年复一年,日复一日,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者也在不断开发新的攻击途径并尽力在攻击过程中掩盖踪迹。从Facebook数据泄露和万豪酒店5亿用户开房信息挂在暗网销售、“老当益壮”的WannaCry继续作恶并且传播速度更快的Satan等勒索软件大肆传播,到花样百出的APT攻击行为迅速增长,2018年给我们敲响了另一记警钟,即数字安全威胁可能来自意想不到的新途径。
纵观去年的网络安全整体态势,数据泄露事件最为触目惊心,全年的漏洞采集数量也达到历年的高峰,勒索软件也大有向挖矿的转型之势。
数据泄露事件爆炸式上升
数字化变革技术正在重塑组织机构的经营方式,并将它们带入一个数据驱动的世界,但是企业急于拥抱数字化新环境的做法也带来了更多被攻击的新风险,需要企业采取数据安全控制措施来加以防范。
经Verizo调查,今年已经发生了5.3万多起安全事件,其中2216起被确认为数据泄漏事件。另外,在这5万多起安全事件中,有4.3万起(81.1%)都是黑客通过窃取身份凭证来实现的。这也证实了一个普遍的观点:盗用身份凭证仍然是黑客最常用、也是最有效的攻击和破坏手段。
根据ThaleseSecurity的调查报告,不断增长的数据威胁程度及其影响力清晰地体现在数据泄露和脆弱性的等级上:
2016年,26%的的受访者表示遭遇了数据泄露,2017年的占比上升至36%,而到2018年这一比例明显上升至67%。
基于此,44%的受访者感到“非常”或“极其”容易遭受数据威胁。
虽然技术在随着时代而发展,但安全策略却并未与时俱进,这很大程度上是因为实际支出与最有效的数据保护方法错配所致。
77%的受访者表示在预防数据泄露方面静态数据安全解决方案最为有效,紧随其后的是网络安全(75%)和动态数据(75%)解决方案。
尽管如此,57%的受访者却仍将大多数支出用于端点和移动安全技术上,其次是分析与关联工具(50%)。
在数据保护方面,认知与现实之间的差距是显而易见的,在IT安全的支出优先事项中,静态数据安全解决方案的支出反倒垫底(40%)。
以下摘录一些2018年发生的全球性数据泄露事件:
年度数据泄露事件盘点
1.Facebook数据泄露
事件回顾:虽然Facebook数据泄露量不如后面的那些公司高,但其次数和影响非常深远。一家第三方公司通过一个应用程序收集了5000万Facebook用户的个人信息,由于5000万的用户数据接近Facebook美国活跃用户总数的三分之一,美国选民人数的四分之一,波及的范围非常大。后来,5000万用户数量上升至8700万。今年9月,Facebook爆出,因安全系统漏洞而遭受黑客攻击,导致3000万用户信息泄露。其中,有1400万人用户的敏感信息被黑客获取。这些敏感信息包括:姓名、联系方式、搜索记录、登陆位置等。
结果:FacebookCEO数据泄露道歉,并多次出席听证会。一系列事件影响,Facebook股价已较年初跌了29.70%(12月25日)。而12月份的这次泄露,欧洲隐私管制机构爱尔兰数据保护委员会已着手调查,Facebook或因此被罚款超过16亿美元。
2.上市公司涉嫌侵犯百亿公民信息
结果:除了数据堂外,山东警方共抓获犯罪嫌疑人57名,打掉涉案公司11家。
3.新三板挂牌公司非法操控公众账号
事件回顾:今年8月份,澎湃新闻从绍兴市越城区公安分局获悉,该局日前侦破一起特大流量劫持案,涉案的新三板挂牌公司北京瑞智华胜科技股份有限公司,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品,目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人。案件仍在进一步侦办中。
结果:目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人。
4.圆通10亿快递信息泄露
5.万豪酒店5亿用户开房信息
结果:消息公布后,万豪国际的股价在当天的盘前下跌5.6%,报115.02美元。事件曝光后,万豪采取了各种措施去补救。
6.华住酒店5亿条用户数据疑泄露
7.瑞士数据管理公司泄露4亿用户数据
事件回顾:2018年9月份,研究人员在一个配置错误的服务器上发现了存储有超过200GB数据的数据库。据悉,该服务器处于完全无防御的状态,且面向公众开放,任何人都能够公开查询和访问其数据。研究人员介绍称,该数据库中存储有来自Veeam公司的约4.45亿客户记录,其中包含客户的个人信息,如姓名、电子邮件地址以及居住地、国家等。此外,该服务器上提供的其他详细信息还包括部分营销数据,例如客户类型和组织规模、IP地址、referrerURL以及用户代理等。
