2017网络安全态势观察报告.pdf

2017 网络安全态势观察报告 2017 网络安全态势观察报告 2017 网络安全态势观察报告 本报告的研究数据和分析资料来自于启明星辰金睛安全研究团队，统计数据来自于启明星辰 VenusEye威胁情报中心 。主要 针对中国 2017年 （部分安全事件发生于 2018年初） 的网络安全状况进行统计、研究和分析。本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料，请相关单位酌情使用。如若本报告阐述之状况、数据与其他机构研究结果有差异，请使用方自行辨别，启明星辰公司不承担与此相关的一切法律责任 。 免责声明 2017 网络安全态势观察报告 关于作者 启明星辰金睛安全研究团队 金睛安全研究团队是启明星辰集团检测产品本部 专业 从事威胁分析的团队。主要职责是对现有产品搜集上报的安全事件、样本数据进行挖掘、分析，并向用户提供专业分析报告。该组织会依据数据产生的威胁情报，对其中采用的各种攻防技术做深入的跟踪和分析，并且给出专业的分析结果、提出专业建议，为用户决策提供帮助。 金睛安全研究团队成立至今，先后发布了海德薇 Hedwig 组织分析报告、绕过 UAC 的恶意样本分析报告、“宏”攻击防不胜防，江湖再现新变种、卷土重来年度报告之 2016 年金睛监测数据分析、新鲜出炉 内核级后门“ DoublePulsar”分析报告、金睛为你揭秘 APT28 是如何干扰法国大选的、隐藏 17 年的 Office 远程代码执行漏洞现 POC 样本 启明星辰提供解决方案、 “ 白象 ”APT 组织近期动态分析报告等数十份专业安全分析报告。 启明星辰 VenusEye 威胁情报中心 Venuseye 威胁情报中心（ venuseye）是由启明星辰集团倾力打造的集威胁情报收集、分析、处理、发布和应用为一体的威胁情报服务系统，是启明星辰多年网络安全研究和积累的集中体现。系统以自有情报和第三方交换情报为基础数据，综合运用静态分析、动态分析、大数据关联分析、深度学习、多源情报聚合等先进技术，生产和提供高质量的威胁情报信息。 基于 Venuseye 威胁情报中心可以提供威胁情报数据、系统、技术和专业能力的输出，启明星辰丰富的网络安全产品和庞大的企业用户群为 Venuseye 威胁情报中 心提供了国内最优质的威胁情报应用生态环境，可以通过在线查询、 API 对接、离线情报库、私有威胁情报中心解决方案等多种不同形式为广大用户提供全方位的威胁情报服务。 2017 网络安全态势观察报告 在刚刚过去的“两会”上，李克强总理在政府工作报告中指出“过去五年来，我国的国内生产总值从 54万亿元增加到 82.7万亿元，年均增长 7.1%，占世界经济比重从 11.4%提高到 15%左右，对世界经济增长贡献率超过 30%” 。 上述数字毫无疑问证明我国的经济正走在高速发展的快车道上，这其中数字化经济、互联网 +、中国制造 2025、一带一路等战略的落地和实施起到了举足轻重的作用。在其驱动下各行各业的业务模式和价值链都在悄然发生着变革，以云计算、大数据、人工智能、物联网为代表的一系列新兴 IT 技术被广泛应用于生产和生活中，一方面极大地促进了生产力的提升，另一方面也带来了新的网络安全问题。 刚刚过去的 2017年，对于网络安全来说注定是不平凡的一年。 从 NSA 方程式组织网络攻击武器的大规模泄露，到频繁 曝光 的各类 Office 漏洞 、 Web 应用漏洞；从上半年勒索病毒借助网络武器的大爆发，到下半年各类挖矿攻击的大规模盛行；从 日益增长 的各种供应链攻击，到各类有针对性的 APT 组织的不断活动。种种爆炸性的网络安全事件 让我们深切感受到攻击者的手段更加武器化，利益驱使下的网络攻击呈现产业化、组织化，网络攻击面正在不断扩大。 同时，空前规模的 DDOS攻击、海量数据的泄漏、关键基础设施一次次的停摆等一个个鲜活的事实向我们证明网络安全早已不再是能不能上网的寻常小事，而是直接关系到国计民生、社会生产乃至国家稳定的大事。 