從2018年1月到6月,網絡安全形勢出現新變化。一方面,網絡安全態勢變得越來越複雜,數據洩露、DDoS攻擊等事件愈演愈烈;另一方面,伴隨著數字加密貨幣的興起,有關虛擬貨幣的安全事件頻頻發生,無論是黑客攻擊,還是加密貨幣挖礦惡意軟件,都讓"幣圈安全"成為安全界關注的新話題。
同時,我們看到國內企業安全意識覺醒力度不夠、安全投入不足;企業在準備不足的情況下,依然面臨數據安全保護的巨大挑戰。更重要的是,即將到來的5G/IPv6/IoT時代將深刻改變互聯網的安全格局。
來自Check Point公司發佈的《網絡攻擊趨勢:2018年中報告》表明,網絡犯罪分子使用加密貨幣挖礦(cryptomining)惡意軟件對企業策動攻擊,以此增加非法收入來源。同時,雲基礎設施逐漸成為熱門的攻擊目標。
另外,我國網絡安全領域相關標準的體系化正在加速構建和形成,而商用密碼應用的安全正成為國家重點推進的新領域,並且網絡安全正成為企業數字化轉型的一項標配能力與品牌。
一、 DDoS攻擊
一直以來,DDoS攻擊都是互聯網的公敵。騰訊安全雲鼎實驗室披露的報告表明:在各種防禦設備圍追堵截的情況下,攻擊者夜以繼日地鑽研對抗方法、研究新的攻擊方式;而且向平臺化、自動化的方向發展,不斷增強攻擊能力。
2018年上半年,DDoS攻防如火如荼地發展,以IoT設備為反射點的SSDP反射放大尚未平息,Memcached DDoS又異軍突起,以最高可達5萬的反射放大倍數、峰值可達1.7Tbps的攻擊流量成為安全界關注的新焦點。
1. DDoS攻擊行業分類情況:
目前,遊戲行業成為DDoS攻擊的首選目標,這是因為遊戲行業其日流水量最大、變現快。其次是門戶網站/社區、IT服務/軟件、電商、移動應用視頻等。值得關注的是,在醫療、物聯網、教育等傳統行業互聯網化後,也遭受到不同程度的攻擊,且呈上升趨勢。
2. DDoS攻擊的類型佔比統計
根據報告,在DDoS攻擊類型中,反射放大佔比最多,約為55.8%。今年三月以來,Memcached是一支新興的反射放大力量,很快得到DDoS黑產界利用。反射放大佔比如此之高的原因在於DDoS黑產的自動平臺化,即無需人工干預,完全自動流程可完成攻擊的所有操作。作為DDoS攻擊的主要攻擊方法,SYN Flood排名第二;NTP反射排名第三。
3. 攻擊流量帶寬分佈情況
目前來看,1-5G的攻擊次數最多,佔比約38%。大多數的攻擊均在100Gbps以下,攻擊過百G的次數佔總攻擊次數不到5%。整體的攻擊流量平均峰值約在5.2Gbps左右。
4. 攻擊時長分佈佔比情況
從攻擊時長來看,佔比最多的是1min以下的攻擊,約佔38.7%。其主要攻擊方式是瞬時攻擊,即以極大的流量直接癱瘓掉攻擊的服務,導致大量用戶掉線、延遲和抖動等。5-10min也佔比相當大比例,約28.7%。
二、 互聯網黑產
2018年,伴隨移動應用的影響力超過電腦應用,主要互聯網黑產也遷移到手機平臺。根據騰訊手機管家發佈的《騰訊安全2018上半年互聯網黑產研究報告》表明,以持續多年的暗釦費黑產、惡意移動廣告黑產、手機應用分發黑產、App推廣刷量黑產為典型,這些移動端的互聯網黑產,給用戶和軟件開發者帶來了巨大損失。
同時,2018年是區塊鏈大年。從2017年下半年至今,互聯網病毒木馬的主流也都圍繞區塊鏈、比特幣、以太坊、門羅幣而來。可以看到,挖礦木馬成為2018年影響面最大的惡意程序。
1. 移動端黑產規模宏大 惡意推廣日均影響用戶超千萬
2018年上半年,手機病毒類型多達幾十種,大部分病毒都屬於資費消耗、惡意扣費和隱私獲取這三種類型,佔比分別為32.26%、28.29%和20.40%。此外,手機病毒的功能日益複雜化,一款病毒往往兼具多種特性和惡意行為。