结果:信息在网上挂了4天后,就全部无法访问,想必公司已经采取了措施。对于该起事件有安全专家建议,所有数据库管理员考虑MongoDB在一年前发布其数据库产品的安全指南,同时添加新的内置安全功能,如加密,访问控制和详细审计等。
8.大数据公司失误泄露2TB隐私信息
事件回顾:据Wired报道,六月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实,涉及大约3.4亿条记录,容量接近2TB,据说涵盖2.3亿人。这些数据包含的隐私深度超乎想象,包括一个人是否吸烟、宗教信仰、养狗或养猫以及各种兴趣等。
结果:Exactis事后对数据进行了加密防护,以避免信息的进一步泄露。
9.运动品牌UnderArmour数据泄露
结果:UnderArmour通过电邮和App消息提醒用户立刻更改密码,当晚其股票市值下跌了4.6%。
10.问答网站Quora户数据遭泄露
今年的数据泄露事件还有:
1.国泰航空数据泄露,940万乘客受影响
2.MongoDB数据库被入侵,1100万份邮件记录遭泄露
3.SHEIN数据泄露影响642万用户
5.GovPayNet凭证系统存在漏洞,1400万交易记录被曝光
6.瑞士电信(Swisscom)证实80万数据被盗,涉全国1/10公民信息
7.英国航空公司数据泄露事件:38万人受影响
8.小米有品平台泄露个人隐私约2000万用户数据遭泄露
9.美国23州连锁餐馆出现数据泄露,超过50万信用卡数据存在安全风险
10.AtlasQuantum数字货币投资平台数据泄露,影响约26.1万名客户
11.知名OCR软件ABBYYFineReader被曝泄露超过20万份客户文件
12.Instagram平台被黑已超百万用户信息泄露
13.乘客航班信息泄露链条曝光,近500万条信息被卖
14.医疗软件公司MedEvolve因服务器漏洞致20多万患者信息泄露
15.Robocall公司泄露了美国数十万选民个人信息
16.Adidas数百万用户数据泄漏
17.顺丰快递3亿用户信息外泄(顺丰官方否认,表示非顺丰数据)
18.陌陌数据外泄3000万(陌陌官方后来回应:跟用户匹配度极低)
19.AcFun受黑客攻击,近千万条用户数据外泄
20.前程无忧用户信息在暗网上被公开销售
21.加拿大两大银行遭黑客攻击近9万名客户数据被窃
22.私人情报机构LocalBlox泄露4800万份个人数据记录
23.中东打车巨头Careem遭遇网络攻击1400万乘客信息失窃
24.央视曝光偷密码的“万能钥匙”,9亿人个人信息存风险
25.旅游网站Orbitz88万份信用卡信息遭泄露
安全漏洞数量和严重性创下历史新高
NVD在2018年收录的漏洞总数为18,104个,相比2017年的18,240个处于基本持平的态势。而2018年CNNVD采集的安全漏洞数量为15,040个,相比2017年11,707个全年采集漏洞总数增加28.5%,反映出漏洞数量迅速达到历年高峰的严峻现实。
年度重大漏洞盘点
2018年1月
2、iOS平台WebView组件漏洞(UIWebView/WKWebView)跨域访问漏洞(CNNVD-201801-515):成功利用该漏洞的攻击者可以远程获取手机应用沙盒内所有本地文件系统内容,包括浏览器的Cookies、用户的配置文件、文档等敏感信息。iOS平台使用了WebView组件的应用可能均受影响。目前,厂商暂未发布解决方案,但可通过临时解决措施缓解漏洞造成的危害。
2018年3月
CiscoIOSSoftware和IOSXESoftware输入验证漏洞(CNNVD-201803-1022)、CiscoIOSSoftware和IOSXESoftwarequalityofservice子系统缓冲区错误漏洞(CNNVD-201803-1038)、CiscoIOSXESoftware安全漏洞(CNNVD-201803-1039)。成功利用上述漏洞的攻击者,可以对使用了IOS以及IOSXE系统的思科设备发送恶意的数据包,最终实现拒绝服务或远程代码执行,完全控制设备等。所有支持SmartInstallclient特性的IOS以及IOSXE设备都可能受漏洞影响。目前,思科官方已对该漏洞进行了修复。
2018年4月
2018年5月
2018年6月
2018年7月
2018年8月
1、ApacheStruts2S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776):成功利用漏洞的攻击者可能对目标系统执行恶意代码。Apache官方已经发布了版本更新修复了该漏洞。
