2020年中国网络安全报告

2021-01-14   

2020年黑客和APT组织纷纷利用“新冠”“疫情”等相关话题发动钓鱼攻击
勒索病毒2020年依然肆意横行,勒索方式向多重勒索方向发展
供应链攻击的危害凸显,已成为2020年最具影响力的高级威胁之一

一、恶意软件与恶意网址

(一)恶意软件

1. 2020年病毒概述

(1)病毒疫情总体概述

2020年瑞星“云安全”系统共截获病毒样本总量1.48亿个,病毒感染次数3.52亿次,病毒总体数量比2019年同期上涨43.71%。报告期内,新增木马病毒7,728万个,为第一大种类病毒,占到总体数量的52.05%;排名第二的为蠕虫病毒,数量为2,981万个,占总体数量的20.08%;感染型病毒、灰色软件、后门等分别占到总体数量的12.19%、9.59%和3.75%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。

图:2020年病毒类型统计
(2)病毒感染地域分析

报告期内,广东省病毒感染人次为3,427万次,位列全国第一,其次为山东省及北京市,分别为2,787万次及2,452万次。

图:2020年病毒感染地域分布Top10

2. 2020年病毒Top10

根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出2020年1至12月病毒Top10:

3. 勒索软件和挖矿病毒

勒索软件和挖矿病毒在2020年依旧占据着重要位置,报告期内瑞星“云安全”系统共截获勒索软件样本156万个,感染次数为86万次,病毒总体数量比2019年同期下降了10.84%;挖矿病毒样本总体数量为922万个,感染次数为578万次,病毒总体数量比2019年同期上涨332.32%。

瑞星通过对捕获的勒索软件样本进行分析后发现,GandCrab家族占比67%,成为第一大类勒索软件,其次是Eris家族,占到总量的13%,第三是LockScreen家族,占到总量的2%。

图:2020年勒索软件家族分类

勒索软件感染人次按地域分析,北京市排名第一,为19万次,第二为山东省7万次,第三为广东省6万次。

图:2020年勒索软件感染地域分布Top10

挖矿病毒在2020年异常活跃,瑞星根据病毒行为进行统计,评出2020年挖矿病毒Top10:

挖矿病毒感染人次按地域分析,新疆以69万次位列第一,广东省和山东省分别位列二、三位,均为45万次。

图:2020年挖矿病毒感染地域分布Top10

(二)恶意网址

1. 2020年全球恶意网址概述

2020年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量6,693万个,其中挂马类网站4,305万个,钓鱼类网站2,388万个。美国恶意URL总量为2,443万个,位列全球第一,其次是中国598万个和德国200万个,分别排在二、三位。

图:2020年全球恶意URL地域分布Top10

2. 2020年中国恶意网址概述

报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为香港,总量为61万个,其次为河南省和江苏省,均为55万个。

图:2020年中国恶意URL地域分布Top10

3. 2020年钓鱼网站概述

报告期内,瑞星“云安全”系统拦截钓鱼攻击次数总量为251万次,其中广西省为64万次,排名第一;其次为北京市和辽宁省,分别为22万次和12万次。

图:2020年钓鱼攻击地域分布Top10

二、移动安全

(一)2020年手机病毒概述

2020年瑞星“云安全”系统共截获手机病毒样本581万个,病毒总体数量比2019年同期上涨69.02%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比32.7%,位居第一;其次是资费消耗类病毒占比24.32%,第三名是流氓行为类病毒占比13.45%。

图:2020年手机病毒类型比例

(二)2020年1至12月手机病毒Top5

(三)2020年手机漏洞Top5

三、企业安全

(一)2020年重大企业网络安全事件

1. 2020年勒索软件攻击已突破历史最高点

2020年,据全球企业调查和风险咨询公司Kroll的报道,勒索软件是2020年最常见的威胁,其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下,席卷了全球各个领域、各种规模的企业,据统计2020年勒索软件的攻击事件已突破历史最高点,其中药物测试公司HMR、IT服务公司Cognizant、巴西电力公司Light S.A、跨国零售公司Cencosud等多个大型企业都于2020年遭受过勒索攻击。

2. APT组织利用新冠相关话题为诱饵对全球各组织实施攻击

2020年新型冠状病毒肺炎疫情期间,发生了多起APT组织利用疫情相关信息作为诱饵的网络攻击事件,通过对诱饵文档中关键字符进行提取,发现中国、巴基斯坦、乌克兰、韩国等多个国家都是被频繁攻击的目标。经监测发现,APT组织Patchwork、OceanLotus、Kimsuky、Transparent Tribe、Lazarus Group以及Sidewinder等活动较为频繁,该类组织主要利用以疫情为话题的钓鱼邮件进行入侵,攻击手法多采用宏、0day或Nday漏洞等进行攻击。(详细分析见报告专题1)

3. 7000多名武汉返乡人员信息遭泄露

2020年1月,新冠疫情引发全民关注,武汉作为疫情重灾区,武汉返乡人员也被列为重点关注对象。据南方都市报报道,多名武汉返乡人员信息被泄露,信息多达7千条,涉及姓名,电话号码,身份证号,列车信息和具体住址等敏感信息。南都记者随机拨打了表中的几个电话进行确认,信息均属实。因信息泄露,多名返乡人员收到了对其进行人身攻击的骚扰电话和信息。

4. 中国电信超2亿条用户信息被卖

2020年1月,网曝中国电信超2亿条用户信息被卖。据相关的院裁判书显示,“2013年至2016年9月27日,被告人陈亚华从号百信息服务有限公司(为中国电信股份有限公司的全资子公司)数据库获取区分不同行业、地区的手机号码信息,并提供给被告人陈德武,而陈德武则以人民币0.01元/条至0.02元/条不等的价格在网上出售,获利达2000余万元,涉及公民个人信息2亿余条。”

5. 微盟某运维人员“删库”,致微盟损失巨大

2020年2月,微盟官方发布通报,通报中表示,“研发中心运维部核心运维人员贺某通过个人VPN登入公司内网跳板机,因个人精神、生活等原因对微盟线上生产环境进行了恶意破坏。”此次事件影响恶劣,贺某被判处6年有期徒刑。据判决书道“微盟公司服务器内数据被全部删除,致使该公司运营自2020年2月23日19时起瘫痪,300余万用户(其中付费用户7万余户)无法正常使用该公司信息产品,经抢修于同年3月3日9时恢复运营。截至2020年4月30日,造成微盟公司支付恢复数据服务费、商户赔付费及员工加班报酬等经济损失共计人民币2260余万元。”

6. 黑客组织利用国内某VPN设备漏洞攻击我国驻外机构及部分政府单位

2020年3月,国内某SSL VPN设备被曝出存在严重漏洞,能够通过劫持该VPN的安全服务从而对受害者下发恶意文件。据安全厂商报道,已有黑客组织利用这个漏洞对我国政府单位及驻外机构发起了网络攻击。通过对此次网络攻击的追踪溯源,攻击者是有着东亚背景的APT组织Darkhotel。据悉,此次攻击已使得数百台的VPN 服务器失陷,还导致了中国在英国、意大利、泰国等多达19个国家的驻外机构和部分国内政府机构受到影响。

7. 青岛胶州6000余人就诊名单泄露,3人被行拘

2020年4月,据胶州公安发布的警方通报表示,“胶州市民的微信群里出现中心医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。”据胶州市公安局调查显示,“叶某在工作中将接到的随访人员名单信息转发至所在公司微信群,该群内的姜某将名单信息转发至家人群,其家人又继续转发传播。张某工作中将接到的随访人员名单信息转发至家人微信群,其家人又继续转发传播。以上3人的行为,造成中心医院出入人员名单在社会上被迅速转发传播,侵犯了公民的个人隐私。”