2017年已经是网络安全发展史上的过 去时，但是历史 时刻 都在 提醒我们 正在面临的日益严峻的网络安全状况。 对此，启明星辰 金睛安全研究团队 、 VenusEye 威胁情报中心联合发布 2017年网络安全态势观察报告，以观察者的视角尝试剖析 2017年网络安全形势及其变化， 希望 以此为各 行业以及相关企业提供 网络安全战略和决策的 参考。 前言 2017 网络安全态势观察报告 概述 . 1 1. NSA 网络武器泄露影响深远，网络武器民用化态势明显 . 2 2. Struts2 漏洞仍为主力， WebLogic 漏洞后发制人 . 3 3. 僵尸网络攻击态势严重，我国受影响最深 . 4 4. Office 漏洞爆发年，黑客普遍喜新厌旧 . 5 5. APT 组织攻击维度广泛，政府部门最受“偏爱” . 6 6. “上半年勒索，下半年挖矿”，黑客追求更高效的经济利益 . 7 7. IoT 设备成黑客新宠，攻击面愈加广泛 . 7 8. 供应链攻击暗流涌动，令人防不胜防 . 9 一、 web 攻击态势观 察 . 10 1.1 高危加高产的 Struts2 系列漏洞 . 12 1.2 经久不衰的 SQL 注入攻击 . 14 1.3 Webshell 木马多样变化多端，难以单点防护 . 15 1.4 XSS 脚本注入攻击风险地位有所降低仍不容忽视 . 15 1.5 WebLogic 系列漏洞成为黑客挖矿攻击的首选 . 16 1.6 IIS 解析漏洞“古老 ” 而又常刷存在感 . 16 1.7 被格外“器重 ” 的反序列化漏洞 . 16 二、僵尸网络（木马）攻击态势观察 . 19 2.1 僵尸网络（木马）感染态势分析 . 20 2.2 通过邮件传播的木马攻击态势分析 . 22 2.3 典型样本 分析 . 26 2.3.1 典型窃密木马分析 -FormBook . 26 2.3.2 典型键盘记录木马分析 -HawkEye Keylogger . 27 2.3.3 典型 Loader 分析 -Delphi Loader. 30 三、恶意文档攻击态势观察 . 32 3.1 2017 年 Office 漏洞攻击态势综述 . 33 3.2 典型漏洞技术分析 . 35 3.2.1 常见的 Office 文 档格式及 OLE 的存储方式 . 36 3.2.2 OLE 处理孪生漏洞： CVE-2017-0199 和 CVE-2017-8570 . 38 3.2.3 框架解析漏洞： CVE-2017-8759 . 41 3.2.4 公式编辑器栈溢出漏洞： CVE-2017-11882 . 43 3.2.5 被滥用的 DDE 机制 . 48 3.3 典型组合攻击样本分析 . 48 四、 高级持续性威胁 攻击态势观察 . 51 4.1 针对我国攻击的 APT 组织 . 52 4.1.1 海莲花组织 . 52 4.1.2 白象组织 . 67 4.1.3 蔓灵花组织 . 77 目录 2017 网络安全态势观察报告 4.1.4 Lazarus 组织 . 80 4.1.5 泛 APT 组织 -海德薇 . 82 4.2 针对外国攻击的 APT 组织 . 83 4.2.1 APT28 组 织 . 83 4.2.2 APT29 组织 . 83 4.2.3 Turla 组织 . 84 4.2.4 FIN7 组织 . 84 4.2.5 Donot 组织 . 84 4.2.6 Group123 组织 . 84 4.2.7 Dark Caracal 组织 . 84 4.2.8 MuddyWater 组织 . 85 4.2.9 DarkHotel 组织 . 85 五、 挖矿与勒索 攻击态势观察 . 86 5.1 勒索与挖矿攻击趋势分析 . 87 5.2 典型勒索攻击案例 . 91 5.2.1 利用漏洞进行勒索软件 传播 . 91 5.2.2 利用水坑攻击传播勒索软件 . 92 5.2.3 利用鱼叉攻击传播勒索软件 . 92 5.3 典型挖矿攻击 案例 . 