2. 三大新興攻擊手段
a. 黑產利用加固技術進程在加速:加固技術開發的本來目的是用於保護應用核心源代碼不被竊取,隨著病毒對抗的不斷提升,越來越多的病毒應用開始採用加固來保護自己的惡意代碼不被安全軟件發現。根據騰訊安全反詐騙實驗室的數據顯示,進入2018年以後利用這些知名加固解決方案的病毒應用正在快速增加。
b. 黑產超級武器雲加載進入3.0時代:根據騰訊安全反詐騙實驗室大數據顯示,目前使用動態加載技術的應用中,接近一半都是病毒。雲加載技術正在成為病毒開發者最喜歡的攻擊手段,色情、惡意應用分發、遊戲暗釦等最賺錢的病毒家族,普遍標配雲加載攻擊技術來實現利益最大化。
c. 黑產滲透更多的供應鏈,供應鏈安全風險加劇
3. 勒索病毒對企業及公共機構造成嚴重威脅
2018年,大量企業、政府機關和公共服務機構由於遭遇勒索病毒,生產系統數據被加密破壞,重要業務系統陷入崩潰。勒索病毒攻擊者利用各種手段嘗試入侵重要機構網絡系統,例如通過弱口令漏洞入侵企業網站,再將企業Web服務器作為跳板,滲透到內網,然後利用強大的局域網漏洞攻擊工具將勒索病毒分發到內網關鍵服務器,將企業核心業務服務器、備份服務器數據加密。
4. 控制肉雞挖礦產業鏈 遊戲外掛成挖礦木馬"重災區"
目前,很多網絡犯罪團伙利用漏洞攻擊別人電腦,獲取控制權之後,植入挖礦木馬。
三、 網絡攻擊
根據Check Point發佈的《網絡攻擊趨勢:2018年中報告》表明,網絡犯罪分子正大肆使用加密貨幣挖礦惡意軟件對企業策動攻擊,以增加非法收入。同時,雲基礎設施也逐漸成為熱門的攻擊目標。
據悉,在2018年1月到6月期間,受加密貨幣挖礦惡意軟件影響的組織數量翻了一番,達到42%。加密貨幣挖礦惡意軟件能讓網絡犯罪分子利用高達65%的CPU電力,劫持受害人的CPU或GPU電力以及現有資源來挖掘加密貨幣。2018年上半年,最常見的三大惡意軟件變種都是加密貨幣挖礦軟件。
目前,2018年上半年的加密貨幣挖礦惡意軟件中,Cryptominers Coinhive佔30%,它會在用戶訪問網頁時不經用戶許可執行門羅幣的在線挖掘操作;Crytoploot佔23%,JSEcoin佔17%。
2018年上半年主要勒索軟件中,Locky佔40%,它通過垃圾郵件中偽裝成Word或Zip壓縮文件的附件進行傳播;WannaCry佔據35%的比例,利用Windows漏洞傳播,Globeimposter佔8%。
在今年上半年主要的移動惡意軟件中,Triada佔有51%的比例,它可為惡意軟件下載授予超級用戶權限,將惡意軟件嵌入系統進程中;Lokibot佔19%,它會在受害者試圖刪除其管理員權限時轉變成惡意軟件;Hidad佔10%,它是一種安卓惡意軟件,允許攻擊者竊取敏感的用戶數據。而在主要的銀行惡意軟件中,Ramnit佔據29%,Dorkbot為22%,Zeus佔14%。
四、 加密貨幣
2017年"炒幣"風暴席捲全球,以比特幣為代表的加密貨幣大火,進一步推動高潮上漲。事實上,我們看到2018年上半年,幣圈攻擊、盜竊事件層出不窮,讓人驚歎。
1. CoinCheck交易所遭受攻擊 損失4億美元
2018年年初,日本數字交易所Coincheck遭受黑客攻擊,加密貨幣NEM被竊取,總價值高達5.3億美元。其中,26萬客戶共損失4億美元。
2. 幣安遭入侵 黑客至少捲走7個億
3 月 7 日晚間,知名加密貨幣交易平臺幣安疑似遭遇黑客攻擊,交易系統出現故障,多名投資者山寨幣在不知情的情況下以市價被賣出換成比特幣,主要涉及超過 20 個幣種,至少被捲走7個億。後來,幣安發佈全球通緝令,以25萬美元的等值賞金追緝黑客。
3. 區塊鏈平臺EOS智能合約漏洞