2、微软多个远程执行代码漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等):成功利用上述Windows远程执行代码漏洞的攻击者,可以在目标系统上执行任意代码。微软官方已经发布补丁修复了上述漏洞。
2018年9月
1、微软官方发布了多个安全漏洞的公告,包括InternetExplorer内存损坏漏洞(CNNVD-201809-509、CVE-2018-8447)、MicrosoftExcel远程代码执行漏洞(CNNVD-201809-550、CVE-2018-8331)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。微软官方已经发布补丁修复了上述漏洞。
2018年10月
1、OracleWebLogicServer远程代码执行漏洞(CNNVD-201810-781):攻击者可利用该漏洞发送攻击数据,通过T3协议在WebLogicServer中执行反序列化操作,最终实现远程代码执行。WebLogicServer10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影响。Oracle官方已经发布了漏洞修复补丁。
2、微软官方发布了多个安全漏洞的公告,包括MicrosoftXMLCoreServicesMSXMLparsera安全漏洞(CNNVD-201810-294)、MicrosoftWindowsHyper-V安全漏洞(CNNVD-201810-327)等多个漏洞。成功利用上述漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。微软官方已发布修复上述漏洞的补丁。
2018年11月
1、macOSHighSierra和iOS系统存在内核漏洞(CNNVD编号:CNNVD-201810-1510、CVE编号:CVE-2018-4407),该漏洞是XNU系统内核中网络部分的堆缓冲区溢出导致,攻击者通过向目标设备发送特殊构造的数据包从而执行恶意代码或使系统崩溃重启。触发该漏洞的必要条件是攻击者与目标系统需处于同一网络(如Wi-Fi)。
2、微软多个安全漏洞,包括MicrosoftInternetExplorer安全漏洞(CNNVD-201811-349、CVE-2018-8570)、MicrosoftWord安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。
2018年12月
微软多个安全漏洞,包括MicrosoftInternetExplorer安全漏洞(CNNVD-201812-458、CVE-2018-8619)、MicrosoftExcel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多个漏洞。成功利用上述漏洞可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。微软官方已经发布漏洞修复补丁。
勒索软件业务经历市场调整
如果将勒索软件看作一项生意的话,从2016年开始到2017年勒索软件的高额利润吸引大批攻击者蜂涌而至,赎金更是漫天要价。2018年,勒索软件“市场”就有点不景气了,勒索软件家族的总数下降,赎金要求也下降了,这表明勒索软件已经成为了商品。许多网络犯罪分子可能已经将注意力转移到加密电子货币挖矿上,因为作为现金的替代品,加密电子货币的价值非常高。网上银行交易威胁也有死灰复燃的趋势,某些臭名昭著的勒索软件集团正试图增加威胁的种类。尽管勒索软件变种数量较去年有所上升,表明那些臭名昭著的犯罪集团仍然相当高产,但勒索软件家族的数量有所下降,这表明他们的创新力出现了下降,也可能已将注意力转向了更高价值的新目标。
挖矿攻击迭起,花样不断翻新
2018年全球爆发了恶意加密货币挖掘,因此产生的恶意软件攻击次数增加了83%以上。今年前三个季度有超过500万用户被恶意软件攻击,而2017年同期为270万。根据卡巴斯基实验室的说法,在加密淘金热背后的主要驱动因素是安装和使用未经许可的软件和内容。在2018年,恶意加密货币开采战胜了过去几年的主要威胁:勒索软件。受恶意加密货币挖掘软件攻击的互联网用户数量在今年上半年稳步增长,遭遇挖矿攻击的用户数量从2016年-2017年度的1,899,236人次,增长为2017-2018年度的2,735,611人次。挖矿攻击出现频率越来越高,对受害者造成的危害也日益严重,而且目前已经转向企业目标。
