目 錄

1 導語

面對威脅高速演進變化、防御技術同樣快速改善的現狀，無論我們做怎樣的努力，都已無法用一篇年報來涵蓋網絡安全威脅的全景，這亦使參與本文檔編寫的安天分析工程師們無比糾結。對于安天安全研究與應急處理中心（安天CERT）來說，在數年前，年報工作是相對簡單的，我們只需從惡意代碼存儲和分析的后臺系統導出足夠多的統計圖表，就可以構成一篇年度報告。在網絡安全領域，惡意代碼自動化分析是一個成型較早的基礎設施，惡意代碼樣本集更是一個非常容易進行統計的大集合，這一度讓我們偏離了網絡安全的本質，弱化了我們對保障用戶價值的信念。

從去年開始，安天顛覆了自身傳統的數據表年報的風格，面對當前威脅的縱深化、復雜化特點，大量簡單的統計已經失去意義，我們非常明確地提出了做“觀點型年報”的自我要求。盡管我們擁有更多的樣本、更多的數據，但我們依然不敢說已經能夠駕馭安全大數據，目前我們能做到的只有學習和思考，我們要學習更豐富的數據分析方式，我們要做能獨立思考、有觀點、有立場的安全團隊，而非做大數據和計算資源的奴隸。

同時，我們也深知，我們自己的工作是局限的，安天的分析工作更多地是圍繞如何防御高級持續性威脅（APT）攻擊和惡意代碼展開，我們坦誠面對自己對WEB安全、漏洞挖掘等領域技能積累的一貫不足。此外，由于安天CERT的部門分工所決定的分析視野的不同，本年報涉及到的移動安全相關內容較少，安天移動安全公司（AVL TEAM）后續會單獨發布移動安全年報。

2 高級持續性威脅（APT）的層次分化

　　圖 I 2015年APT事件時間與地理位置分布

2.1 2015年被曝光的高級持續性威脅（APT）事件

APT攻擊繼續引領2015年的威脅大潮。從2月，方程式（Equation）組織浮出水面；到5、6月，APT-TOCS和Duqu2.0相繼露出崢嶸；再到8月，藍白蟻（Blue Termitex）事件的公布，2015年全年共曝光了十多起APT事件。雖然相較于2014年，曝光事件總體數量有所減少，但從威脅事件的影響力和技術水準來看，高水準的攻擊手法、系統化的攻擊平臺、商用木馬和標準化滲透平臺的使用，使得方程式、Duqu2.0和APT-TOCS等事件都極具代表性。

在2015年的APT事件中，“方程式（Equation）”[1]攻擊是較早被披露且含金量極高的攻擊事件。方程式（Equation）組織是一個活躍了近20年的攻擊組織，其將APT的特點P（持久化）展現的淋漓盡致。該組織不僅能夠早于其他組織發現更多0day漏洞，且擁有一套用于植入惡意代碼的超級制式信息武器庫，其中最受關注、最具特色的攻擊武器是兩個可以對數十種常見品牌硬盤實現固件植入的惡意模塊。作為一種高級的持久化手段，其既可以用于感染后的植入，也可以與臭名昭著的“物流鏈”劫持搭配使用。相比之前我們分析過的BIOSKIT和BOOTKIT，該惡意模塊具有更高的隱蔽性，更加難以分析。但多數被方程式（Equation）“光顧”過的節點，并未觸發持久化功能，這說明該組織具有堅持獲取高價值目標的原則。根據對相關硬盤固件接口的分析，我們認為，相關接口和參數的獲取，通過人力和時間投入，依托技術文檔和逆向分析完全可以實現。因此，安天CERT不傾向于固件接口的獲得是相關情報機構與產業界協作的結果，其更多體現出的是攻擊組織及其資源體系強大的分析能力和堅定的作業意志，也包含其針對上游進行滲透作業的可能性。而方程式組織所采用的加密策略，則體現出了其作業的嚴密性，安天CERT于2015年4月發布的《方程式（EQUATION），組件加密策略分析》[2]，對此進行了進一步分析。

　　圖 II 方程式（Equation）惡意代碼的演進、原理與機理

2011年后，沒有安全廠商或組織報道Duqu繼續活躍的跡象，業內一度認為其已經停止活動。然而在2015年初發現的一系列攻擊事件中，出現了Duqu的全新版本，Duqu2.0就此重裝上陣，并對卡巴斯基進行了滲透攻擊。Duqu2.0的重要特點是惡意代碼只會駐留在被感染機器的內存當中，利用漏洞執行內核級別的代碼，硬盤中無法查到痕跡。雖然重啟系統時惡意代碼會被暫時清除，但是攻擊者可以在直接聯網的少數計算機中部署驅動程序，從而通過遠程桌面會話或之前獲得的用戶憑證將Duqu2.0重新部署到整個平臺。不得不說的是，像Duqu這樣有著政府支持的高成本的APT攻擊基礎設施，不僅擁有復雜的、插件化模塊體系，其作業組織也具備直接挑戰世界頂級安全公司的自信。

