引子
2014年,對于網(wǎng)絡(luò)安全來說,充滿了不寧靜與不尋常。這讓我們覺得,每年那些長篇累牘的從惡意代碼后臺(tái)系統(tǒng)中導(dǎo)出的統(tǒng)計(jì)數(shù)字,無以表征這個(gè)既"波瀾壯闊"又"波譎云詭"的年代。因此,我們決定用若干幼稚的文字和圖表,對這一年做一個(gè)簡要的回望。
早在一年前,即2014年新年的時(shí)候,安天依然像每年一樣,更新安全威脅主題的通緝令撲克,來作為新年禮物。我們把APT(Advanced Persistent Threat,高級持續(xù)性威脅)選為大王,以認(rèn)定這是最嚴(yán)重的安全威脅;而把Malware/Other作為小王,以作為安全威脅趨勢演進(jìn)的預(yù)測,這是一個(gè)依托惡意代碼命名法的自造詞,我們把它的中文名字稱為——"威脅泛化"。
APT
"APT熱度是否在下降"?2014年,這個(gè)問題多次在我們的技術(shù)演講后,被聽眾或媒體問起,對此,我們給出的回答是,當(dāng)媒體對一個(gè)威脅產(chǎn)生審美疲勞時(shí),往往是這種威脅已經(jīng)走入常態(tài)化,其不再只是突擊研究,而是開始逼近更多人的身邊。
而如果從APT這個(gè)詞從2005~2006年間,在美國空軍第八聯(lián)隊(duì)的會(huì)議室中被創(chuàng)造出來算起,其已經(jīng)具有8年的歷史,其本身已經(jīng)被太多地解讀和咀嚼。而其熱度乍起,是在2011~2012年,一些新的產(chǎn)品解決方案逐步成熟,并被產(chǎn)業(yè)和輿論關(guān)注的結(jié)果。
從這個(gè)意義上說,對于在2005~2006年,還依然更多關(guān)注木馬的快速數(shù)量膨脹影響的我們來說,已經(jīng)"遲到了"!
2014年,談及APT,無疑公眾更關(guān)注電影《The Interview》所導(dǎo)致的發(fā)行商索尼影音公司遭遇的入侵和破壞事件。但從另一個(gè)角度來看,當(dāng)一個(gè)攻擊以敲詐式的警告于前,而以破壞硬盤數(shù)據(jù)為結(jié)尾的時(shí)候,它還是一種APT么?也許與Michael在《Why Stuxnet Isn't APT》中質(zhì)疑Stuxnet是APT還是Cyberwar一樣,索尼事件也許同樣是一種作戰(zhàn)行動(dòng),只是其技術(shù)手法顯得沒有那樣高明而已。
APT事件依然更多地為"注意力"所牽引。在整個(gè)2014年曝光的APT攻擊事件共有33起,其中Regin和Epic Turla為攻擊國家和組織數(shù)量最多的事件。Regin是一組先進(jìn)隱形的惡意程序,具有高明的隱藏手段,并且使用了P2P技術(shù)進(jìn)行發(fā)送指令和竊取信息。從其身上,我們才真正能看到與APT一詞所匹配的藝術(shù)式的攻擊手段和制式化的裝備體系。
圖 1 2014年曝光的APT事件
圖 22014年曝光的APT事件中被攻擊國家
2014年被曝光的APT事件攻擊了近百個(gè)國家,其中遭受攻擊最多的也正是美國、俄羅斯、中國、日本等全球國家。主要被攻擊的行業(yè)為能源、金融、醫(yī)療保健、媒體和電信、公共管理、安全與防務(wù)、運(yùn)輸和交通等行業(yè)。
嚴(yán)重漏洞
