文章來自：安天實(shí)驗(yàn)室

1導(dǎo)語

面對威脅高速演進(jìn)變化、防御技術(shù)同樣快速改善的現(xiàn)狀，無論我們做怎樣的努力，都已無法用一篇年報來涵蓋網(wǎng)絡(luò)安全威脅的全景，這亦使參與本文檔編寫的安天分析工程師們無比糾結(jié)。對于安天安全研究與應(yīng)急處理中心（安天CERT）來說，在數(shù)年前，年報工作是相對簡單的，我們只需從惡意代碼存儲和分析的后臺系統(tǒng)導(dǎo)出足夠多的統(tǒng)計(jì)圖表，就可以構(gòu)成一篇年度報告。在網(wǎng)絡(luò)安全領(lǐng)域，惡意代碼自動化分析是一個成型較早的基礎(chǔ)設(shè)施，惡意代碼樣本集更是一個非常容易進(jìn)行統(tǒng)計(jì)的大集合，這一度讓我們偏離了網(wǎng)絡(luò)安全的本質(zhì)，弱化了我們對保障用戶價值的信念。


從去年開始，安天顛覆了自身傳統(tǒng)的數(shù)據(jù)表年報的風(fēng)格，面對當(dāng)前威脅的縱深化、復(fù)雜化特點(diǎn)，大量簡單的統(tǒng)計(jì)已經(jīng)失去意義，我們非常明確地提出了做“觀點(diǎn)型年報”的自我要求。盡管我們擁有更多的樣本、更多的數(shù)據(jù)，但我們依然不敢說已經(jīng)能夠駕馭安全大數(shù)據(jù)，目前我們能做到的只有學(xué)習(xí)和思考，我們要學(xué)習(xí)更豐富的數(shù)據(jù)分析方式，我們要做能獨(dú)立思考、有觀點(diǎn)、有立場的安全團(tuán)隊(duì)，而非做大數(shù)據(jù)和計(jì)算資源的奴隸。


同時，我們也深知，我們自己的工作是局限的，安天的分析工作更多地是圍繞如何防御高級持續(xù)性威脅（APT）攻擊和惡意代碼展開，我們坦誠面對自己對WEB安全、漏洞挖掘等領(lǐng)域技能積累的一貫不足。此外，由于安天CERT的部門分工所決定的分析視野的不同，本年報涉及到的移動安全相關(guān)內(nèi)容較少，安天移動安全公司（AVL TEAM）后續(xù)會單獨(dú)發(fā)布移動安全年報。


2高級持續(xù)性威脅（APT）的層次分化





2.1    2015年被曝光的高級持續(xù)性威脅（APT）事件


APT攻擊繼續(xù)引領(lǐng)2015年的威脅大潮。從2月，方程式（Equation）組織浮出水面；到5、6月，APT-TOCS和Duqu2.0相繼露出崢嶸；再到8月，藍(lán)白蟻（BlueTermitex）事件的公布，2015年全年共曝光了十多起APT事件。雖然相較于2014年，曝光事件總體數(shù)量有所減少，但從威脅事件的影響力和技術(shù)水準(zhǔn)來看，高水準(zhǔn)的攻擊手法、系統(tǒng)化的攻擊平臺、商用木馬和標(biāo)準(zhǔn)化滲透平臺的使用，使得方程式、Duqu2.0和APT-TOCS等事件都極具代表性。


在2015年的APT事件中，“方程式（Equation）”攻擊是較早被披露且含金量極高的攻擊事件。方程式（Equation）組織是一個活躍了近20年的攻擊組織，其將APT的特點(diǎn)P（持久化）展現(xiàn)的淋漓盡致。該組織不僅能夠早于其他組織發(fā)現(xiàn)更多0day漏洞，且擁有一套用于植入惡意代碼的超級制式信息武器庫，其中最受關(guān)注、最具特色的攻擊武器是兩個可以對數(shù)十種常見品牌硬盤實(shí)現(xiàn)固件植入的惡意模塊。作為一種高級的持久化手段，其既可以用于感染后的植入，也可以與臭名昭著的“物流鏈”劫持搭配使用。相比之前我們分析過的BIOSKIT和BOOTKIT，該惡意模塊具有更高的隱蔽性，更加難以分析。但多數(shù)被方程式（Equation）“光顧”過的節(jié)點(diǎn)，并未觸發(fā)持久化功能，這說明該組織具有堅(jiān)持獲取高價值目標(biāo)的原則。根據(jù)對相關(guān)硬盤固件接口的分析，我們認(rèn)為，相關(guān)接口和參數(shù)的獲取，通過人力和時間投入，依托技術(shù)文檔和逆向分析完全可以實(shí)現(xiàn)。因此，安天CERT不傾向于固件接口的獲得是相關(guān)情報機(jī)構(gòu)與產(chǎn)業(yè)界協(xié)作的結(jié)果，其更多體現(xiàn)出的是攻擊組織及其資源體系強(qiáng)大的分析能力和堅(jiān)定的作業(yè)意志，也包含其針對上游進(jìn)行滲透作業(yè)的可能性。而方程式組織所采用的加密策略，則體現(xiàn)出了其作業(yè)的嚴(yán)密性，安天CERT于2015年4月發(fā)布的《方程式（EQUATION），組件加密策略分析》，對此進(jìn)行了進(jìn)一步分析。






