引子
2014年,對于網絡安全來說,充滿了不寧靜與不尋常。這讓我們覺得,每年那些長篇累牘的從惡意代碼后臺系統中導出的統計數字,無以表征這個既"波瀾壯闊"又"波譎云詭"的年代。因此,我們決定用若干幼稚的文字和圖表,對這一年做一個簡要的回望。
早在一年前,即2014年新年的時候,安天依然像每年一樣,更新安全威脅主題的通緝令撲克,來作為新年禮物。我們把APT(Advanced Persistent Threat,高級持續性威脅)選為大王,以認定這是最嚴重的安全威脅;而把Malware/Other作為小王,以作為安全威脅趨勢演進的預測,這是一個依托惡意代碼命名法的自造詞,我們把它的中文名字稱為——"威脅泛化"。
APT
"APT熱度是否在下降"?2014年,這個問題多次在我們的技術演講后,被聽眾或媒體問起,對此,我們給出的回答是,當媒體對一個威脅產生審美疲勞時,往往是這種威脅已經走入常態化,其不再只是突擊研究,而是開始逼近更多人的身邊。
而如果從APT這個詞從2005~2006年間,在美國空軍第八聯隊的會議室中被創造出來算起,其已經具有8年的歷史,其本身已經被太多地解讀和咀嚼。而其熱度乍起,是在2011~2012年,一些新的產品解決方案逐步成熟,并被產業和輿論關注的結果。
從這個意義上說,對于在2005~2006年,還依然更多關注木馬的快速數量膨脹影響的我們來說,已經"遲到了"!
2014年,談及APT,無疑公眾更關注電影《The Interview》所導致的發行商索尼影音公司遭遇的入侵和破壞事件。但從另一個角度來看,當一個攻擊以敲詐式的警告于前,而以破壞硬盤數據為結尾的時候,它還是一種APT么?也許與Michael在《Why Stuxnet Isn't APT》中質疑Stuxnet是APT還是Cyberwar一樣,索尼事件也許同樣是一種作戰行動,只是其技術手法顯得沒有那樣高明而已。
APT事件依然更多地為"注意力"所牽引。在整個2014年曝光的APT攻擊事件共有33起,其中Regin和Epic Turla為攻擊國家和組織數量最多的事件。Regin是一組先進隱形的惡意程序,具有高明的隱藏手段,并且使用了P2P技術進行發送指令和竊取信息。從其身上,我們才真正能看到與APT一詞所匹配的藝術式的攻擊手段和制式化的裝備體系。
圖 1 2014年曝光的APT事件
圖 22014年曝光的APT事件中被攻擊國家
2014年被曝光的APT事件攻擊了近百個國家,其中遭受攻擊最多的也正是美國、俄羅斯、中國、日本等全球國家。主要被攻擊的行業為能源、金融、醫療保健、媒體和電信、公共管理、安全與防務、運輸和交通等行業。
嚴重漏洞
2014年4月7日,發生了被稱為3年來最嚴重的漏洞Heartbleed(心臟出血)漏洞,這個漏洞存在于開源密碼技術庫OpenSSL中,該漏洞會導致內存越界,攻擊者可以遠程讀取存在漏洞版本的OpenSSL服務器內存中64K的數據,從而可以被用于獲取內存中的用戶名、密碼、個人相關信息以及服務器證書、私鑰等敏感信息。由于OpenSSL使用非常廣泛,因此這個漏洞影響到了包括Google、Facebook、Yahoo以及國內BAT在內的大型互聯網廠商,以及大大小小的網銀、電商、網絡支付、電子郵件等各種網絡服務廠商和機構。
漏洞存在于OpenSSL中已有兩年之久,后被谷歌研究員尼爾·梅塔(Neel Mehta)與網絡安全公司Codenomicon的研究員發現,他們通知了OpenSSL組織進行漏洞修補工作。漏洞公告發布時已發布了修補漏洞的新版本OpenSSL 1.0.1g,同時Google也比業界更早地修補了漏洞。而漏洞公布后,網絡攻擊者們也開始瘋狂地獲取數據,有人開玩笑的說,為了存放通過Heartbleed獲取的數據,導致了硬盤價格的上漲。雖然言過其實,但其利用價值可見一斑。而當我們回看類似事件時,Codenomicon等一些新銳公司為了提高知名度不負責任的發布POC,也是威脅"泛化"的重要原因。
圖 3 Heartbleed原理圖
而到了9月,則再次曝光了比"心臟出血"更嚴重的漏洞——"Bash Shellshock"(破殼),由于GNU Bash更廣泛的存在,導致其所威脅到的不僅僅是服務器系統,也包括了網絡設備、網絡交換設備、防火墻等網絡安全設備,也包括攝像頭、IP電話等很多采用Linux剪裁定制的系統。經過研究發現,這個漏洞已經存在了近20年。而另一個致命的問題是,由于GNU Bash的分布蔓延極廣,幾乎是無法完全定位修復的;而且由于Bash靈活的語法,導致解析程序極為復雜,因此在幾次修補方法公布后,都隨即被發現了新的問題,從而使"破殼"演化了一系列的漏洞。
