关注:
联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

2017年第三季度网络安全威胁报告

2017 年第3 季度安全威胁  


本季安全警示:


APT、供应链攻击、漏洞


2017 年第3 季度安全威胁概况


  • ●    本季度亚信安全病毒码新增特征约20 万条。截止2017.9.30 日病毒码13.688.60 包含病毒特征数约508 万条。

  • ●    本季度亚信安全客户终端检测并拦截恶意程序约26,735 万次。

  • ●    本季度亚信安全拦截的恶意URL 地址共计47,232,651 次。


本季度的热门话题为APT,2017 年7 月,亚信安全侦测到BlackTech 网络间谍组织仍在活跃,该组织主要针对东南亚,包括日本和香港,特别是以台湾为主要攻击目标。根据对该组织的追踪分析以及我们发现的一些C&C 服务器域名,我们推断BlackTech 的攻击活动可能旨在窃取攻击目标的技术信息。



通过分析BlackTech 组织的活动以及该组织发动攻击所使用的策略和技巧,我们发现该组织与三个看似完全不同的网络间谍攻击活动(PLEAD、Shrowded Crossbow 和Waterbear)相关。我们深入分析了这三个网络间谍攻击活动的攻击过程、攻击方式以及其在攻击中使用的工具,我们最终发现了共同点,也就是说PLEAD, Shrouded Crossbow 和Waterbear 攻击活动实际上是由同一个组织操纵的。这个组织就是网络间谍组织BlackTech。


PLEAD 攻击活动


PLEAD 攻击活动的目的是窃取机密信息。自2012 年以来,PLEAD 已经针对台湾官方机构和私营机构进行了多次攻击。 PLEAD 使用的攻击工具包括自命名的PLEAD 后门程序和DRIGO 渗透工具。 PLEAD 使用鱼叉式网络钓鱼电子邮件传播,其会将恶意程序作为附件或者在邮件正文中插入链接,这些链接会指向云存储服务。有些云存储帐户被用作存储DRIGO 偷盗来的机密资料。


PLEAD 的安装程序会伪装成文档,并使用RTLO 技术来混肴恶意文件名。这些文档通常具有诱惑性,以便进一步欺骗用户。通过深入分析,我们还发现PLEAD 使用以下漏洞进行攻击:


  • ●    CVE-2015-5119,Adobe 已于2015 年7 月修复

  • ●    CVE-2012-0158,微软已于2012 年4 月修复

  • ●    CVE-2014-6352,微软已于2014 年10 月修复

  • ●    CVE-2017-0199,微软已于2017 年4 月修复


PLEAD 曾经利用Flash 漏洞(CVE-2015-5119) 涉足无文件恶意程序。


  PLEAD 利用路由器漏洞进行攻击流程图


PLEAD 攻击者首先使用扫描工具扫描带有漏洞的路由器,之后攻击者将启用路由器的VPN 功能, 并将设备注册为虚拟服务器。该虚拟服务器是传递恶意软件到目标机器的C&C服务器或HTTP 服务器。


PLEAD 还利用IIS6.0 远程代码执行漏洞(CVE-2017-7269)来控制受害者的服务器,这也是攻击者建立新的C&C 或HTTP 服务器的另外一种手段。


PLEAD 利用IIS6.0 远程代码执行漏洞(CVE-2017-7269)攻击流程


Shrouded Crossbow 攻击活动


Shrouded Crossbow 攻击活动最早是在2010 年出现的,我们有理由认为其背后有资金雄厚的支持者,因其购买了BIFROST 后门的源代码,并在此基础上开发出了新的攻击工具。Shrouded Crossbow 的攻击目标为私人企业、政府承包商以及与消费电子产品、计算机、医疗保健、金融等行业相关的企业。


Waterbear 攻击活动


Waterbear 实际上已经存在很长时间,该攻击活动的命名是基于其使用的恶意软件功能。Waterbear 同样采用了模块化的处理方式,加载模块执行后将会连接到C&C 服务器下载主后门程序,随后下载到的后门程序将被加载到内存中。之后的版本利用服务器应用程序作为加载模块,主后门程序通过加密文件加载,或者从C&C 服务器下载。


防护措施:


我们建议企业组织等要对PLEAD, Shrouded Crossbow 和 Waterbear 网络间谍活动进行有效防护, 最佳做法就是采用多层次的安全机制和针对目标攻击的策略,比如网络流量分析、入侵检测以及预防系统的部署,网络分段并对数据分类存储等。


2017 年3 季度,Dragonfly 间谍组织回归,该组织针对位于美国、意大利、法国、西班牙、德国、土耳其和波兰的电力运营商、发电企业、石油管道运营商和能源工业设备供货商进行网络间谍活动。本季度,该组织攻击对欧洲和北美的能源部门发动攻击,破坏电力系统,影响了用户及企业供电。



该组织使用各式各样的攻击手段,从鱼叉式钓鱼邮件到水坑式攻击。2016 年到2017年期间使用专门针对能源部门的鱼叉式钓鱼邮件。这些钓鱼邮件是用Phishery 工具包建立的,试图通过模板注入攻击来窃取受害者信息。另外,攻击者针对能源部门人员可能浏览的网站,利用水坑式攻击来获取网络凭证。


我们发现,网络间谍组织首先会通过各种手段了解攻击目标,发动网络交叉钓鱼邮件或者水坑攻击,在我们日常的工作生活中,要注意保护个人信息,尽量减少个人信息网络曝光,对于接收到的电子邮件要仔细甄别,不轻易打开邮件中附件或者邮件中的链接。


本季度的另外一个热门话题为供应链攻击木马,与传统的供应链概念类似,软件供应链包括开发环节,交付环节和使用环节,任何一个环节都有可能受到攻击,感染病毒。2017年8 月安全研究人员发现NetSarang 的服务器管理软件被嵌入ShadowPad 后门程序。该后门程序不仅能够下载并执行其它恶意软件,还会窃取用户数据,导致用户敏感信息泄露。亚信安全已经截获该后门程序,将其命名为TROJ_SHADOWPACK.A。


... ...


点击下面的地址,下载完整2017年第三季度安全报告:      

中国2017第3季度 安全威胁报告.zip


关于亚信安全

亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块,于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。亚信安全在中国北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,以“护航产业互联网”为使命,以“云与大数据的安全技术领导者”为战略愿景,亚信安全坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”,为国家提供网络安全与云产业安全保障,推动实施自主可控战略。更多关于亚信安全公司及最新产品信息,请访问: http://www.AsiainfoData.com

 

 

2017 版权所有 亚信科技(成都)有限公司 蜀ICP备15028617号

川公网安备 51010702000068号