與“方程式（Equation）”所擁有的裝備武庫和Duqu2.0強大的體系化能力相比，有些APT組織難有雄厚的資金支持、先進的武器儲備和強大的攻擊能力，特別是難以具備建制化的高水平攻擊隊伍，所以他們另辟蹊徑，利用開放或商業化的標準化的滲透平臺生成惡意代碼和其他攻擊載荷，向目標進行部署和攻擊。2015年5月，在安天發現的一例針對中國官方機構的攻擊事件（APT-TOCS）[3]中，攻擊者就是使用自動化攻擊測試平臺Cobalt Strike生成了利用信標模式進行通信的Shellcode，實現了對目標主機的遠程控制能力。這種利用測試平臺進行攻擊滲透的方式以及無惡意代碼實體文件、定時發送心跳包等行為在一定程度上可以規避主機安全防護軟件的查殺與防火墻的攔截，同時對可信計算環境、云檢測、沙箱檢測等安全環節和手段均有對抗能力。該攻擊控制目標主機的方式非常隱蔽，難以被發現，并且具備攻擊多種平臺的能力，如Windows、Linux、Mac等。經過線索關聯，這一事件被認為與友商所公布的“海蓮花”事件，源于同一攻擊組織，但其作業方式與既往相比顯現出較大差異。從本次事件的分析結果及我們長期的監控情況來看，商用木馬、標準化的滲透平臺等已經被廣泛用于各種定向持續攻擊中，特別是針對中國目標的攻擊中。這種成本較低的攻擊模式不僅降低了對攻擊者能力和資源儲備的要求，還導致對依托大數據分析來辨識線索鏈的過程產生更多的干擾，并使“編碼心理學”等一些我們過去更擅長的分析方法失去作用。

2.2 日趨活躍的“商業軍火”

傳統意義的APT攻擊更多地讓人聯想到精干的作業團隊、強大的用于攻擊的基礎設施、專業的0day漏洞挖掘小組以及惡意代碼的編寫小組等。因此，多數的APT研究者更愿意把更多目光放在具有這些特點的事件上。但APT-TOCS等事件則用一種新的方式，為一些技術能力和資源相對有限的國家和組織提供了另一種選擇。該事件也說明，隨著攻擊平臺、商用木馬和開源惡意工具的使用，網絡軍火被更加廣泛的使用可能成為一種趨勢。從安天過去的跟蹤來看，這種威脅已經存在近五年之久，但依然缺乏有效檢測這類威脅的產品和手段。安天CERT分析小組之所以將APT-TOCS事件定位為準APT事件，是因為該攻擊事件一方面符合APT攻擊針對高度定向目標作業的特點，同時隱蔽性較強、具有多種反偵測手段。但同時，與我們過去所熟悉的很多APT事件中，進攻方具備極高的成本承擔能力與巨大的能力儲備不同，其成本門檻并不高，事件的惡意代碼并非由攻擊者自身進行編寫構造，商業攻擊平臺使事件的攻擊者不再需要高昂的惡意代碼的開發成本，相關攻擊平臺亦為攻擊者提供了大量可選注入手段，為惡意代碼的加載和持久化提供了配套方法，這種方式降低了攻擊的成本，使得缺少雄厚資金、也沒有精英黑客的國家和組織依托現有商業攻擊平臺提供的服務即可進行接近APT級的攻擊水準，而這種高度“模式化”攻擊也會讓攻擊缺少鮮明的基因特點，從而更難追溯。

　　圖 III Cobalt Strike滲透測試平臺的能力覆蓋圖

　　圖 IV 安天對APT-TOCS攻擊的可視化復現

與APT-TOCS事件中的Cobalt Strike所扮演的角色有所不同，Hacking-Team是一個專門為攻擊者提供工具和手段的公司。2015年7月，由于遭到入侵，Hacking Team逾400G數據泄露。關于Hacking-Team被盜了什么的問題，形象的回答就是“軍火庫、賬房和衣櫥都被洗劫了”。大量含源代碼的木馬程序、多個未公開的0day漏洞、電子郵件、商業合同、項目資料和監聽錄音遭到泄露，無異于向本就充滿著威脅的網絡環境投放了一枚重磅炸彈。這種具有商用水準的多平臺木馬的泄露，瞬間提升了黑產編寫木馬的能力，泄露的漏洞也迅速出現在一些普通的攻擊中。