8. 新型 PC 勒索病毒“WannaRen”开始传播,赎金为0.05个比特币

2020年4月,网曝出现一种新型勒索病毒“WannaRen”,多个社区、论坛,有用户反映遇到勒索加密。该病毒会加密Windows系统中的大部分文件,加密后的文件后缀名为.WannaRen,勒索信为繁体中文,勒索赎金为0.05个比特币。据悉,该勒索和2017年的“WannaCry”勒索病毒行为类似,主要借助KMS类的系统激活工具、下载工具等传播。目前,该病毒存在两个变种,一个通过文字发送勒索信息,另一个通过图片发送勒索信息。

9. 尼日利亚网络钓鱼组织对国内企业进行钓鱼攻击

2020年6月,瑞星发现尼日利亚网络钓鱼组织对国内大量进出口贸易、货运代理、船运物流等企业进行猛烈的网络钓鱼攻击,这类组织通过搜索、购买或窃取等方式获取企业相关邮箱账号进行钓鱼邮件投递,劫持企业公务往来邮件,伪装成买卖双方从而进行诈骗,以牟取暴利,该组织已收集大量国内企业员工的公务和个人邮箱,或企业网站登录凭据等数据,这会导致国内诸多企业遭受巨大的经济损失或信息被窃等风险。(详细分析见报告专题2)

10. Twitter公司员工被钓鱼,致奥巴马、盖茨推特账号发布欺诈消息

2020年7月,黑客团伙入侵推特(Twitter)网络,接管了多个政客、名人和企业家的推特账户,如:美国前总统奥巴马、美国民主党总统候选人拜登、微软公司创始人比尔·盖茨、亚马逊公司创始人杰夫·贝佐斯、金融大亨沃伦·巴菲特、特斯拉CEO埃隆·马斯克、纽约市前市长迈克尔·布隆伯格、歌手坎耶·韦斯特、美国社交名媛金·卡戴珊,以及苹果公司、优步公司的官推等。黑客利用这些账号发布比特币钓鱼链接,声称任何人只要往某个比特币账户发送比特币,就会得到双倍回报,且活动只限30分钟内参与。诈骗推文发布后几分钟内,一些比特币帐户显示收到超过113,000美元。此次受到影响的名人政要账号数量众多,可以说是推特历史上最大的安全事件。

11. Windows XP源代码泄露

2020年9月,Microsoft的Windows XP和Windows Server 2003操作系统的源代码以torrent文件的形式发布在公告板网站4chan上。此次泄漏在网络上的torrent文件的大小总为43GB,其中包括Windows Server 2003和Microsoft开发的其他较旧操作系统的源代码,包括:Windows 2000,Windows CE 3,Windows CE 4,Windows CE 5,Windows Embedded 7,Windows Embedded CE,Windows NT 3.5,Windows NT 4,MS-DOS 3.30,MS-DOS 6.0。尽管微软对泄露的代码系统早已停止支持,但是仍然有部分人群由于各样的原因,一直没有升级到最新的系统,不法分子有可能利用此次泄露的源代码进行反向工程,以发现可利用的漏洞,这将在未来一段时间甚至长期影响相关用户的安全。

12. 英特尔内部数据泄漏,涉及芯片机密和知识产权

2020年8月,据外媒报道,英特尔公司发生数据泄密事件,其20GB的内部机密文档被上传到在线文档分享网站MEGA上。被公布的文件内包含与各种芯片组内部设计有关的英特尔知识产权内容,比如2016年的CPU技术规格、产品指南和手册。该文件由瑞士软件工程师蒂尔·科特曼(Till Kottmann)发布,其声称这些文件来自一名入侵英特尔的匿名黑客,英特尔也已在对此进行调查,他们认为是有权限的个人下载并分享。

13. 美国百万选民数据泄露

2020年9月,据俄罗斯媒体报道,一个ID为“Gorka9”的用户在某个论坛上表示可以免费访问密歇根州760万选民的个人信息。此外,暗网上还出现康涅狄格州、阿肯色州、佛罗里达州和北卡罗来纳州等200万至600万选民详细信息的数据库。研究人员表示,这些泄露信息是真实的选民数据,其中包括姓名、出生日期、性别、选民登记日期、地址、邮政编码、电子邮件、选民登记号和投票站号码。

14. 330万台老年机被植入木马,数百万条公民个人信息遭贩卖

2020年11月,据媒体报道称,多数老年机被植入木马病毒,借助木马程序获取手机号码信息,并自动拦截验证码,以此来获取个人信息。这些获取的个人信息会进行APP注册,通过刷单获利,也会打包出售给公民个人信息批发商,从中牟利。据悉,这些带有木马植入程序的老年机多达330余万台,出售获利竟有790余万元。

15. 富士康100G数据被盗,黑客勒索2.2亿元

2020年12月,据外媒 Bleeping Computer 报道,墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,导致其在墨西哥的生产设施出现问题。此次攻击感染了大约1200台服务器,攻击者窃取的未加密文件约有100GB,并将其20TB至30TB的备份数据删除。据悉,DoppelPaymer勒索软件攻击者要求富士康在一定期限内支付1804.0955比特币(价值约2.2亿元),以换取加密密钥,否则将公布被盗数据。

16. 美国网络安全公司FireEye遭黑客组织入侵,敏感工具被窃

2020年12月,全球最大的网络安全公司之一FireEye(火眼)披露遭遇黑客入侵,黑客成功窃取了FireEye渗透测试工具包。被盗工具数量大、范围广,从用于自动化侦查的简单脚本到类似于CobaltStrike和Metasploit等公开可用技术的整个框架。此外,FireEye还拥有大量美国关键基础设施和政府部门客户,FireEye首席执行官Kevin Mandia在新闻发布中表示,攻击者还搜索了FireEye公司某些政府客户的信息。

17. 全球数家重要机构因SolarWinds供应链攻击而被黑客入侵

2020年12月,据美国安全公司FireEye称,代表外国政府从事攻击活动的黑客攻陷了软件提供商SolarWinds,并在旗下的Orion网络管理软件更新服务器中植入恶意代码,导致美国财政部、美国NTIA等多个政府机构用户受到长期入侵和监视。此次攻击活动范围很广,影响了全球各地的公共和私营组织,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体行业。

(二)2020年漏洞分析

1. 2020年CVE漏洞利用率Top10

报告期内,从收集到的病毒样本分析来看攻击者利用最多的漏洞还是微软Office 漏洞。CVE-2017-11882、CVE-2017-0199等因稳定性和易用性仍一直是钓鱼邮件等攻击者使用的最爱。攻击者利用Office漏洞投递大量的Emotet、AgentTesla、TrickBot等间谍软件、银行木马。全球的外贸行业深受其害,我国的对外贸易企业众多,大量企业被攻击,造成巨大经济损失。

CVE-2017-0147 Windows SMB协议MS17-010永恒之蓝漏洞在2017年爆发,虽然过去将近3年,但仍是目前被病毒利用得最多的安全漏洞之一。虽然暴露在互联网中存在该漏洞的终端设备数量较少,但是在企业内网环境中还有大量的终端设备该漏洞尚未修复,利用永恒之蓝的挖矿DTLMiner、EternalBlueMiner等各种各样的挖矿病毒仍然在大量内网环境中传播发展。

瑞星根据漏洞被黑客利用程度进行分析,评选出2020年1至12月份漏洞Top10:

1.1 CVE-2017-11882 Office远程代码执行漏洞

该漏洞又称公式编辑器漏洞,2017年11月14日,微软发布了11月份的安全补丁更新,悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本,攻击者可以利用漏洞以当前登录的用户身份执行任意命令。漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装,该模块以OLE技术将公式嵌入在Office文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。

1.2 CVE-2010-2568 Windows LNK快捷方式漏洞

该漏洞影响Windows XP SP3,Server 2003 SP2,Vista SP1和SP2,Server 2008 SP2和R2及Windows 7。Windows没有正确地处理LNK文件,特制的LNK文件可能导致Windows自动执行快捷方式文件所指定的代码。

