中國加油!武漢加油!——求爾君
引
好久不見,先祝大家元宵快樂!
萬萬沒想到,庚子鼠年的第一篇更新,竟然是在老家的茶几上敲完的。
記得1月中旬在和同事聊天時,對新冠病毒認知尚淺,當時不覺有甚,提前規劃好短暫假期裡的各項活動安排,誰知不到一個月,所有計劃全部泡湯,以至於最近幾乎家家閉戶,自我隔離。回西安上班,暫時成為奢望。
當下,全國的醫療資源幾乎都向湖北傾斜,陝西也派出了累計七支醫療隊伍趕赴武漢,並與湖北十堰結成幫扶對子,一省包一市,患難見真情。
國際上,各國小夥伴也紛紛伸出了援助之手,其中來自日本的“山川異域 風月同天”尤其令人動容。
當然,有君子就少不了小人。早幾日,我在抖音上刷到一則印度利用本次疫情關鍵詞對我國網絡進行攻擊的消息,讓人憤懣。於是第一時間業內知名網絡安全公司零時科技鄧總求證,鄧總證實了此消息的準確性。
以下,為求爾君就此次攻擊事件採訪實錄。
問題1:此次有不法組織借疫情進行黑客攻擊是真的嗎?
就在全國人民萬眾一心抗擊疫情之時,國內安全研究機構360安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文檔,部分相關誘餌文檔示例如:“武漢旅行信息收集申請表.xlsm”,攻擊者以郵件為投遞方式,並通過相關提示誘導受害者執行系統指令代碼,對抗擊疫情的醫療工作領域發動APT攻擊。
拓展:什麼是APT攻擊?
APT(Advanced Persistent Threat)是指高級持續性威脅,本質是針對性攻擊,利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT是黑客以竊取核心資料為目的,針對客戶所發動的網絡攻擊和侵襲行為,是一種蓄謀已久的"惡意商業間諜威脅"。這種行為往往經過長期的經營與策劃,並具備高度的隱蔽性,針對特定對象,長期、有計劃性和組織性地竊取數據,偷竊資料。
簡單說,攻擊者其將關鍵信息數據存在表格的worksheet裡,worksheet被加密,在誘導用戶點擊執行的系統指令代碼裡面使用秘鑰key去解密然後獲取明文信息數據。然而其用於解密數據的秘鑰Key為:nhc_gover,而nhc正是中華人民共和國國家衛生健康委員會的英文縮寫。
這裡誘導用戶點擊執行的系統指令代碼被執行,攻擊者就能訪問其控制的遠程服務器並加載惡意腳本, 並使用特定黑客攻擊方法遠程執行這些惡意腳本文件,從而攻擊特定目標。
之後,在進一步追蹤溯源中,最後發現這起APT組織隸屬於南亞地區的黑客組織。
問題2.如何確定是印度(南亞地區)發起的攻擊?
2019 年間,南亞地區的APT組織處在一個十分活躍的狀態,同時,它還呈現出強烈的地緣政治傾向、明顯的網絡諜報特徵、有計劃有預謀的全鏈條攻擊。軍工軍貿、政府機關、外交機構、基礎設施企業, 這等重磅級單位企業成其火力全開地攻擊目標,而目目標所屬國度是:中國、巴基斯坦、孟加拉國和斯 裡蘭卡等。
通過網絡安全團隊及研究組織分析溯源,南亞APT組織逐步被披露,蔓靈花(BITTER)、摩訶草 (HangOver)、響尾蛇(SideWinder)、DoNot(肚腦蟲)等都是較有名的南亞APT組織。
其中一個APT組織:摩訶草,一個至今已活躍9年有餘的APT組織,持續的曝光並沒有停止它攻擊的步伐,反而令其愈發的猖狂,可謂“野火燒不盡”。
該印度APT組織的攻擊目標主要為:在中國、巴基斯坦等亞洲地區國家進行網絡間諜活動,其中以竊取敏感信息為主。而且在對中國地區的攻擊中,主要針對政府機構、科研教育領域進行攻擊,尤其以科研教育領域為主。
摩訶草在2019年的幾次攻擊活動中,使用 了一款新後門程序,並直接引用該後門的pdb文件為其命名為cnc_client。
然而,此次攻擊所使用的惡意後門程序與之前已披露的南亞地區APT活動總結中印度組織專屬後門cnc_client相似,通過進一步對二進制代碼進行對比分析,其通訊格式功能等與cnc_client後門完全一致。可以確定,攻擊者來源於印度的APT組織!
問題3.您如何評價此次攻擊?
作為網絡攻擊的“黃金御用”手段,APT紅熱高發區也正是全球地緣政治衝突的敏感帶,而且時刻都在發生。
針對本次攻擊,攻擊者精心利用新冠肺炎疫情相關題材作為誘餌文檔,進行魚叉式攻擊時,醫療機構、醫療工作領域無疑成為此次攻擊的最大受害者。
印度APT組織如此喪盡天良的對我國醫療機構發動定向攻擊的原因,我們不妨可以大膽猜測:它們為了獲取最新最前沿的醫療新技術;它們為了進一步截取醫療設備數據;擾亂中國的穩定,製造更多的恐怖。
別有用心的國家級APT組織的攪局,讓這場本就步履維艱的疫情之戰,更加艱難。一旦其“攻擊陰謀”得逞,輕則丟失數據、引發計算機故障,重則影響各地疫情防控工作的有序推進,危及個人乃至企業政府等各機構的網路安全。 尤其面對這等有著國家級背景的APT組織的攻擊,後果簡直不堪設想。
問題4.黑客是怎麼進行攻擊的個人或企業如何進行防護?