安天AVL TEAM亦發現類似Giige等商業手機木馬，被攻擊者用來攻擊中國的機構和人員。

正如我們今年在APT-TOCS事件報告中指出的那樣“鑒于網絡攻擊技術具有極低的復制成本的特點，當前已經存在嚴峻的網絡軍備擴散風險。商業滲透攻擊測試平臺的出現，一方面成為高效檢驗系統安全的有利工具，但對于缺少足夠的安全預算、難以承擔更多安全成本的國家、行業和機構來說，會成為一場噩夢。在這個問題上，一方面需要各方面建立更多的溝通和共識；而另一方面毫無疑問的是當前在攻防兩端均擁有全球最頂級能力的超級大國，對于有效控制這種武器級攻擊手段的擴散，應該負起更多的責任”。

2.3 APT的層次化能力

近年來的APT事件中，超級APT組織擁有大量0day漏洞和豪華的攻擊裝備儲備，甚至是“揮霍”0day漏洞，而同時，我們一些攻擊組織則利用現有平臺和商用木馬來完成的攻擊事件；同樣也有一些技術相對粗糙，手段亦不高明的攻擊事件也同樣體現出攻擊方持續和定向攻擊作業的特點。因此，我們不禁要問，近年來的攻擊事件在攻擊手法、能力和技術儲備上存在諸多差異，那么究竟該以何種標準去定義APT？

從技術能力、資源儲備、攻擊手段等方面綜合考慮，安天將APT攻擊能力細分為A2PT（“高級的”APT）、APT、準APT、輕量級APT幾個等級。A2PT，顧名思義，就是高級的APT，該命名我們受到Michael Cloppert的 《Why Stuxnet Isn’t APT》一文啟發。在2015年全年的APT事件中，我們前文介紹的“方程式”用修改硬盤固件的方式作為持久化支點，被稱為“世界上最復雜的網絡攻擊”；Duqu2.0沿用當年的Duqu和Stuxnet的思路，形成了系統化的攻擊基礎設施，并讓卡巴斯基這樣的世界級公司承認自己淪為此次事件的受害者。這些攻擊組織綜合能力明顯具有領先一代的特點，因此他們是A2PT，我們也注意到一些同行稱之為GPT（上帝模式的APT攻擊）。

而類似HAVEX這樣具有較高攻擊水準和較強資源儲備的攻擊，則毫無疑問是我們傳統意義上的經典APT的代表。

然而，有一些攻擊組織并不能與以上具有的較高的攻擊水準和較強的資源儲備的攻擊組織相比，他們無論是技術水平還是資源儲備，都遜色得多。為了完成攻擊目標，攻擊者只能開發水準較低的惡意代碼，或者直接利用現有的攻擊平臺和商用木馬生成惡意代碼。APT-TOCS事件即由此而來，安天的分析人員經過對本次事件的分析，發現攻擊者具有較高的攻擊水準和持久、定向的攻擊意圖，然而經過更深層次的分析，我們發現，本次事件所體現的高水準竟是來源于Cobalt Strike這個自動化攻擊測試平臺。較高的攻擊水準、持久化能力和與之相反的較低的研發成本相結合，成就了APT-TOCS事件，也讓我們為之設定了“準APT”的定義。

　　圖 V 安天復盤HangOver事件中被攻擊某個主機的場景

安天CERT在2015年底，全文公開了兩年前對HangOver組織攻擊中國兩所大學的分析報告[4]，讓研究者進一步回顧了這個“亂扔EXE”的APT攻擊組織。這種粗糙的攻擊水準不僅無法與“方程式”這種超級攻擊相比，也明顯低于其他已知的APT攻擊。基于此前對“HangOver行動”的捕獲與分析，以及后來的事件關聯和可視化復現工作，我們把這種基于“人海戰術”的不夠“高級”的APT攻擊，稱為輕量級APT攻擊。