1.3 CVE-2016-7255 Win32k 特权提升漏洞

CVE-2016-7255漏洞是一个Windows内核提权漏洞,影响:Microsoft Windows VistaSP2,Windows Server 2008SP2和R2SP1,Windows7 SP1,Windows8.1,Windows Server 2012 Gold和R2,WindowsRT8.1,Windows10 Gold,1511,1607,Windows Server 2016。攻击者可利用该漏洞在内核模式下执行任意代码。多个APT组织在攻击活动中使用了该内核提权漏洞进行攻击。

1.4 CVE-2017-0147 Windows SMB协议漏洞MS17-010

2017年5月份Shadow Brokers公布了他们从Equation Group窃取的黑客工具,其中包含“永恒之蓝”等多个MS17-010漏洞利用工具。MS17-010对应CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148等多个SMB漏洞。这份工具的泄露直接导致了后来WannaCry病毒的全球爆发,包括中国在内的至少150多个国家,30多万用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其造成损失高达80亿美元。此后各种利用MS17-010漏洞的病毒疯狂增长,影响深远。

1.5 CVE-2012-6422 Samsung Galaxy Android设备内核安全漏洞

CVE-2012-6422是一个内核安全漏洞,源于运行Exynos4210或4412处理器时,/dev/exynos-mem使用弱权限(0666)。通过特制的应用程序(如ExynosAbuse),攻击者利用该漏洞读取或写入任意物理内存并获得特权。SamsungGalaxyS2,GalaxyNote2,MEIZUMX以及其他Android设备中的内核中存在此漏洞。

1.6 CVE-2009-0927 Adobe Acrobat和Reader Collab getIcon() JavaScript方式栈溢出漏洞

Adobe Acrobat和Reader没有正确地处理PDF文档中所包含的恶意JavaScript。如果向Collab对象的getIcon()方式提供了特制参数,就可以触发栈溢出,黑客可以成功利用这个漏洞允许以当前登录用户的权限完全控制受影响的机器。

1.7 CVE-2010-0188 TIFF图像处理缓冲区溢出漏洞

Adobe Reader和Acrobat TIFF图像处理缓冲区溢出漏洞,Adobe 在解析TIFF图像文件的时候,使用了开源库代码(libtiff)存在堆栈溢出的bug,漏洞出在对DotRange属性的解析上。该漏洞被多个APT组织在攻击行动中所使用。

1.8 CVE-2012-4681 Oracle Java任意代码执行漏洞

该漏洞于2012年8月26日被安全公司FireEye所披露。该公司安全研究员Atif Mushtaq发现 CVE-2012-4681漏洞最初的利用代码是部署在网站ok.XXX4.net。当用户通过电子邮件等方式引导连接到该网站时,网页内含的Java程序能够绕过Java的沙盒保护机制,并下载安装恶意程序dropper(Dropper.MsPMs)。Oracle Java 7 Update 6和其他版本中存在此漏洞,远程攻击者可利用恶意的java applet绕过Java沙盒限制,从而在应用中执行任意代码。

1.9 CVE-2017-0199 Microsoft Office逻辑漏洞

此漏洞主要是word在处理内嵌OLE2Link对象,并通过网络更新对象时没有正确处理Content-Type所导致的一个逻辑漏洞。该漏洞利用Office OLE对象链接技术,将包裹的恶意链接对象嵌在文档中,Office调用URL Moniker将恶意链接指向的HTA文件下载到本地,URL Moniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行起来。

1.10 CVE-2014-6352 Microsoft OLE远程代码执行漏洞

CVE-2014-6352漏洞被认为可以绕过CVE-2014-4114补丁。此漏洞源于没有正确处理含有OLE对象的Office文件,Microsoft Windows在OLE组件的实现上存在此安全漏洞,未经身份验证的远程攻击者可利用此漏洞执行远程代码。攻击者利用此漏洞可以在管理员模式或者关闭UAC的情况下实现不弹出警告窗运行嵌入的恶意程序。

2. 2020年最热漏洞分析

2.1 CVE-2020-1472 Netlogon特权提升漏洞

该漏洞是一个NetLogon特权提升漏洞。NetLogon组件是Windows上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器连接的易受攻击的Netlogon安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

2.2 CVE-2020-0601 CryptoAPI椭圆曲线密码证书检测绕过漏洞

该漏洞存在于CryptoAPI.dll模块中,可用于绕过椭圆曲线密码(ECC)证书检测,攻击者可以利用这个漏洞,使用伪造的代码签名证书对恶意的可执行文件进行签名,并以此恶意文件来进行攻击。此外由于ECC证书还广泛应用于通信加密中,攻击者成功利用该漏洞可以实现对应的中间人攻击。

2.3 CVE-2020-0796 SMB远程代码执行漏洞

该漏洞是一个Windows系统SMB v3的远程代码执行漏洞,攻击者利用该漏洞,向存在漏洞的受害主机SMB服务发送一个特殊构造的数据包,即可远程执行任意代码。这是一个类似于MS08-067,MS17-010的“蠕虫级”漏洞,可以被病毒利用,造成类似于Wannacry病毒的大范围传播。

2.4 CVE-2020-1350 Windows DNS服务器远程代码执行漏洞

该漏洞为DNS Server远程代码执行漏洞,是一个“蠕虫级”高危漏洞。漏洞源于Windows DNS服务器处理签名(SIG)记录查询的缺陷所致,超过64 KB的恶意SIG记录会导致堆缓冲区溢出,从而使攻击者能够远程执行具有高特权的代码。攻击者可以发送特殊构造的数据包到目标DNS Server来利用此漏洞,进而可能达到远程代码执行的效果。

2.5 CVE-2020-0674 Internet Explorer远程代码执行漏洞

该漏洞存在于Internet Explorer浏览器脚本引擎jscript.dll文件中,Internet Explorer浏览器脚本引擎在处理IE内存对象时存在远程代码执行漏洞。成功利用该漏洞的攻击者可获得和当前用户相同的用户权限,如果当前用户为管理员权限,攻击者便能够控制受影响的系统,进而安装程序、更改或删除数据、创建新账户等。攻击者通过该漏洞可以进行“挂马”活动,构造一个恶意网站,诱使用户查看该网站,以此触发漏洞。

2.6 CVE-2020-0688微软EXCHANGE服务的远程代码执行漏洞

该漏洞是一个Exchange服务上的漏洞,是由于Exchange Control Panel(ECP)组件中使用了静态秘钥(validationKey和decryptionKey)所导致的。利用这个漏洞,攻击者可通过Exchange服务上的普通用户权限以SYSTEM身份执行任意代码,并完全控制目标Exchange服务器。

2.7 CVE-2020-0787 Windows本本地提权漏洞

2020年3月,微软公布了一个本地权限提升漏洞CVE-2020-0787,攻击者在使用低权限用户登录系统后,可以利用该漏洞构造恶意程序直接获取系统管理员或者system权限。该漏洞是由BITS(Background Intelligent Transfer Service)服务无法正确处理符号链接导致,攻击者可通过执行特制的应用程序利用该漏洞覆盖目标文件提升权限。

2.8 CVE-2020-14386 Linux内核权限提升漏洞

该漏洞为Linux内核权限提升漏洞。Linux发行版高于4.6的内核版本的源码 net/packet/af_packet.c 在处理AF_PACKET时存在一处整数溢出漏洞。本地攻击者通过向受影响的主机发送特制的请求内容,可以造成权限提升。

2.9 CVE-2020-6519 Google Chrome浏览器策略绕过漏洞

该漏洞是一个基于Chromium的Web浏览器的漏洞,漏洞影响Windows、Mac和安卓平台基于Chromium的Web浏览器,攻击者利用该漏洞可以绕过Chrome 73及之后版本的内容安全策略(Content Security Policy,CSP)并执行任意恶意代码。

