序言
病毒木馬的演變史,就是一部互聯網黑產演變史。病毒木馬從最初的以炫技為目的,逐步過渡到與利益相關:哪裡有流量,哪裡能夠獲利,哪裡便會有黑產聚集。
2018年,伴隨移動應用的影響力超過電腦應用,主要互聯網黑產也遷移到手機平臺。騰訊安全反詐騙實驗室觀測數據表明,以持續多年的暗釦費黑產、惡意移動廣告黑產、手機應用分發黑產、App推廣刷量黑產為典型,這些移動端的互聯網黑產,給用戶和軟件開發者帶來了巨大的經濟損失。
同時,2018年是區塊鏈大年,幾乎所有的新興產業,都繞不開區塊鏈這個關鍵詞。與之相應,2017年下半年至今,互聯網病毒木馬的主流也都圍繞區塊鏈、比特幣、以太坊、門羅幣而來。由於比特幣具備交易不便於警方追查的特性,全球範圍內的黑市交易,大多選擇比特幣充當交易貨幣。由比特幣等數字貨幣引發的網絡犯罪活動繼續流行,挖礦木馬成為了2018年影響面最廣的惡意程序。對於挖礦而言,除了大規模投入資本購買礦機自建礦場,黑產的作法是控制儘可能多的肉雞電腦組建殭屍網絡進行挖礦。而殭屍網絡除了可以挖礦牟利,控制肉雞電腦執行DDoS攻擊也是歷史悠久的黑產贏利模式之一。
為此,騰訊安全聯合實驗室整理了2018年上半年互聯網黑產攻擊數據和發展現狀,分別從移動端和PC端兩個方面詳細解讀黑色產業鏈的具體特徵、攻防技術和發展態勢,為大家揭開互聯網黑產的面紗。
一、移動端黑產規模宏大,惡意推廣日均影響用戶超千萬
2018年上半年,手機病毒類型多達幾十種,大部分病毒都屬於資費消耗、惡意扣費和隱私獲取這三種類型,佔比分別為32.26%、28.29%和20.40%。此外,手機病毒的功能日益複雜化,一款病毒往往兼具多種特性和惡意行為。4月初騰訊TRP-AI反病毒引擎曾捕獲一款名為“銀行節日提款機”的惡意木馬,偽裝成正常的支付插件,在用戶不知情的情況下,私自發送訂購短信,同時上傳用戶手機固件信息和隱私,給用戶造成資費損耗和隱私洩露。
1.四大主流黑產鏈條
1.1 暗釦話費黑產:日掠奪千萬的“搶錢”產業鏈
暗釦話費是非常古老的互聯網黑產。大部分用戶會預充值一些話費用於支付套餐的消耗,平時也很少再關注話費,實際上,這些預存的話費餘額還可以用來訂閱各種增值服務。移動黑產正是利用這一點,串通利益共同體一起竊取用戶話費餘額並牟取暴利。
據騰訊安全反詐騙實驗室數據顯示,每天互聯網上約新增2750個左右的新病毒變種,偽裝成各種打色情擦邊球的遊戲、聊天交友等應用誘導用戶下載安裝。此類手機惡意應用每天影響數百萬用戶,按人均消耗幾十元話費估算,日掠奪話費金額數千萬,可謂掘金機器。受暗釦話費影響的最多的省份有廣東、河南、江蘇等地。
騰訊安全反詐騙實驗室研究發現,此類黑產以稀缺的SP提供商為上游,SDK根據掌握的不同SP資源開發相應的SDK,並將這些SDK植入到偽裝成色情、遊戲、交友等容易吸引網民的應用中。實現暗釦話費變現後,利潤通過分成的方式被整個產業鏈瓜分。此類黑產核心的扣費SDK開發團隊大概有20家左右,主要分佈在北京、深圳、杭州等地。
據騰訊安全反詐騙實驗室觀測,暗釦話費的手機惡意軟件的影響近期又呈增長之勢。
1.2 廣告流量變現:九大家族控制數百萬廣告流量牟取暴利
