近年來，安全事件逐漸成為媒體的寵兒，尤其是個(gè)人信息泄露、銀行資金竊取和IoT 設(shè)備的攻擊利用事件 牽動(dòng)著眾人的眼球。在公眾關(guān)注度方面，從近兩年的百度指數(shù)就能看出，“個(gè)人信息泄露”和“黑客”等關(guān)鍵詞的整體日均值都在歷史中高位波動(dòng)，網(wǎng)絡(luò)安全和信息安全已經(jīng)不僅僅是一個(gè)技術(shù)問題，而是關(guān)乎普羅大眾的民生問題。

??

[[241973]]

執(zhí)行摘要

與此同時(shí)，安全廠商的視角也在慢慢變化。從RSA 近年的主題上看，2016 年的“Connect to Protect”，2017 的“Power of OpportUNITY”到2018 年的“Now Matters”，同時(shí)，關(guān)鍵詞也從往年的威脅情報(bào)、人工智能到今年的應(yīng)急響應(yīng)和威脅狩獵，可以看出，安全廠商們不再滿足于概念性的奔走呼號(hào)，聯(lián)動(dòng)防御和破除孤島已成共識(shí)，在多年的技術(shù)積累上厚積薄發(fā)，真真正正化被動(dòng)為主動(dòng)，切切實(shí)實(shí)關(guān)注落地實(shí)效和響應(yīng)時(shí)效。

漏洞發(fā)現(xiàn)，攻擊利用和應(yīng)急響應(yīng)，是攻防雙方角力的主戰(zhàn)場(chǎng)。兵者詭變，從去年的臭名昭著的Wannacry 事件到后來的WannaMine和Smominru，永恒之藍(lán)漏洞相繼被用在勒索軟件和挖礦僵尸網(wǎng)絡(luò)中，攻擊的目標(biāo)和攻擊的手段在變，唯一不變的是攻擊者對(duì)利益的訴求。兵貴神速，安全的戰(zhàn)役，難就難在防御者如何才能在攻防條件不對(duì)等的情況下，快速地跟進(jìn)形勢(shì)，擴(kuò)充自己的武器庫(kù)和提前布局。孫子曰“知彼良知，勝乃不殆;知天知地，勝乃不窮”。

威脅情報(bào)的核心正是一個(gè)“知”字，從數(shù)據(jù)到信息到知識(shí)，這幾年來的落地實(shí)踐逐漸讓安全廠商能夠從海量的攻擊數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)和外部情報(bào)中，去偽存真，抽絲剝繭，對(duì)攻擊者個(gè)體能夠形成多個(gè)剖面的詳盡刻畫，同時(shí)對(duì)攻擊者群體能夠快速提取共性及關(guān)聯(lián)，構(gòu)建出網(wǎng)絡(luò)空間的深層感知體系。

據(jù)綠盟威脅情報(bào)中心觀測(cè)，近20% 的攻擊源發(fā)起過多種類型的攻擊，其攻擊類型的轉(zhuǎn)換時(shí)序滿足攻擊鏈逐步深入的特性，例如百分之五十的Web 攻擊者會(huì)在隨后嘗試更為復(fù)雜的漏洞利用攻擊。僵尸主機(jī)也有相當(dāng)部分具備蠕蟲的特性，在被感染后相繼進(jìn)行掃描和漏洞利用操作，快速補(bǔ)充僵尸軍團(tuán)的新生力量。同時(shí)，不同類型的攻擊資源存在復(fù)用的情況，例如發(fā)起惡意掃描的攻擊源，其中的44% 在之后成為垃圾郵件源。一方面可以看出，攻擊者較為關(guān)注自身的攻擊成本，盡可能榨干獲取的肉雞價(jià)值。另一方面也可以看出，時(shí)間成本和規(guī)模效應(yīng)也是攻擊者關(guān)心的重點(diǎn)。

從攻擊流量來看，挖礦病毒、蠕蟲和木馬等類型的惡意軟件的活躍數(shù)量在2月下旬到3 月上旬期間均有一定程度的回落或在低位徘徊，當(dāng)時(shí)正逢新春佳節(jié)，一定程度上說明監(jiān)測(cè)范圍內(nèi)的大部分攻擊者應(yīng)為華人。另一方面，比特幣價(jià)格的持續(xù)萎縮似乎并沒有影響攻擊者對(duì)加密貨幣的投機(jī)偏好，挖礦類惡意程序在春節(jié)過后持續(xù)升溫，其活躍狀況暗合加密貨幣的漲跌趨勢(shì)。在各類挖礦病毒中，針對(duì)門羅幣的WannaMine 尤為活躍，在挖礦活動(dòng)中占比超過70%。Palo AltoNetworks 研究1 也表明門羅幣是惡意程序最為青睞的幣種，5% 的門羅幣經(jīng)由惡意程序開采出來。