2.10 CVE-2020-14882,CVE-2020-14883 Weblogic远程执行漏洞

这两个漏洞是Weblogic漏洞,Weblogic是Oracle公司推出的J2EE应用服务器。CVE-2020-14882允许未授权用户绕过管理控制台的权限验证访问后台,CVE-2020-14883允许后台任意用户通过HTTP协议执行任意命令。攻击者通过这两个漏洞,构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console,并执行任意代码。

(三)2020年全球APT攻击事件解读

1. APT组织UNC2452

UNC2452是2020年新的APT组织,由美国安全公司FireEye命名。该组织在2020年12月的时候攻陷软件提供商SolarWinds,并将具有传输文件、执行文件、分析系统、重启机器和禁用系统服务等能力的Sunburst后门,插入到该企业旗下Orion网络管理软件中带SolarWinds数字签名的组件SolarWinds.Orion.Core.BusinessLayer.dll中。SolarWinds公司客户遍布全球,覆盖了政府、军事、教育等大量重要机构和超过九成的世界500强企业。此次APT组织UNC2452利用SolarWinds供应链进行攻击的事件影响甚广,造成了极恶劣的影响,FireEye称已在全球多个地区检测到攻击活动,受害者包括北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘等实体企业。

此次攻击事件中APT组织通过篡改文件SolarWinds.Orion.Core.BusinessLayer.dll,在此DLL文件中增添了Sunburst后门,因此使得Sunburst后门带有有效的数字签名:Solarwinds Worldwide,LLC。

图:Sunburst数字签名

较原来正常的SolarWinds.Orion.Core.BusinessLayer.dll文件相比,恶意DLL文件中Sunburst后门代码存于新增的OrionImprovementBusinessLayer类中,Sunburst后门可以执行禁用杀软、盗取数据、下发和执行文件等恶意操作。

图:新增类
图:部分Sunburst后门代码

2. APT组织OceanLotus

“OceanLotus”是一个至少自2012年就开始进行网络攻击的APT组织,这个APT组织又称:“海莲花”、APT 32、SeaLotus、APT-C-00、Ocean Buffalo,是最活跃的APT组织之一。有信息表明该组织疑似为越南背景,由国家支持。其攻击目标包括但不限于中国、东盟、越南中持不同政见者和记者,目标行业多为能源、海事、政府和医疗等领域。2020年捕获了多起“海莲花“针对中国的攻击样本,攻击手法主要有利用漏洞、Office宏以及带数签的正常程序加载恶意dll等。

例如:该APT组织针对中国所投递的“中国正在追踪来自湖北的旅行者.exe”的攻击样本中,其主要利用正常的exe程序加载隐藏的dll以便释放诱饵文档迷惑目标,同时在内存中隐秘执行远控木马。

图:中国正在追踪来自湖北的旅行者.exe
图:诱饵文档

该APT组织针对目标还会投递利用办公文档等图标进行伪装的恶意自解压程序,例如:名为”CV_Enginneer_CH.doc~.exe”的恶意样本,虽然样本图标为word文档图标,但是样本类型为自解压应用程序。该程序的攻击流程主要是:

MicrosoftUpdate.exe(带正常数签),加载 SoftwareUpdateFiles.dll(带正常数签) ,然后加载SoftwareUpdateFiles.Resources\en.lproj\SoftwareUpdateFilesLocalized.dll(恶意文件) 最后加载SoftwareUpdateFiles.locale(被加密的shellcode)

图:自解压程序

3. APT组织SideWinder

APT组织SideWinder至少从2012年就开始进行网络攻击,疑似来自印度。这个APT组织又称“响尾蛇”、T-APT-04,从2020年所捕获的攻击样本中分析发现,该组织的大多数活动都集中在中国和巴基斯坦等国家,针对的目标行业大多数为医疗机构、政府和相关组织,攻击手法主要有利用钓鱼邮件等方式投递带恶意对象,CVE-2017-11882漏洞的诱饵文档,投递利用远程模板技术下载恶意文档,或者投递带恶意链接的快捷方式文件等。

例如:其投递和亚洲组织ASPAC有关的诱饵文档“Nominal Roll for BMAC Journal 2020.doc”,攻击手法主要是在诱饵文档中嵌入恶意hta代码,利用CVE-2017-11882漏洞执行hta代码达到窃密远控目的。

图:Nominal Roll for BMAC Journal 2020.doc

在其所投递的与巴基斯坦政府相关的攻击样本“Pak Army Deployed in Country in Fight Against Coronavirus.pdf.lnk”和投递的涉及中国政府攻击样本“OIMC News Letter.pdf.lnk”中,都是利用恶意快捷方式调用mshta.exe远程下载执行恶意文件,后续进行窃密远控等操作。

图:Pak Army Deployed in Country in Fight Against Coronavirus.pdf.lnk
图:OIMC News Letter.pdf.lnk

4. APT组织Darkhotel

Darkhotel是一个至少从2014年就开始进行网络攻击的APT组织,疑似来自朝鲜。这个组织又称:APT-C-06、SIG25、Dubnium、Fallout Team或Shadow Crane。中国,美国,印度,俄罗斯等多国都曾遭受其攻击,该组织涉及的行业有国防、能源、政府、医疗保健、非政府组织、制药、研究与技术等。在2020年微软宣告Windows 7系统停止更新第二日“Darikhotel”就被披露,利用CVE-2019-17026(火狐浏览器)和CVE-2020-0674(IE浏览器)这两个漏洞对我国商贸相关的政府机构进行攻击,并且在疫情期间,其劫持国内某VPN设备下发恶意程序SangforUD.exe,SangforUD.exe带有伪冒的数签,当受害者执行SangforUD.exe后,其会联网下发恶意代码。

图:恶意程序(SangforUD.exe)仿造数签
图:SangforUD.exe联网下发恶意程序

5. APT组织Patchwork

Patchwork是一个至少从2015年就开始进行网络攻击的APT组织,疑似来自印度。这个APT组织有很多别称:“摩诃草”、Operation Hangover、Viceroy Tiger、Dropping Elephant、Monsoon、APT-C-09 或Chinastrats。从2020年所捕获的攻击样本分析发现,该组织的大多数的活动都集中在中国、巴基斯坦等亚洲国家,针对的目标行业大多数为医疗机构、政府和政府相关组织,攻击手法有投递恶意宏文档,利用钓鱼网站和使用esp漏洞(CVE-2017-0261)等。例如:

其针对中国的诱饵文档“武汉旅行信息收集申请表.xlsm”,”申请表格xlsm”等中,主要使用的攻击手法是投递带恶意宏的文档,通过宏代码去远程加载恶意文件下载远控木马。

图:武汉旅行信息收集申请表.xlsm
图:申请表格xlsm

在其所投递的和巴基斯坦相关的攻击样本“National_Network_Security.docx.”中,主要利用esp漏洞去下发后门和收集信息,样本内容提及了巴中国家网络安全相关信息。

图:National_Network_Security.docx

(四)2020年勒索病毒分析

1. 勒索病毒概述

勒索病毒从早期针对普通用户的攻击转变为针对中大型政府、企业、机构。勒索事件逐年增长,攻击也越来越具有针对性和目标性。

2020年,据全球企业调查和风险咨询公司Kroll的报道,勒索软件是2020年最常见的威胁。其可能通过网络钓鱼电子邮件,漏洞,开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等来发起攻击。如今,勒索软件几乎都采用双重勒索模式进行索取赎金:在入侵目标后窃取企业数据,再使用勒索病毒进行加密。黑客以公开窃取到的数据为要挟,进一步胁迫受害群体缴纳赎金。据统计,2020年勒索软件的攻击事件已突破历史最高点。