2011年后，沒有安全廠商或組織報道Duqu繼續(xù)活躍的跡象，業(yè)內(nèi)一度認(rèn)為其已經(jīng)停止活動。然而在2015年初發(fā)現(xiàn)的一系列攻擊事件中，出現(xiàn)了Duqu的全新版本，Duqu2.0就此重裝上陣，并對卡巴斯基進(jìn)行了滲透攻擊。Duqu2.0的重要特點(diǎn)是惡意代碼只會駐留在被感染機(jī)器的內(nèi)存當(dāng)中，利用漏洞執(zhí)行內(nèi)核級別的代碼，硬盤中無法查到痕跡。雖然重啟系統(tǒng)時惡意代碼會被暫時清除，但是攻擊者可以在直接聯(lián)網(wǎng)的少數(shù)計(jì)算機(jī)中部署驅(qū)動程序，從而通過遠(yuǎn)程桌面會話或之前獲得的用戶憑證將Duqu2.0重新部署到整個平臺。不得不說的是，像Duqu這樣有著政府支持的高成本的APT攻擊基礎(chǔ)設(shè)施，不僅擁有復(fù)雜的、插件化模塊體系，其作業(yè)組織也具備直接挑戰(zhàn)世界頂級安全公司的自信。


與“方程式（Equation）”所擁有的裝備武庫和Duqu2.0強(qiáng)大的體系化能力相比，有些APT組織難有雄厚的資金支持、先進(jìn)的武器儲備和強(qiáng)大的攻擊能力，特別是難以具備建制化的高水平攻擊隊(duì)伍，所以他們另辟蹊徑，利用開放或商業(yè)化的標(biāo)準(zhǔn)化的滲透平臺生成惡意代碼和其他攻擊載荷，向目標(biāo)進(jìn)行部署和攻擊。2015年5月，在安天發(fā)現(xiàn)的一例針對中國官方機(jī)構(gòu)的攻擊事件（APT-TOCS）中，攻擊者就是使用自動化攻擊測試平臺Cobalt Strike生成了利用信標(biāo)模式進(jìn)行通信的Shellcode，實(shí)現(xiàn)了對目標(biāo)主機(jī)的遠(yuǎn)程控制能力。這種利用測試平臺進(jìn)行攻擊滲透的方式以及無惡意代碼實(shí)體文件、定時發(fā)送心跳包等行為在一定程度上可以規(guī)避主機(jī)安全防護(hù)軟件的查殺與防火墻的攔截，同時對可信計(jì)算環(huán)境、云檢測、沙箱檢測等安全環(huán)節(jié)和手段均有對抗能力。該攻擊控制目標(biāo)主機(jī)的方式非常隱蔽，難以被發(fā)現(xiàn)，并且具備攻擊多種平臺的能力，如Windows、Linux、Mac等。經(jīng)過線索關(guān)聯(lián)，這一事件被認(rèn)為與友商所公布的“海蓮花”事件，源于同一攻擊組織，但其作業(yè)方式與既往相比顯現(xiàn)出較大差異。從本次事件的分析結(jié)果及我們長期的監(jiān)控情況來看，商用木馬、標(biāo)準(zhǔn)化的滲透平臺等已經(jīng)被廣泛用于各種定向持續(xù)攻擊中，特別是針對中國目標(biāo)的攻擊中。這種成本較低的攻擊模式不僅降低了對攻擊者能力和資源儲備的要求，還導(dǎo)致對依托大數(shù)據(jù)分析來辨識線索鏈的過程產(chǎn)生更多的干擾，并使“編碼心理學(xué)”等一些我們過去更擅長的分析方法失去作用。


2.2     日趨活躍的“商業(yè)軍火”


傳統(tǒng)意義的APT攻擊更多地讓人聯(lián)想到精干的作業(yè)團(tuán)隊(duì)、強(qiáng)大的用于攻擊的基礎(chǔ)設(shè)施、專業(yè)的0day漏洞挖掘小組以及惡意代碼的編寫小組等。因此，多數(shù)的APT研究者更愿意把更多目光放在具有這些特點(diǎn)的事件上。但APT-TOCS等事件則用一種新的方式，為一些技術(shù)能力和資源相對有限的國家和組織提供了另一種選擇。該事件也說明，隨著攻擊平臺、商用木馬和開源惡意工具的使用，網(wǎng)絡(luò)軍火被更加廣泛的使用可能成為一種趨勢。從安天過去的跟蹤來看，這種威脅已經(jīng)存在近五年之久，但依然缺乏有效檢測這類威脅的產(chǎn)品和手段。安天CERT分析小組之所以將APT-TOCS事件定位為準(zhǔn)APT事件，是因?yàn)樵摴羰录环矫娣螦PT攻擊針對高度定向目標(biāo)作業(yè)的特點(diǎn)，同時隱蔽性較強(qiáng)、具有多種反偵測手段。但同時，與我們過去所熟悉的很多APT事件中，進(jìn)攻方具備極高的成本承擔(dān)能力與巨大的能力儲備不同，其成本門檻并不高，事件的惡意代碼并非由攻擊者自身進(jìn)行編寫構(gòu)造，商業(yè)攻擊平臺使事件的攻擊者不再需要高昂的惡意代碼的開發(fā)成本，相關(guān)攻擊平臺亦為攻擊者提供了大量可選注入手段，為惡意代碼的加載和持久化提供了配套方法，這種方式降低了攻擊的成本，使得缺少雄厚資金、也沒有精英黑客的國家和組織依托現(xiàn)有商業(yè)攻擊平臺提供的服務(wù)即可進(jìn)行接近APT級的攻擊水準(zhǔn)，而這種高度“模式化”攻擊也會讓攻擊缺少鮮明的基因特點(diǎn)，從而更難追溯。








與APT-TOCS事件中的Cobalt Strike所扮演的角色有所不同，Hacking-Team是一個專門為攻擊者提供工具和手段的公司。2015年7月，由于遭到入侵，Hacking Team逾400G數(shù)據(jù)泄露。關(guān)于Hacking-Team被盜了什么的問題，形象的回答就是“軍火庫、賬房和衣櫥都被洗劫了”。大量含源代碼的木馬程序、多個未公開的0day漏洞、電子郵件、商業(yè)合同、項(xiàng)目資料和監(jiān)聽錄音遭到泄露，無異于向本就充滿著威脅的網(wǎng)絡(luò)環(huán)境投放了一枚重磅炸彈。這種具有商用水準(zhǔn)的多平臺木馬的泄露，瞬間提升了黑產(chǎn)編寫木馬的能力，泄露的漏洞也迅速出現(xiàn)在一些普通的攻擊中。