5 月底,360 發現即將上線主網的 EOS 區塊鏈中史詩級漏洞,部分漏洞可以通過遠程攻擊,完全控制虛擬貨幣交易。黑客只要上傳一個具有惡意代碼的智能合約,就能獲得超級節點的控制權。雖然漏洞後來被修復,但是EOS 主網上線期間還是遭遇攻擊,大量EOS私鑰被黑客偷走。
4. 韓國加密貨幣交易所遭黑客攻擊,引發比特幣近三個月最大跌幅
6 月 10 日,韓國加密貨幣交易所 Coinrail 稱系統遭遇"網絡入侵",損失超過4000萬美元。此事導致比特幣連續三天下跌。
除了上述的大型攻擊和安全漏洞,就是大量利用惡意軟件入侵設備,實施大規模或小規模挖礦。正如"Freebuf"所闡述:從 Chrome 商店的惡意擴展程序到針對 Mac 的"mshelper"的惡意挖礦軟件;從數萬臺亞馬遜 Fire TV 被迫"秘密挖礦"到針對 WordPress 的大規模暴力攻擊。瘋狂掘幣者無所不用其極,利用舊的漏洞或新的工具,隨時在網上掃易被攻擊的設備,一旦發現目標,就直接入侵。
根據Carbon Black發佈的上半年加密貨幣惡意攻擊調查報告表明,2018 年 上半年,涉及加密貨幣的盜竊案金額高達 11.5 億美元左右,甚至達到 2016 年全年的損失(13 億美元左右)。
該報告還指出,加密貨幣交易最容易成為攻擊目標,暗網直接針對加密貨幣佔所有攻擊的27%,21%的加密貨幣攻擊目標是企業,14%的目標是用戶,7%是政府。
在攻擊的加密貨幣類型中,比特幣依然是主要的攻擊目標,但是其他加密貨幣受到的攻擊也越來越多。目前,門羅幣遭遇的攻擊佔加密貨幣的44%。
在加密貨幣的地域分佈中,美國、中國、英國、日本以及印度排名前五。
五、 幾大熱點事件
1. 英特爾處理器曝"Meltdown"和"Spectre漏洞"
2018年1月,英特爾處理器曝出"Meltdown"(熔斷)和"Spectre" (幽靈)兩大新型漏洞,包括AMD、ARM、英特爾系統和處理器在內,幾乎近20年發售的所有設備都受到影響,涉及手機、電腦、服務器以及雲計算產品等產品。
這些漏洞允許惡意程序從其它程序的內存空間中竊取信息,這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲於內存中的信息均可能導致外洩。
2. GitHub 遭遇大規模 Memcached DDoS 攻擊
2018年2月,知名代碼託管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊,流量峰值高達1.35 Tbps。然而,事情才過去五天,DDoS攻擊再次刷新紀錄,美國一家服務提供商遭遇DDoS 攻擊的峰值創新高,達到1.7 Tbps!
攻擊者利用暴露在網上的 Memcached 服務器進行攻擊。網絡安全公司 Cloudflare 的研究人員發現,截止2018年2月底,中國有2.5萬 Memcached 服務器暴露在網上 。
3. Facebook數據洩露 震驚全球
在2018年上半年,Facebook數據洩露可謂震驚全球,影響深遠。作為全球最大的社交網絡服務網站,Facebook創立於2004年,總部位於加州帕拉阿圖。目前,Facebook有三大核心產品Facebook、WhatsApp和Instagram,擁有20億用戶。
但是,家服務特朗普競選團隊的數據分析公司"劍橋分析"獲取了Facebook 5000萬用戶的數據,並進行了違規濫用。
幾天後,Facebook市值蒸發360億美元,股價大跌。不僅公司受到美國政府和歐洲多國抨擊,而且用戶信任度大大降低,品牌遭遇聲譽危機。
毫無疑問,這次醜聞給Facebook帶來了前所未有的不確定性!
4. 黑客利用思科高危漏洞攻擊國內多家機構
2018年3月末,思科高危漏洞 CVE-2018-0171在清明小長假期間被黑客利用發動攻擊,國內多家機構中招,配置文件被清空,安全設備形同虛設。此漏洞影響底層網絡設備,且漏洞 PoC 已公開,很有可能構成重大威脅。
思科3月28日發佈安全公告指出,思科 IOS 和 IOS-XE 軟件 Smart Install Client (開啟了Cisco Smart Install管理協議,且模式為client模式)存在遠程代碼執行漏洞 CVE-2018-0171,CVSS 評分高達9.8分(總分10分)。攻擊者可遠程向 TCP 4786 端口發送惡意數據包,觸發目標設備的棧溢出漏洞造成設備拒絕服務(DoS)或遠程執行任意代碼。
5. 歐盟《GDPR》(通用數據保護條例)頒佈
今年上半年,既發生了影響深遠的Facebook數據洩露事件,也頒佈了全球最嚴的數據保護條例。
2016年4月14日,歐洲議會投票通過了商討四年的《通用數據保護法案》(General Data Protection Regulation (GDPR)),新法案由11章共99條組成,該法案將於2018年5月25日正式生效,將取代現有的《數據保護指示》(Data Protection Directive 95/46/EC),統一歐盟成員國關於數據保護的法律法規。
GDPR作為一套用來保護歐盟公民個人隱私和數據的新法規,其頒佈意味著歐盟對個人信息的保護及監管達到了前所未有的高度,堪稱史上最嚴格的數據保護法案。
據悉,這部法案給予數據主體很多權利,包括知情權、訪問權、反對權、可攜帶權、糾正權、刪除權/被遺忘權、限制處理權、免受數據畫像影響等諸多權利。
同時,如果不遵守信的數據隱私法規的後果就是會受到嚴厲的制裁和鉅額的罰款。一般性違法,罰款1000萬歐元或者全球全年營業收入2%;嚴重違法,罰款2000萬歐元或者全球全年營業收入的4%。
《GDPR》實行2個多月,但是很多企業並沒有真正上心。據Dimensional Research進行的一項調查結果發現,只有20%的受訪公司認為他們符合GDPR標準,52%的企業正處於實施階段,還有27%的企業尚未開始實施。
6. 俄羅斯世界盃遭到近2500萬次網絡攻擊
四年一屆的世界盃,不僅是體育運動的狂歡節,而且也是黑客攻擊的高潮。
僅僅在世界盃揭幕戰, 俄羅斯主場5-0戰勝沙特阿拉伯,總共有78011人到達現場觀戰助威,而通過網絡、電視等觀看的人數更是不計其數。
2018年世界盃結束後不久,俄羅斯總統表示,俄羅斯在世界盃期間遭到將近2500萬次網絡攻擊,但並沒有透露誰可能是這些襲擊的幕後黑手。
對於上半年發生的諸多網絡安全事件,筆者諮詢了深圳市網安計算機安全檢測技術有限公司的總工程師彭泉和副總工程師黃偉傑。黃偉傑表示,隨著人工智能、雲計算、物聯網、大數據、移動互聯網和區塊鏈等技術的廣泛應用和融合發展,新技術應用帶來新一輪產業變革的同時,網絡安全威脅和新型網絡犯罪也變得日益猖獗。
企業要加強網絡安全合規建設,落實網絡安全責任,提升安全防範能力。同時,加強數據安全保護與商用密碼應用安全。對企業數據安全,企業應從採集、存儲、應用、傳輸、銷燬等全生命週期過程中加強監管、安全以及保護。
在商用密碼安全方面,企業應根據國家商用密碼安全相關規範,開展商用密碼應用安全的檢測評估,完善密碼安全管理體系。另外,企業要以網絡安全服務、運營和產品並重,持續改進運營,不斷提升企業整體網絡安全水平。
總結:
從DDoS攻擊、惡意軟件到數據洩露,今天的網絡安全形勢日益嚴峻,變化非常快。無論是個人消費者,還是企業,都應當重視網絡安全發展,注意網絡安全態勢。
深圳網安認為,隨著人工智能、雲計算、物聯網、大數據、移動互聯網和區塊鏈等技術越來越廣泛的應用和融合發展,新技術應用在帶來新一輪的產業變革的同時,全球性的網絡安全威脅和新型網絡犯罪也變得日益猖獗,重大網絡安全事故頻發,網絡安全形勢越發嚴峻。因此需要樹立新時代的網絡安全觀,共建網絡安全生態。
其次,針對全球性的網絡安全問題和新型網絡犯罪活動日益加劇,需要進一步推動網絡安全技術的研究和創新發展。同時,需要加強我國網絡安全領域的人才培養,建立專業的網絡安全專業人才隊伍。
1.騰訊雲鼎實驗室《2018上半年互聯網DDoS攻擊趨勢分析》
2.騰訊手機管家《騰訊安全2018上半年互聯網黑產研究報告
》3.Check Point《網絡攻擊趨勢:2018年中報告》
4.Carbon Black發佈的《Cryptocurrency Gold Rush on the Dark Web》
5. 深圳市網安計算機安全檢測技術有限公司副總工程師黃偉傑提供的資料
閱讀更多 科技天天侃 的文章