勒索病毒影响的行业甚广,传统企业、教育、医疗、政府机构遭受攻击最为严重,互联网、金融、能源也遭到勒索病毒攻击影响。

2. 勒索病毒事件

2020年3月,进行冠状病毒疫苗现场试验的药物测试公司Hammersmith Medicines Research LTD(HMR)遭受勒索病毒Maze攻击。在该公司拒绝支付赎金之后,Maze勒索软件运营商在其泄漏网站上发布了一些被盗文件。黑客窃取的记录包含公司扫描时收集的文件和结果的扫描副本,包括姓名,出生日期,身份证件,健康调查表,同意书,全科医生提供的信息以及一些检测结果。

2020年4月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,赎金高达1090万美金。攻击者声称已经获取了公司10TB的敏感数据文件,如果EDP不支付赎金,那么他们将公开泄露这些数据。根据EDP加密系统上的赎金记录,攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。

2020年6月,美国加州大学遭受Netwalker 勒索软件攻击。由于被加密的数据对于所从事的一些学术工作非常重要,因此,该学校向勒索攻击者支付大约 114 万美元赎金,以换取解锁加密数据的工具。

2020年6月,REvil(Sodinokibi)勒索软件入侵了巴西的电力公司Light S.A,并要求其提供1400万美元的赎金。Light S.A承认发生了该入侵事件,表示黑客入侵了系统,并对所有Windows系统文件进行加密。

2020年7月,西班牙国有铁路基础设施管理公司ADIF遭受了勒索软件Revil的攻击。攻击者声称窃取了800GB的机密数据,包括ADIF的高速招聘委员会合同、财产记录、现场工程报告、项目行动计划、关于客户的文件等等。

2020年8月,BleepingComputer报道了佳能遭受名为Maze勒索软件团伙攻击的事件。在Maze的网站上,勒索软件团伙称其公布了攻击期间从佳能窃取的5%的数据。发布的文档是一个名为“STRATEGICPLANNINGpart62.zip”的2.2GB的压缩文件,其中包含营销资料和视频,以及佳能网站相关的文件。

2020年8月,Maze勒索软件团伙入侵了东南亚的私营钢板公司Hoa Sen Group(HSG),并声称拥有公司的敏感数据。在Maze网站上,勒索软件团伙声称已发布了公司被泄漏总数据的5%。例如HSG的多份求职信,屏幕快照,简历,学术文件等等。

2020年9月,智利三大银行之一的Banco Estado银行受到REvil勒索软件的网络攻击,使得其相关分行被迫关闭。

2020年10月,勒索软件组织Egregor对外声称成功入侵了育碧和Crytek两大游戏公司,获得了包括《看门狗:军团》源代码在内的诸多内部内容。之后该勒索组织公布了这款游戏的源代码,并在多个专用追踪器上放出了下载链接,源代码大小为560GB。

2020年11月芯片制造商Advantech受到Conti勒索软件攻击,要求其提供750比特币,约合1400万美元,以解密Advantech被加密的文件并删除被窃数据。为了让Advantech确认数据确实已经被盗,攻击者在其数据泄漏网站上发布了被盗文件的列表。根据勒索信息声称,在网站上公开的3.03GB数据只占全部被窃数据的2%。

2020年12月,墨西哥的富士康工厂遭到了“DoppelPaymer”勒索软件的攻击,攻击者窃取大量未加密文件,并对相关设备进行加密并勒索赎金3400万美元。

3. 2020年1至12月勒索病毒Top3

在2020年期间有不少往年出现过的勒索病毒也处于高度活跃的状态,其中有GIobeImposter、CrySis、Stop、Maze,Egregor等。

以下将根据感染量、威胁性筛选出影响较大的年度Top3勒索病毒进行概要性总结。

3.1 Sodinkibi勒索病毒

Sodinokibi(又称REvil),于2019年4月下旬首次发现,最初通过Oracle WebLogic漏洞传播。自从CandCrab于2020年6月宣布“退休”以来,新生勒索Sodinokibi便以部分代码相似度高以及分发途径重叠等一直被视为GandCrab团队的新项目,或称为其接班人。Sodinokibi被作为一种“勒索软件即服务”,它依赖于子公司分发和营销勒索软件。

Sodinokibi的攻击目标涉及领域较广,医疗机构、政府单位、大中型企业均有感染发生。Sodinokibi采用椭圆曲线(ECC)非对称加密算法,加密逻辑严谨在没有攻击者私钥的情况下暂不能解密。

图:Sodinokibi勒索信

3.2 Maze勒索病毒

Maze勒索病毒至少自2019年就开始活跃,其最初通过在挂马网站上的漏洞攻击工具包以及带恶意附件的垃圾邮件进行传播,后来开始利用安全漏洞专门针对大型公司进行攻击。2020年多家大型公司如:美国半导体制造商MaxLinear、药检公司HMR、佳能美国公司、越南钢铁企业HSG、半导体大厂SK海力士以及韩国LG集团等都遭受到Maze病毒勒索攻击。并且因Maze勒索方式:如果受害者不付款,攻击者就会公开窃取数据,其中部分拒绝支付赎金的公司的一些数据在Maze的“泄密网站”上被公布。而且,许多其他勒索软件也开始效仿这种勒索方式。

Maze勒索病毒的加密模式采用对称加密和非对称加密算法的结合方式, 并且被其加密后的每个文件后缀名都是随机生成的,并不相同。如需解密,需要结合攻击者的RSA私钥。

图:Maze勒索信

3.3 Egregor勒索病毒

Egregor勒索病毒于2020年9月新被披露,据报道,其与Sekhmet勒索软件和Maze勒索软件存在关联,其目标包括了大型零售业者及其他组织。2020年多家大型企业政府组织等都遭受到Egregor病毒勒索攻击,如育碧和Crytek两大游戏公司,跨国零售公司Cencosud以及加拿大温哥华公共交通机构TransLink等。为了从受害者处获得赎金,Egregor勒索软件运营者威胁受害者:如果不付款,攻击者就会公开窃取数据,通知媒体,来公开企业遭受入侵的消息。除此之外,根据 Egregor的勒赎通知,受害者支付赎金不仅能够让资料解密,攻击者还会提供建议来确保公司网路的安全。

Egregor勒索软件主要使用基于流密码ChaCha和非对称密码RSA的混合加密方案,解密文件需要作者的RSA私钥,文件加密逻辑完善,因此在没有攻击者私钥的情况下暂不能解密。

图:Egregor勒索信

(五)2020年供应链攻击分析

1. 供应链攻击概述:

近年来,随着黑客团伙等利用供应链攻击作为安全突破口对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。例如:黑客通过攻陷某知名官网的服务器,篡改其服务器上所提供的软件源代码,使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道,携带着相应的供应商数字签名,使得恶意程序的隐蔽性大大增强,安全检测难度加大。

2. 供应链攻击事件:

历年来,供应链攻击都是网络安全关注的重点之一。每年或多或少都有被爆出的供应链攻击事件。

PhpStudy后门事件,黑客篡改了PhpStudy安装包中的php_xmlrpc.dll模块,插入后门后二次打包在各下载站中发布,国内大量用户受害。

XcodeGhost事件,开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能。大量的APP软件受影响。

CCleaner后门事件,由于官方的应用程序CCleaner version 5.33.6162和CCleaner Cloud version 1.07.3191被植入了恶意代码,利用被篡改的CCleanrer软件对CClearner用户实施网络攻击。

NotPetya攻击事件,该恶意软件攻击了乌克兰会计软件MeDoc的更新服务器,利用被感染的服务器更新恶意软件,导致病毒大面积扩散。

3. 重大供应链攻击事件分析:

2020年12月,APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响。据悉,大约有超过 250 家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA,美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。

