从2018年1月到6月,网络安全形势出现新变化。一方面,网络安全态势变得越来越复杂,数据泄露、DDoS攻击等事件愈演愈烈;另一方面,伴随着数字加密货币的兴起,有关虚拟货币的安全事件频频发生,无论是黑客攻击,还是加密货币挖矿恶意软件,都让“币圈安全”成为安全界关注的新话题。
同时,我们看到国内企业安全意识觉醒力度不够、安全投入不足;企业在准备不足的情况下,依然面临数据安全保护的巨大挑战。更重要的是,即将到来的5G/IPv6/IoT时代将深刻改变互联网的安全格局。
(图片:来自Pixabay)
来自Check Point公司发布的《网络攻击趋势:2018年中报告》表明,网络犯罪分子使用加密货币挖矿(cryptomining)恶意软件对企业策动攻击,以此增加非法收入来源。同时,云基础设施逐渐成为热门的攻击目标。
另外,我国网络安全领域相关标准的体系化正在加速构建和形成,而商用密码应用的安全正成为国家重点推进的新领域,并且网络安全正成为企业数字化转型的一项标配能力与品牌。
一、 DDoS攻击
一直以来,DDoS攻击都是互联网的公敌。腾讯安全云鼎实验室披露的报告表明:在各种防御设备围追堵截的情况下,攻击者夜以继日地钻研对抗方法、研究新的攻击方式;而且向平台化、自动化的方向发展,不断增强攻击能力。
2018年上半年,DDoS攻防如火如荼地发展,以IoT设备为反射点的SSDP反射放大尚未平息,Memcached DDoS又异军突起,以最高可达5万的反射放大倍数、峰值可达1.7Tbps的攻击流量成为安全界关注的新焦点。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
1. DDoS攻击行业分类情况:
目前,游戏行业成为DDoS攻击的首选目标,这是因为游戏行业其日流水量最大、变现快。其次是门户网站/社区、IT服务/软件、电商、移动应用视频等。值得关注的是,在医疗、物联网、教育等传统行业互联网化后,也遭受到不同程度的攻击,且呈上升趋势。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
2. DDoS攻击的类型占比统计
根据报告,在DDoS攻击类型中,反射放大占比最多,约为55.8%。今年三月以来,Memcached是一支新兴的反射放大力量,很快得到DDoS黑产界利用。反射放大占比如此之高的原因在于DDoS黑产的自动平台化,即无需人工干预,完全自动流程可完成攻击的所有操作。作为DDoS攻击的主要攻击方法,SYN Flood排名第二;NTP反射排名第三。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
3. 攻击流量带宽分布情况
目前来看,1-5G的攻击次数最多,占比约38%。大多数的攻击均在100Gbps以下,攻击过百G的次数占总攻击次数不到5%。整体的攻击流量平均峰值约在5.2Gbps左右。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
4. 攻击时长分布占比情况
从攻击时长来看,占比最多的是1min以下的攻击,约占38.7%。其主要攻击方式是瞬时攻击,即以极大的流量直接瘫痪掉攻击的服务,导致大量用户掉线、延迟和抖动等。5-10min也占比相当大比例,约28.7%。
(图片来自:腾讯云鼎实验室《2018上半年互联网DDoS攻击趋势分析》)
二、 互联网黑产
2018年,伴随移动应用的影响力超过电脑应用,主要互联网黑产也迁移到手机平台。根据腾讯手机管家发布的《腾讯安全2018上半年互联网黑产研究报告》表明,以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型,这些移动端的互联网黑产,给用户和软件开发者带来了巨大损失。
同时,2018年是区块链大年。从2017年下半年至今,互联网病毒木马的主流也都围绕区块链、比特币、以太坊、门罗币而来。可以看到,挖矿木马成为2018年影响面最大的恶意程序。
1. 移动端黑产规模宏大 恶意推广日均影响用户超千万
2018年上半年,手机病毒类型多达几十种,大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型,占比分别为32.26%、28.29%和20.40%。此外,手机病毒的功能日益复杂化,一款病毒往往兼具多种特性和恶意行为。
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
2. 三大新兴攻击手段
a. 黑产利用加固技术进程在加速:加固技术开发的本来目的是用于保护应用核心源代码不被窃取,随着病毒对抗的不断提升,越来越多的病毒应用开始采用加固来保护自己的恶意代码不被安全软件发现。根据腾讯安全反诈骗实验室的数据显示,进入2018年以后利用这些知名加固解决方案的病毒应用正在快速增加。
b. 黑产超级武器云加载进入3.0时代:根据腾讯安全反诈骗实验室大数据显示,目前使用动态加载技术的应用中,接近一半都是病毒。云加载技术正在成为病毒开发者最喜欢的攻击手段,色情、恶意应用分发、游戏暗扣等最赚钱的病毒家族,普遍标配云加载攻击技术来实现利益最大化。
c. 黑产渗透更多的供应链,供应链安全风险加剧
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
3. 勒索病毒对企业及公共机构造成严重威胁
2018年,大量企业、政府机关和公共服务机构由于遭遇勒索病毒,生产系统数据被加密破坏,重要业务系统陷入崩溃。勒索病毒攻击者利用各种手段尝试入侵重要机构网络系统,例如通过弱口令漏洞入侵企业网站,再将企业Web服务器作为跳板,渗透到内网,然后利用强大的局域网漏洞攻击工具将勒索病毒分发到内网关键服务器,将企业核心业务服务器、备份服务器数据加密。
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
