攻擊：誰在攻擊？

7月5日晚，一家意大利軟件廠商[ Hacking Team主頁, http://www.hackingteam.it/ ]被攻擊，其掌握的400GB數據泄露出來，由此可能引發的動蕩，引起了業界一片嘩然。截止發稿時止，有多個組織聲稱對此行為負責，包括Gamma Group Hacker[ Gamma Group Hacker, http://www.ibtimes.co.uk/who-hacked-hacking-team-gamma-group-hacker-holds-their-hand-1509662 ]。雖然目前沒有事實表明該聲稱確實可信，但由此讓黑色產業鏈條中的一種“新”形態暴露出來，即從攻擊最終用戶演變為攻擊中間鏈條乃至攻擊者組織之間的互相廝殺，這種形態已經從黑產上升到供應商、政府機構之間的問題，這不得不說，對涉及中間鏈條的組織，敲響了警鐘。

Hacking Team及Gamma Group

Hacking Team在意大利米蘭注冊了一家軟件公司，主要向各國政府及法律機構銷售入侵及監視功能的軟件。其遠程控制系統可以監測互聯網用戶的通訊、解密用戶的加密文件及電子郵件，記錄Skype及其他VoIP通信，也可以遠程激活用戶的麥克風及攝像頭。其總部在意大利，雇員40多人，并在安納波利斯和新加坡擁有分支機構，其產品在幾十個國家使用[ Hacking Team,介紹 https://en.wikipedia.org/wiki/Hacking_Team ]

無獨有偶，這次聲稱對此次事件負責的組織，Gamma Group International[ Gamma Group主頁, https://www.gammagroup.com/ ]也曾經在2014年的8月被人入侵過，在那次的事件中，該組織被泄露了40GB的內部文檔和惡意程序代碼。這個組織無論從背景還是業務都與Hacking Team類似，但是一家英國的公司。

地下產業鏈各方的相互廝殺由此可見一斑，這里簡單用一張圖來簡單展示一下其中的一個部分。值得關注的是，這次通過攻擊供應商等中間鏈條獲得攻擊數據的動態。

圖注：黑色產業鏈

泄露數據

此次事件中泄露的數據多達400GB，數據包中主要包含幾個大的部分：

影響程度

在這些數據中，綠色標注的3類比較引人關注，這3類數據將對各個不同的領域造成影響

更頻繁：0Day、漏洞及相關入侵工具，從目前獲取的信息來看

Flash 相關的應用及軟件使用量非常龐大，Windows平臺上幾乎是所有的用戶都會用到；

這些漏洞的流入黑色產業鏈，會讓攻擊更加快速和復雜化

門檻低：Hacking Team RCS，是該組織主要輸出的軟件，從目前獲取的信息來看[ Hacking Team RCS分析，《簡要分析：Hacking Team遠程控制系統》]

可以獲取目標用戶的電話、電腦的全部信息及影音資料；

涉及的桌面OS從Windows到MacOs X，手機OS基本覆蓋了市場上流行的系統；

受該工具及其已經感染的客戶端數量的影響，會讓攻擊門檻降低

影響大：入侵項目相關信息，這里面包含了各種入侵過程資料，甚至包含了已經成功獲取的賬戶密碼及相關資料，一旦被惡意攻擊者獲取并利用，將會在黑色產業鏈中進一步發酵。

圖注：Hacking Team遠程控制系統

防護思路

綠盟科技威脅響應中心在長年對黑客組織事件的追蹤及分析中，獲得了豐富的經驗積累，借鑒及建立了一些模型去理解它們，試圖從中找到規律，以便為應對未來的未知威脅提供經驗借鑒。針對此次事件，這里使用Intrusion Kill Chain模型跟大家進行探討，雖然不一定適合所有業務環境，但希望可以幫助大家找到指定自身防護方案的一點靈感。

Intrusion Kill Chain模型[ Intrusion Kill Chain（或稱為Cyber Kill Chain）模型由Lock Martin公司Eric M. Hutchins等三位安全研究員在2011年3月舉行的ICIW大會 上公布。]精髓在于明確提出網絡攻防過程中攻防雙方互有優勢，防守方若能阻斷/瓦解攻擊方的進攻組織環節，即是成功地挫敗對手的攻擊企圖。模型是將攻擊者的攻擊過程分解為如下七個步驟: Reconnaissance（踩點）、Weaponization（組裝）、Delivery（投送）、Exploitation（攻擊）、Installation（植入）、C2（控制）、Actions on Objectives（收割），如下圖：

通過目前對Hacking Team RCS軟件的分析情況來看，主要通過如下三種方式入侵目標：

感染移動介質 與很多木馬、病毒及流氓軟件的傳播方式一樣，該軟件首先還是采取這種低成本的方式進行，感染一些能夠接觸目標的移動媒體，比如CD-ROM、USB等，即便是OS 或者BIOS設置了密碼也一樣可以感染，從而獲取一些環境數據，比如電腦是否可以上網等，為后續的動作提供參考依據。

代理攻擊 采用軟件或硬件的系統，能夠在網絡會話過程中修改和注入數據，在某些情況下，可以注入到系統并難以被檢測到。同時，也能夠感染Windows平臺上的可執行文件，如果目標電腦從網站上下載并執行這些可執行文件時，Agent將在后臺自動安裝，用戶不會知曉。

APT 如上兩種方式都無法奏效的時候，就會采用多種形式組合入侵，采用相關的漏洞、入侵工具及更多利用手段。

針對這些入侵方式，下面來分階段討論防護思路。

Detect

在這個階段，建議您將當前IT環境中的漏洞掃描系統升級到最新版本后，盡快開始對業務系統進行掃描，尤其是受此次Flash 0Day漏洞影響的業務系統平臺進行一次完整的漏洞掃描。