　　圖 VI 安天在《A2PT與準APT中的攻擊武器》報告中繪制的APT的能力層次示意圖

2.4 不要誤讀APT

安天反復強調的一個觀點是，APT不是一個新概念，該詞由美國空軍上校Greg Rattray于2006年首次提出，用以概括具有堅定攻擊意志的戰略對手的攻擊行為，距今已有九年的時間，APT并不是對此類攻擊唯一的概括、甚至亦不是最早的表達，只是其他的一些概念未得到更多關注罷了。如從技術手法上看，曾有部分新興廠商提出了高級逃逸技術(Advanced Evasion Technique, AET)的概念，其對攻擊逃逸技術的一些基礎特點進行概括，目的是推廣一些具有新的安全特性的產品。AET描述的是一類具體的攻擊技術和方法，顯然沒有APT這樣宏觀。而從歷史延續來看，更具有傳統的是“定向性威脅”一詞，在一些研究者眼中，很多人認為“定向性威脅”比APT在技術表達上更為準確，并且它的歷史也更為悠久。包括IDC等咨詢機構至今仍然沒有單獨劃分APT領域，而是把反APT的廠商和產品歸類到反定向性威脅的領域中。而在這種情況下，APT依然是熱度最高的一個詞匯，是因為其具有非常深厚的政治和經濟背景。政治背景是指：APT本身承載著超級大國在全球博弈中將對手臉譜化的需要；經濟背景則是指：以FireEye為代表的新銳廠商，在防御美國所遭受攻擊的工程中，需要借助一個概念來細分市場。因此，如果我們脫離這些背景，或者說完全站在FireEye等美國廠商的視角去解讀APT，特別是中國所面臨的APT攻擊風險，那么我們極有可能會被誤導。

在APT事件的持續跟蹤分析中，安天一直在避免兩種傾向：一種是因為某些環節的技術不夠高明，而草率否定某個攻擊屬于APT；另一種則是因為某個攻擊利用了較新的漏洞或者采用了較為高明的技巧，就盲目宣布發現了APT事件。我們目前并不能給APT的層次制定一個準確的邊界，至少不能夠僅憑在攻擊事件中利用社工等手段采取針對性攻擊就判定其為APT事件。例如，2015年12月2日夜間，安天監控預警體系感知到如下信息線索：某知名作家在新浪微博發布消息，稱有人以發送“采訪提綱”為借口，利用微博私信功能，發送惡意代碼鏈接，利用百度網盤向目標人群投送惡意代碼[5]。此次事件顯然與上文中提到的定向威脅等因素相吻合，但最終我們綜合分析后，認為從目標的分布等因素來看，認為這不是一組APT事件。因此將一個攻擊事件定性為APT事件，決不能以偏概全，要綜合更深入的因素，并占有更多數據，才不會有所疏漏。而APT的層次劃分，則應視事件定性后對作業手段和資源儲備等進行全面評估而定。

我們至今在追影等產品界面上堅持使用“疑似APT攻擊”一詞，其原因是我們認為，APT是不能依據簡單的條件來判定的，APT的定性首先要結合發起方與受害方、攻擊的動機與后果，其次才看作業過程與手段。一個高明的攻擊技巧，或者幾個疑似0day漏洞的利用，都不足以將一起攻擊事件定性為APT。否則，一個數據采集能力非常有限的分析者，就很容易因其無法發現某個攻擊的大面積分布，而簡單聲稱其發現了APT事件。

對于APT的高級性與持續性，我們需要重新思考。高級不是絕對的，而是相對性的概念，它可能是相對于攻擊者所擁有的資源攻擊體系中位于高點能力；更是攻防所使用的能力相對于攻擊者防御反制能力的勢能落差。持續性以具象的行動為依托，一定會映射到一些具體的行為，如加密通訊、隱秘信道等。從微觀上看，持續性未必是通過長久的鏈接或心跳實現，還可能是體現在持續化的能力或者反復進入的能力；而從宏觀上看，這種持續并不因被防御方短時間內切斷而終止，取決于攻擊方的作業意志和成本支撐能力。

3 非法泄露的數據和隱私正在匯入地下經濟的基礎設施

在2015年，由網絡攻擊引發的數據泄露事件依舊猖獗，醫療、保健、電信運營商等行業和人事管理、社保、稅務等政府部門受災嚴重，身份證、社保、電話、信用卡、醫療、財務、保險等相關信息都是黑客竊取的目標。從目前來看，拖庫攻擊、終端木馬和APP的超量采集、流量側的信息劫持獲取，已經成為數據泄露的三個主要渠道。信息泄露的背后已經形成了一條完整的利益鏈，這些用戶信息或被用于團伙詐騙、釣魚，或被用于精準營銷。

　　圖 VII 2015年重大數據泄露事件

“拖庫門”事件的每一次曝光都令人關注，但實際上，依托這些數據達成的侵害往往早已存在，在其曝光時，其“價值”已經衰減。很多拖庫數據都是在被攻擊者充分利用、經過多手轉賣后才會曝光。當前，數據泄露的地下產業鏈已經成熟，并且有了完整的分工協作程序。其模式往往包括：拖庫、洗庫、撞庫和再洗庫等階段。當前，地下產業已經形成了與需求對接的一個“綜合業務代理機制”，在“需求方”提出目標后，“業務代理”會找到接手的“攻擊者”，“攻擊者”成功拖庫后拿到客戶的傭金，并且將獲得的數據庫洗庫，可以直接提取其中可變現的部分（如有預存款或虛擬貨幣的賬戶）；之后，這些數據會被用來撞庫，嘗試登陸其他有價值的網站，再對撞庫成功的數據進行層層利用。經過日積月累，和相互交換，攻擊組織和黑產團伙的數據庫會越來越龐大，數據類型越來越豐富，危害也就越來越嚴重。