安天AVL TEAM亦發(fā)現(xiàn)類似Giige等商業(yè)手機(jī)木馬，被攻擊者用來攻擊中國的機(jī)構(gòu)和人員。


正如我們今年在APT-TOCS事件報告中指出的那樣“鑒于網(wǎng)絡(luò)攻擊技術(shù)具有極低的復(fù)制成本的特點(diǎn)，當(dāng)前已經(jīng)存在嚴(yán)峻的網(wǎng)絡(luò)軍備擴(kuò)散風(fēng)險。商業(yè)滲透攻擊測試平臺的出現(xiàn)，一方面成為高效檢驗(yàn)系統(tǒng)安全的有利工具，但對于缺少足夠的安全預(yù)算、難以承擔(dān)更多安全成本的國家、行業(yè)和機(jī)構(gòu)來說，會成為一場噩夢。在這個問題上，一方面需要各方面建立更多的溝通和共識；而另一方面毫無疑問的是當(dāng)前在攻防兩端均擁有全球最頂級能力的超級大國，對于有效控制這種武器級攻擊手段的擴(kuò)散，應(yīng)該負(fù)起更多的責(zé)任”。


2.3    APT的層次化能力


近年來的APT事件中，超級APT組織擁有大量0day漏洞和豪華的攻擊裝備儲備，甚至是“揮霍”0day漏洞，而同時，我們一些攻擊組織則利用現(xiàn)有平臺和商用木馬來完成的攻擊事件；同樣也有一些技術(shù)相對粗糙，手段亦不高明的攻擊事件也同樣體現(xiàn)出攻擊方持續(xù)和定向攻擊作業(yè)的特點(diǎn)。因此，我們不禁要問，近年來的攻擊事件在攻擊手法、能力和技術(shù)儲備上存在諸多差異，那么究竟該以何種標(biāo)準(zhǔn)去定義APT？


從技術(shù)能力、資源儲備、攻擊手段等方面綜合考慮，安天將APT攻擊能力細(xì)分為A2PT（“高級的”APT）、APT、準(zhǔn)APT、輕量級APT幾個等級。A2PT，顧名思義，就是高級的APT，該命名我們受到Michael Cloppert的《Why Stuxnet Isn't APT》一文啟發(fā)。在2015年全年的APT事件中，我們前文介紹的“方程式”用修改硬盤固件的方式作為持久化支點(diǎn)，被稱為“世界上最復(fù)雜的網(wǎng)絡(luò)攻擊”；Duqu2.0沿用當(dāng)年的Duqu和Stuxnet的思路，形成了系統(tǒng)化的攻擊基礎(chǔ)設(shè)施，并讓卡巴斯基這樣的世界級公司承認(rèn)自己淪為此次事件的受害者。這些攻擊組織綜合能力明顯具有領(lǐng)先一代的特點(diǎn)，因此他們是A2PT，我們也注意到一些同行稱之為GPT（上帝模式的APT攻擊）。


而類似HAVEX這樣具有較高攻擊水準(zhǔn)和較強(qiáng)資源儲備的攻擊，則毫無疑問是我們傳統(tǒng)意義上的經(jīng)典APT的代表。


然而，有一些攻擊組織并不能與以上具有的較高的攻擊水準(zhǔn)和較強(qiáng)的資源儲備的攻擊組織相比，他們無論是技術(shù)水平還是資源儲備，都遜色得多。為了完成攻擊目標(biāo)，攻擊者只能開發(fā)水準(zhǔn)較低的惡意代碼，或者直接利用現(xiàn)有的攻擊平臺和商用木馬生成惡意代碼。APT-TOCS事件即由此而來，安天的分析人員經(jīng)過對本次事件的分析，發(fā)現(xiàn)攻擊者具有較高的攻擊水準(zhǔn)和持久、定向的攻擊意圖，然而經(jīng)過更深層次的分析，我們發(fā)現(xiàn)，本次事件所體現(xiàn)的高水準(zhǔn)竟是來源于Cobalt Strike這個自動化攻擊測試平臺。較高的攻擊水準(zhǔn)、持久化能力和與之相反的較低的研發(fā)成本相結(jié)合，成就了APT-TOCS事件，也讓我們?yōu)橹O(shè)定了“準(zhǔn)APT”的定義。






安天CERT在2015年底，全文公開了兩年前對HangOver組織攻擊中國兩所大學(xué)的分析報告，讓研究者進(jìn)一步回顧了這個“亂扔EXE”的APT攻擊組織。這種粗糙的攻擊水準(zhǔn)不僅無法與“方程式”這種超級攻擊相比，也明顯低于其他已知的APT攻擊?；诖饲皩?ldquo;HangOver行動”的捕獲與分析，以及后來的事件關(guān)聯(lián)和可視化復(fù)現(xiàn)工作，我們把這種基于“人海戰(zhàn)術(shù)”的不夠“高級”的APT攻擊，稱為輕量級APT攻擊。