4. 控制肉鸡挖矿产业链 游戏外挂成挖矿木马“重灾区”
目前,很多网络犯罪团伙利用漏洞攻击别人电脑,获取控制权之后,植入挖矿木马。
(图片来自:《腾讯安全2018上半年互联网黑产研究报告》)
三、 网络攻击
根据Check Point发布的《网络攻击趋势:2018年中报告》表明,网络犯罪分子正大肆使用加密货币挖矿恶意软件对企业策动攻击,以增加非法收入。同时,云基础设施也逐渐成为热门的攻击目标。
据悉,在2018年1月到6月期间,受影响的组织数量翻了一番,达到42%。加密货币挖矿恶意软件能让网络犯罪分子利用高达65%的CPU电力,劫持受害人的CPU或GPU电力以及现有资源来挖掘加密货币。2018年上半年,最常见的三大恶意软件变种都是加密货币挖矿软件。
(图片来自网络)
目前,2018年上半年的加密货币挖矿恶意软件中,Cryptominers Coinhive占30%,它会在用户访问网页时不经用户许可执行门罗币的在线挖掘操作;Crytoploot占23%,JSEcoin占17%。
2018年上半年主要勒索软件中,Locky占40%,它通过垃圾邮件中伪装成Word或Zip压缩文件的附件进行传播;WannaCry占据35%的比例,利用Windows漏洞传播,Globeimposter占8%。
在今年上半年主要的移动恶意软件中,Triada占有51%的比例,它可为恶意软件下载授予超级用户权限,将恶意软件嵌入系统进程中;Lokibot占19%,它会在受害者试图删除其管理员权限时转变成恶意软件;Hidad占10%,它是一种安卓恶意软件,允许攻击者窃取敏感的用户数据。而在主要的银行恶意软件中,Ramnit占据29%,Dorkbot为22%,Zeus占14%。
四、 加密货币
2017年“炒币”风暴席卷全球,以比特币为代表的加密货币大火,进一步推动高潮上涨。事实上,我们看到2018年上半年,币圈攻击、盗窃事件层出不穷,让人惊叹。
1. CoinCheck交易所遭受攻击 损失4亿美元
2018年年初,日本数字交易所Coincheck遭受黑客攻击,加密货币NEM被窃取,总价值高达5.3亿美元。其中,26万客户共损失4亿美元。
2. 币安遭入侵 黑客至少卷走7个亿
3 月 7 日晚间,知名加密货币交易平台币安疑似遭遇黑客攻击,交易系统出现故障,多名投资者山寨币在不知情的情况下以市价被卖出换成比特币,主要涉及超过 20 个币种,至少被卷走7个亿。后来,币安发布全球通缉令,以25万美元的等值赏金追缉黑客。
(图片来自网络)
3. 区块链平台EOS智能合约漏洞
5月底,360 发现即将上线主网的 EOS 区块链中史诗级漏洞,部分漏洞可以通过远程攻击,完全控制虚拟货币交易。黑客只要上传一个具有恶意代码的智能合约,就能获得超级节点的控制权。虽然漏洞后来被修复,但是EOS 主网上线期间还是遭遇攻击,大量EOS私钥被黑客偷走。
4. 韩国加密货币交易所遭黑客攻击,引发比特币近三个月最大跌幅
6月10 日,韩国加密货币交易所 Coinrail 称系统遭遇“网络入侵”,损失超过4000万美元。此事导致比特币连续三天下跌。
除了上述的大型攻击和安全漏洞,就是大量利用恶意软件入侵设备,实施大规模或小规模挖矿。正如“Freebuf”所阐述:从 Chrome 商店的恶意扩展程序到针对 Mac 的“mshelper”的恶意挖矿软件;从数万台亚马逊 Fire TV 被迫“秘密挖矿”到针对 WordPress 的大规模暴力攻击。疯狂掘币者无所不用其极,利用旧的漏洞或新的工具,随时在网上扫易被攻击的设备,一旦发现目标,就直接入侵。
根据Carbon Black发布的上半年加密货币恶意攻击调查报告表明,2018 年 上半年,涉及加密货币的盗窃案金额高达 11.5 亿美元左右,甚至达到 2016 年全年的损失(13 亿美元左右)。
(图片来自:Carbon Black《Crypocurrency Gold Rush on the Dark Web》)
该报告还指出,加密货币交易最容易成为攻击目标,暗网直接针对加密货币占所有攻击的27%,21%的加密货币攻击目标是企业,14%的目标是用户,7%是政府。
(图片来自:Carbon Black《Crypocurrency Gold Rush on the Dark Web》)
在攻击的加密货币类型中,比特币依然是主要的攻击目标,但是其他加密货币受到的攻击也越来越多。目前,门罗币遭遇的攻击占加密货币的44%。
在加密货币的地域分布中,美国、中国、英国、日本以及印度排名前五。
(图片来自:Carbon Black《Crypocurrency Gold Rush on the Dark Web》)
五、 几大热点事件
1. 英特尔处理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特尔处理器曝出“Meltdown”(熔断)和“Spectre” (幽灵)两大新型漏洞,包括AMD、ARM、英特尔系统和处理器在内,几乎近20年发售的所有设备都受到影响,涉及手机、电脑、服务器以及云计算产品等产品。
这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能导致外泄。
2. GitHub 遭遇大规模 Memcached DDoS 攻击
2018年2月,知名代码托管网站 GitHub 遭遇史上大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。然而,事情才过去五天,DDoS攻击再次刷新纪录,美国一家服务提供商遭遇DDoS 攻击的峰值创新高,达到1.7 Tbps!
攻击者利用暴露在网上的 Memcached 服务器进行攻击。网络安全公司 Cloudflare 的研究人员发现,截止2018年2月底,中国有2.5万 Memcached 服务器暴露在网上 。