圖 4 "破殼"漏洞的披露與修補迭代
再之后,一場持續的DDoS攻擊,嚴重影響到了國內DNS體系的運行,而大量發起攻擊的節點則是攝像頭等在網智能設備,而經跟蹤分析相關僵尸網絡,其正是利用了"破殼"漏洞擴展獲取了大量的節點。
其實在一些國產操作系統上,我們也同樣發現了"破殼"漏洞的存在,理順國產系統的借鑒、繼承關系,及時聯動地漏洞修補,對于依托開源體系發展的國產操作系統領域來說,依托開源軟件的偽閉源系統,其實比開源軟件本身有著更大的漏洞威脅。
此外,HTTPS作為安全認證和加密通訊的重要基礎協議,在這一年被反復提起,微軟Server的SSL實現也被發現存在問題,而多家網銀亦都被暴露出不正確的代碼實現。
安全威脅的泛化與分布
2014年除我們熟悉的Windows、Linux和其他類Unix系統、iOS、Android等操作系統及其應用軟件漏洞外,隨著智能家居、穿戴硬件以及信息化在社會生活中的無所不在,威脅也在跟隨演進。我們做了一個圖表來嘗試說明威脅的分布演進。
圖 5 2014年網絡安全威脅泛化與分布
數據泄漏
2012年的系列"拖庫門"導致的數據泄露事件曾引起很大的影響,而2014年的數據泄露問題依然嚴重,這些泄露的數據有的依然來自拖庫,但有的則來自撞庫攻擊。而其中影響頗大的"12306撞庫攻擊事件",則讓人們看到傳播一些通過撞庫形成的少量數據集合,用以聲稱后臺數據泄露,就會造成一定社會恐慌。
圖 6 2014年國內外曝光的重大數據泄露事件
我們此前對"12306撞庫事件"中的泄漏數據做了一點統計,這說明,未來網站服務者依然需要引導用戶去實現更強壯的密碼策略,特別是為重要網站使用單獨的口令。
PC平臺惡意代碼
我們曾在《木馬雪崩到APT的關聯與必然》中就2006~2012年惡意代碼的快速爆炸式增長進行了分析,而這種趨勢目前又有了很大變化。從入庫黑樣本數量來看,2014年,我們的樣本庫新增了3000萬個Hash,但增速已經大大放緩。
圖 7近五年惡意代碼數量增長趨勢
2014年,PC平臺的惡意代碼家族新增樣本數量排行榜,排在首位的則是2014年2月產生的名為Trojan/Win32.AntiFW的惡意代碼家族,該惡意代碼家族以獲取經濟利益為目標,具有潛在的威脅,包括安裝廣告軟件、劫持瀏覽器、嘗試修改瀏覽器首頁、自定義搜索設置等行為。
在TOP10排行榜中,有5款類似的廣告軟件家族,其目標相同,大都是以獲取經濟利益為目的,分別為 DomaIQ、Lollipop、Morstar、AdLoad、MultiPlug。從首次出現的時間上來描述,可以發現除GrayWare[AdWare]/Win32.AdLoad外(2011年出現的廣告件家族),大部分都為近期新產生的廣告軟件家族。
在2014年惡意代碼數量排行榜中,并未出現新的感染式惡意代碼家族,占據感染式病毒排行榜前列的仍然是Sality和Virut兩個老樣本,同時,Nimnul家族依然在榜。在TOP10排行榜中,排在最后的為組建僵尸網絡的Zbot家族,這個家族在2014年依然揮之不去,并通過郵件等手段傳播。
圖 8 2014年PC平臺惡意代碼數量排行榜
2014年PC平臺惡意代碼行為分類排行中,以獲取利益為目的的廣告行為再次排在第一位,下載行為因其隱蔽性、實用性強的特點數量依然較多,具有遠程控制行為的后門類惡意代碼排在第三位。
圖 9 2014年PC平臺惡意代碼行為分類排行榜
移動平臺惡意代碼統計
2014年移動平臺的惡意代碼數量增長趨勢較2013年同樣略有放緩,全年入庫樣本數量已經超過80萬。
圖 10 2005年-2014年移動平臺惡意程序走勢
移動平臺惡意程序按行為分為8類:惡意扣費、資費消耗、系統破壞、隱私竊取、流氓行為、遠程控制、誘騙欺詐、惡意傳播。
圖 11 2014年移動平臺惡意程序數量按行為屬性統計
2014年移動平臺惡意程序傳播事件次數月度統計,3月份傳播次數最高,接近一千二百萬次,12月份傳播最低。傳播次數中可以看出,上半年和下半年都呈現出了兩次下降趨勢。
圖 12 2014年移動平臺惡意程序傳播事件次數月度統計
2014年移動平臺惡意程序傳播源域名和IP數量月度統計,可以看出使用域名訪問是惡意程序傳播較多的選擇。
圖 13 2014年移動平臺惡意程序傳播源域名和IP數量月度統計
泛化年代的思考