2.4    不要誤讀APT


安天反復(fù)強(qiáng)調(diào)的一個觀點(diǎn)是，APT不是一個新概念，該詞由美國空軍上校Greg Rattray于2006年首次提出，用以概括具有堅(jiān)定攻擊意志的戰(zhàn)略對手的攻擊行為，距今已有九年的時間，APT并不是對此類攻擊唯一的概括、甚至亦不是最早的表達(dá)，只是其他的一些概念未得到更多關(guān)注罷了。如從技術(shù)手法上看，曾有部分新興廠商提出了高級逃逸技術(shù)(AdvancedEvasionTechnique,AET)的概念，其對攻擊逃逸技術(shù)的一些基礎(chǔ)特點(diǎn)進(jìn)行概括，目的是推廣一些具有新的安全特性的產(chǎn)品。AET描述的是一類具體的攻擊技術(shù)和方法，顯然沒有APT這樣宏觀。而從歷史延續(xù)來看，更具有傳統(tǒng)的是“定向性威脅”一詞，在一些研究者眼中，很多人認(rèn)為“定向性威脅”比APT在技術(shù)表達(dá)上更為準(zhǔn)確，并且它的歷史也更為悠久。包括IDC等咨詢機(jī)構(gòu)至今仍然沒有單獨(dú)劃分APT領(lǐng)域，而是把反APT的廠商和產(chǎn)品歸類到反定向性威脅的領(lǐng)域中。而在這種情況下，APT依然是熱度最高的一個詞匯，是因?yàn)槠渚哂蟹浅Ｉ詈竦恼魏徒?jīng)濟(jì)背景。政治背景是指：APT本身承載著超級大國在全球博弈中將對手臉譜化的需要；經(jīng)濟(jì)背景則是指：以FireEye為代表的新銳廠商，在防御美國所遭受攻擊的工程中，需要借助一個概念來細(xì)分市場。因此，如果我們脫離這些背景，或者說完全站在FireEye等美國廠商的視角去解讀APT，特別是中國所面臨的APT攻擊風(fēng)險，那么我們極有可能會被誤導(dǎo)。


在APT事件的持續(xù)跟蹤分析中，安天一直在避免兩種傾向：一種是因?yàn)槟承┉h(huán)節(jié)的技術(shù)不夠高明，而草率否定某個攻擊屬于APT；另一種則是因?yàn)槟硞€攻擊利用了較新的漏洞或者采用了較為高明的技巧，就盲目宣布發(fā)現(xiàn)了APT事件。我們目前并不能給APT的層次制定一個準(zhǔn)確的邊界，至少不能夠僅憑在攻擊事件中利用社工等手段采取針對性攻擊就判定其為APT事件。例如，2015年12月2日夜間，安天監(jiān)控預(yù)警體系感知到如下信息線索：某知名作家在新浪微博發(fā)布消息，稱有人以發(fā)送“采訪提綱”為借口，利用微博私信功能，發(fā)送惡意代碼鏈接，利用百度網(wǎng)盤向目標(biāo)人群投送惡意代碼[5]。此次事件顯然與上文中提到的定向威脅等因素相吻合，但最終我們綜合分析后，認(rèn)為從目標(biāo)的分布等因素來看，認(rèn)為這不是一組APT事件。因此將一個攻擊事件定性為APT事件，決不能以偏概全，要綜合更深入的因素，并占有更多數(shù)據(jù)，才不會有所疏漏。而APT的層次劃分，則應(yīng)視事件定性后對作業(yè)手段和資源儲備等進(jìn)行全面評估而定。


我們至今在追影等產(chǎn)品界面上堅(jiān)持使用“疑似APT攻擊”一詞，其原因是我們認(rèn)為，APT是不能依據(jù)簡單的條件來判定的，APT的定性首先要結(jié)合發(fā)起方與受害方、攻擊的動機(jī)與后果，其次才看作業(yè)過程與手段。一個高明的攻擊技巧，或者幾個疑似0day漏洞的利用，都不足以將一起攻擊事件定性為APT。否則，一個數(shù)據(jù)采集能力非常有限的分析者，就很容易因其無法發(fā)現(xiàn)某個攻擊的大面積分布，而簡單聲稱其發(fā)現(xiàn)了APT事件。


對于APT的高級性與持續(xù)性，我們需要重新思考。高級不是絕對的，而是相對性的概念，它可能是相對于攻擊者所擁有的資源攻擊體系中位于高點(diǎn)能力；更是攻防所使用的能力相對于攻擊者防御反制能力的勢能落差。持續(xù)性以具象的行動為依托，一定會映射到一些具體的行為，如加密通訊、隱秘信道等。從微觀上看，持續(xù)性未必是通過長久的鏈接或心跳實(shí)現(xiàn)，還可能是體現(xiàn)在持續(xù)化的能力或者反復(fù)進(jìn)入的能力；而從宏觀上看，這種持續(xù)并不因被防御方短時間內(nèi)切斷而終止，取決于攻擊方的作業(yè)意志和成本支撐能力。



3非法泄露的數(shù)據(jù)和隱私正在匯入地下經(jīng)濟(jì)的基礎(chǔ)設(shè)施


在2015年，由網(wǎng)絡(luò)攻擊引發(fā)的數(shù)據(jù)泄露事件依舊猖獗，醫(yī)療、保健、電信運(yùn)營商等行業(yè)和人事管理、社保、稅務(wù)等政府部門受災(zāi)嚴(yán)重，身份證、社保、電話、信用卡、醫(yī)療、財務(wù)、保險等相關(guān)信息都是黑客竊取的目標(biāo)。從目前來看，拖庫攻擊、終端木馬和APP的超量采集、流量側(cè)的信息劫持獲取，已經(jīng)成為數(shù)據(jù)泄露的三個主要渠道。信息泄露的背后已經(jīng)形成了一條完整的利益鏈，這些用戶信息或被用于團(tuán)伙詐騙、釣魚，或被用于精準(zhǔn)營銷。




“拖庫門”事件的每一次曝光都令人關(guān)注，但實(shí)際上，依托這些數(shù)據(jù)達(dá)成的侵害往往早已存在，在其曝光時，其“價值”已經(jīng)衰減。很多拖庫數(shù)據(jù)都是在被攻擊者充分利用、經(jīng)過多手轉(zhuǎn)賣后才會曝光。當(dāng)前，數(shù)據(jù)泄露的地下產(chǎn)業(yè)鏈已經(jīng)成熟，并且有了完整的分工協(xié)作程序。其模式往往包括：拖庫、洗庫、撞庫和再洗庫等階段。當(dāng)前，地下產(chǎn)業(yè)已經(jīng)形成了與需求對接的一個“綜合業(yè)務(wù)代理機(jī)制”，在“需求方”提出目標(biāo)后，“業(yè)務(wù)代理”會找到接手的“攻擊者”，“攻擊者”成功拖庫后拿到客戶的傭金，并且將獲得的數(shù)據(jù)庫洗庫，可以直接提取其中可變現(xiàn)的部分（如有預(yù)存款或虛擬貨幣的賬戶）；之后，這些數(shù)據(jù)會被用來撞庫，嘗試登陸其他有價值的網(wǎng)站，再對撞庫成功的數(shù)據(jù)進(jìn)行層層利用。經(jīng)過日積月累，和相互交換，攻擊組織和黑產(chǎn)團(tuán)伙的數(shù)據(jù)庫會越來越龐大，數(shù)據(jù)類型越來越豐富，危害也就越來越嚴(yán)重。


并非所有數(shù)據(jù)都是從“拖庫”攻擊中獲得的，同樣也有直接從終端和流量獲取的。2015年，因惡意代碼導(dǎo)致的信息泄露事件中，XcodeGhost事件是一個值得所有IT從業(yè)人員深刻反思的事件。截止到2015年9月20日，各方累計(jì)確認(rèn)發(fā)現(xiàn)共692種APP受到污染，其中包括微信、滴滴、網(wǎng)易云音樂等流行應(yīng)用。盡管有人認(rèn)為被竊取的信息“價值有限”，但一方面其數(shù)量十分龐大，隨之衍生的風(fēng)險也可能十分嚴(yán)重；另一方面，通過向開發(fā)工具中植入代碼來污染其產(chǎn)品，這種方式值得我們警醒。同時，本次事件采用非官方供應(yīng)鏈污染的方式，也反映出了我國互聯(lián)網(wǎng)廠商研發(fā)環(huán)境的缺陷和安全意識薄弱的現(xiàn)狀。





近兩年在國內(nèi)肆虐的短信攔截木馬在2015年不斷出現(xiàn)新變種，并結(jié)合社會工程學(xué)手段瘋狂傳播，竊取用戶的聯(lián)系人、短信、設(shè)備信息等，如安天本年度重點(diǎn)分析處理的“相冊木馬”。從PC側(cè)上看，2011年出現(xiàn)的Tepfer木馬家族目前依舊活躍，且已有數(shù)十萬變種，Tepfer家族可以盜取60種以上的FTP客戶端軟件保存的密碼、10種以上的瀏覽器保存的密碼、31種比特幣信息；還能獲取多個郵件客戶端保存的密碼，是一個利用垃圾郵件傳播，無需交互、自動竊密并上傳的木馬家族。


大量數(shù)據(jù)的泄露一方面讓用戶的虛擬財產(chǎn)受到威脅，另一方面也使各種詐騙、精準(zhǔn)釣魚攻擊變得更簡單。之前大多數(shù)的詐騙都是采用廣撒網(wǎng)的形式，而大量數(shù)據(jù)泄露使黑客的社工庫完善后，可以有針對性地利用泄露信息匹配并精確定位用戶，以此進(jìn)行的詐騙和釣魚攻擊將更具欺騙性。


從過去來看，流量側(cè)的灰色活動，更多用來劫持頁面、騙取點(diǎn)擊的方式來變現(xiàn)，但這種普遍性的流量劫持，同樣具備著流量側(cè)竊取的能力，這一點(diǎn)對于HTTPS尚未有效普及的國內(nèi)網(wǎng)絡(luò)應(yīng)用來看，是具有高度殺傷力的。更何況HTTPS在過去兩年，同樣暴露出了大量工程實(shí)現(xiàn)層面的問題，包括CDN等的挑戰(zhàn)。


人的身份幾乎是永久的，關(guān)系是基本穩(wěn)定的，此類數(shù)據(jù)泄露帶來的影響，很難在短時間內(nèi)被沖淡。一個值得關(guān)注的情況是，隨著黑產(chǎn)的規(guī)模化，這些數(shù)據(jù)將持續(xù)匯入黑產(chǎn)的“基礎(chǔ)設(shè)施”當(dāng)中，從而使其可能具備超越公共安全和安全廠商的資源能力，同時也不排除這種地下基礎(chǔ)設(shè)施搖身一變，以“威脅情報”的形式，同時為黑產(chǎn)和白帽子服務(wù)。



4用戶需要負(fù)責(zé)任的漏洞披露機(jī)制和更細(xì)膩的漏洞應(yīng)急指導(dǎo)


2015年，安天向CNVD報送漏洞數(shù)量為7,780條，但需要坦誠的是，這并不是我們擅長的領(lǐng)域。




2015年初的一個漏洞（CVE-2015-0002）引發(fā)了業(yè)內(nèi)的廣泛討論。起因是Google的安全小組發(fā)現(xiàn)了一個Windows8.1的漏洞，在微軟尚未對漏洞做出修補(bǔ)的情況下，Google嚴(yán)格按照自身的標(biāo)準(zhǔn)，在第90天公布了漏洞詳情。此舉迅速引發(fā)了業(yè)內(nèi)對漏洞披露方式的探討，微軟稱谷歌這么做“完全把個人私心放在了用戶安全之上”，也有人認(rèn)為谷歌的做法“充分地尊重了用戶”。為了在保護(hù)用戶安全和保障用戶的知情權(quán)之間尋求平衡，一些漏洞披露方采用了更靈活的漏洞披露方式。例如，一些漏洞平臺在今年的漏洞信息中屏蔽掉一些敏感的IP地址、域名等信息，盡量避免出現(xiàn)漏洞的廠商遭遇微軟類似的尷尬。2015年業(yè)內(nèi)出現(xiàn)了對某偽基站漏洞的激烈爭論，對有極大修復(fù)成本、缺少快速修復(fù)可能性的基礎(chǔ)設(shè)施和重要系統(tǒng)漏洞，該如何進(jìn)行負(fù)責(zé)任的漏洞披露，也是業(yè)內(nèi)需要討論的問題。“幽靈（Ghost）”漏洞在2015年年初被發(fā)現(xiàn)，該漏洞存在于GLib庫中。GLib是Linux系統(tǒng)中最底層的API，幾乎其它任何運(yùn)行庫都會依賴于GLib。由于GLib除了封裝Linux操作系統(tǒng)所提供的系統(tǒng)服務(wù)外，本身也提供了許多其它功能的服務(wù)，“幽靈”漏洞幾乎影響了所有Linux操作系統(tǒng)，一些研究者認(rèn)為，其影響力堪比“破殼”漏洞。


Adobe Flash的安全性一直飽受爭議，被譽(yù)為“黑產(chǎn)軍團(tuán)的軍火庫”。APT28和Pawn Strom都利用了Adobe Flash的0day漏洞進(jìn)行APT攻擊，2015年全年上報的Flash漏洞更是多達(dá)300余條。Hacking -Team的數(shù)據(jù)泄露事件，將Flash漏洞的實(shí)際危害性和影響力推到當(dāng)年頂點(diǎn)，暴露出的三個漏洞幾乎能夠影響所有平臺、所有版本的Flash。其中被發(fā)現(xiàn)的第二個漏洞（CVE-2015-5122）甚至被黑客團(tuán)隊(duì)?wèi)蚍Q為“過去四年里最漂亮的Flash漏洞”。


年底，被稱為“破壞之王”的Java反序列化漏洞事件爆發(fā)。早在2015年1月28日，就有報告介紹了Java反序列化漏洞能夠利用常用Java庫Apache Commons Collections實(shí)現(xiàn)任意代碼的執(zhí)行，然而當(dāng)時并沒有引起太多關(guān)注。其在WebLogic、WebSphere、JBoss、Jenkins和OpenNMS中均能實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，獲取權(quán)限后泄漏數(shù)據(jù)庫。該漏洞被曝出九個月后依然沒有發(fā)布有效的補(bǔ)丁，其危害影響時間較長。目前，大量政府門戶網(wǎng)站和信息管理系統(tǒng)受該漏洞的影響十分嚴(yán)重，目前受影響******的是WebLogic和JBoss兩個應(yīng)用服務(wù)器。


不得不說，業(yè)內(nèi)對嚴(yán)重漏洞的預(yù)判能力正在下降，從2014年的
“心臟出血（HeartBleed）”、
“破殼（Bash Shellshock）”，
到2015年的“幽靈（Ghost）”，
都給人以措手不及感，而在漏洞出現(xiàn)后的快速跟進(jìn)中，業(yè)內(nèi)反而開始逐步喪失耐心指導(dǎo)用戶止損和進(jìn)行精細(xì)處置的應(yīng)急傳統(tǒng)。但這些工作盡管并不吸引眼球，卻對于機(jī)構(gòu)、行業(yè)用戶來說具有更有效的價值。



5勒索軟件引領(lǐng)PC惡意代碼威脅關(guān)注度，成為用戶的噩夢


2015年安天捕獲PC端惡意代碼新增家族數(shù)為3,109個、新增變種2,243,062種，這些變種覆蓋了億級的樣本HASH。相比于2014年，惡意代碼總數(shù)雖然有所增加，但已經(jīng)不再是2006~2012年間那種爆炸式的增長。


需要說明的是，我們無法確保這個統(tǒng)計(jì)足夠精確，新增家族數(shù)的減少，并不能完全反映惡意代碼的實(shí)際情況，更多的是我們過度依賴自動化命名的結(jié)果，從而對大量樣本只能給出通用命名。盡管我們還在盡力維護(hù)一個完整的命名體系，但面對惡意代碼數(shù)量多年的快速膨脹，以及惡意代碼的開源和交易，幾乎所有的安全廠商都失去了完整的基于嚴(yán)格編碼繼承性的家族命名關(guān)聯(lián)跟進(jìn)能力。各廠商大量采用編譯器、行為等為惡意代碼命名以及類似Agent這樣粗糙的自動化命名，就是這種窘境的明證。而很多短小的WebShell，本身亦未有足夠的信息，去判定其演進(jìn)和關(guān)聯(lián)。在今天，我們應(yīng)該更多地在分析實(shí)踐中，通過基于向量、行為之間的關(guān)系搜索，去尋覓惡意代碼之間、安全事件與惡意代碼之間的關(guān)系，而不是希望自動化給我們帶來一切。


在2015年惡意代碼家族變種數(shù)量排行榜前十名中，木馬程序占六席，而其他四席被相對輕量級的Hacktool、和Grayware所占據(jù)（也有一些安全廠商將這些稱為PUA，即：用戶不需要的應(yīng)用）。這個比例相對此前數(shù)年木馬壟斷排行榜的情況已經(jīng)有了很大變化。在互聯(lián)網(wǎng)經(jīng)濟(jì)帶來更多變通道的情況下，一些攻擊者的作業(yè)方式開始具有更強(qiáng)的隱蔽性。上榜惡意代碼的主要功能是下載、捆綁、竊密、遠(yuǎn)程控制等行為，例如Trojan/Win32.Badur是一個通過向用戶系統(tǒng)中下載、安裝大量應(yīng)用程序獲利的木馬程序，該木馬會在后臺下載多款推廣軟件，使用靜默安裝的方法在用戶系統(tǒng)中安裝指定的應(yīng)用程序，并從軟件廠商或推廣人處獲取利益。今年，廣告程序有三個家族進(jìn)入了排行榜，除AdLoad這個以行為命名的家族（家族樣本未必具備同源性）外，另外兩個廣告程序家族都是具有親緣性的龐大家族Eorezo和Browsefox，兩個家族中帶有數(shù)字簽名的樣本占總樣本比重分別為32.9%和79.9%，它們通過與其他程序捆綁、下載網(wǎng)站、下載者等進(jìn)行傳播，其安裝模式通常為靜默安裝，主要的功能是瀏覽器劫持和域名重定向，通過修改用戶搜索結(jié)果顯示各種在線廣告公司的廣告來獲利。而排名第八位的惡作劇程序ArchSMS實(shí)際上是一個勒索軟件，今年在全球范圍內(nèi)有較大規(guī)模的感染，國內(nèi)感染量也非常多，它會彈出警告窗體，通知用戶系統(tǒng)磁盤被格式化（實(shí)際上未格式化，因此我們將其暫定為惡作劇程序）等虛假消息，恐嚇用戶發(fā)送短信并以此進(jìn)行敲詐。





在2015年P(guān)C平臺惡意代碼行為分類排行榜中（HASH），以獲取利益為目的的廣告行為再次排在第一位，下載行為因其隱蔽性、實(shí)用性強(qiáng)的特點(diǎn)數(shù)量依然較多，捆綁行為與后門行為分列三、四位，備受關(guān)注的勒索軟件位列第九位。安天CERT在2015年8月3日發(fā)布報告《揭開勒索軟件的真面目》，詳細(xì)地揭露了勒索軟件的傳播方式、勒索形式、歷史演進(jìn)以及相應(yīng)的防御策略。而在2015年12月4日，我們又跟據(jù)敲詐軟件依托JS腳本進(jìn)行郵件傳播的新特點(diǎn)，跟進(jìn)發(fā)布了《郵件發(fā)送JS腳本傳播敲詐者木馬的分析報告》。





6威脅將隨“互聯(lián)網(wǎng)+”向縱深領(lǐng)域擴(kuò)散與泛化


2013年，我們用泛化（Malware/Other）一詞，說明安全威脅向智能設(shè)備等新領(lǐng)域的演進(jìn)，之后泛化（Malware/Other）一直被作為主要的威脅趨勢，占據(jù)了安天威脅通緝令的“小王”位置兩年之久。在這兩年，除我們熟悉的Windows、Linux和其他類Unix系統(tǒng)、iOS、Android等平臺外，安全威脅在小到智能汽車、智能家居、智能穿戴，大到智慧城市中已經(jīng)無所不在。


在2015年，這種安全威脅泛化已經(jīng)成為常態(tài)，但我們依然采用與我們在上一年年報中發(fā)布“2014年網(wǎng)絡(luò)安全威脅泛化與分布”一樣的方式，以一張新的圖表來說明2015年威脅泛化的形勢。






7思考2016


7.1     2016年網(wǎng)絡(luò)安全形勢預(yù)測


高級威脅向普通威脅轉(zhuǎn)化的速度會日趨加快，任何在精妙的APT攻擊中所使用的思路一旦被曝光，就會迅速被更多的普通攻擊者學(xué)習(xí)和模仿。而以國家和政經(jīng)集團(tuán)為背景的攻擊者也會與地下黑產(chǎn)有更多的耦合。由于商業(yè)化攻擊平臺和商用木馬具有節(jié)省開發(fā)成本、干擾追蹤等特點(diǎn)，越來越多的攻擊組織將使用成型或半成型的商業(yè)攻擊平臺、商業(yè)木馬和黑產(chǎn)大數(shù)據(jù)基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)攻擊的組合武器。“核威懾”的時代令人遠(yuǎn)慮，但“武器擴(kuò)散”的年代則會帶來更多現(xiàn)實(shí)的困擾。


勒索軟件將成為全球個人用戶甚至企業(yè)客戶最直接的威脅，除加密用戶文件、敲詐比特幣外，勒索攻擊者極有可能發(fā)起更有針對性的攻擊來擴(kuò)大戰(zhàn)果，如結(jié)合內(nèi)網(wǎng)滲透威脅更多的企業(yè)重要資料及數(shù)據(jù)。也不排除其會嘗試郵件之外更多的投送方式，在更多郵件服務(wù)商開啟默認(rèn)全程加密后，在流量側(cè)難以有效發(fā)現(xiàn)和阻斷，因此對敲詐者過濾的責(zé)任除了郵件服務(wù)商本身，則又回到了終端安全廠商。


基于簡單信標(biāo)共享層次的威脅情報會遭遇挑戰(zhàn)，利用腳本、內(nèi)存駐留、無實(shí)體文件等隱藏蹤跡的攻擊方法將更為盛行。例如，APT-TOCS中使用PowerShell作為文件載體進(jìn)行加載惡意代碼。在這種技術(shù)面前，簡單的文件HASH共享將無法有效應(yīng)對。此外，隨著更多攻擊者占據(jù)種種網(wǎng)絡(luò)設(shè)備資源，更為隱蔽的通訊方式將逐漸讓更多攻擊者擺脫對固定域名C&C的依賴。因此這種基于文件HASH和地址的通訊信標(biāo)檢測，未來注定在對抗APT攻擊中難以占據(jù)上風(fēng)。同時，我們需要提醒我們的同仁，威脅情報的共享體系，同樣使其具有了很大被污染的可能性。


“上游廠商”將遭受更多的攻擊，導(dǎo)致整個供應(yīng)鏈、工具鏈的脆弱性增加。攻擊者會將目光轉(zhuǎn)向防護(hù)能力稍弱的第三方供應(yīng)商，以其受信任的身份為跳板，攻擊防護(hù)能力較強(qiáng)的企業(yè)，從而帶來更大面積的影響。例如，攻擊者對分析工具、安全工具等的攻擊可以影響逆向愛好者和惡意代碼分析師；對開發(fā)場景的攻擊可以影響其大量用戶和高敏感的用戶，使用者會將其判定為受信程序或軟件；對出廠設(shè)備預(yù)安裝惡意代碼可以直接影響用戶。因此，上游廠商和開發(fā)商需要擔(dān)負(fù)起更有效的布防責(zé)任。同時，因?yàn)橹袊袠I(yè)資質(zhì)門檻的問題，OEM、貼牌等行為更為普遍，而盜版工具鏈、偽原創(chuàng)等問題也十分常見，因此威脅圖譜往往更為復(fù)雜，供應(yīng)鏈透明化的呼聲需要變成行動。