并非所有數據都是從“拖庫”攻擊中獲得的，同樣也有直接從終端和流量獲取的。2015年，因惡意代碼導致的信息泄露事件中，XcodeGhost事件[6]是一個值得所有IT從業人員深刻反思的事件。截止到2015年9月20日，各方累計確認發現共692種APP受到污染，其中包括微信、滴滴、網易云音樂等流行應用。盡管有人認為被竊取的信息“價值有限”，但一方面其數量十分龐大，隨之衍生的風險也可能十分嚴重；另一方面，通過向開發工具中植入代碼來污染其產品，這種方式值得我們警醒。同時，本次事件采用非官方供應鏈污染的方式，也反映出了我國互聯網廠商研發環境的缺陷和安全意識薄弱的現狀。

　　圖 VIII 安天在XcodeGhost事件報告中繪制的非官方供應鏈污染示意圖

近兩年在國內肆虐的短信攔截木馬在2015年不斷出現新變種，并結合社會工程學手段瘋狂傳播，竊取用戶的聯系人、短信、設備信息等，如安天本年度重點分析處理的“相冊木馬”[7]。從PC側上看，2011年出現的Tepfer木馬家族目前依舊活躍，且已有數十萬變種，Tepfer家族可以盜取60種以上的FTP客戶端軟件保存的密碼、10種以上的瀏覽器保存的密碼、31種比特幣信息；還能獲取多個郵件客戶端保存的密碼，是一個利用垃圾郵件傳播，無需交互、自動竊密并上傳的木馬家族[8]。

大量數據的泄露一方面讓用戶的虛擬財產受到威脅，另一方面也使各種詐騙、精準釣魚攻擊變得更簡單。之前大多數的詐騙都是采用廣撒網的形式，而大量數據泄露使黑客的社工庫完善后，可以有針對性地利用泄露信息匹配并精確定位用戶，以此進行的詐騙和釣魚攻擊將更具欺騙性。

從過去來看，流量側的灰色活動，更多用來劫持頁面、騙取點擊的方式來變現，但這種普遍性的流量劫持，同樣具備著流量側竊取的能力，這一點對于HTTPS尚未有效普及的國內網絡應用來看，是具有高度殺傷力的。更何況HTTPS在過去兩年，同樣暴露出了大量工程實現層面的問題，包括CDN等的挑戰。

人的身份幾乎是永久的，關系是基本穩定的，此類數據泄露帶來的影響，很難在短時間內被沖淡。一個值得關注的情況是，隨著黑產的規模化，這些數據將持續匯入黑產的“基礎設施”當中，從而使其可能具備超越公共安全和安全廠商的資源能力，同時也不排除這種地下基礎設施搖身一變，以“威脅情報”的形式，同時為黑產和白帽子服務。

4 用戶需要負責任的漏洞披露機制和更細膩的漏洞應急指導

2015年，安天向CNVD報送漏洞數量為7,780條，但需要坦誠的是，這并不是我們擅長的領域。

　　圖 IX 2015年安天每月上報漏洞情況

2015年初的一個漏洞（CVE-2015-0002）引發了業內的廣泛討論。起因是Google的安全小組發現了一個Windows8.1的漏洞，在微軟尚未對漏洞做出修補的情況下，Google嚴格按照自身的標準，在第90天公布了漏洞詳情。此舉迅速引發了業內對漏洞披露方式的探討，微軟稱谷歌這么做“完全把個人私心放在了用戶安全之上”，也有人認為谷歌的做法“充分地尊重了用戶”。為了在保護用戶安全和保障用戶的知情權之間尋求平衡，一些漏洞披露方采用了更靈活的漏洞披露方式。例如，一些漏洞平臺在今年的漏洞信息中屏蔽掉一些敏感的IP地址、域名等信息，盡量避免出現漏洞的廠商遭遇微軟類似的尷尬。2015年業內出現了對某偽基站漏洞的激烈爭論，對有極大修復成本、缺少快速修復可能性的基礎設施和重要系統漏洞，該如何進行負責任的漏洞披露，也是業內需要討論的問題。“幽靈（Ghost）”漏洞在2015年年初被發現，該漏洞存在于GLib庫中。GLib是Linux系統中最底層的API，幾乎其它任何運行庫都會依賴于GLib。由于GLib除了封裝Linux操作系統所提供的系統服務外，本身也提供了許多其它功能的服務，“幽靈”漏洞幾乎影響了所有Linux操作系統，一些研究者認為，其影響力堪比“破殼”漏洞。