2014年,威脅泛化的年代,是一個打破幻像的時代。例如之前所謂的開源安全神話,當少數開源安全論者還在堅持著"開源是全世界一起做一個系統,閉源是少數人做一個系統"的時候,社區因安全能力不平衡所帶來薄弱環節的影響正在凸顯。Heartbleed就在最常見的OpenSSL中展示了"燈下黑"的結果,并提醒業界這正是達成安全所需要聚合的安全專業性、研究能力以及配套的安全成本。而另一方面,心臟出血后這場針對開源系統安全普查的業內聯合行動,或許可以被看成一場災難的"進步補償(恩格斯語)"。這種活動讓開源體系真的從全域威脅的角度獲得了審視。而Wirelurker(破界),同樣讓iOS的安全神話破滅。
2014年,關鍵漏洞再度展示了"一覽眾山小"的巨大能量,其讓原有的那些漏洞數量的比對和哪種系統更安全的空泛討論完全失去了意義,關鍵漏洞給攻防雙方都帶來了很大的不確定性和偶然性,信息攻防強弱之能力可能在瞬間被一個關鍵漏洞拉平。
泛化的年代是一個盲目的時代,當新威脅被反復強化,我們很容易被吸引而目光游移,我們很容易完全去關注新威脅,而不去分析我們的基礎和家底,而后者同樣重要。比如在Heartbleed中,同樣令人值得思考的問題是研究者們同時注意到,國內網站的HTTPS使用比率很底,大量網站依然采用HTTP,包括有著名的網站(包括手機端)居然采用明文登陸協議,安全措施只是口令計算了一個Hash而已。這實際上是中國和發達國家在安全基礎意識和能力上的代差。
而今年同樣流行著對"老三樣"——即"防火墻"、"反病毒"、"打補丁"的口誅筆伐。這種聲討被用于支撐去尋覓一個新的安全模型或思維。但實際上,在中國更多政企用戶中更真實的情況是大量防火墻被采購后,被束之高閣,從未被安裝和加電;內網反病毒產品的病毒庫幾月到半年才升級一次,而"打補丁"更被視為有可能影響業務穩定性的危險舉動。我們現有的安全問題更多的是來自"老三樣"不管用?還是沒有真正重視和有效使用?
從互聯網安全服務規范到IT治理能力,我們在安全上有很多課要補,我們并非已經建立了充分夯實的體系,可以把目光充分轉移去審視新威脅,而是需要同時面對新舊兩種挑戰。而如果我們漠視這些現狀,就會催生不切實際的誤判,特別是開始膜拜和憧憬所謂一勞永逸改變安全現狀的"永動機",而忘記了安全的本質就是永無休止的對抗與改進。
泛化的年代亦可能是一個麻木的時代,比"心臟出血"更為嚴重的"破殼"漏洞卻難以得到更多來自國內媒體的關注,原因竟然是很多人認為 "心臟出血沒有造成那么大的影響"。當一些主流網站(包括電商)的內存數據被以T為計的獲取時,我們實在無法想象,還有什么是更大的影響。只有大面積斷網、大量的后臺數據被直接公開才算重大影響嗎?這是一種何其落后的安全判斷標準,這種思維定式足以使人在即將噴發的火山口上載歌載舞。
威脅泛化出現的原因,首先是信息化大發展注定使其無所不在,而很多的陷阱、隱患和錯誤的思維在不斷的被繼承,這是威脅泛化注定的土壤;其次是攻擊能力的普及化,正如Bruce Schneier在《The State of Incident Response》所說"正在發生而且真正重要的趨勢是:越來越多戰爭中的戰術行為被應用于更廣泛的網絡空間環境中。",這為加速威脅泛化提供了工具彈藥;而地下黑產的蓬勃發展,追名逐利日益無底線,也成為威脅泛化的持續動力。
泛化的年代,讓很多人重新萌生了計劃經濟式的預設情節,對安全的恐慌,導致很多關于"不設計好安全就不要發展的觀點"重新浮出水面。這些觀點忽略了需求的剛性,認為通過沙盤推演和標準設定能解決很多問題。
在威脅泛化的年代,更多人會想到K.K的《失控》,而一位我十分尊重的老師告訴我,在他的案頭有兩本書,一本是《失控》,而另一本是來自比爾.蓋茨的《未來之路》,他說"從目前來看,對于一個未來的高技術的世界,前者帶給人們的焦慮和恐慌遠勝于后者曾帶給人們的憧憬,但想一想,蒸汽機、電器機、原子能、基因技術……哪一項巨大的技術進步不曾帶給人類巨大的、仿佛毗鄰懸崖邊緣的焦灼?但這一切盡管亦曾被用于破壞、犯罪和戰爭,但最終我們的世界始終是變得更文明、發達和美好。"
安全的存在意義從來都是用于保障應用價值,而不是用來限制應用價值,更不是用來捆住發展的手腳。而今天,盡管我們面對種種安全危機,以及伴生的對未來的種種焦慮,但我們一直堅信發展、進步才是最大的安全。
安全工作者要做實干者,而非預言家,也許這一選擇更適用于"滄海橫流"的時代。
本文來自安天實驗室,原文鏈接:http://www.antiy.com/response/2014report.html
京公網安備 11010502049343號