我們還需要注意到的是，隨著中國政府以“互聯(lián)網(wǎng)+”盤活傳統(tǒng)產(chǎn)業(yè)的努力，中國所面臨的安全威脅也將向傳統(tǒng)的工業(yè)和基礎(chǔ)設(shè)施中快速逼近。


7.2     我們在行動、我們在路上



我們終于要插播廣告了……


在過去的2015年，安天完成了從反病毒檢測引擎供應(yīng)商，到高級威脅檢測能力廠商的角色調(diào)整，初步形成了以“安天實(shí)驗(yàn)室”為母體，“企業(yè)安全”與“移動安全（AVL TEAM）”為兩翼的集團(tuán)化布局。我們希望以有效的檢測分析能力和數(shù)據(jù)儲備為基礎(chǔ)，依托在反惡意代碼和反APT方面長期的嘗試和積累，為用戶創(chuàng)造更有效、更直接的安全價值。


同時在過去一年中，我們改善了自身的一些產(chǎn)品，以使之獲得更有效的緩存和向前回溯的能力。我們改進(jìn)了沙箱技術(shù)，使之能夠更有效地觸發(fā)惡意行為，同時對PE樣本有更深的行為揭示能力；我們讓反病毒引擎不再簡單地充當(dāng)一個鑒定器，而是變成一個知識體系；我們也繼續(xù)加大了對移動安全相關(guān)領(lǐng)域的研究和投入，并在AV-C上下半年的兩次測試中，成為全球唯一一個獲得檢出率雙百分成績的廠商。通過這些工作所帶來的產(chǎn)品改進(jìn)，安天已經(jīng)形成了以PTD探海威脅檢測系統(tǒng)（前身是安天VDS網(wǎng)絡(luò)病毒檢測系統(tǒng)）為流量側(cè)探針，以IEP智甲終端防御系統(tǒng)為終端防線，以PTA追影威脅分析系統(tǒng)為分析縱深能力的高級威脅檢測防護(hù)方案，并通過結(jié)合態(tài)勢感知和監(jiān)控預(yù)警通報來滿足行業(yè)用戶和主管部門的需求。


我們對威脅情報共享機(jī)制和大數(shù)據(jù)都給予了足夠的關(guān)注，我們也堅(jiān)信威脅情報不是簡單的信標(biāo)挖掘與互換，其需要可靠的安全威脅檢測能力作為支撐。同時更要警惕情報共享體系遭到上游污染，從而導(dǎo)致情報價值降低，甚至產(chǎn)生反作用。


向前臺產(chǎn)品的轉(zhuǎn)型，可以讓我們更好地為用戶服務(wù)，但我們依然專注于反APT與反惡意代碼領(lǐng)域，既不會跟隨新概念而搖擺，也不會被提供“無死角”解決方案的想象所誘惑。


除了我們對用戶的責(zé)任外，安天珍惜通過自身長期與兄弟廠商互動，提供反病毒引擎所形成的產(chǎn)業(yè)角色。


我們以可靠檢測能力支撐威脅情報，我們以檢測能力輸出共建安全生態(tài)。


這是我們對于安天自身的產(chǎn)業(yè)責(zé)任和未來的理解。



82015的辭歲心語




在安天度過第15個年頭，在最早加入安天CERT的分析工程師已經(jīng)四十不惑的時候，我們承認(rèn)我們都有過彷徨、有過動搖。但如果你認(rèn)真地問我們，“你心力憔悴么？”——我們要回答：“不！”。


安全工作者與安全威脅間進(jìn)行的本身就是一場永不終止的心力長跑，雙方進(jìn)行的不止是力量的抗衡，同樣也是心靈與意志的較量。無論是地下經(jīng)濟(jì)從業(yè)者對利益的孜孜以求，還是APT的發(fā)起者堅(jiān)定的攻擊意志，都驅(qū)動著對手的不知疲倦，這終將會使網(wǎng)絡(luò)安全成為靠勤奮者和堅(jiān)定者堅(jiān)持的行業(yè)。


但我們需要堅(jiān)持的不止是這種勤奮和堅(jiān)定，還有我們的正直。我們堅(jiān)持防御者的立場，堅(jiān)持對保障用戶價值的使命，堅(jiān)持對安全威脅受害者感同身受的情感，堅(jiān)持對原則和底線的敬畏，這是我們事業(yè)的基礎(chǔ)和前提。因?yàn)槲ㄓ写?，我們的努力和進(jìn)步，才有真正的意義！


安天
安天從反病毒引擎研發(fā)團(tuán)隊(duì)起步，目前已發(fā)展成為擁有四個研發(fā)中心、監(jiān)控預(yù)警能力覆蓋全國、產(chǎn)品與服務(wù)輻射多個國家的先進(jìn)安全產(chǎn)品供應(yīng)商。安天歷經(jīng)十五年持續(xù)積累，形成了海量安全威脅知識庫，并綜合應(yīng)用網(wǎng)絡(luò)檢測、主機(jī)防御、未知威脅鑒定、大數(shù)據(jù)分析、安全可視化等方面經(jīng)驗(yàn)，推出了應(yīng)對持續(xù)、高級威脅（APT）的先進(jìn)產(chǎn)品和解決方案。安天技術(shù)實(shí)力得到行業(yè)管理機(jī)構(gòu)、客戶和伙伴的認(rèn)可，安天已連續(xù)四屆蟬聯(lián)*********安全應(yīng)急支撐單位資質(zhì)，亦是CNNVD六家一級支撐單位之一。安天移動檢測引擎獲得全球首個AV-TEST（2013）年度獎項(xiàng)的中國產(chǎn)品，全球超過十家以上的著名安全廠商都選擇安天作為檢測能力合作伙伴。
關(guān)于反病毒引擎請?jiān)L問：
http://www.antiy.com（中文）
http://www.antiy.net（英文）

關(guān)于安天反APT相關(guān)產(chǎn)品信息請?jiān)L問：
http://www.antiy.cn