Adobe Flash的安全性一直飽受爭議，被譽為“黑產軍團的軍火庫”。APT28和Pawn Strom都利用了Adobe Flash的0day漏洞進行APT攻擊，2015年全年上報的Flash漏洞更是多達300余條。Hacking -Team的數據泄露事件，將Flash漏洞的實際危害性和影響力推到當年頂點，暴露出的三個漏洞幾乎能夠影響所有平臺、所有版本的Flash。其中被發現的第二個漏洞（CVE-2015-5122）甚至被黑客團隊戲稱為“過去四年里最漂亮的Flash漏洞”。

年底，被稱為“破壞之王”的Java反序列化漏洞事件爆發。早在2015年1月28日，就有報告介紹了Java反序列化漏洞能夠利用常用Java庫Apache Commons Collections實現任意代碼的執行，然而當時并沒有引起太多關注。其在WebLogic、WebSphere、JBoss、Jenkins和OpenNMS中均能實現遠程代碼執行，獲取權限后泄漏數據庫。該漏洞被曝出九個月后依然沒有發布有效的補丁，其危害影響時間較長。目前，大量政府門戶網站和信息管理系統受該漏洞的影響十分嚴重，目前受影響最大的是WebLogic和JBoss兩個應用服務器。

不得不說，業內對嚴重漏洞的預判能力正在下降，從2014年的“心臟出血（HeartBleed）”、“破殼（Bash Shellshock）”，到2015年的“幽靈（Ghost）”，都給人以措手不及感，而在漏洞出現后的快速跟進中，業內反而開始逐步喪失耐心指導用戶止損和進行精細處置的應急傳統。但這些工作盡管并不吸引眼球，卻對于機構、行業用戶來說具有更有效的價值。

5 勒索軟件引領PC惡意代碼威脅關注度，成為用戶的噩夢

2015年安天捕獲PC端惡意代碼新增家族數為3,109個、新增變種2,243,062種，這些變種覆蓋了億級的樣本HASH。相比于2014年，惡意代碼總數雖然有所增加，但已經不再是2006~2012年間那種爆炸式的增長。

需要說明的是，我們無法確保這個統計足夠精確，新增家族數的減少，并不能完全反映惡意代碼的實際情況，更多的是我們過度依賴自動化命名的結果，從而對大量樣本只能給出通用命名。盡管我們還在盡力維護一個完整的命名體系，但面對惡意代碼數量多年的快速膨脹，以及惡意代碼的開源和交易，幾乎所有的安全廠商都失去了完整的基于嚴格編碼繼承性的家族命名關聯跟進能力。各廠商大量采用編譯器、行為等為惡意代碼命名以及類似Agent這樣粗糙的自動化命名，就是這種窘境的明證。而很多短小的WebShell，本身亦未有足夠的信息，去判定其演進和關聯。在今天，我們應該更多地在分析實踐中，通過基于向量、行為之間的關系搜索，去尋覓惡意代碼之間、安全事件與惡意代碼之間的關系，而不是希望自動化給我們帶來一切。

在2015年惡意代碼家族變種數量排行榜前十名中，木馬程序占六席，而其他四席被相對輕量級的Hacktool、和Grayware所占據（也有一些安全廠商將這些稱為PUA，即：用戶不需要的應用）。這個比例相對此前數年木馬壟斷排行榜的情況已經有了很大變化。在互聯網經濟帶來更多變通道的情況下，一些攻擊者的作業方式開始具有更強的隱蔽性。上榜惡意代碼的主要功能是下載、捆綁、竊密、遠程控制等行為，例如Trojan/Win32.Badur是一個通過向用戶系統中下載、安裝大量應用程序獲利的木馬程序，該木馬會在后臺下載多款推廣軟件，使用靜默安裝的方法在用戶系統中安裝指定的應用程序，并從軟件廠商或推廣人處獲取利益。今年，廣告程序有三個家族進入了排行榜，除AdLoad這個以行為命名的家族（家族樣本未必具備同源性）外，另外兩個廣告程序家族都是具有親緣性的龐大家族Eorezo和Browsefox，兩個家族中帶有數字簽名的樣本占總樣本比重分別為32.9%和79.9%，它們通過與其他程序捆綁、下載網站、下載者等進行傳播，其安裝模式通常為靜默安裝，主要的功能是瀏覽器劫持和域名重定向，通過修改用戶搜索結果顯示各種在線廣告公司的廣告來獲利。而排名第八位的惡作劇程序ArchSMS實際上是一個勒索軟件，今年在全球范圍內有較大規模的感染，國內感染量也非常多，它會彈出警告窗體，通知用戶系統磁盤被格式化（實際上未格式化，因此我們將其暫定為惡作劇程序）等虛假消息，恐嚇用戶發送短信并以此進行敲詐。