此次事件中，綠盟威脅分析系統[ 綠盟威脅分析系統TAC，http://www.nsfocus.com.cn/products/details_22_1.html ]（NSFOCUS Threat Analyze Center，TAC）即體現出優越性，即通過獨創的靜態檢測和動態檢測引擎，能夠不依賴于攻擊特征識別惡意軟件及其危害程度，率先偵測到Flash 0Day漏洞。

綠盟TAC可有效檢測通過網頁、電子郵件或其他在線文件共享方式進入網絡的已知和未知惡意軟件，發現利用0day漏洞的APT攻擊行為，保護客戶網絡免遭利用0day漏洞等攻擊造成的各種風險，如敏感信息泄露、基礎設施破壞等。

綠盟TAC能夠在如下兩個階段對此次事件所帶來的可能攻擊進行檢測

Delivery階段：發現（detect）試圖傳輸到內網的惡意軟件（文件），包括已知和未知的高級惡意軟件；

Installation階段：發現高級惡意軟件成功利用后，試圖從控制端下載更多惡意程序。

Deny

如果您已經部署了綠盟網絡入侵防護系統（Network Intrusion Prevention System，簡稱NIPS[ 綠盟網絡入侵防護系統NIPS，http://www.nsfocus.com.cn/products/details_22_3.html ]），在升級最新的升級包后，即可阻斷Flash 0Day漏洞所帶來的攻擊，并持續獲得敏感數據保護、客戶端防護、服務器非法外聯防護、僵尸網絡防護等多項防護。

請所有使用綠盟產品的用戶盡快升級。綠盟科技已在軟件升級公告中提供規則升級包，規則可以通過產品界面的在線升級進行。如果您的業務系統暫時還無法升級規則包，那么可以在軟件升級頁面中，找到對應的產品，通過下載升級包，以離線方式進行升級。 相關信息請訪問產品升級公告 http://update.nsfocus.com/

另外，用戶如果已部署綠盟NIPS產品，可以通過增加TAC防護組件的方式，使企業本地網絡具備未知威脅發現能力，并與綠盟NIPS形成聯動，在第一時間做到未知威脅檢測、攔截。

Patch

在這個階段，建議您盡快的安裝就此次泄露出來的資料庫中所包含的Flash 0Day漏洞，Adobe官方已經修復了漏洞，并提供了升級版本，請廣大用戶盡快升級到最新版本。FLASH更新步驟如下：

打開https://get.adobe.com/flashplayer/loc=cn 點擊立即安裝，保存安裝包，下載完成后執行安裝文件

0Day漏洞一旦被公開，往往也是被攻擊者利用最為猖狂的時候。在此, 安全專家建議:

解決方案

綠盟下一代威脅解決方案（NGTP解決解決方案），是針對APT威脅進行檢測和防御的解決方案。NGTP解決方案聚焦APT攻擊鏈條，檢測和防御APT攻擊鏈中攻擊，潛伏和盜取三個主要環節。重點檢測和防御在攻擊嘗試階段，進入后的潛伏和擴展攻擊階段，以及最終盜取數據目的階段。

NGTP解決方案以全球威脅情報云為紐帶，以未知威脅檢測為核心，通過與傳統終端、網關設備聯動，實現跨廠商的威脅情報的共享，以及企業威脅態勢可視化，最終達到提升企業APT威脅防護的能力的目標。

應對0Day

NGTP針對0Day漏洞攻擊的解決方案，由本地沙箱TAC，威脅防御模塊IPS，綠盟安全信譽和ESPC管理等系統構成。NGTP方案防御0Day漏洞攻擊的流程：

第一步：要經過本地沙箱系統TAC的檢測，TAC提供靜態檢測引擎和虛擬執行引擎，對惡意軟件進行Shellcode靜態分析，然后再進行虛擬執行。通過這兩步分析，從Hacking Team組織泄露的0Day攻擊軟件被識別出來；

第二步：TAC檢測出惡意軟件的來源，生成信譽信息，包括文件的信譽和攻擊源IP等信息，同步到本地的安全管理中心ESPC，形成本地的信譽庫；

第三步：NIPS從本地信譽庫接收到惡意軟件的信譽信息，對發起攻擊的源IP實現阻斷，并生成告警日志。

方案優勢

APT威脅檢測和防御的全面性 綠盟下一代威脅解決方案，能夠全面的對APT威脅檢測和防御。無論是網絡，Web還是郵件，終端眾多通道，都是APT威脅可能利用的通道，NGTP解決方案，不僅在網絡邊界進檢測和防御，還在企業內網，郵件服務器，終端等多個層面進行檢測和防御。既能夠實時進行檢測和阻斷，還利用大數據分析平臺，進行事后的分析和調查。

APT檢測的準確性 綠盟下一代威脅解決方案，利用本地沙箱和云端安全信譽，準確地對APT威脅檢測和防御。本地沙箱提供了惡意軟件靜態檢測和虛擬執行手段，檢查惡意軟件Shellcode，并且模擬真實的PC環境進行驗證，極大提高惡意軟件的準確性；同時，云端信譽提供最新的威脅情報信息，進一步提供NGTP方案對APT威脅檢測的準確性。

解決方案技術領先 組成NGTP解決方案的各個模塊技術先進。TAC產品，是國內最早推向市場的APT檢測設備，經過幾年的不斷優化，功能和性能得到極大提高，尤其是獲得專利技術的靜態Shellcode檢測技術和虛擬執行檢測技術，更是為APT威脅檢測的準確性提供強力支撐。綠盟NIPS產品也是久負盛譽，不僅在國內市場上遙遙領先，還多次于國際權威檢測機構得到認可。綠盟安全威脅信譽系統，提供最新最全的安全信譽，讓NGTP方案發揮最大效能。