多家互联网企业和网络安全企业分析认为,非法“挖矿”已成为严重的网络安全问题。其中,腾讯云监测发现,随着“云挖矿”的兴起,云主机成为挖取门罗币、以利币等数字货币的主要利用对象,而盗用云主机计算资源进行“挖矿”的情况也显著增多;知道创宇安全团队监测发现,“争夺矿机”已成为僵尸网络扩展的重要目的之一;360企业安全技术团队监测发现一种新型“挖矿”病毒(挖取XMR/门罗币),该病毒在两个月内疯狂传播,非法“挖矿”获利近百万元人民币。由于入口门槛低,只需要几行代码就可以执行,网络犯罪分子大肆利用挖矿软件盗用消费者和企业的计算机处理能力以及占用云端CPU,为其达到挖掘电子加密货币的目的。随着挖矿软件在企业环境中逐步蔓延,企业网络面临着彻底瘫痪的风险。它可能还会给企业带来财务上的影响,例如为挖矿软件所占用的云CPU买单。随着恶意挖矿软件的不断升级,物联网设备将仍然是这类攻击的绝佳目标。
挖矿木马年度盘点
1、tlMiner爆发,它是隐藏在《绝地求生》辅助程序中的HSR币挖矿木马。该挖矿木马由一游戏辅助团队投放,瞄准游戏高配机实现高效率挖矿,单日影响机器量最高可达20万台。“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlMiner”挖矿木马,通过网吧联盟、论坛、下载站和云盘等渠道传播。木马作者通过以上渠道植入木马,非法控制网吧和个人计算机终端为其个人挖矿。
2、1月6日,一位网名为“Rundvleeskroket”的Reddit(社交新闻站点)用户声称,黑莓手机的官方网站(blackberrymobile[.]com)被发现正使用Coinhive提供的加密货币挖矿代码来挖掘门罗币(Monero)。Rundvleeskroket在最新的动态更新中表示,似乎只有黑莓的全球网站(blackberrymobile[.]com/en)受到影响。所以,任何被重定向到CA、EU或US的用户都不会在网站开放的情况下运行挖矿代码。
2018年2月
一种全的新的Android挖矿恶意软件HiddenMiner可以暗中使用受感染设备的CPU计算能力来窃取Monero。HiddenMiner的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能(通常在SLockerAndroid勒索软件中看到的技术)。另外,由于HiddenMiner的挖矿代码中没有设置开关、控制器或优化器,这意味着一旦它开始执行挖矿进程,便会一直持续下去,直到设备电量耗尽为止。鉴于HiddenMiner的这种特性,这意味着它很可能会持续挖掘Monero,直到设备资源耗尽。根据研究人员的说法,HiddenMiner是在第三方应用商店发现的,大部分受害用户都位于中国和印度。HiddenMiner的持续挖矿与导致设备电池膨胀的Android恶意软件Loapi类似,不仅如此,HiddenMiner还使用了类似于撤销设备管理权限后Loapi锁定屏幕的技术。
“WinstarNssmMiner”来袭。此类挖矿病毒最大的与众不同是会阻止用户结束挖矿进程,一旦用户选择结束进程,其电脑会立刻蓝屏。而且此次的挖矿病毒欺软怕硬,碰到强力的杀软会当缩头乌龟,一旦碰到实力不济的杀软它就会关闭正在运行的杀毒软件程序。因此中了此类病毒的用户通常只能面对已经出现卡慢,甚至蓝屏的电脑束手无策。该木马病毒会将自身的恶意代码以父进程的形式注入系统进程svchost.exe,然后把该系统进程设置为CriticalProcess,在这种情况下一旦强制结束该进程电脑就会立刻蓝屏。用研究员的话形容就是,这个病毒真是相当的暴力了!当然,把用户的电脑暴力蓝屏是这个病毒最后的一招,在中病前期,该病毒还会在用户的电脑上进行一系列操作来挖矿获利。
撒旦(Satan)勒索病毒的传播方式升级,不光使用永恒之蓝漏洞攻击,还携带更多漏洞攻击模块:包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Tomcatweb管理后台弱口令爆破、WeblogicWLS组件漏洞(CVE-2017-10271),使该病毒的感染扩散能力、影响范围得以显著增强。分析发现,该变种的传播方式与今年之前发现的版本类似,都有利用JBoss、Tomcat、Weblogic等多个组件漏洞以及永恒之蓝漏洞进行攻击。新变种增加了ApacheStruts2漏洞攻击模块,攻击范围和威力进一步提升。最出人意料的是,Satan病毒放弃了此前的勒索,开始转行传播挖矿木马。由于此前的satan勒索病毒的算法存在“缺陷”,可以被进行完美解密,从而使得勒索作者无法收到赎金。因此本次变种开始改行挖矿,不仅可以稳定的获得收入,还可以避免很快的暴露(由于挖矿除了会让机器稍微卡慢一点,给用户的其他感官不强,因此一般用户很难察觉到被挖矿)。