此次攻擊主要利用肺炎疫情相關題材作為惡意的誘餌病毒文檔,利用郵件投遞的方式進行釣魚攻擊,誘惑受害者執行,針對類似攻擊基層機構應該加強網絡安全防禦,加固信息系統;普通人最 重要的是提高網絡安全意識。
計算機病毒只是一個程序或者代碼,之所以叫他病毒,就是因為他具有同醫學病毒相似的屬性。對於病毒的概念,準確說應該叫惡意代碼,是指能夠引起計算機故障,破壞計算機數據,影響計算機系統的正常使用的程序、代碼、指令。
生物病毒具有破壞性、潛伏性、傳染性、隱蔽性、非授權性、不可預知性。計算機病毒同理,在入侵計算機後,也會對計算機和網絡進行破壞、會隱藏系統中不會馬上發作、並且具備自我複製傳播或者通過其他途徑進行傳播的能力、無需系統管理者授權對計算機進行無感知的破壞。
下面是生物病毒與計算機病毒在特點、防範方式等方面的共同點。
不管是什麼病毒什麼變種,他的感染和傳播途徑無外乎以上幾種方法,所以,不管是什麼病毒,預防的方法都是一樣的:
1.增強安全意識,使用強口令。避免社工攻擊和口令爆破。
2.經常關注最新的漏洞,及時給系統打補丁,避免通過漏洞滲透。
3.加強對U盤等移動介質的管理,避免通過病毒U盤傳播。
4.對於下載的文件、郵件附件等下載後先掃描再打開。
5.加強對於互聯網的管理,防止通過網頁、電子郵件、實時通訊工具、網絡下載等方式感染和傳播病毒。
6.部署網絡防火牆和主機防火牆。關閉常用的危險端口。
7.加強對應用程序的安裝和啟動的管理,禁止未經授權的程序啟動和運行。
8.加強對於共享文件夾的權限管理。
9.部署外網和內網的網絡入侵檢測系統以及主機入侵檢測系統,及時關注網絡日誌和系統日誌,發現 異常行為第一時間處理。
10.安裝專業靠譜的有主動防禦功能的殺毒軟件,並及時更新病毒庫。《中華人民共和國計算機信息系統安全保護條例》第二十八條:“計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能 自我複製的一組計算機指令或者程序代碼 。
問題5:疫情持續期間,只有印度對中國進行攻擊嗎?
除了南亞的APT攻擊之外,在此次疫情期間,還有很多其他的網絡攻擊存在。
這是現階段普遍存在的三種攻擊情況:
1.以疫情關鍵字為誘導的病毒釣魚攻擊
2.以疫情為誘餌的信息洩露導致的詐騙攻擊
3.以疫情捐贈為由的攜善款跑路的詐騙攻擊
據鄧永凱介紹:零時安全團隊在網絡上發現,近期,部分武漢歸鄉人員的登記信息表在各個微信群中流傳,表格中有姓 名、家庭住址、電話、身份證號碼、返回車次,甚至高考成績等敏感信息。
部分武漢歸鄉人員由於信息洩露,電話和微信受到陌生人的辱罵以及威脅:
不僅如此由於各社區,街道辦每日要對密切接觸者以及武漢歸鄉人員的身體狀況進行收集,不法份子利用被洩露的信息對個人進行定向的社會工程,釣魚以及推銷。
零時科技安全團隊在這裡提出幾條防範措施:
陌生電話未表明身份便要求提供個人信息時,應驗明對方身份後提供 不主動洩露個人及他人信息,不轉發個人及他人信息 提高防範意識,保持冷靜,保持最大程度的剋制。
在這場疫情當中,“新型冠狀病毒”是我們唯一的、共同的敵人。保護好自己、保護好戰友,凝聚抗疫合力,才能團結一切力量戰勝病毒。該被嚴防死守的,是肆無忌憚傳播的病毒而不是武漢人。
問題6:對於此次攻擊,官方或民間組織有組織反擊嗎?效果如何?
問題7:疫情對互聯網安全行業帶來了哪些影響與改變,您個人有什麼擔憂或者期待?
1.一旦被感染,全社會都放假,只有醫務工作者拼死奮鬥在一線。一旦單位網絡被感染,所有人都停 止工作,只有信息中心和運維人員在一線奮鬥。
2.平時對醫務工作者沒有應有的尊重和敬畏,殺醫辱醫事件層出不窮,出事了就成了救世主。平時對信息中心和安全運維人員不重視,總認為是一個花錢的部門,出了事才意識到安全的重要性。
本次疫情中出現很多針對醫療相關機構以及受疫情影響的群眾進行定向攻擊。可以瞭解到相關行業的安全建設情況,根據當前現狀進行查漏補缺,加強信息安全建設,對於受到影響的群眾,應該增強 自身安全意識,總體對網絡安全的發展是有促進作用的,俗話說得好,
未知攻焉知防。消極的影響當然也是有的,很多準備在2020年準備開展的項目全部擱置或者取消,更有勝者,因為資金不能及時到位導致團隊裁員或者解散的,希望此次疫情早日結束。
採訪內容有刪改,非常感謝零時科技創始人鄧永凱先生的大力支持!
附:零時科技區塊鏈安全建議30條(互聯網通用版)
閱讀更多 求爾 的文章