92 5.3.1 利用漏洞进行挖矿攻击 . 93 5.3.2 利用 Web 服务（网页）进行挖矿攻击 . 94 5.3.3 针对移动设备进行挖矿攻击 . 94 5.3.4 利用 IoT 设备进行挖矿攻击 . 94 六、 IoT 设备攻击态势观察 . 95 6.1 IoT 设备总体威胁态势分析 . 96 6.2 典型 IoT 设备安全事件 . 99 6.2.1 Mirai 新变种新增挖矿功能 . 99 6.2.2 IoTroop，基础设施分工明确的僵尸网络 . 100 6.2.3 目的为搭建代理服务器的 IoT 僵尸网络 OMG . 101 6.2.4 Persirai，专攻摄像头的僵尸网络 . 102 6.2.5 TheMoon，利用多种 IoT 设备漏洞的集大成者 . 102 七、总结 . 104 7.1 国外软硬件系统频爆漏洞后门，加强自主可控信息系统研发势在必行 . 105 7.2 黑客攻击的逐利性趋势日益显著，网络安全态势日趋严峻 . 105 7.3 新技术新产品研发的同时带来各类新安全风险的蜂拥而至 . 105 7.4 网络安全建设仍存在薄弱环节，风险防范远未达到“未雨绸缪” . 106 7.5 安全产品与威胁情报紧密结合，才能有效防范各类新生威胁 . 106 7.6 结语 . 106 2017 网络安全态势观察报告 概述 概述 2017 网络安全态势观察报告 启明星辰 版权所有 2 / 106 1. NSA 网络武器泄露影响深远，网络武器民用化态势明显 2017年影响力最大的安全事件当属勒索病毒 WannaCry 的大面积爆发， WannaCry 之所以攻击力极强在于其使用了方程式组织泄露的 NSA网络武器“永恒之蓝”。 NSA 网络武器泄露最早可以追溯到2013 年，其后从 2016年 8月开始， Shadow Brokers组织高调出现并开始贩卖 NSA网络武器。 2017年 4 月泄露 的 这批网络武器，其威胁程度更是达到了前所未有的高度。 下面我们就来一起回顾下由 NSA网络武器泄露导致的一系列网络安全事件： 图 1. NSA 网络武器泄露相关事件时间线 2016年 8月 13日，黑客组织 Shadow Brokers 高调出现， 声称攻破了为 NSA 开发网络武器的黑客团队方程式组织 ，并 开始公开贩卖窃取来的网络武器。从后来陆续曝光的各种攻击工具来看，Shadow Brokers对于 NSA 方程式组织的入侵应该在 20132016 年期间。 2017年 1月 8日， Shadow Brokers 再度开卖窃取 的 Windows 系统漏洞利用工具。此次 公开贩卖的工具包括 Windows 的 IIS、 RPC、 RDP 和 SMB等服务的远程代码执行， 以及 一些后门、 Shellcode和其他 一些 小工具。 2017年 2月 10日，一个疑似早期版本的 WannaCry 加密模块程序被上传到 VirusTotal。WannaCry爆发以后，通过代码相似度比较， 有相当大的把握认为这就是后续 WannaCry 勒索病毒的雏形。 2017年 4月 14日， Shadow Brokers公布 了 2016 年以来数次公布的网络武器中最有攻击力和破坏力的部分。此次泄露的漏洞利用工具和框架涵盖 SMB、 RDP、 IIS 及各种第三方邮件服务器 等多种远程服务漏洞。 其中 影响面 最广而且最稳定的 “永恒之蓝”成为后来 WannaCry 勒索 病毒事件的直接导火索 。 同日，微软 发布 公告称 ， Shadow Brokers公布的大部分 漏洞 ，在 2017年 3月 14日 以及之前的例行补丁包中已经修复 ，并告诫用户尽快打好补丁。但 Windows XP和 Windows 2003因为升级服务期超限，未在修补范围内。 同日，启明星辰紧急启动重大安全事件应急响应，于当日发布 核弹 级 漏洞 预警，提出初步解决方案。