　　圖 X 2015年惡意代碼家族變種數量排行榜

在2015年PC平臺惡意代碼行為分類排行榜中（HASH），以獲取利益為目的的廣告行為再次排在第一位，下載行為因其隱蔽性、實用性強的特點數量依然較多，捆綁行為與后門行為分列三、四位，備受關注的勒索軟件位列第九位。安天CERT在2015年8月3日發布報告《揭開勒索軟件的真面目》[9]，詳細地揭露了勒索軟件的傳播方式、勒索形式、歷史演進以及相應的防御策略。而在2015年12月4日，我們又跟據敲詐軟件依托JS腳本進行郵件傳播的新特點，跟進發布了《郵件發送JS腳本傳播敲詐者木馬的分析報告》[10]。

　　圖 XI 2015年PC平臺惡意代碼行為分類排行

6 威脅將隨“互聯網+”向縱深領域擴散與泛化

2013年，我們用泛化（Malware/Other）一詞，說明安全威脅向智能設備等新領域的演進，之后泛化（Malware/Other）一直被作為主要的威脅趨勢，占據了安天威脅通緝令的“小王”位置兩年之久。在這兩年，除我們熟悉的Windows、Linux和其他類Unix系統、iOS、Android等平臺外，安全威脅在小到智能汽車、智能家居、智能穿戴，大到智慧城市中已經無所不在。

在2015年，這種安全威脅泛化已經成為常態，但我們依然采用與我們在上一年年報中發布“2014年網絡安全威脅泛化與分布”一樣的方式，以一張新的圖表來說明2015年威脅泛化的形勢。

　　7 思考2016

7.1 2016年網絡安全形勢預測

高級威脅向普通威脅轉化的速度會日趨加快，任何在精妙的APT攻擊中所使用的思路一旦被曝光，就會迅速被更多的普通攻擊者學習和模仿。而以國家和政經集團為背景的攻擊者也會與地下黑產有更多的耦合。由于商業化攻擊平臺和商用木馬具有節省開發成本、干擾追蹤等特點，越來越多的攻擊組織將使用成型或半成型的商業攻擊平臺、商業木馬和黑產大數據基礎設施作為網絡攻擊的組合武器。“核威懾”的時代令人遠慮，但“武器擴散”的年代則會帶來更多現實的困擾。

勒索軟件將成為全球個人用戶甚至企業客戶最直接的威脅，除加密用戶文件、敲詐比特幣外，勒索攻擊者極有可能發起更有針對性的攻擊來擴大戰果，如結合內網滲透威脅更多的企業重要資料及數據。也不排除其會嘗試郵件之外更多的投送方式，在更多郵件服務商開啟默認全程加密后，在流量側難以有效發現和阻斷，因此對敲詐者過濾的責任除了郵件服務商本身，則又回到了終端安全廠商。

基于簡單信標共享層次的威脅情報會遭遇挑戰，利用腳本、內存駐留、無實體文件等隱藏蹤跡的攻擊方法將更為盛行。例如，APT-TOCS中使用PowerShell作為文件載體進行加載惡意代碼。在這種技術面前，簡單的文件HASH共享將無法有效應對。此外，隨著更多攻擊者占據種種網絡設備資源，更為隱蔽的通訊方式將逐漸讓更多攻擊者擺脫對固定域名C&C的依賴。因此這種基于文件HASH和地址的通訊信標檢測，未來注定在對抗APT攻擊中難以占據上風。同時，我們需要提醒我們的同仁，威脅情報的共享體系，同樣使其具有了很大被污染的可能性。

“上游廠商”將遭受更多的攻擊，導致整個供應鏈、工具鏈的脆弱性增加。攻擊者會將目光轉向防護能力稍弱的第三方供應商，以其受信任的身份為跳板，攻擊防護能力較強的企業，從而帶來更大面積的影響。例如，攻擊者對分析工具、安全工具等的攻擊可以影響逆向愛好者和惡意代碼分析師；對開發場景的攻擊可以影響其大量用戶和高敏感的用戶，使用者會將其判定為受信程序或軟件；對出廠設備預安裝惡意代碼可以直接影響用戶。因此，上游廠商和開發商需要擔負起更有效的布防責任。同時，因為中國行業資質門檻的問題，OEM、貼牌等行為更為普遍，而盜版工具鏈、偽原創等問題也十分常見，因此威脅圖譜往往更為復雜，供應鏈透明化的呼聲需要變成行動。