1、不法黑客通过1433端口爆破入侵SQLServer服务器,植入远程控制木马并安装为系统服务,然后利用远程控制木马进一步加载挖矿木马进行挖矿。用户电脑不知不觉间沦为不法分子“挖矿”的工具,电脑算力被占用,同时极有可能带来一系列网络安全风险。截止目前,该木马现已累计感染约3万台电脑。腾讯智慧安全御见威胁情报中心实时拦截该挖矿木马的入侵,将其命名为“1433爆破手矿工”,不法黑客除了利用感染木马电脑挖矿外,还会下载NSA武器攻击工具继续在内网中攻击扩散,若攻击成功,会继续在内网机器上安装该远程控制木马。在内网攻击中,“1433爆破手矿工”可使用的漏洞攻击工具之多,令人咋舌。其加载的攻击模块几乎使用了NSA武器库中的十八般武器,Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻击)等多种漏洞攻击工具皆可被黑客利用实施内网攻击。
2、专攻企业局域网的勒索病毒GandCrab,这个臭名昭著的勒索病毒版本号已升级到4.3。与以往不同的是,攻击者在已入侵网络同时释放挖矿木马和勒索病毒,针对高价值目标使用GandCrab勒索病毒,而一般目标则运行挖矿木马,以最大限度利用被入侵的目标网络非法牟利。分析勒索病毒GandCrab4.3的入侵通道,发现黑客通过暴力破解Tomcat服务器弱密码实现入侵。入侵成功后,从C2服务器下载勒索病毒和挖矿木马,恢复被GandCrab勒索病毒加密的文件需要付费499美元购买解密工具。通过钱包分析发现,该木马已收获18.6个门罗币,折合人民币约1.5万元。
GandCrab勒索病毒之前的版本一般通过钓鱼邮件和水坑攻击(选择最可能接近目标的网络部署陷阱文件,等待目标网络内的主机下载)。而现在,御见威胁情报中心监测到越来越多的勒索病毒会首先从企业Web服务器下手,其中Tomcat被暴破弱密码攻击的情况近期有明显上升。攻击一旦得手,黑客就会以此为跳板,继续向内网扩散。扩散的手法,往往是使用NSA攻击工具包或1433,3389端口暴力破解弱口令。之后,黑客会选择高价值目标下载运行勒索病毒,对一般系统,则植入挖矿木马获利。针对企业使用勒索病毒加挖矿木马双重打击是近期比较突出的特点。
PaloAltoUnit42研究员BradDuncan发现的最新恶意软件中,不仅会安装XMRig挖矿应用,而且会自动对FlashPlayer进行更新。这样在安装过程中不会引起用户的怀疑,从而进一步隐藏了它的真正意图。这款安装器会真的访问Adobe的服务器来检查是否有新的FlashPlayer。整个安装过程中和正式版基本上没有差别。这样用户以为正常升级Flash的背后,安装了coinminer的挖矿应用。一旦设备受到感染,就会连接xmr-eu1.nanopool.org的挖矿池,开始使用100%的CPU计算能力来挖掘Monero数字货币。
1、拥有Windows和安卓双版本的挖矿木马MServicesX悄然流行,中毒电脑和手机会运行门罗币挖矿程序,造成异常发热乃至设备受损的现象。该挖矿木马十分擅长伪装,在电脑端使用具有合法数字签名的文件,以躲避安全软件的查杀;在安卓手机端更伪装成Youtube视频播放器软件,不知情的用户用其在手机上观看视频时,病毒会在后台运行门罗币挖矿程序。数据显示,挖矿木马MServicesX近期表现活跃,感染量波动较大,并且已快速蔓延至全球范围。在国内,则以广东、江苏、香港三地的受感染量最大。经病毒溯源发现,该病毒的Windows版本通过提供各类游戏下载安装的某游戏下载站进行传播,木马隐藏在游戏安装包中,游戏安装程序在运行时会提示用户关闭杀毒软件,并释放出木马文件“MServicesX_FULL.exe”。安装包运行后,病毒还会将版本更新设置为计划任务,每三个小时运行一次,保持木马更新为最新版本,利用后台程序挖矿,尽最大可能榨取用户CPU资源。
2、KoiMiner挖矿木马变种出现,该变种的挖矿木马已升级到6.0版本,木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQLServer服务器的1433端口爆破攻击进行蠕虫式传播。腾讯御见威胁情报中心监测数据发现,KoiMiner挖矿木马已入侵控制超过5000台SQLServer服务器,对企业数据安全构成重大威胁。该病毒在全国各地均有分布,广东、山东、广西位居前三。