该供应链事件是源于软件提供商SolarWindsSolarWinds旗下的Orion网络管理软件源码遭黑客篡改,黑客在名为SolarWinds.Orion.Core.BusinessLayer.dll的文件中添加了Sunburst后门代码,使得Sunburst后门带有有效的数字签名:Solarwinds Worldwide,LLC。

较原来正常的SolarWinds.Orion.Core.BusinessLayer.dll文件相比,恶意DLL文件中的Sunburst后门代码存于新增的OrionImprovementBusinessLayer类中。

Sunburst后门可通过执行远控指令执行窃取数据,下发恶意代码等操作,并且因SolarWinds Orion软件传播范围极广,使得此次供应链事件波及的范围也很广。

供应链攻击危害逐渐显现,由于该攻击检测难度大、持续性长、攻击面广、影响深远,企业或个人用户应当加强漏洞检测水平,提高安全响应能力,努力建设良好的软件供应链生态。

四、趋势展望

(一)后疫情时代网络安全面临新的挑战

2020年新冠病毒袭击全球,为了控制疫情的扩散各国采取了各种措施控制人群的聚集。在新冠病毒的影响下,远程办公、远程教育等线上生产和生活方式迅速发展,在带来新的经济发展机遇的同时,也给网络安全领域带来诸多全新的挑战。远程办公的发展使得原有的企业内的网络边界逐渐模糊。分散的IT基础设施,将给原有的安全策略控制和管理带来巨大的改变,同时给企业的安全运营带来挑战。后疫情时代远程办公的发展必将会加速零信任网络安全产品的落地与发展。

(二)勒索软件依旧流行,勒索方式向多重勒索方向发展

2020年勒索病毒仍是最常见的威胁之一,勒索病毒勒索途径也发生了一些变化,从以往的单纯加密用户数据勒索赎金解密,逐渐增加了在攻击过程中窃取企业隐私数据和商业信息,威胁不交付赎金则会公布企业内部私用数据的方式进行勒索。这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大,企业不仅要面临隐私数据泄露,还要面临相关法规、财务和声誉受损的影响,这大大增加了攻击者勒索的成功率。这种多重勒索方式纷纷被各种勒索软件攻击者效仿,攻击者在暗网中发布了大量数据泄露站点,用来公开拒绝支付赎金的受害企业私有数据。

图:勒索病毒攻击者在暗网发布受害企业数据

双重勒索攻击模式已经成为了现今勒索软件常使用的攻击手段,企业在遭受勒索攻击后面临的损失将更加巨大,建议企业或个人用户提高风险防范意识,做好基础安全防护工作,对重要数据进行定期备份。

(三)垃圾邮件、钓鱼邮件攻击仍是需要重点关注的安全领域

最近几年国内经济迅猛发展,加上国家一带一路的建设,从事外贸进出口的企业众多,在对全球2020钓鱼活动跟踪过程中我们发现国内存在着大量的受害企业,大量企业长时间被攻击都没有发现。攻击者利用国际贸易通过邮件交流沟通这一特点,使用大量与贸易相关主题的钓鱼邮件投递各种后门间谍软件,如Emotet、AgentTesla、TrickBot等。由于攻击者采用了多种技术手段规避垃圾邮件网关和终端杀毒软件的检测,使得大量钓鱼邮件成功投递到了用户环境,因此大量用户凭据信息被窃取,也为攻击者接下来的诈骗活动打开了方便之门,形成巨大的安全隐患。国内很多从事外贸行业的企业被攻击,造成巨大的经济损失。这种以外贸行业为主要攻击对象的钓鱼攻击活动将会一直持续进行。

(四)供应链攻击危害逐渐显现

近年来,黑客团伙利用供应链攻击作为安全突破口,对各大政府企业机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。供应链攻击一般利用产品软件官网或者软件包存储库等进行传播。例如:黑客通过攻陷某知名官网的服务器,篡改其服务器上所提供的软件源代码,使得这些软件在被用户下载后安装时触发恶意行为。这些携带恶意代码的软件来自受信任的分发渠道,携带着相应的供应商数字签名,使得恶意程序的隐蔽性大大增强,安全检测难度加大。供应链攻击有着“突破一点,伤及一片”的特点,又因其隐蔽性强、检测率低,成为具有国家背景的APT组织常常使用的攻击手段之一。比如:2020年APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响,据悉,大约有超过250家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA、美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。

供应链攻击检测难度大、持续性长、攻击面广、影响深远,企业或个人用户应当加强漏洞检测水平,提高安全响应能力,努力建设良好的软件供应链生态。

(五)信息泄露依然形势严峻

2020年,国内外频繁曝出数据泄露事件,受影响的用户少则数千万,多达上亿。不仅个人用户受到严重影响,金融、教育、医疗、科技等行业也因数据泄露遭受损失。以下列举部分公开披露的数据泄露事件。

表:数据泄露事件

目前,信息泄露方面的网络安全形势已日趋严峻,建议个人用户提高数据安全意识,企业强化数据安全建设,做好用户隐私保护。

专题1:2020年利用“新冠肺炎”为诱饵的网络攻击事件

一、事件概述

2020年,新冠肺炎相关话题成为广为人关注的热点,国内外不少黑客、APT组织利用肺炎疫情等相关题材作为诱饵文档对一些政府、教育、卫生等机构发动鱼叉钓鱼攻击。

1. DTLMiner利用新冠疫情为题材传播

DTLMiner挖矿木马向目标投递和COVID-19新冠病毒疫情相关的钓鱼邮件,诱使用户打开恶意的邮件附件,当受害者打开了钓鱼邮件中的恶意文档后,将会访问恶意链接下载脚本并执行。

2. APT组织“Sidewinder”利用防疫题材对高校发起攻击

APT组织“Sidewinder”投递名为“清华大学2020年春季学期疫情防控期间优秀教师推荐表”的恶意docx文档进行攻击。该docx文档的目录word\_rels\webSettings.xml.rels中包含恶意链接,该恶意链接指向嵌入了恶意对象的RTF文档,最终会在受害者计算机上释放和执行C#后门。

3. APT组织“OceanLotus”利用疫情相关信息投递后门

APT组织“OceanLotus”投递使用文档图标进行伪装的名为“冠状病毒实时更新:中国正在追踪来自湖北的旅行者.exe”的exe程序对目标进行攻击。样本会执行同级目录下被隐藏的恶意dll并释放诱饵文档,诱饵文档内容提及中国湖北,主要关于新冠病毒的最新事件报道。

4. APT组织“摩诃草”利用疫情向巴基斯坦发起网络攻击

APT组织“摩诃草”利用含“COVID19”字样的宏文档向巴基斯坦发起网络攻击,样本利用宏代码投递远控木马,诱饵内容为巴基斯坦政府关于疫情防卫的指导。

5. APT组织“Transparent Tribe”利用印度疫情信息投递后门

APT组织“Transparent Tribe”向目标投递带“CORONA VIRUS”字样的宏文档,文档利用宏代码投递CrimsonRat远控木马,文档内容提及印度,主要涉及一些新冠病毒的健康咨询。

6. APT组织“Kimsuky”组织利用新冠针对MACOS平台进行网络攻击

APT组织“Kimsuky” 利用名为“COVID-19 and North Korea.docx”的恶意样本针对MACOS平台进行网络攻击。该样本是通过远程宏模板注入使目标加载执行宏代码,并且通过判断当前操作系统是否是MAC系统决定是否执行恶意python代码。

二、样本分析

瑞星威胁态势感知平台捕获到一起利用“新型冠状病毒”为诱饵进行传播的攻击事件。攻击者使用新冠、肺炎等关键字传播远控木马。经分析该木马为ghost远控木马变种,具有窃取信息、任意文件下载执行等功能。

文件名新型冠状肺炎袭击菲律宾,已经确诊病例七人.cmd
大小853.39 KB
创建时间2020-01-17
MD5BFD8A3ED241D38A3C78A6762FF367124
表:样本信息