我們還需要注意到的是，隨著中國政府以“互聯網+”盤活傳統產業的努力，中國所面臨的安全威脅也將向傳統的工業和基礎設施中快速逼近。

7.2 我們在行動、我們在路上

我們終于要插播廣告了……

在過去的2015年，安天完成了從反病毒檢測引擎供應商，到高級威脅檢測能力廠商的角色調整，初步形成了以“安天實驗室”為母體，“企業安全”與“移動安全（AVL TEAM）”為兩翼的集團化布局。我們希望以有效的檢測分析能力和數據儲備為基礎，依托在反惡意代碼和反APT方面長期的嘗試和積累，為用戶創造更有效、更直接的安全價值。

同時在過去一年中，我們改善了自身的一些產品，以使之獲得更有效的緩存和向前回溯的能力。我們改進了沙箱技術，使之能夠更有效地觸發惡意行為，同時對PE樣本有更深的行為揭示能力；我們讓反病毒引擎不再簡單地充當一個鑒定器，而是變成一個知識體系；我們也繼續加大了對移動安全相關領域的研究和投入，并在AV-C上下半年的兩次測試中，成為全球唯一一個獲得檢出率雙百分成績的廠商。通過這些工作所帶來的產品改進，安天已經形成了以PTD探海威脅檢測系統（前身是安天VDS網絡病毒檢測系統）為流量側探針，以IEP智甲終端防御系統為終端防線，以PTA追影威脅分析系統為分析縱深能力的高級威脅檢測防護方案，并通過結合態勢感知和監控預警通報來滿足行業用戶和主管部門的需求。

我們對威脅情報共享機制和大數據都給予了足夠的關注，我們也堅信威脅情報不是簡單的信標挖掘與互換，其需要可靠的安全威脅檢測能力作為支撐。同時更要警惕情報共享體系遭到上游污染，從而導致情報價值降低，甚至產生反作用。

向前臺產品的轉型，可以讓我們更好地為用戶服務，但我們依然專注于反APT與反惡意代碼領域，既不會跟隨新概念而搖擺，也不會被提供“無死角”解決方案的想象所誘惑。

除了我們對用戶的責任外，安天珍惜通過自身長期與兄弟廠商互動，提供反病毒引擎所形成的產業角色。

我們以可靠檢測能力支撐威脅情報，我們以檢測能力輸出共建安全生態。

這是我們對于安天自身的產業責任和未來的理解。

8 2015的辭歲心語

在安天度過第15個年頭，在最早加入安天CERT的分析工程師已經四十不惑的時候，我們承認我們都有過彷徨、有過動搖。但如果你認真地問我們，“你心力憔悴么？”——我們要回答：“不！”。

安全工作者與安全威脅間進行的本身就是一場永不終止的心力長跑，雙方進行的不止是力量的抗衡，同樣也是心靈與意志的較量。無論是地下經濟從業者對利益的孜孜以求，還是APT的發起者堅定的攻擊意志，都驅動著對手的不知疲倦，這終將會使網絡安全成為靠勤奮者和堅定者堅持的行業。

但我們需要堅持的不止是這種勤奮和堅定，還有我們的正直。我們堅持防御者的立場，堅持對保障用戶價值的使命，堅持對安全威脅受害者感同身受的情感，堅持對原則和底線的敬畏，這是我們事業的基礎和前提。因為唯有此，我們的努力和進步，才有真正的意義！

附錄一：參考資料

修改硬盤固件的木馬——探索方程式（EQUATION）組織的攻擊組件

安天技術文章匯編（十二）APT（高級持續性威脅）專題（第二分冊）

一例以“采訪”為社工手段的定向木馬攻擊分析

Xcode非官方版本惡意代碼污染事件（XcodeGhost）的分析與綜述

附錄二：關于安天

安天從反病毒引擎研發團隊起步，目前已發展成為擁有四個研發中心、監控預警能力覆蓋全國、產品與服務輻射多個國家的先進安全產品供應商。安天歷經十五年持續積累，形成了海量安全威脅知識庫，并綜合應用網絡檢測、主機防御、未知威脅鑒定、大數據分析、安全可視化等方面經驗，推出了應對持續、高級威脅（APT）的先進產品和解決方案。安天技術實力得到行業管理機構、客戶和伙伴的認可，安天已連續四屆蟬聯國家級安全應急支撐單位資質，亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎是獲得全球首個AV-TEST（2013）年度獎項的中國產品，全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。

 

關于反病毒引擎更多信息請訪問：	http://www.antiy.com（中文） http://www.antiy.net（英文）
關于安天反APT相關產品更多信息請訪問：	http://www.antiy.cn