同时着手研究泄露的 NSA攻击武器，于 16日晚间升级 12条事件规则，为防范可能的攻 2017 网络安全态势观察报告 启明星辰 版权所有 3 / 106 击提供产品级解决 方案。 2017年 4月底，基于 NSA 工具原理形成的更为简单易用的攻击代码现身互联网，初级黑客都可以凭借相关代码肆意妄为。种种迹象显示，黑客正蠢蠢欲动，大战爆发迫在眉睫。启明星辰再度启动应急响应，对攻击代码中的关键点进行分析，归并整合了之前发布的防护规则，并添加了“ TCP_NSA_Windows_SMB_DoublePulsar 植入成功”等更为精确的防护规则，也正是这次升级使得启明星辰客户在后续的 WannaCry 攻击 中未受到明显波及。 2017年 5月 12日下午， WannaCry勒索蠕虫爆发。 启明星辰先前发布的 多个防范规则起到了明显作用，“ TCP_NSA_Windows_SMB_DoublePulsar植入成功”事件报警量在当天晚间 20点 左右达到有史以来的峰值，这表明蠕虫针对我国的攻击在 12日 晚间逐渐到达高峰。 鉴于事态严重，微软破例发布了 Windows XP 以及 Windows 2003 的漏洞补丁。 一周后， WannaCry 的 感染和传播量逐渐下降，显示此次事件初步得到平息。 2017年 6月 27日，第二波基于永恒之蓝的 Petya勒索病毒爆发，我们监测到国内有部分用户感染。同时经过分析， Petya 勒索病毒使用的“ DoublePulsar”后门进行了网络协议上的修改，于是紧急升级了报警规则“ TCP_NSA_Windows_SMB_DoublePulsar 植入成功（ Petya蠕虫感染）”。 2017年 8月，各种基于“永恒之蓝”的挖矿攻击出现。同时， WannaCry变种传播量显著上升，新变种大多 patch 掉 Kill Swtich代码，并去掉了加密勒索功能，只包含传播功能。 基于我们于 2017年 4 月底添加的规则 “ TCP_NSA_Windows_SMB_DoublePulsar 植入成功 ” ，我们绘制出了利用“永恒之蓝”武器进行攻 击的变化趋势。 从图中可以看出，“永恒之蓝”利用量从 2017年 4月开始持续增长，在 6月份达到顶峰，之后一路下降，而就在 2017年下半年开始，利用 “ 永恒之蓝 ” 进行挖矿的案例的增多，导致利用量又开始持续增长。 图 2. 2017 年“永恒之蓝”攻击变化趋势 我们预计，泄露的 NSA网络 武器将持续威胁网络安全，网络武器民用化态势也会愈演愈烈。 2. Struts2 漏洞仍为主力， WebLogic 漏洞后发制人 050000100000150000200000250000300000350000“永恒之蓝”攻击变化趋势2017 网络安全态势观察报告 启明星辰 版权所有 4 / 106 Web攻击方面， 2017 年黑客使用最多的攻击方式仍然是 Struts 系列漏洞攻击，占比高达 53%。其次是 SQL注入攻击（ 33%），非法 Webshell 上传（ 5%）， XSS注入攻击（ 4%）， Weblogic 漏洞攻击（ 3%）， IIS 漏洞攻击（ 2%）。 图 3. 2017 年各种 Web 类攻击占比 虽然利用 Weblogic 漏洞攻击次数较少，但利用成功率却远远高出其他攻击的成功率，仅次于Struts2漏洞 ，其“实力”不可小觑。 图 4. 2017 年各种 Web 类攻击成功率占比 3. 僵尸网络攻击态势严重，我国受影响最深 近年来，僵尸网络已经成为互联网稳定和安全的最大威胁。在 2017年全年捕获到的各类僵尸主机中，中国（ 11.59%）数量最多，受害最严重。其次是巴西（ 10.40%），美国（ 10.15%），印度（ 9.57%）和俄罗斯（ 5.77%）。我国仍是受僵尸网络攻击影响最严重的国家。 050000010000001500000200000025000003000000350000054%35%5%4%2%Struts2系列WebLogic系列XSS脚本注入Webshell上传SQL注入IIS解析漏洞