當前中國網民對手機應用中廣告的態度整體較為寬容,國內消費者為應用付費的習慣尚待養成,正規的軟件開發者同樣需要通過廣告流量來獲利收益。然而,某些內置於各類應用中的惡意廣告聯盟,主要通過惡意推送廣告進行流量變現的形式來牟利,平均每天新增廣告病毒變種257個,影響大約676萬的巨大用戶群。這些惡意廣告聯盟推送的廣告,內容更加無底線,在某些時候突然推送出色情擦邊球應用、博彩甚至手機病毒也不足為奇。
騰訊安全反詐騙實驗室的監測數據表明,越是經濟發達的地區,惡意廣告流量變現的情況也越發嚴重。珠三角、長三角、京津冀遭受惡意廣告流量的影響遠大於全國其他區域。
1.3 手機應用分發黑產:沉默但不簡單的地下軟件分發渠道
在應用市場競爭日益激烈的情況下,軟件推廣的成本也在升高。一些初創公司較難在軟件推廣上投入大量成本,部分廠商便找到了相對便宜的軟件推廣渠道:通過手機應用分發黑產,採用類似病毒的手法在用戶手機上安裝軟件。據騰訊安全反詐騙實驗室監測數據顯示,軟件惡意推廣地下暗流整體規模在千萬級上下,主要影響中低端手機用戶。例如部分用戶使用的手機系統並非官方版本,經常會發現手機裡莫名其妙冒出來一些應用,這就是地下軟件黑產的傑作。
通過手機惡意軟件後臺下載推廣應用,是手機黑產的重要變現途徑。騰訊安全反詐騙實驗室的研究數據表明,手機惡意推廣的病毒變種每天新增超過2200個,每天受影響的網民超過1000萬。
1.4 App刷量產業鏈:作弊手段騙取開發者推廣費
為了將自己開發的手機應用安裝在用戶手機上,軟件開發者會尋找推廣渠道併為此付費。一部分掌握網絡流量的人,又動起歪腦筋:利用種種作弊手段去虛報推廣業績,欺騙軟件開發者。根據騰訊安全反詐騙實驗室對App刷量產業鏈的研究,該產業鏈主要有三個階段:
第一階段:機刷時代(模擬刷、群控)
前期通過模擬器模擬出大量手機設備偽裝真實用戶,隨著對抗後期則主要通過購買部分真實手機設備通過群控系統來實現。模擬器易被檢測,群控規模有限,加上開發商對抗技術的升級,該模式逐漸沒落,刷量產業和開發者也處於長器的博弈之中。
第二階段:眾籌肉刷
常常以手機做任務就可以輕鬆賺錢為噱頭吸引用戶入駐平臺,用戶可以通過APP提供的各種任務來獲取報酬,比如安裝某個應用玩十分鐘可以獲取一塊錢。然而這些平臺由於失信太多,騙用戶做任務又不願意付費,導致願意參與此類遊戲的網友數量越來越少,模式已逐漸消亡。
第三階段:木馬技術自動刷量
人工刷量需要大量的真實用戶帳號,或者較多的設備,還得人肉操作,導致效率較低。2018年有一批聰明的開發商已經開始佈局木馬自動刷量平臺。木馬SDK通過合作的方式植入到一些用戶剛需應用中進行傳播,然後通過雲端控制系統下發任務到用戶設備中自動執行刷量操作。
2.三大新興攻擊手段
2.1 黑產利用加固技術進程在加速
加固技術開發的本來目的是用於保護應用核心源代碼不被竊取,隨著病毒對抗的不斷提升,越來越多的病毒應用開始採用加固來保護自己的惡意代碼不被安全軟件發現。
目前國內外有很多成熟的加固方案解決廠商,這些廠商存在很多先進的加固技術和較完善的兼容性解決方案,但是這些方案解決商的這些優點正成為黑產很好的保護傘。根據騰訊安全反詐騙實驗室的數據顯示,進入2018年以後利用這些知名加固解決方案的病毒應用正在快速增加。
從病毒家族的維度看,社工欺詐類、惡意廣告類、色情類、勒索類等對抗更激烈的病毒家族更喜歡使用加固技術來保護自己。
2.2 黑產超級武器雲加載進入3.0時代
