248cc永利集团备用网址-永利集团全部网址

联系大家

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

2017年第三季度网络安全威胁报告

2017 年第3 季度安全威胁  


本季安全警示:


APT、供应链攻击、漏洞


2017 年第3 季度安全威胁概述


  • ●    本季度亚信安全病毒码新增特征约20 万条。截止2017.9.30 日病毒码13.688.60 包含病毒特征数约508 万条。

  • ●    本季度亚信安全客户终端检测并拦截恶意程序约26,735 万次。

  • ●    本季度亚信安全拦截的恶意URL 地址共计47,232,651 次。


本季度的热门话题为APT,2017 年7 月,亚信安全侦测到BlackTech 网络间谍组织仍在活跃,该组织主要针对东南亚,包括日本和香港,特别是以台湾为主要攻击目标。根据对该组织的追踪分析以及大家发现的一些C&C 服务器域名,大家推断BlackTech 的攻击活动可能旨在窃取攻击目标的技术信息。



通过分析BlackTech 组织的活动以及该组织发动攻击所使用的策略和技巧,大家发现该组织与三个看似完全不同的网络间谍攻击活动(PLEAD、Shrowded Crossbow 和Waterbear)相关。大家深入分析了这三个网络间谍攻击活动的攻击过程、攻击方式以及其在攻击中使用的工具,大家最终发现了共同点,也就是说PLEAD, Shrouded Crossbow 和Waterbear 攻击活动实际上是由同一个组织操纵的。这个组织就是网络间谍组织BlackTech。


PLEAD 攻击活动


PLEAD 攻击活动的目的是窃取机密信息。自2012 年以来,PLEAD 已经针对台湾官方机构和私营机构进行了多次攻击。 PLEAD 使用的攻击工具包括自命名的PLEAD 后门程序和DRIGO 渗透工具。 PLEAD 使用鱼叉式网络钓鱼电子邮件传播,其会将恶意程序作为附件或者在邮件正文中插入链接,这些链接会指向云存储服务。有些云存储帐户被用作存储DRIGO 偷盗来的机密资料。


PLEAD 的安装程序会伪装成文档,并使用RTLO 技术来混肴恶意文件名。这些文档通常具有诱惑性,以便进一步欺骗用户。通过深入分析,大家还发现PLEAD 使用以下漏洞进行攻击:


  • ●    CVE-2015-5119,Adobe 已于2015 年7 月修复

  • ●    CVE-2012-0158,MicroSoft已于2012 年4 月修复

  • ●    CVE-2014-6352,MicroSoft已于2014 年10 月修复

  • ●    CVE-2017-0199,MicroSoft已于2017 年4 月修复


PLEAD 曾经利用Flash 漏洞(CVE-2015-5119) 涉足无文件恶意程序。


  PLEAD 利用路由器漏洞进行攻击流程图


PLEAD 攻击者首先使用扫描工具扫描带有漏洞的路由器,之后攻击者将启用路由器的VPN 功能, 并将设备注册为虚拟服务器。该虚拟服务器是传递恶意App到目标机器的C&C服务器或HTTP 服务器。


PLEAD 还利用IIS6.0 远程代码实行漏洞(CVE-2017-7269)来控制受害者的服务器,这也是攻击者建立新的C&C 或HTTP 服务器的另外一种手段。


PLEAD 利用IIS6.0 远程代码实行漏洞(CVE-2017-7269)攻击流程


Shrouded Crossbow 攻击活动


Shrouded Crossbow 攻击活动最早是在2010 年出现的,大家有理由认为其背后有资金雄厚的支撑者,因其购买了BIFROST 后门的源代码,并在此基础上开发出了新的攻击工具。Shrouded Crossbow 的攻击目标为私人企业、政府承包商以及与消费电子产品、计算机、医疗保健、金融等行业相关的企业。


Waterbear 攻击活动


Waterbear 实际上已经存在很长时间,该攻击活动的命名是基于其使用的恶意App功能。Waterbear 同样采用了模块化的处理方式,加载模块实行后将会连接到C&C 服务器下载主后门程序,随后下载到的后门程序将被加载到内存中。之后的版本利用服务器应用程序作为加载模块,主后门程序通过加密文件加载,或者从C&C 服务器下载。


防护措施:


大家建议企业组织等要对PLEAD, Shrouded Crossbow 和 Waterbear 网络间谍活动进行有效防护, 最佳做法就是采用多层次的安全机制和针对目标攻击的策略,比如网络流量分析、入侵检测以及预防系统的部署,网络分段并对数据分类存储等。


2017 年3 季度,Dragonfly 间谍组织回归,该组织针对位于美国、意大利、法国、西班牙、德国、土耳其和波兰的电力运营商、发电企业、石油管道运营商和能源工业设备供货商进行网络间谍活动。本季度,该组织攻击对欧洲和北美的能源部门发动攻击,破坏电力系统,影响了用户及企业供电。



该组织使用各式各样的攻击手段,从鱼叉式钓鱼邮件到水坑式攻击。2016 年到2017年期间使用专门针对能源部门的鱼叉式钓鱼邮件。这些钓鱼邮件是用Phishery 工具包建立的,试图通过模板注入攻击来窃取受害者信息。另外,攻击者针对能源部门人员可能浏览的网站,利用水坑式攻击来获取网络凭证。


大家发现,网络间谍组织首先会通过各种手段了解攻击目标,发动网络交叉钓鱼邮件或者水坑攻击,在大家日常的工作生活中,要注意保护个人信息,尽量减少个人信息网络曝光,对于接收到的电子邮件要仔细甄别,不轻易打开邮件中附件或者邮件中的链接。


本季度的另外一个热门话题为供应链攻击木马,与传统的供应链概念类似,App供应链包括开发环节,交付环节和使用环节,任何一个环节都有可能受到攻击,感染病毒。2017年8 月安全研究人员发现NetSarang 的服务器管理App被嵌入ShadowPad 后门程序。该后门程序不仅能够下载并实行其它恶意App,还会窃取用户数据,导致用户敏感信息泄露。亚信安全已经截获该后门程序,将其命名为TROJ_SHADOWPACK.A。


... ...


点击下面的地址,下载完整2017年第三季度安全报告:      

中国2017第3季度 安全威胁报告.zip

248cc永利集团备用网址|永利集团全部网址

XML 地图 | Sitemap 地图