《2015年网络安全威胁的回顾与展望》由会员分享,可在线阅读,更多相关《2015年网络安全威胁的回顾与展望(23页珍藏版)》请在金锄头文库上搜索。
1、 2015 年网络安全威胁的回顾与展望 安天 文档信息 作者 安天安 全研 究与 应急 处理 中心 (Antiy CERT) 本版本 更新 时间 2016 /01/17 17:30 首次 发布 时间 2016 /01/07 09:00 初稿 完成 时间 2015 /12/08 14:21 背 景 介 绍 从去年开始,安天颠覆了 自身传统的数据表年报的 风格,面对当前威胁的纵 深化、复杂化特点,大量简单的统计已经失去意 义,我们非常明确地提出 了做“观点型年报”的自 我要求。尽管我们拥有更多的样本、更多的 数据 ,但我们依然不敢说已经 能够驾驭安全大数据,目 前我们能做到的只有学习和思 考, 我
2、们 要学 习更 丰富的 数据 分析 方式 , 我 们要做 能独 立思 考、 有观 点、 有 立场 的安 全团 队,而非做 大数 据和 计算 资源 的奴隶 。 版 权 说 明 本文版权属于安天实验室 所有。本着开放共同进步 的原则,允许以非商业用 途使用自由转载。转载时需注明文章版权、出处 及链接,并保证文章完整 性。以商业用途使用本文 的,请联系安天实验室另做授 权 。 初稿完成时间: 2015 年 12 月 08 日 14 时 21 分 首次发布时间: 2016 年 01 月 07 日 09 时 00 分 本版 更新时间 : 2016 年 01 月 17 日 17 时 30 分 目 录 1
3、导语 . 1 2 高级持续性威胁( APT)的层次分化 . 2 2.1 2015 年被曝光的高级持续性威胁( APT)事件 . 2 2.2 日趋活跃的“商业军火 ” . 4 2.3 APT 的层次化能力 . 6 2.4 不要误读 APT . 8 3 非法泄露的数据和隐私正在汇入地下经济的基 础设施 . 9 4 用户需要负责任的漏洞披露机制和更细腻的漏 洞应急指导 . 12 5 勒索软件引领 PC 恶意代码威胁关注度,成为用户的噩梦 . 13 6 威胁将随“互联网 +” 向纵深领域扩散与泛化 . 15 7 思考 2016 . 17 7.1 2016 年网络安全形势预测 . 17 7.2 我们在行
4、动、我们在路上 . 18 8 2015 的辞岁心语 . 18 附录一:参考资料 . 19 附录二:关于安天 . 20 2015 年网络安全威胁的回顾与展望 安天实验室 版权所有, 欢迎无损转载 第 1 页 1 导语 面对 威胁高速演进变化、防御技术同样快速改善 的现状 ,无论我们做怎样的努力,都 已 无法用一篇年报来涵盖网络安全 威胁 的全景 , 这 亦 使 参与本文档编写的 安天分析 工程师们无比纠结。对于 安天安全研究与应急处理中心 (安天 CERT) 来说 ,在数年前,年报工作是相对简单 的 ,我们只需从恶意代码存储和分析的后台系统导出足够多的统计图表,就可以构成一篇年度报告。在网络安全
5、领域, 恶意代码自动化分析是一个成型较早的基础设施, 恶意代码 样本集更 是一个非常容易进行统计的大集合 ,这一度让我们偏离了网络安全的本质,弱化了我们对保障用户价值的 信念 。 同时,我们也深知,我们自己的工作是 局限 的, 安天的分析工作更多 地 是 围绕 如何 防御 高级持续性威胁( APT) 攻击和恶意代码 展开 ,我们坦诚 面对 自己对 WEB 安全、漏洞挖掘等领域 技能积累 的一贯不足 。此外, 由于 安天 CERT 的 部门 分工所决定 的分析视野 的不同 , 本年报 涉及到 的 移动安全 相关 内容 较少 ,安天移动安全公司( AVL TEAM) 后续 会单独发布移动安全年报。