隨著惡意應用開發商與安全廠商的攻防日趨激烈和深入,惡意軟件的開發者傾向於使用將惡意代碼隱藏在雲服務器並採用雲端控制的方式下發惡意功能,最終通過本地框架進行動態加載來達到最佳隱藏惡意行為的效果,雲加載技術是目前對抗傳統安全軟件最好的對抗手段。
根據騰訊安全反詐騙實驗室大數據顯示,目前使用動態加載技術的應用中,接近一半都是病毒。雲加載技術正在成為病毒開發者最喜歡的攻擊手段,色情、惡意應用分發、遊戲暗釦等最賺錢的病毒家族,普遍標配雲加載攻擊技術來實現利益最大化。
該技術在病毒黑產中的作惡特點是:剝離惡意代碼封裝成payload,客戶端上傳特定的信息流交由雲服務器控制是否下發執行payload功能,下發的代碼最終在內存中加載執行,惡意代碼可及時清理並保證惡意文件不落地,防止傳統安全客戶端感知。騰訊安全專家把這種利用技術成為“雲加載”技術。
近年來,隨著開發人員對Android系統架構和動態加載技術的理解的深入,各種代碼熱更新方案和插件化框架被髮明並且免費開源,為病毒技術開發者實施雲控作惡提供了技術基礎,雲控技術已經成為絕大多數高危木馬的標配,騰訊安全反詐騙實驗室近期也發現了若干使用雲控技術的病毒家族。
雲加載技術目前已經更新到3.0版本,該版本框架病毒開發者不僅可以通過地域、運營商、機型、設備等維度限制感染用戶群,還能利用VA等虛擬加載技術徹底剝離惡意代碼,通過一個白框架來按需加載擴展各種惡意功能,普通安全廠商很難再捕獲到病毒的惡意行為。
2.3 黑產滲透更多的供應鏈,供應鏈安全風險加劇
回顧整個Android應用供應鏈相關的重大安全事件可以發現,針對供應鏈攻擊的安全事件在用戶影響、危害程度上絕不低於傳統的惡意應用和針對操作系統的0day漏洞攻擊,騰訊安全專家研究發現針對Android應用供應鏈的攻擊的呈現以下趨勢:
1)針對供應鏈下游(分發環節)攻擊的安全事件佔據了供應鏈攻擊的大頭,受影響用戶數多在百萬級別,且層出不窮。類似於XcodeGhost這類汙染開發工具針對軟件供應鏈上游(開發環境)進行攻擊的安全事件較少,但攻擊一旦成功,卻可能影響上億用戶。
2)第三方SDK安全事件和廠商預留後門也是Android供應鏈中頻發的安全事件,這類攻擊大多采用了白簽名繞過查殺體系的機制,其行為也介於黑白之間,從影響用戶數來說遠超一般的漏洞利用類攻擊。
3)從攻擊的隱蔽性來講,基於供應鏈各環節的攻擊較傳統的惡意應用來說,隱蔽性更強,潛伏週期更久,攻擊的發現和清理也都比較複雜。
4)針對供應鏈各環節被揭露出來的攻擊在近幾年都呈上升趨勢,在趨於更加複雜化的互聯網環境下,軟件供應鏈所暴露給攻擊者的攻擊面越來越多,並且越來越多的攻擊者也發現針對供應鏈的攻擊相對針對應用本身或系統的漏洞攻擊可能更加容易,成本更低。
二、PC端黑色產業鏈日趨成熟,攻擊更加精準化
1.勒索病毒解密產業鏈,對企業及公共機構造成嚴重威脅
2018年,大量企業、政府機關和公共服務機構由於遭遇勒索病毒,生產系統數據被加密破壞,重要業務系統陷入崩潰。勒索病毒攻擊者利用各種手段嘗試入侵重要機構網絡系統,例如通過弱口令漏洞入侵企業網站,再將企業Web服務器作為跳板,滲透到內網,然後利用強大的局域網漏洞攻擊工具將勒索病毒分發到內網關鍵服務器,將企業核心業務服務器、備份服務器數據加密。
病毒一旦得手,企業日常業務立刻陷於崩潰狀態,關鍵業務因此停擺。如果企業網管發現連備份系統也一樣被破壞了。那基本只剩下一條路:繳納贖金。眾所周知,勒索病毒的加密技術是高強度的非對稱加密,除非得到密鑰,解密在理論上都是不可能的。正因為如此,騰訊御見威脅情報中心監測發現了這個不為人知的奇葩產業鏈:勒索病毒解密產業鏈。
該產業鏈的從業者甚至通過購買搜索引擎關鍵字廣告來拓展業務。
當受害企業尋求解決辦法時,正規的安全廠商往往會回覆,“沒有備份數據就找不回來了”。而受害企業通過互聯網上的方法尋找到的解密服務商,這些人充當了受害企業聯繫勒索病毒傳播者的中介,相對受害企業,更熟悉虛擬數字幣的交易,在一番討價還價之後,代理受害企業買回解密密鑰,從而解密數據。某些情況下,亦不能排除負責解密的中介機構,是否和勒索病毒傳播者之間存在某些聯繫。
除此之外,勒索病毒傳播鏈本身也有專業分工,有人負責製作勒索病毒生成器,交給有網站資源的人分發,各方參與利益分成。
2.控制肉雞挖礦產業鏈,遊戲外掛成挖礦木馬“重災區”
去年年底,溫州市區一家公司的網站被惡意攻擊,網警梳理線索時,發現犯罪嫌疑人徐某有重大嫌疑,經過調查,警方果然發現一個利用漏洞安裝挖礦木馬的犯罪團伙。該團伙有12名成員,利用漏洞攻擊別人電腦,獲利控制權之後,植入挖礦木馬。專案組查明,這一團夥共租賃20餘臺服務器遠程控制了5000餘臺“肉雞”,非法挖礦1000餘枚門羅幣等數字貨幣(價值約60餘萬元)。
無獨有偶,2017年底,騰訊電腦管家通過安全大數據監測發現,一款名為“tlMiner”的挖礦木馬在2017年12月20日的傳播量達到峰值,當天有近20萬臺機器受到該挖礦木馬影響。此次發現的“tlMiner”挖礦木馬,植入在“吃雞”遊戲(steam版絕地求生)外掛“吃雞小程序”中。由於“吃雞”遊戲對電腦性能要求較高,黑產團伙瞄準“吃雞”玩家、網吧的高配電腦,搭建挖礦集群。
騰訊電腦管家團隊立即配合守護者計劃將該案線索提供給警方,協助山東警方於2018年3月初立案打擊“tlMiner”木馬黑產。據分析,“tlMiner”木馬作者在“吃雞”遊戲外掛、海豚加速器(修改版)、高仿盜版騰訊視頻網站(dy600.com)、酷藝影視網吧VIP等程序中植入“tlminer”挖礦木馬,通過網吧聯盟、QQ群、論壇、下載站和雲盤等渠道傳播。
騰訊電腦管家安全團隊繼續加深對挖礦木馬黑產鏈條的研究,協助警方深挖,進一步分析挖掘到木馬作者上游:一個公司化運營的大型挖礦木馬黑色產業鏈。4月11日,警方在遼寧大連一舉查封該挖礦木馬黑產公司。
該公司為大連當地高新技術企業,為非法牟利,搭建木馬平臺,招募發展下級代理商近3500個,通過網吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬,非法控制用戶電腦終端389萬臺,進行數字加密貨幣挖礦、強制廣告等非法業務,合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現金幣)、BCD(比特幣鑽石)、SIA(雲儲幣)等各類數字貨幣超過2000萬枚,非法獲利1500餘萬元。
3.DDoS攻擊技術不斷演進,團伙作案趨勢明顯