该程序运行后在内存中解密一个DLL文件, 并直接在内存中加载执行其中的“shellex”导出函数。

图:加载并执行恶意DLL

运行时动态加载依赖库和函数。

图:动态加载库函数

将当前进程自拷贝到硬编码字符串:C:\Windows\svchosvt.exe下。

图:自我复制

为拷贝至C:\Windows\svchosvt.exe的恶意文件创建系统服务启动。

图:创建服务自启动

将当前程序移动到系统目录C:\Windows\system32\并且以{随机值.bak}命名。

图:移动进程到系统目录

当服务进程启动后检查注册表HKLM\SYSTEM\ControlSet\services下是否存在服务“Cdefgh”。

图:查询恶意软件注册信息

创建互斥体防多开,名称:360.microsoft20208.com:4721。

图:创建互斥体

连接攻击者的C2域名:360.microsoft20208.com。

图:建立连接

建立网络连接后收集一些用户信息。

typedef struct
{
BYTE			bToken;			// = 1
char			UpGroup[32];	// 上线分组
IN_ADDR	    	IPAddress;	// 存储32位的IPv4的地址数据结构
char			HostName[50];	// 主机名
TCHAR           sznet[20];      //net type
OSVERSIONINFOEX	OsVerInfoEx;	// 版本信息
DWORD			dwMajorVer;		// 系统主版本
DWORD			dwMinorVer;		// 系统次版本
DWORD			dwBuildNumber;	// 系统Build版本
char			CPUClockMhz[20];// CPU信息
DWORD			dwSpeed;		// 网速
UINT			bIsWebCam;		// 是否有摄像头
bool            bIsWow64;
DWORD           dwMemSize;
char			MarkTime[50];	// 安装时间
char			Virus[40];		// 杀毒软件
char			szQQNum[250];	// 登陆QQ
BOOL			bIsActive;	    // 用户状态
char			RemotePort[128]; //远程端口
}LOGININFO;
图:收集用户信息

通过“CTXOPConntion_Class”获取当前登录的QQ号码。

图:获取QQ号码

遍历进程,发现包含指定名称的进程。

图:查找指定的进程

后台接收攻击者发送指令,通过switch结构下发执行。

功能列表:

会话管理(关机、重启、注销、卸载)、卸载、更改备注、查询配置、更改分组、下载执行、打开网页(显示)、打开网页(隐藏)、查找进程、查找窗口、Messagebox、开启代理、关闭代理。

图:远控指令分支

提升进程权限:SeShutdownPrivilege。

图:进程提权

启动IE浏览器,以隐藏或显示方式访问指定的URL链接。

图:访问指定的URL链接

自清理功能,删除“Cdefgh”服务,结束当前进程。

图:自清理

下载任意文件,通过连接指定的C2服务器可下载文件到本地。

图:下载任意文件

执行任意文件,将下载的数据写入到本地文件并通过创建进程来执行。

图:执行任意文件

遍历进程并将信息发送到攻击者服务器。

图:获取进程信息

三、关联分析

瑞星安全研究院对该样本关联分析后发现,该攻击事件幕后攻击者早在2019年底就开始通过大量的热点事件、色情信息为诱饵投递病毒,其中包含科比去世等热点事件。分析发现最早一个样本出现在2019年11月份,样本中出现的事件很多发生在东南亚的泰国、菲律宾和越南。大致可以看出该攻击者的攻击对象主要是东南亚的华人。

图:关联样本文件名

四、防范措施

  • 不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
  • 部署网络安全态势感知、预警系统等网关安全产品。该类产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
  • 安装有效的杀毒软件,可拦截恶意文档和木马病毒,阻止病毒运行,保护用户的终端安全。
  • 及时修补系统补丁和重要软件的补丁。

专题2:2020年国内大量外贸物流企业遭受尼日利亚钓鱼组织攻击

一、钓鱼组织乔装甲乙双方 一封邮件获利5万美元

2020年6月,上海某航运集团与一家国外物流公司进行合作交易往来过程中,被网络钓鱼组织攻击,险些蒙受5万多美元的经济损失,过程如下:

该航运集团与另一家国外物流公司有合作往来,双方在进行邮件沟通中,被一个尼日利亚网络钓鱼组织相中,该组织不仅注册了与双方网站相似度极高的域名,还劫持了双方员工的邮件往来,仿冒了往来人员的邮箱账号。

图:真实物流方与仿冒航运方进行邮件通信
图:真实航运方与仿冒物流方进行通信

攻击组织通过一个中间人的角色,分别伪装成航运集团及物流公司进行通信,从中获取合作内容等关键信息,并在商讨付款时修改收款银行信息,使得航运集团将少量资金转入了攻击组织,而并未察觉。就在航运集团即将再次向攻击组织转入5万多美金时,瑞星公司通过追踪发现了该组织的攻击信息,及时联系了该集团,停止付款交易,帮其及时止损。

图:攻击者劫持收款人的Invoice信息
图:攻击者将修改后Invoice发送给付款人
图:付款完成后还未发现问题

此次瑞星安全专家在追踪中发现,尼日利亚长期存在的多个网络钓鱼攻击组织,正在对国内大量进出口贸易、货运代理、船运物流等企业进行着猛烈的网络钓鱼攻击,这类组织通过搜索、购买或窃取等方式获取企业相关邮箱账号进行钓鱼邮件投递,劫持企业公务往来邮件,伪装成买卖双方进行诈骗,以牟取暴利,导致国内很多企业遭受巨大的经济损失或信息被窃。

二、国内大量外贸物流企业已遭受攻击

瑞星安全研究院通过长时间的追踪,获取了部分尼日利亚网络攻击组织使用的邮箱和服务器访问权限,从而还原出该组织的一些攻击路径及方式:

  1. 攻击者通过爬虫或搜索、黑市购买及间谍软件窃取等方式获取大量邮箱地址,通过专业的工具抽取所有与该邮箱进行通信的邮件地址,从而得到大量优质的潜在攻击对象;
  2. 攻击者在掌握大量的邮箱账号后,将各种商业间谍软件或钓鱼网站投递至这些邮箱中,以窃取受害者电脑中浏览器、邮件、账号密码、cookies、键盘记录和屏幕截图等重要信息,从而源源不断地获取大量的凭据信息;
图:攻击流程

在获取到大量用户资料后,攻击者有选择性地以外贸企业、货物代理、物流运输等国际贸易链条上的公司和企业作为下手对象,监控这些公司员工邮箱的通信活动,查找有关资金往来的邮件记录,在合适的时机介入进行诈骗活动;

攻击者通过长期对买(卖)双方邮件内容进行监控,以获取其中重要信息,从而伪装成买方及卖方,充当中间人与真正的买(卖)方进行通信,劫持并传输邮件内容,并以打折、避税或篡改等方式更换收款信息,最终骗取受害企业的大量资金。

图:攻击者充当“中间人”进行诈骗

瑞星公司从该组织收集的邮件中发现,有大量国内企业员工的公务和个人邮箱,或企业网站登录凭据等数据存在其中,同时还发现该组织注册了大量的企业仿冒域名,这些冒牌货与真实域名相似度极高,而这些企业很有可能就是该组织正在攻击或即将攻击的目标。

图:瑞星追踪攻击者时发现的国内企业人员邮件账号信息

三、攻击者以家庭为单位 父子作案分工明确

在追踪溯源过程中瑞星安全研究院获取到了一些攻击者的信息,通过邮箱的登录记录和一些开源的情报信息来看,该组织成员主要生活在尼日利亚的拉各斯市,他们每天的工作就是进行攻击活动,部分攻击者还是以家庭为单位,父亲和儿子一起参与。这些攻击者通过skype不断安排攻击任务和通信交流。

