如百分之五十的Web 攻击者会在随后尝试更为复杂的漏洞利用攻击。僵尸主机也有相当部分具备蠕虫的特性,在被感染后相继进行扫描和漏洞利用操作,快速补充僵尸军团的新生力量。同时,不同类型的攻击资源存在复用的情况,例如发起恶意扫描的攻击源,其中的44% 在之后成为垃圾邮件源。一方面可以看出,攻击者较为关注自身的攻击成本,尽可能榨干获取的肉鸡价值。另一方面也可以看出,时间成本和规模效应也是攻击者关心的重点。
从攻击流量来看,挖矿病毒、蠕虫和木马等类型的恶意软件的活跃数量在2月下旬到3 月上旬期间均有一定程度的回落或在低位徘徊,当时正逢新春佳节,一定程度上说明监测范围内的大部分攻击者应为华人。另一方面,比特币价格的持续萎缩似乎并没有影响攻击者对加密货币的投机偏好,挖矿类恶意程序在春节过后持续升温,其活跃状况暗合加密货币的涨跌趋势。在各类挖矿病毒中,针对门罗币的WannaMine 尤为活跃,在挖矿活动中占比超过70%。Palo AltoNetworks 研究1 也表明门罗币是恶意程序非常青睐的币种,5% 的门罗币经由恶意程序开采出来。
2018 年上半年,在我们持续监控到的超2700 万攻击源IP 中,有25% 在历史上曾被监测到多次攻击行为,我们称之为“惯犯”。惯犯产生的可能原因有二,其一为攻击资源的复用,其二是暴露在公网上大量IP 基础设施的安全状况长期得不到改善,被不同的攻击者利用。惯犯承担了40% 的攻击事件,其中僵尸网络活动和DDoS 攻击是惯犯们的主流攻击方式。今年上半年披露的漏洞主要集中在中危漏洞,高危和漏洞比例与去年同期相比均有所下降。值得关注的是,其中获取和利用难度低、危害程度大的漏洞主要集中在数个移动设备或者网关类设备制造商的相关产品中。设备类和网关类产品通常覆盖面广,一旦被攻击者利用,影响面会快速扩大。网络空间可以说是全球的软件开发者构建起来的,软件开发流程越来越依赖世界各地的开发者通力合作,在这期间形成了各种包管理器、版本管理工具和代码分享与托管平台等软件开发基础设施。据观测,Pastebin 和GitHub 等代码分享与托管平台日渐成为恶意软件的温床,许多恶意可执行文件经base64 编码后上传,同时此类平台往往全站使用HTTPS,使得该类行为在流量层面更加难以检测。同时,我们也监测到此类平台造成大量的信息泄露,例如开发者的代码段,电子邮件用户名密码,数据库结构等。