DDoS攻擊在分工上由工具開發者向人員多維化發展,也出現了技術、銷售、渠道等分工,在DDoS攻擊產業鏈中一般稱為接發單人、擔保商、肉雞商、攻擊軟件開發人員等。隨著DDoS的新技術不斷的被挖掘出來,DDoS攻擊正在規模化、自動化、平臺化的發展。由於DDoS在技術與平臺上始終是站在互聯網的最前沿,往往我們看到一個峰值的出現,便是互聯網的一場災難。
每一個攻擊類型的出現或每一個攻擊類型的技術的更新,都是一場攻擊者的狂歡,例如今年的Memcached反射放大攻擊,不僅僅在技術上達到了5萬倍的反射放大效果,而且在流量上更是達到了1.7Tbps的峰值效果。
1)DDoS的攻擊類型
SYNFlood做為早期的攻擊類型,佔比近20%,主要原因是其攻擊效果有良好的穿透力,無論是在攻擊服務器,還是中間的基礎網絡設施上,都能在到良好的效果。
同樣UDP Flood以其數據包構造靈活的特點仍佔有大量比重。佔比最大的是排名第一的反射放大攻擊(佔比60%),反射放大以其攻擊成本小、構造發包簡單、反射倍數高、在自動化平臺後端調用方便等特點,成為流量攻擊中的首選。
在流行的DDoS攻擊類型佔比統計中,以IoT設備為反射源的SSDP反射放大已連續幾年都佔比最高,今年的一支新秀Memcached反射也沒有蓋過其佔比的鋒芒。
因為攻擊手法的增多,DDoS攻擊效果立竿見影,利用DDoS進行勒索、攻擊競爭對手的情況越來越普及;催生了DDoS黑色產業鏈越來越細化,除發單人、擔保商、黑客軟件作者外,又增加了肉雞商、接單人、資源提供者、接發單平臺幾個維度。
在巨大經濟利益面前,DDoS攻擊黑產在多個環節逐漸完成自動化,使整個鏈條無需人工參與,發單人直接在DDoS平臺下單,我們稱這樣的平臺為“頁端DDoS攻擊平臺”。
“頁端DDoS攻擊平臺”包括用戶註冊、套餐付費、攻擊發起等一系列操作,且在用戶側都可以完成,不需要其他人員參與。頁端DDoS攻擊平臺在發起攻擊時,是以API形式調用發包機或支持API的C2服務器進行攻擊,延遲時間一般小於10秒;對比傳統DDoS 攻擊來看,已完成了全自動的無人值守攻擊方式。頁端DDoS攻擊平臺其高度集成管理,在成單率、響應時長、攻擊效果等方面都得到了可行的解決。
在平臺化外,DDoS攻擊類型也有長足的發展。例如IoT(物聯網)殭屍網絡的典型代表mirai針對互聯網基礎架構服務提供商Dyn DNS(如今的Oracle DYN)進行功擊。今年3月份的Memcached反射更是一劑強心針,以5萬的反射放大倍數、1.7Tbps的流量峰值再一次刷新了DDoS的認知。
2)DDoS攻擊典型案例–“暗夜”攻擊團伙案
DDoS攻擊黑產會嚴重影響企業線上業務開展,騰訊雲鼎實驗室曾配合公安機關破獲暗夜DDoS攻擊團伙案,該團伙攻擊對某客戶的遊戲業務產生嚴重影響,玩家訪問緩慢,登錄掉線,甚至完全沒有響應。
騰訊雲鼎實驗室根據系統日誌判斷為大流量持續DDoS攻擊,單日攻擊流量峰會達462G,該團伙掌握的DDoS攻擊資源十分龐大。騰訊雲鼎實驗室通過努力,最終在該團伙控制的其中一臺C2服務器發現可疑線索,通過流量、日誌、關聯等多維度的數據分析,最終定位到證據所在,公安機關根據這些信息在境外將暗夜DDoS黑產團伙一網打盡。
三、互聯網黑產對抗的技術趨勢與實踐
1.人工智能成移動端黑產對抗技術突破口
移動黑產以趨利為目的,為了保護自己的利益,黑產從業人員會想盡一切辦法來隱藏自己,與安全廠商之間的對抗也愈發激烈。根據多年積累的對抗經驗,騰訊安全團隊認為移動黑產對抗技術發展主要有以下幾個方向:
1)立體式安全檢測體系
從應用傳播、應用安裝、應用運行、應用變現等維度,將各種安全檢測手段融入到應用的不同生命週期。如接入URL安裝檢測引擎可以在下載階段即可阻斷惡意行為繼續,又如行為檢測引擎可以在病毒執行敏感操作時候及時阻止避免進一步破壞操作。
2)用戶端側的主動防禦
安全廠商使用的傳統靜態引擎由於缺乏真實的行為數據,黑產團伙很容易就可以突破其防線。不管黑產採用多少種先進的對抗手段,其最終的目的還是通過執行惡意行為來實現牟利的目的,手機廠商通過系統層原生集成應用敏感行為檢測點,真實的捕獲到惡意行為。數據脫敏以後可以輔助深度學習等方法實現更快,更準確的檢測效果。
3)引入人工智能算法,智能識別未知樣本
傳統殺毒引擎從病毒的發現到檢出會存在一段時間的空窗期(比如樣本的收集)。安全研究人員可以將豐富的人工經驗,通過深度學習技術,泛化成通用的病毒檢測模型,提升未知病毒的檢出能力。
騰訊安全團隊基於第三種思路研發的騰訊TRP-AI反病毒引擎已經在騰訊手機管家雲引擎中得到應用,並且該技術通過深入集成的方式在魅族Flyme7系統中率先全面應用。集成TRP反病毒引擎的系統新病毒發現能力提升8.3%,新檢出病毒中使用雲加載技術的佔比60.1%,使用加固加殼技術的佔比12.%,並且病毒平均潛伏期為35min。
2.化被動為主動的PC端黑產對抗技術
伴隨互聯網產業的加速發展,PC端黑產技術也在不斷進化。為了最大限度獲利,黑產會盡可能在用戶電腦駐留存活更長時間。同時,2018年區塊鏈的火爆令加密山寨幣迅速成為黑色產業地下流通的硬通貨,通過挖礦獲取山寨虛擬加密幣,使得黑產變現鏈條更加直接。為了更好地狙擊PC端黑產,安全廠商的對抗技術主要包括以下方面:
1)更快速的安全漏洞響應機制
安全漏洞始終是網絡攻擊的絕佳通道,0day漏洞往往被應用在高價值目標的精準攻擊上。2018年“永恆之藍”漏洞攻擊包被經常提起,這個武器級的漏洞攻擊包在被黑客完全公開後,一度被黑產廣泛使用,成為入侵企業網絡、傳播勒索病毒,植入挖礦木馬的利器。
網絡黑產可以在極短的時間內將Windows已經發布補丁的高危漏洞迅速利用起來,然而,目前仍有大部分的網民因為使用盜版系統等種種原因,補丁安裝率普遍不高。這種現狀使得漏洞攻擊工具在補丁發佈之後很長時間,都大有用武之地。殺毒軟件更新補丁修復功能,對於幫助這類用戶排除干擾,修補系統漏洞起到了關鍵作用。
對於一些突然爆發的0day漏洞,也需要安全軟件進行提前防禦。2018年,Office公式編輯器漏洞和Flash 0day漏洞是黑產利用最廣泛的攻擊武器,利用此類漏洞進行攻擊,用戶打開一個Office文檔或瀏覽一個網頁也可能立即中毒。騰訊電腦管家針對攻擊者的這一特性集成“女媧石”防禦技術,可以讓電腦在即使遭遇部分0day攻擊時,也能夠實現有效攔截。補丁修復方案的升級,讓騰訊電腦管家用戶電腦的漏洞修復率大幅上升,黑產作案的技術成本也明顯提升。
2)對抗勒索病毒破壞的數據備份機制
2017年,以WannaCry為首的勒索病毒採取相對盲目的廣撒網式破壞,卻並未因勒索病毒的廣泛傳播而取得足夠的經濟回報:絕大多數的普通用戶在遭遇勒索病毒攻擊之後,放棄了繳納贖金解鎖數據,而是選擇重裝系統。對於網絡黑產來說,這類廣撒網式攻擊損人不利己,攻擊者開始轉向針對高價值目標的精確打擊。通過系統漏洞、社會工程學欺騙、精心設計的釣魚郵件來誘使目標用戶運行危險程序。