6、 从去年开始,安天 颠覆 了自身传统的数据表年报的风格,面对当前威胁的纵深化、复杂化 特点 ,大量简单的统计已经失去意义,我们非常明确地提出了做“观点型年报”的自我要求。尽管我们拥有更多的样本、更多的数据,但我们依然不敢说已经能够驾驭安全大数据,目前我们能做到的只有学习和思考,我们要学习更丰富的数据分析方式,我们要做能独立思考、有观点、有立场的安全团队,而非做大数据和计算资源的奴隶。 2015 年网络安全威胁的回顾与展望 安天实验室 版权所有, 欢迎无损转载 第 2 页 2 高级持续性威胁( APT) 的层次分化 图 I 2015年 APT事件 时间与地理位置分布 2.1 2015 年 被曝光
7、的 高级持续性威胁( APT) 事件 APT 攻击继续引领 2015 年 的威胁大潮 。从 2 月 , 方程式 ( Equation) 组织浮出水面 ; 到 5、 6 月 , APT-TOCS和 Duqu2.0 相继露出峥嵘 ; 再到 8 月 , 蓝白蚁 ( Blue Termitex)事件 的公布 , 2015 年全年共 曝光 了十 多 起APT 事件。虽然相较于 2014 年, 曝光 事件总体数量有所减少 , 但 从威胁事件的影响力 和技术水准 来看,高水准的攻击手法、系统化的攻击平台 、 商 用木马和标准化渗透平台的使用,使得 方程式、 Duqu2.0和 APT-TOCS等事件 都 极具
8、代表性。 在 2015 年的 APT 事件中, “方程式( Equation)” 1攻击是较早被披露且含金量极高的攻击事件。 方程式( Equation) 组织是一个活跃了近 20 年的攻击组织 ,其将 APT 的 特点 P( 持久化 ) 展现的淋漓尽致 。 该组织不仅能够早于其他组织发现 更多 0day 漏洞,且 拥 有一套用于植入恶意代码的超级制式信息武器库,其中 最受关注、最具特色的攻击武器是 两个可以对数十种常见品牌硬盘 实现 固件 植入的 恶意模块 。作为一种高级的持久化手段,其既可以用于感染后的植入 , 也可以与臭名昭著的“物流链”劫持搭配使用 。相比 之前我们分析过的 BIOSK
9、IT 和 BOOTKIT,该恶意模块具有 更高 的 隐蔽 性,更加 难以分析 。 但 多数被 方程式( Equation) “光顾” 过的节点,并未 触发 持久化 功能 , 这说明 该组织具有 坚持获取高价值目标的原则。 根据 对相关硬盘固件接口的分析, 我 们 认为,相关接口和参数的获取, 通过人力和时间投入, 依托技术文档2015 年网络安全威胁的回顾与展望 安天实验室 版权所有, 欢迎无损转载 第 3 页 和逆向分析完全可以 实现 。因此, 安天 CERT 不倾向于 固件接口的获得 是 相关 情报机构 与 产业 界 协作的结果,其更多体现出的是攻击组织及 其资源体系 强大的分析能力和坚定
10、的作业意志 ,也包含其针对上游进行渗透作业的可能性 。 而 方程式组织所采用的加密策略, 则 体现出了其作业的严密性,安天 CERT 于 2015 年4 月发布 的 方程式 ( EQUATION) , 组件加密策略分析 2,对此进行了进一步分析。 图 II 方程式 ( Equation) 恶意 代码 的演进、原理与机理 2011 年后,没有安全厂商或组织报道 Duqu 继续活跃的迹象 , 业内一度认为其已经停止活动。 然而 在2015 年 初发现的一系列攻击事件中 , 出现了 Duqu 的全新版本 , Duqu2.0 就此 重装上阵 ,并对卡巴斯基进行了渗透攻击 。 Duqu2.0 的重要特点是 恶意代码只会驻留在被感