2014年4月7日,發(fā)生了被稱為3年來最嚴(yán)重的漏洞Heartbleed(心臟出血)漏洞,這個(gè)漏洞存在于開源密碼技術(shù)庫OpenSSL中,該漏洞會(huì)導(dǎo)致內(nèi)存越界,攻擊者可以遠(yuǎn)程讀取存在漏洞版本的OpenSSL服務(wù)器內(nèi)存中64K的數(shù)據(jù),從而可以被用于獲取內(nèi)存中的用戶名、密碼、個(gè)人相關(guān)信息以及服務(wù)器證書、私鑰等敏感信息。由于OpenSSL使用非常廣泛,因此這個(gè)漏洞影響到了包括Google、Facebook、Yahoo以及國內(nèi)BAT在內(nèi)的大型互聯(lián)網(wǎng)廠商,以及大大小小的網(wǎng)銀、電商、網(wǎng)絡(luò)支付、電子郵件等各種網(wǎng)絡(luò)服務(wù)廠商和機(jī)構(gòu)。
漏洞存在于OpenSSL中已有兩年之久,后被谷歌研究員尼爾·梅塔(Neel Mehta)與網(wǎng)絡(luò)安全公司Codenomicon的研究員發(fā)現(xiàn),他們通知了OpenSSL組織進(jìn)行漏洞修補(bǔ)工作。漏洞公告發(fā)布時(shí)已發(fā)布了修補(bǔ)漏洞的新版本OpenSSL 1.0.1g,同時(shí)Google也比業(yè)界更早地修補(bǔ)了漏洞。而漏洞公布后,網(wǎng)絡(luò)攻擊者們也開始瘋狂地獲取數(shù)據(jù),有人開玩笑的說,為了存放通過Heartbleed獲取的數(shù)據(jù),導(dǎo)致了硬盤價(jià)格的上漲。雖然言過其實(shí),但其利用價(jià)值可見一斑。而當(dāng)我們回看類似事件時(shí),Codenomicon等一些新銳公司為了提高知名度不負(fù)責(zé)任的發(fā)布POC,也是威脅"泛化"的重要原因。
圖 3 Heartbleed原理圖
而到了9月,則再次曝光了比"心臟出血"更嚴(yán)重的漏洞——"Bash Shellshock"(破殼),由于GNU Bash更廣泛的存在,導(dǎo)致其所威脅到的不僅僅是服務(wù)器系統(tǒng),也包括了網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)交換設(shè)備、防火墻等網(wǎng)絡(luò)安全設(shè)備,也包括攝像頭、IP電話等很多采用Linux剪裁定制的系統(tǒng)。經(jīng)過研究發(fā)現(xiàn),這個(gè)漏洞已經(jīng)存在了近20年。而另一個(gè)致命的問題是,由于GNU Bash的分布蔓延極廣,幾乎是無法完全定位修復(fù)的;而且由于Bash靈活的語法,導(dǎo)致解析程序極為復(fù)雜,因此在幾次修補(bǔ)方法公布后,都隨即被發(fā)現(xiàn)了新的問題,從而使"破殼"演化了一系列的漏洞。
圖 4 "破殼"漏洞的披露與修補(bǔ)迭代
再之后,一場持續(xù)的DDoS攻擊,嚴(yán)重影響到了國內(nèi)DNS體系的運(yùn)行,而大量發(fā)起攻擊的節(jié)點(diǎn)則是攝像頭等在網(wǎng)智能設(shè)備,而經(jīng)跟蹤分析相關(guān)僵尸網(wǎng)絡(luò),其正是利用了"破殼"漏洞擴(kuò)展獲取了大量的節(jié)點(diǎn)。
其實(shí)在一些國產(chǎn)操作系統(tǒng)上,我們也同樣發(fā)現(xiàn)了"破殼"漏洞的存在,理順國產(chǎn)系統(tǒng)的借鑒、繼承關(guān)系,及時(shí)聯(lián)動(dòng)地漏洞修補(bǔ),對于依托開源體系發(fā)展的國產(chǎn)操作系統(tǒng)領(lǐng)域來說,依托開源軟件的偽閉源系統(tǒng),其實(shí)比開源軟件本身有著更大的漏洞威脅。
此外,HTTPS作為安全認(rèn)證和加密通訊的重要基礎(chǔ)協(xié)議,在這一年被反復(fù)提起,微軟Server的SSL實(shí)現(xiàn)也被發(fā)現(xiàn)存在問題,而多家網(wǎng)銀亦都被暴露出不正確的代碼實(shí)現(xiàn)。
安全威脅的泛化與分布
2014年除我們熟悉的Windows、Linux和其他類Unix系統(tǒng)、iOS、Android等操作系統(tǒng)及其應(yīng)用軟件漏洞外,隨著智能家居、穿戴硬件以及信息化在社會(huì)生活中的無所不在,威脅也在跟隨演進(jìn)。我們做了一個(gè)圖表來嘗試說明威脅的分布演進(jìn)。
圖 5 2014年網(wǎng)絡(luò)安全威脅泛化與分布
數(shù)據(jù)泄漏
2012年的系列"拖庫門"導(dǎo)致的數(shù)據(jù)泄露事件曾引起很大的影響,而2014年的數(shù)據(jù)泄露問題依然嚴(yán)重,這些泄露的數(shù)據(jù)有的依然來自拖庫,但有的則來自撞庫攻擊。而其中影響頗大的"12306撞庫攻擊事件",則讓人們看到傳播一些通過撞庫形成的少量數(shù)據(jù)集合,用以聲稱后臺(tái)數(shù)據(jù)泄露,就會(huì)造成一定社會(huì)恐慌。
圖 6 2014年國內(nèi)外曝光的重大數(shù)據(jù)泄露事件
我們此前對"12306撞庫事件"中的泄漏數(shù)據(jù)做了一點(diǎn)統(tǒng)計(jì),這說明,未來網(wǎng)站服務(wù)者依然需要引導(dǎo)用戶去實(shí)現(xiàn)更強(qiáng)壯的密碼策略,特別是為重要網(wǎng)站使用單獨(dú)的口令。
PC平臺(tái)惡意代碼
我們曾在《木馬雪崩到APT的關(guān)聯(lián)與必然》中就2006~2012年惡意代碼的快速爆炸式增長進(jìn)行了分析,而這種趨勢目前又有了很大變化。從入庫黑樣本數(shù)量來看,2014年,我們的樣本庫新增了3000萬個(gè)Hash,但增速已經(jīng)大大放緩。
圖 7近五年惡意代碼數(shù)量增長趨勢
2014年,PC平臺(tái)的惡意代碼家族新增樣本數(shù)量排行榜,排在首位的則是2014年2月產(chǎn)生的名為Trojan/Win32.AntiFW的惡意代碼家族,該惡意代碼家族以獲取經(jīng)濟(jì)利益為目標(biāo),具有潛在的威脅,包括安裝廣告軟件、劫持瀏覽器、嘗試修改瀏覽器首頁、自定義搜索設(shè)置等行為。
在TOP10排行榜中,有5款類似的廣告軟件家族,其目標(biāo)相同,大都是以獲取經(jīng)濟(jì)利益為目的,分別為 DomaIQ、Lollipop、Morstar、AdLoad、MultiPlug。從首次出現(xiàn)的時(shí)間上來描述,可以發(fā)現(xiàn)除GrayWare[AdWare]/Win32.AdLoad外(2011年出現(xiàn)的廣告件家族),大部分都為近期新產(chǎn)生的廣告軟件家族。
在2014年惡意代碼數(shù)量排行榜中,并未出現(xiàn)新的感染式惡意代碼家族,占據(jù)感染式病毒排行榜前列的仍然是Sality和Virut兩個(gè)老樣本,同時(shí),Nimnul家族依然在榜。在TOP10排行榜中,排在最后的為組建僵尸網(wǎng)絡(luò)的Zbot家族,這個(gè)家族在2014年依然揮之不去,并通過郵件等手段傳播。
圖 8 2014年P(guān)C平臺(tái)惡意代碼數(shù)量排行榜
2014年P(guān)C平臺(tái)惡意代碼行為分類排行中,以獲取利益為目的的廣告行為再次排在第一位,下載行為因其隱蔽性、實(shí)用性強(qiáng)的特點(diǎn)數(shù)量依然較多,具有遠(yuǎn)程控制行為的后門類惡意代碼排在第三位。
圖 9 2014年P(guān)C平臺(tái)惡意代碼行為分類排行榜
移動(dòng)平臺(tái)惡意代碼統(tǒng)計(jì)
2014年移動(dòng)平臺(tái)的惡意代碼數(shù)量增長趨勢較2013年同樣略有放緩,全年入庫樣本數(shù)量已經(jīng)超過80萬。
圖 10 2005年-2014年移動(dòng)平臺(tái)惡意程序走勢
移動(dòng)平臺(tái)惡意程序按行為分為8類:惡意扣費(fèi)、資費(fèi)消耗、系統(tǒng)破壞、隱私竊取、流氓行為、遠(yuǎn)程控制、誘騙欺詐、惡意傳播。
圖 11 2014年移動(dòng)平臺(tái)惡意程序數(shù)量按行為屬性統(tǒng)計(jì)
2014年移動(dòng)平臺(tái)惡意程序傳播事件次數(shù)月度統(tǒng)計(jì),3月份傳播次數(shù)最高,接近一千二百萬次,12月份傳播最低。傳播次數(shù)中可以看出,上半年和下半年都呈現(xiàn)出了兩次下降趨勢。
圖 12 2014年移動(dòng)平臺(tái)惡意程序傳播事件次數(shù)月度統(tǒng)計(jì)
2014年移動(dòng)平臺(tái)惡意程序傳播源域名和IP數(shù)量月度統(tǒng)計(jì),可以看出使用域名訪問是惡意程序傳播較多的選擇。
圖 13 2014年移動(dòng)平臺(tái)惡意程序傳播源域名和IP數(shù)量月度統(tǒng)計(jì)
泛化年代的思考
2014年,威脅泛化的年代,是一個(gè)打破幻像的時(shí)代。例如之前所謂的開源安全神話,當(dāng)少數(shù)開源安全論者還在堅(jiān)持著"開源是全世界一起做一個(gè)系統(tǒng),閉源是少數(shù)人做一個(gè)系統(tǒng)"的時(shí)候,社區(qū)因安全能力不平衡所帶來薄弱環(huán)節(jié)的影響正在凸顯。Heartbleed就在最常見的OpenSSL中展示了"燈下黑"的結(jié)果,并提醒業(yè)界這正是達(dá)成安全所需要聚合的安全專業(yè)性、研究能力以及配套的安全成本。而另一方面,心臟出血后這場針對開源系統(tǒng)安全普查的業(yè)內(nèi)聯(lián)合行動(dòng),或許可以被看成一場災(zāi)難的"進(jìn)步補(bǔ)償(恩格斯語)"。這種活動(dòng)讓開源體系真的從全域威脅的角度獲得了審視。而Wirelurker(破界),同樣讓iOS的安全神話破滅。
2014年,關(guān)鍵漏洞再度展示了"一覽眾山小"的巨大能量,其讓原有的那些漏洞數(shù)量的比對和哪種系統(tǒng)更安全的空泛討論完全失去了意義,關(guān)鍵漏洞給攻防雙方都帶來了很大的不確定性和偶然性,信息攻防強(qiáng)弱之能力可能在瞬間被一個(gè)關(guān)鍵漏洞拉平。
泛化的年代是一個(gè)盲目的時(shí)代,當(dāng)新威脅被反復(fù)強(qiáng)化,我們很容易被吸引而目光游移,我們很容易完全去關(guān)注新威脅,而不去分析我們的基礎(chǔ)和家底,而后者同樣重要。比如在Heartbleed中,同樣令人值得思考的問題是研究者們同時(shí)注意到,國內(nèi)網(wǎng)站的HTTPS使用比率很底,大量網(wǎng)站依然采用HTTP,包括有著名的網(wǎng)站(包括手機(jī)端)居然采用明文登陸協(xié)議,安全措施只是口令計(jì)算了一個(gè)Hash而已。這實(shí)際上是中國和發(fā)達(dá)國家在安全基礎(chǔ)意識(shí)和能力上的代差。
而今年同樣流行著對"老三樣"——即"防火墻"、"反病毒"、"打補(bǔ)丁"的口誅筆伐。這種聲討被用于支撐去尋覓一個(gè)新的安全模型或思維。但實(shí)際上,在中國更多政企用戶中更真實(shí)的情況是大量防火墻被采購后,被束之高閣,從未被安裝和加電;內(nèi)網(wǎng)反病毒產(chǎn)品的病毒庫幾月到半年才升級一次,而"打補(bǔ)丁"更被視為有可能影響業(yè)務(wù)穩(wěn)定性的危險(xiǎn)舉動(dòng)。我們現(xiàn)有的安全問題更多的是來自"老三樣"不管用?還是沒有真正重視和有效使用?
從互聯(lián)網(wǎng)安全服務(wù)規(guī)范到IT治理能力,我們在安全上有很多課要補(bǔ),我們并非已經(jīng)建立了充分夯實(shí)的體系,可以把目光充分轉(zhuǎn)移去審視新威脅,而是需要同時(shí)面對新舊兩種挑戰(zhàn)。而如果我們漠視這些現(xiàn)狀,就會(huì)催生不切實(shí)際的誤判,特別是開始膜拜和憧憬所謂一勞永逸改變安全現(xiàn)狀的"永動(dòng)機(jī)",而忘記了安全的本質(zhì)就是永無休止的對抗與改進(jìn)。
泛化的年代亦可能是一個(gè)麻木的時(shí)代,比"心臟出血"更為嚴(yán)重的"破殼"漏洞卻難以得到更多來自國內(nèi)媒體的關(guān)注,原因竟然是很多人認(rèn)為 "心臟出血沒有造成那么大的影響"。當(dāng)一些主流網(wǎng)站(包括電商)的內(nèi)存數(shù)據(jù)被以T為計(jì)的獲取時(shí),我們實(shí)在無法想象,還有什么是更大的影響。只有大面積斷網(wǎng)、大量的后臺(tái)數(shù)據(jù)被直接公開才算重大影響嗎?這是一種何其落后的安全判斷標(biāo)準(zhǔn),這種思維定式足以使人在即將噴發(fā)的火山口上載歌載舞。
威脅泛化出現(xiàn)的原因,首先是信息化大發(fā)展注定使其無所不在,而很多的陷阱、隱患和錯(cuò)誤的思維在不斷的被繼承,這是威脅泛化注定的土壤;其次是攻擊能力的普及化,正如Bruce Schneier在《The State of Incident Response》所說"正在發(fā)生而且真正重要的趨勢是:越來越多戰(zhàn)爭中的戰(zhàn)術(shù)行為被應(yīng)用于更廣泛的網(wǎng)絡(luò)空間環(huán)境中。",這為加速威脅泛化提供了工具彈藥;而地下黑產(chǎn)的蓬勃發(fā)展,追名逐利日益無底線,也成為威脅泛化的持續(xù)動(dòng)力。
泛化的年代,讓很多人重新萌生了計(jì)劃經(jīng)濟(jì)式的預(yù)設(shè)情節(jié),對安全的恐慌,導(dǎo)致很多關(guān)于"不設(shè)計(jì)好安全就不要發(fā)展的觀點(diǎn)"重新浮出水面。這些觀點(diǎn)忽略了需求的剛性,認(rèn)為通過沙盤推演和標(biāo)準(zhǔn)設(shè)定能解決很多問題。
在威脅泛化的年代,更多人會(huì)想到K.K的《失控》,而一位我十分尊重的老師告訴我,在他的案頭有兩本書,一本是《失控》,而另一本是來自比爾.蓋茨的《未來之路》,他說"從目前來看,對于一個(gè)未來的高技術(shù)的世界,前者帶給人們的焦慮和恐慌遠(yuǎn)勝于后者曾帶給人們的憧憬,但想一想,蒸汽機(jī)、電器機(jī)、原子能、基因技術(shù)……哪一項(xiàng)巨大的技術(shù)進(jìn)步不曾帶給人類巨大的、仿佛毗鄰懸崖邊緣的焦灼?但這一切盡管亦曾被用于破壞、犯罪和戰(zhàn)爭,但最終我們的世界始終是變得更文明、發(fā)達(dá)和美好。"
安全的存在意義從來都是用于保障應(yīng)用價(jià)值,而不是用來限制應(yīng)用價(jià)值,更不是用來捆住發(fā)展的手腳。而今天,盡管我們面對種種安全危機(jī),以及伴生的對未來的種種焦慮,但我們一直堅(jiān)信發(fā)展、進(jìn)步才是最大的安全。
安全工作者要做實(shí)干者,而非預(yù)言家,也許這一選擇更適用于"滄海橫流"的時(shí)代。
本文來自安天實(shí)驗(yàn)室,原文鏈接:http://www.antiy.com/response/2014report.html