然而,勒索病毒的感染量下降了,勒索病毒造成的損失卻依然嚴重:許多重要信息系統被勒索病毒破壞,受害者被迫支付贖金。面對勒索病毒越來越精準的打擊,高價值用戶需要更加完善的數據保護方案,騰訊電腦管家迅速升級“文檔守護者”功能,通過充分利用用戶電腦冗餘的磁盤空間自動備份數據文檔,既使電腦不幸染毒,數據文檔被加密,也能通過文檔守護者來恢復文檔,盡最大可能減小損失。
3)能夠揭示黑產全貌的威脅情報系統
為逃避殺毒軟件的查殺,病毒木馬的行為變得更加隱蔽,病毒樣本的更新、木馬控制服務器的變化的速度都比以往更快,部分攻擊者甚至會限制惡意程序擴散的範圍,黑產的攻擊正在變得愈發難以捕捉和缺少規律性。
騰訊御見威脅情報系統基於安全大數據分析的處理系統,通過分析成千上萬個惡意軟件的行為並創建一系列的規則庫,再利用這些規則去匹配每個新發現的網絡威脅,像完成一幅拼圖一樣,將一個個分散的病毒木馬行為完整拼接,從中發現木馬病毒的活動規律,追溯病毒木馬傳播的源頭。2018年,騰訊御見威脅情報系統已成功協助警方破獲多起網絡黑產大案,成為打擊黑產的有力武器。
四、2018年下半年的安全趨勢分析
1.MAPT攻擊威脅持續上升,移動設備或成重大安全隱患
2018年隨著互聯網+進程的不斷推進,通過智能設備我們可以享受到非常便捷的移動互聯網服務,如移動醫療服務,社保服務,電子身份證,電子駕照等政府貼心的民生服務。同時也有大量的企業和政府部門開始習慣通過智能終端來管理內部工作,這些基於智能手機的服務方便大眾的同時,也暴露出巨大的安全隱患:移動互聯網時代的智能手機承載著全面而巨量的個人和組織的隱私數據,一旦個人智能手機被操控,黑客團伙通過這個設備獲取到各種敏感數據,從而導致不可估量的損失。
雖然目前主流關於APT的討論仍集中於PC電腦,但是趨勢表明APT攻擊組織正在往網絡軍火庫中添加MAPT(Mobile AdvancedPersistent Threat)武器以獲得精準而全面的信息。比如APT-C-27組織從2015年開始更新維護基於安卓的RAT工具,利用這些工具來收集用戶手機上的文檔、圖片、短信、GPS位置等情報信息。Skygofree會監控上傳錄製的amr音頻數據,並嘗試root用戶設備以獲取用戶whatsapp.facebook等社交軟件的數據。Pallas則全球部署試圖攻擊包括政府、軍隊、公用事業、金融機構、製造公司和國防承包商的各類目標。
全平臺覆蓋加上國家級黑客團隊攻擊技術的加持,無邊界智能辦公時代被忽視的移動智能設備正在成為重大安全隱患,MAPT正在威脅企業,重點機構乃至政府部門。它們需要擁有移動/PC一體化反APT安全解決方案。
2.惡意應用的檢測和反檢測對抗將愈發激烈,安全攻防進入焦灼局勢
黑產團伙對抗技術日趨完善,安全攻防進入焦灼局勢,並且傳統安全監測方案正在逐漸處於劣勢的一方。一方面在巨大利益的驅使下企業化運作的黑產團伙有更多的財力開發基於雲加載技術的惡意應用(惡意代碼變得很難捕獲),並且有充沛的人力進行免殺對抗(傳統引擎基於特徵檢測,很容易被免殺繞過)。另一方面一些供應鏈的廠商也在知情或不知情的情況下成為黑產團伙的保護傘,在自己的框架中引入包含惡意功能的SDK,導致有大量的惡意應用潛伏一年甚至數年才被新技術手段發現。
3.黑產團伙拓寬安卓挖礦平臺市場,移動挖礦應用或迎來爆發
相比電腦平臺,移動智能設備普及率高,使用頻率極高,但是移動設備受限於電池容量和處理器能力,而且挖礦容易導致設備卡頓、發熱、電池壽命下降,甚至出現手機電池爆漿等物理損壞,移動平臺似乎並不是一個可用於可持續挖礦的平臺。
隨著移動設備性能不斷提升,2018年黑產團伙還在嘗試利用手機平臺生產電子貨幣。比如HiddenMiner潛伏於三方應用市場誘導用戶下載,然後控制用戶手機設備竊取Monero,又如ADB.Miner通過端口掃描的方式發現基於安卓的TV設備進行挖礦,還發現過多起Google play官方應用市場應用包含挖礦惡意代碼的事件,這些事件的不斷髮生預示這黑產團伙正在拓寬安卓挖礦平臺市場。
4.勒索病毒攻擊更加趨向於精準化的定向打擊
御見威脅情報中心監測發現,勒索病毒正在拋棄過去無差別的廣撒網式盲目攻擊,而是轉向高價值的攻擊目標進行精確打擊。攻擊者利用系統漏洞或精心構造的釣魚郵件入侵企業網絡,滲透到企業內網之後,選擇最有可能敲詐成功的高價值數據來加密勒索
2018年上半年較多的教育機構、醫療機構、進出口貿易企業、製造業等高價值目標的計算機系統被勒索病毒攻擊,這一趨勢正變得日益明顯。同時,這意味著高價值目標需要加強安全防護,特別重要的是做好系統漏洞修補和關鍵業務數據的備份。
5.挖礦病毒比重明顯增大,手段更加隱蔽
挖礦病毒正在成為最常見的病毒類型,因為區塊鏈相關產業的火爆,各種流行的虛擬加密貨幣可以在交易所直接獲利。除非區塊鏈相關的空氣幣泡沫破滅,否則挖礦病毒都將是最直接的黑產贏利模式,遠超前幾年流行的盜號木馬。
比特幣挖礦需要高性能的礦機運行,成本高昂,對控制肉雞挖礦來說,性價比太低。挖礦病毒大多利用受害電腦的CPU資源挖山寨幣,而且為了避免被受害者發現,很多挖礦病毒對系統資源的消耗控制更嚴。
監測發現,大量挖礦病毒會限制CPU資源消耗的上限,當用戶在運行高資源消耗的程序時,暫時退出挖礦;在用戶系統閒置時全速挖礦等等。挖礦病毒也基本限於三種形式:普通客戶端木馬挖礦、網頁挖礦(入侵網站,植入挖礦代碼,打開網頁就挖礦),入侵控制企業服務器挖礦。
6.高級可持續性APT攻擊威脅距離普通人越來越近
高級可持續性威脅(簡稱APT),是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。安全廠商近期披露的跨國APT組織,利用高價值安全漏洞,構造精準欺詐郵件,利用所有可能的方式入侵目標網絡,竊取情報,破壞目標系統。
除了以上高價值目標,騰訊御見威脅情報中心發現,部分商業化的黑客組織,可能正在使用APT攻擊的方式針對普通企業,目標是獲得商業情報,出售給特定買家。使得比較接近高價值目標的商業機構,也成為下一個APT攻擊的領域。而普通企業的網絡安全防護體系,遠弱於國家、政府、大型企業網絡,更容易成為APT攻擊的受害者。
7.刷量刷單類灰色產業依然嚴重
互聯網創新企業容易遭遇羊毛黨的攻擊,國家實行實名制對網絡服務帳號嚴格管理,但隨著物聯網的興起,大量未實行實名制的物聯網卡流入市場。羊毛黨大量買入物聯網卡,註冊大量帳號待價而沽。這些虛假帳號在刷單刷量的薅羊毛產業中普通使用,打造虛假繁榮,給相關企業造成嚴重損失。
閱讀更多 行業報告研究院 的文章