2018 年上半年，在我們持續(xù)監(jiān)控到的超2700 萬攻擊源IP 中，有25% 在歷史上曾被監(jiān)測(cè)到多次攻擊行為，我們稱之為“慣犯”。慣犯產(chǎn)生的可能原因有二，其一為攻擊資源的復(fù)用，其二是暴露在公網(wǎng)上大量IP 基礎(chǔ)設(shè)施的安全狀況長(zhǎng)期得不到改善，被不同的攻擊者利用。慣犯承擔(dān)了40% 的攻擊事件，其中僵尸網(wǎng)絡(luò)活動(dòng)和DDoS 攻擊是慣犯?jìng)兊闹髁鞴舴绞?。今年上半年披露的漏洞主要集中在中危漏洞，高危和漏洞比例與去年同期相比均有所下降。值得關(guān)注的是，其中獲取和利用難度低、危害程度大的漏洞主要集中在數(shù)個(gè)移動(dòng)設(shè)備或者網(wǎng)關(guān)類設(shè)備制造商的相關(guān)產(chǎn)品中。設(shè)備類和網(wǎng)關(guān)類產(chǎn)品通常覆蓋面廣，一旦被攻擊者利用，影響面會(huì)快速擴(kuò)大。網(wǎng)絡(luò)空間可以說是全世界的軟件開發(fā)者構(gòu)建起來的，軟件開發(fā)流程越來越依賴世界各地的開發(fā)者通力合作，在這期間形成了各種包管理器、版本管理工具和代碼分享與托管平臺(tái)等軟件開發(fā)基礎(chǔ)設(shè)施。據(jù)觀測(cè)，Pastebin 和GitHub 等代碼分享與托管平臺(tái)日漸成為惡意軟件的溫床，許多惡意可執(zhí)行文件經(jīng)base64 編碼后上傳，同時(shí)此類平臺(tái)往往全站使用HTTPS，使得該類行為在流量層面更加難以檢測(cè)。同時(shí)，我們也監(jiān)測(cè)到此類平臺(tái)造成大量的信息泄露，例如開發(fā)者的代碼段，電子郵件用戶名密碼，數(shù)據(jù)庫(kù)結(jié)構(gòu)等。

威脅觀察

按照攻擊源IP 的地區(qū)分布來看，北京、江蘇、浙江、山東、廣東等幾個(gè)省份惡意IP 最為集中，在全球范圍內(nèi)，中美兩國(guó)仍然是攻擊源最為集中的地區(qū)。攻擊受害者的分布略有不同，從中國(guó)看，受害者集中于東南沿海地區(qū)，而在全球范圍內(nèi)，除中美兩個(gè)網(wǎng)絡(luò)大國(guó)，東南亞、歐洲地區(qū)也出現(xiàn)了較多的受害者。經(jīng)濟(jì)活動(dòng)越頻繁，受到攻擊的可能性就越大，這體現(xiàn)出攻擊者逐利、逐名的攻擊訴求。

從攻擊源具體攻擊行為看，約占19.3% 的惡意IP 進(jìn)行過多類型攻擊行為。

??

漏洞觀察

截止2018-06-19 日，NVD 官網(wǎng)公布的2018 年CVE 漏洞數(shù)量為3731 個(gè)，其中高危漏洞850 個(gè)，中危漏洞

2437 個(gè)，低危漏洞445 個(gè)。與去年同期相比，數(shù)量有所減少，其中漏洞數(shù)量向中危漏洞集中，高危、低危漏洞比例都有所下降。

??

中危漏洞相對(duì)其他漏洞而言，對(duì)系統(tǒng)信息的完整性(Integrity) 和系統(tǒng)功能的可用性(Availability) 都有較大的影響，只是利用難度相對(duì)較高，因此漏洞評(píng)級(jí)為中級(jí)威脅，但若存在PoC 或利用工具，中危漏洞依然能夠造成非常嚴(yán)重的大規(guī)模破壞。

??

惡意流量觀察

關(guān)鍵發(fā)現(xiàn)

• 在所有利用漏洞進(jìn)行的攻擊中，以設(shè)備漏洞作為對(duì)象的利用占比超過50%
• 路由器漏洞仍然普遍被治理者忽視
• 從漏洞利用攻擊的角度，Windows 服務(wù)器、Java 應(yīng)用服務(wù)器、Apache 服務(wù)器、郵件服務(wù)器、DNS服務(wù)器屬于高危服務(wù)器類型，這類服務(wù)器的漏洞需要重點(diǎn)防御
• 試探性掃描在網(wǎng)絡(luò)中從未停止，因此，一旦有脆弱設(shè)備對(duì)外暴露，在極短時(shí)間

我們按照漏洞所在的主機(jī)環(huán)境或業(yè)務(wù)場(chǎng)景，將漏洞粗略的劃分為服務(wù)器漏洞、桌面應(yīng)用漏洞和設(shè)備漏洞。其中服務(wù)器漏洞主要為服務(wù)器上的系統(tǒng)服務(wù)與程序，用于支撐或提供網(wǎng)絡(luò)管理與實(shí)際業(yè)務(wù)，常見的服務(wù)包括郵件、HTTP、網(wǎng)站腳本語言解析等;桌面應(yīng)用主要提供文檔、多媒體、主機(jī)管理等功能，常見的包括各類客戶端(例如瀏覽器、郵件客戶端)、殺軟、Office 辦公軟件、Flash 播放器、PDF 閱讀器等，這類軟件漏洞常常被利用，常見的是通過惡意郵件、惡意網(wǎng)頁(yè)的方式傳播，通過誘使用戶執(zhí)行來感染目標(biāo)主機(jī);設(shè)備漏洞屬于比較特殊和新晉的漏洞類型，包括各類移動(dòng)終端、物聯(lián)網(wǎng)設(shè)備等，他們共同構(gòu)成一種新的威脅類型。

??

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

??戳這里，看該作者更多好文??