图:网络钓鱼团伙中家庭成员沟通攻击任务

通过对跟踪的其中一个团伙进行了梳理,瑞星安全专家发现该组织成员主要有如下几人,其中 JoeRyaHall是该组织的主要负责人,负责该组织的整个诈骗运营。

图:网络钓鱼团伙成员

小组成员主要有5人,其中PRINCE ARTHUR II 是JoeRyaHall的儿子,负责主要工作,而该组织是尼日利亚钓鱼诈骗攻击活动中一个较活跃的组织。

图:网络钓鱼团伙中家庭成员

四、防范措施

  • 企业通过邮件沟通确认付款信息时,对于以各种理由修改收款账户的信息要引起警觉,一定在付款之前通过第三方通信工具进行反复确认。
  • 统一部署企业级的终端安全防护软件。目前的邮件服务提供商和邮件网关类安全产品对这些钓鱼诈骗攻击都不能够做到100%的拦截。大量的钓鱼和攻击邮件都能突破现有的安全防护方案到达用户终端,所以拥有一款终端安全防护产品十分必要。
  • 提高企业员工的安全防护意识。员工在日常处理邮件过程中要注意邮件附件中文件的后缀名,不运行邮件附件中可执行文件和可疑脚本文件。
  • 打开邮件附件中的Office文档时,如果弹出安全提示框或宏提示框,在无法确定安全的情况下一律拒绝启用,并及时更新Office程序的相关漏洞。
  • 不直接点击邮件中的链接,不在邮件跳转链接到的网页中输入账号密码,如果发现是钓鱼网站并被钓鱼成功,则第一时间修改相关账号密码。
  • 在日常邮件往来中定期检查邮件收件人的邮箱地址是否被仿冒,在回复邮件时如果回复邮件地址与发件人不一致时要引起高度重视。
  • 定期查看邮件账户等登录日志,对于邮件服务商发送的异地账号登录等安全风险提示要引起重视,定期修改邮箱、网站等相关的账号密码。

附:2020年国内重大网络安全政策法规

1.《中华人民共和国密码法》

1月1日,《中华人民共和国密码法》正式实施,这是我国密码领域的第一部法律,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。

密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,它的颁布实施将极大地提升密码工作的科学化、规范化、法制化水平,有力促进密码技术进步,产业发展和规范应用,切实维护国家安全、社会公共利益,以及公民、法人及其他社会组织的合法权益,同时也为密码部门工作提供了坚实的法治保障。

2.《个人金融信息保护技术规范》

2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171—2020),该规范规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。

该规范有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展。同时,有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。

3.《信息安全技术 个人信息安全规范》

3月6日,国家市场监督管理总局、国家标准化管理委员会发布新版国家标准《信息安全技术个人信息安全规范》(GB/T35273-2020),并定于 2020年10月1日实施。本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。

本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。

4.《网络安全审查办法》

6月1日,由国家互联网信息办公室、发展改革委、工信部等12部门联合发布的《网络安全审查办法》正式实施。《办法》明确指出,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。

《网络安全审查办法》的发布,是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段,更是保障国家安全、经济发展和社会稳定的现实需要。《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。

5.《中华人民共和国数据安全法(草案)》

6月28日,第十三届全国人大常委会第二十次会议对《中华人民共和国数据安全法(草案)》(以下称:《数据安全法(草案)》)进行了审议,我国数据安全法正式进入立法程序。《数据安全法(草案)》)是数字安全领域一部基础性的法律,共七章,五十一条,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。

《数据安全法(草案)》体现了总体国家安全观的立法目标,突出了“数据安全与发展”并重原则。关于“数据安全与发展”的关系,《数据安全法(草案)》确定为:“以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。

6.《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

7月22日,公安部制定出台了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称指导意见),进一步健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置重大网络安全事件,切实保障关键信息基础设施、重要网络和数据安全。

该指导意见明确等保工作的三大基本原则和四大工作目标,提出在建立并实施关键信息基础设施安全保护制度上要做好组织认定、职能分工、重点防护、重要数据分析、核心岗位人员产品与服务要点等六大要点。在落实网络安全等级保护制度基础上,强化保护措施,切实维护关键信息基础设施安全。

7.《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》

8月11日,工信部就公开征求对《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》的意见。征求意见稿表示,在基础共性标准、关键技术标准、安全管理标准的基础上,结合新一代信息通信技术发展情况,重点在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,并结合行业发展情况,逐步覆盖其他重要领域。结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。

《电信和互联网行业数据安全标准体系建设指南》提出,到2021年,研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推动标准在重点领域中的应用。

8.《金融数据安全 数据安全分级指南》

9月28日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T0197—2020)金融行业标准。标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,同时明确标准适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。

该标准的发布有助于金融业机构明确金融数据保护对象,合理分配数据保护资源和成本,是金融机构建立完善的金融数据生命周期安全框架的基础,能够进一步促进金融数据在机构间、行业间的安全流动,有利于金融数据价值的充分释放和深度利用。

9.《“工业互联网+安全生产”行动计划(2021-2023年)》

10月14日,工业和信息化部、应急管理部联合发布《“工业互联网+安全生产”行动计划(2021-2023年)》。行动目标为到2023年底,工业互联网与安全生产协同推进发展格局基本形成,工业企业本质安全水平明显增强。一批重点行业工业互联网安全生产监管平台建成运行,“工业互联网+安全生产”快速感知、实时监测、超前预警、联动处置、系统评估等新型能力体系基本形成,数字化管理、网络化协同、智能化管控水平明显提升,形成较为完善的产业支撑和服务体系,实现更高质量、更有效率、更可持续、更为安全的发展模式。

重点任务覆盖建设“工业互联网+安全生产”新型基础设施、打造基于工业互联网的安全生产新型能力、深化工业互联网和安全生产的融合应用、构建“工业互联网+安全生产”支撑体系等四方面共15条。

10.《中华人民共和国个人信息保护法(草案)》

10月21日,全国人大法工委公开就《草案》公开征求意见。《个人信息保护法(草案)》把以人民为中心理念贯穿立法工作始终,坚持了问题导向和立法前瞻性相结合,借鉴了国外立法的先进经验和做法,尤其是聚焦了广大人民群众对个人信息保护领域突出问题的重大关切,构建了比较完善可行的个人信息保护制度规范。

《中华人民共和国个人信息保护法(草案)》共八章七十条,明确了法律适用范围,聚焦目前个人信息保护的突出问题,确立以“告知—同意”为核心的个人信息处理规则,落实国家机关保护责任,加大对违法行为的惩处力度。

11.《信息安全技术 防火墙安全技术要求和测试评价方法》

11月1日,《信息安全技术 防火墙安全技术要求和测试评价方法》将正式实施。新版防火墙国家标准实施后,将替代原有的防火墙国家标准,为各类防火墙产品的研发、测试和选型提供最权威的指导性意见。此次新标准在GB/T 20281-2015基础上,创新性地将各类防火墙国家标准进行了系统、全面梳理,形成了统一的技术框架,将防火墙按照保护对象和资产角度划分为网络型防火墙、Web应用防火墙、数据库防火墙和主机型防火墙,并明确了各类防火墙的定义、安全技术要求、测试评价方法及安全等级划分。

网络型防火墙、WEB应用型防火墙、主机型防火墙都是对原有国家标准的修订、升级,而数据库防火墙则是首次以国家标准形式明确定义和相关要求,这将直接改观数据库防火墙产品水平参差不齐的市场现状,解决用户选择数据库防火墙产品缺乏国家标准指导的困境,为落地等保2.0数据安全建设、落实关键基础设施数据安全保护提供了产品层面标准依据。

12.《信息安全技术政务信息共享 数据安全技术要求》

11月19日,由全国信息安全标准化技术委员会归口上报及执行的GB/T 39477-2020《信息安全技术政务信息共享 数据安全技术要求》获批正式发布,并将于2021年6月1日正式实施。

该标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求,适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。

编辑:瑞瑞 阅读: