安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Linux病毒呈爆发式增长,2017年上半年中国网络安全报告

近期,瑞星联合国家信息中心信息与网络安全部发布了《2017年上半年中国网络安全报告》,报告显示2017年1至6月,瑞星“云安全”系统共截获Linux病毒样本总量42万个,远远超过了2013年、2014年和2015年的总和。针对Linux系统的勒索软件数量也开始上升,虽然数量远远不及Windows平台,但造成的损失将会非常惨重。

国家信息中心信息与网络安全部是国家信息中心下属主要部门,主要负责网络安全技术研究与相关国家标准的制定工作,长期以来与瑞星保持紧密合作,曾多次联合发布网络安全方面相关报告,并且在网络安全产品研发等领域均有合作。此次,双方对2017年1至6月的病毒、恶意网址、移动互联网及企业网络安全做了详细的分析,并对2017年下半年的网络安全趋势做出了预测。

2017年上半年中国网络安全报告》

一、恶意软件与恶意网址

(一)恶意软件

1. 2017年1至6月病毒概述

(1)病毒疫情总体概述

2017年1至6月,瑞星“云安全”系统共截获病毒样本总量3,132万个,病毒感染次数23.4亿次,病毒总体数量比2016年同期上涨35.47%。

报告期内,新增木马病毒占总体数量的42.33%,依然是第一大种类病毒。蠕虫病毒为第二大种类病毒,占总体数量的36.35%,第三大种类病毒为灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件),占总体数量的6.76%。

 2017年1至6月 病毒类型统计

报告期内,CVE-2017-0199漏洞利用占比70%,位列第一位。该漏洞以RTF文档为载体,伪装性非常强,依然是最为常用的漏洞攻击手段。

 漏洞利用恶意软件

(2)病毒感染地域分析

报告期内,新疆省病毒感染3,767万人次,位列全国第一,其次为北京市3,320万人次及广东省2,983万人次。

 2017年1至6月 病毒感染地域

2. 2017年1至6月年病毒Top10

根据病毒感染人数、变种数量和代表性进行综合评估,瑞星评选出了2017年1至6月病毒Top10:

  2017年1至6月年病毒Top10

3. 2017年1至6月中国勒索软件感染现状

报告期内,瑞星“云安全”系统共截获勒索软件样本44.86万个,感染共计307万次,其中广东省感染37万次,位列全国第一,其次为北京市20万次,云南省12万次及浙江省11万次。

 2017年1至6月中国勒索软件感染地域分布

(二)恶意网址

1. 2017年1至6月全球恶意网址总体概述

2017年1至6月,瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量5,020万个,其中挂马网站2,452万个,诈骗网站2,568万个。美国恶意URL总量为1,784万个,位列全球第一,其次是中国1,131万个,韩国320万个,分别为二、三位。

 2017年1至6月全球恶意URL地域分布

2. 2017年1至6月中国恶意网址总体概述

报告期内,北京市恶意网址(URL)总量为541万个,位列全国第一,其次是陕西省231万个,以及浙江省64万个,分别为二、三位。

注:上述恶意URL地址为恶意URL服务器的物理地址。

 2017年1至6月中国恶意 URL 地域分布

3. 2017年1至6月中国诈骗网站概述

2017年1至6月,瑞星“云安全”系统共拦截诈骗网站攻击529万余次,北京市受诈骗网站攻击68万次,位列第一位,其次是浙江省受诈骗网站攻击66万次,第三名是广东省受诈骗网站攻击65万次。

 2017年1至6月中国诈骗网站攻击地域分布

报告期内,非法导航类诈骗网站占35%,位列第一位,其次是情色类诈骗网站占20%,时时彩类诈骗网站占17%,分别为二、三位。

 2017年1至6月诈骗网站类型比例

4. 2017年1至6月中国主要省市访问诈骗网站类型

报告期内,北京市、河北省等访问的诈骗网站类型主要以网络赌博为主,而黑龙江省、天津市则以色情论坛为主。

  2017年1至6月中国主要省市访问诈骗网站类型

5. 诈骗网站趋势分析

2017年上半年非法导航类诈骗网站占比较多,这类集赌博、六合彩、算命、情色为一体的导航网站,会窃取用户隐私信息。有些甚至通过木马病毒盗取用户银行卡信息,进行恶意盗刷、勒索等行为。诈骗攻击主要通过以下手段进行:

· 利用QQ、微信、微博等聊天工具传播诈骗网址。

· 利用垃圾短信“伪基站”推送诈骗网址给用户进行诈骗。

· 通过访问恶意网站推送安装恶意APP程序窃取用户隐私信息。

· 通过第三方下载网站对软件捆绑木马病毒诱使用户下载。

6. 2017年1至6月中国挂马网站概述

2017年1至6月,瑞星“云安全”系统共拦截挂马网站攻击506万余次,北京市受挂马攻击344万次,位列第一位,其次是陕西省受挂马攻击152万次。

2017年1至6月中国挂马网站概述 

7. 挂马网站趋势分析

2017年上半年挂马攻击相对减少,攻击者一般是自建一些导航类或色情类的网站,吸引用户主动访问。也有一些攻击者会先购买大型网站上的广告位,然后在用户浏览广告的时候悄悄触发。如果不小心进入挂马网站,则会感染木马病毒,导致大量的宝贵文件资料和账号密码丢失,其危害极大。

挂马防护手段主要为:

· 拒绝接受陌生人发来的链接地址。

· 禁止浏览不安全的网站。

· 禁止在非正规网站下载软件程序。

· 安装杀毒防护软件。

二、移动互联网安全

(一)手机安全

1.手机病毒概述

2017年1至6月,瑞星“云安全”系统共截获手机病毒样本253万个,新增病毒类型以流氓行为、隐私窃取、系统破坏、资费消耗四类为主,其中流氓行为类病毒占比28.35%,位居第一。其次是隐私窃取类病毒占比25.64%,第三名是系统破坏类病毒,占比20.66%。

手机病毒概述 

2. 2017年1至6月手机病毒Top5

  2017年1至6月手机病毒Top5

3. 2017年1至6月Android手机漏洞Top5

 3. 2017年1至6月Android手机漏洞Top5

(二)2017年1至6月移动安全事件

1.勒索病毒伪装成《王者荣耀辅助工具》袭击移动设备

2017年6月,一款冒充“王者荣耀辅助工具”的勒索病毒,通过PC端和手机端的社交平台、游戏群等渠道大肆扩散,威胁几乎所有Android平台,设备一旦感染后,病毒将会把手机里面的照片、下载、云盘等目录下的个人文件进行加密,如不支付勒索费用,文件将会被破坏,还会使系统运行异常。

 勒索病毒伪装成《王者荣耀辅助工具》袭击移动设备

2.315曝光人脸识别技术成手机潜在威胁

2017年315晚会上,技术人员演示了人脸识别技术的安全漏洞利用,不管是通过3D建模将照片转化成立体的人脸模型,还是将普通静态自拍照片变为动态模式,都可以骗过手机上的人脸识别系统。此外,315还揭露了公共充电桩同样是手机的潜在威胁,用户使用公共充电桩的时候,只要点击“同意”按钮,犯罪分子就可以控制手机,窥探手机上的密码、账号,并通过被控制的手机进行消费。

 2.315曝光人脸识别技术成手机潜在威胁

3.亚马逊、小红书用户信息泄露助长电话诈骗

2017年6月,亚马逊和小红书网站用户遭遇信息泄露危机,大量个人信息外泄导致电话诈骗猛增。据了解,亚马逊多位用户遭遇冒充“亚马逊客服”的退款诈骗电话,其中一位用户被骗金额高达43万,小红书50多位用户也因此造成80多万的损失。

3.亚马逊、小红书用户信息泄露助长电话诈骗 

4.病毒伪装“Google Play”盗取用户隐私

2017年6月,一款伪装成“Google Play”的病毒潜伏在安卓应用市场中,该病毒会伪装成正常的Android market app,潜伏在安卓手机ROM中或应用市场中诱导用户下载安装。该病毒安装后无启动图标,运行后,会向系统申请大量高危权限(发短信和静默安装等),随后伪装成Google Play应用并安装和隐藏在Android系统目录下。因为在“/system/app/”路径下的app默认都是拥有system权限的,所以该病毒样本可以在用户不知情的情况下,在后台静默下载并安装应用到手机当中,还会获取用户手机中的隐私信息,给用户造成系统不稳定或隐私泄露等安全性问题。

 .病毒伪装“Google Play”盗取用户隐私

(三)移动安全趋势分析

1.手机web浏览器攻击将倍增

Android和IOS平台上的web浏览器,包括Chrome、Firefox、Safari以及采用类似内核的浏览器都有可能受到黑客攻击。因为移动浏览器是黑客入侵最有效的渠道,通过利用浏览器漏洞,黑客可以绕过很多系统的安全措施。

2.Android系统将受到远程设备劫持、监听

随着Android设备大卖,全球数以亿计的人在使用智能手机,远程设备劫持将有可能引发下一轮的安全问题,因为很多智能手机里存在着大量能够躲过谷歌安全团队审查和认证的应用软件。与此同时,中间人攻击的数量将大增,这是因为很多新的智能手机用户往往缺乏必要的安全意识,例如他们会让自己的设备自动访问不安全的公共WiFi热点,从而成为黑客中间人攻击的猎物和牺牲品。

3.物联网危机将不断加深

如今,关于“物联网开启了我们智慧生活”的标语不绝于耳,但支持物联网系统的底层数据架构是否真的安全、是否已经完善,却很少被人提及,智能家居系统、智能汽车系统里藏有我们太多的个人信息。严格来讲,所有通过蓝牙和WiFi连入互联网的物联网设备和APP都是不安全的,而这其中最人命关天的莫过于可远程访问的医疗设备,例如大量的超声波扫描仪等医疗设备都使用的是默认的访问账号和密码,这些设备很容易被不法分子利用。

4.木马病毒、短信和电话诈骗将联合作案

常见的电信诈骗,如贵金属理财诈骗、假冒银行客服号诈骗、网购退款诈骗、10086积分兑换诈骗等,基本都是由木马病毒、短信、电话多种方式联合完成。这种诈骗方式更加智能化、系统化和可视化,诈骗分子甚至可以掌控被感染用户的通信社交关系链,往往导致巨大的资金损失。

三、互联网安全

(一)2017年1至6月全球网络安全事件解读

1.The Shadow Brokers泄露方程式大量0day漏洞

2017年4月 ,The Shadow Brokers再度放出手中掌握的“方程式组织”使用的大量黑客工具: OddJob,EasyBee,EternalRomance,FuzzBunch,EducatedScholar,EskimoRoll,EclipsedWing,EsteemAudit,EnglishMansDentist,MofConfig,ErraticGopher,EmphasisMine,EmeraldThread,EternalSynergy,EwokFrenzy,ZippyBeer,ExplodingCan,DoublePulsar等。其中包括多个可以远程攻击Windows的0day。受影响的Windows 版本包括Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等。这次泄露的工具也直接导致了后来的WannaCry、Petya的全球爆发。

2.WannaCry勒索袭击全球

2017年5月,一款名为WannaCry的勒索病毒席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(The Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。

 WannaCry勒索袭击全球

3.Petya病毒借勒索之名袭击多国

新勒索病毒petya袭击多国,影响的国家有英国、乌克兰、俄罗斯、印度、荷兰、西班牙、丹麦等,包括乌克兰首都国际机场、乌克兰国家储蓄银行、邮局、地铁、船舶公司、俄罗斯的石油和天然气巨头 Rosneft, 丹麦的航运巨头马士基公司,美国制药公司默克公司,还有美国律师事务所DLA Piper,甚至是核能工厂都遭到了攻击。报道称,这轮病毒足以与五月席卷全球的勒索病毒的攻击性相提并论。与WannaCry相比,该病毒会加密NTFS分区、覆盖MBR、阻止机器正常启动,使计算机无法使用,影响更加严重。

 3.Petya病毒借勒索之名袭击多国

4.Amnesia攻击全球DVR设备组建僵尸网络

Amnesia是一款基于IOT/Linux蠕虫“Tsunami”的变种,被黑客用来组建僵尸网络。它允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。该漏洞已被安全研究人员在TVT Digital(深圳同为数码)制造的DVR(硬盘录像机)设备中被发现,并波及了全球70多家的供应商品牌。据数据统计显示全球有超过22.7万台设备受此影响,而台湾、美国、以色列、土耳其和印度为主要分布地区。

 4.Amnesia攻击全球DVR设备组建僵尸网络

5.勒索韩国网络托管公司的Erebus 病毒

2017年6月份,韩国网络托管公司 Nayana  在6月10日遭受网络攻击,导致旗下153台Linux 服务器与3,400个网站感染Erebus勒索软件。事件发生后,韩国互联网安全局、国家安全机构已与警方展开联合调查,Nayana公司也表示,他们会积极配合,尽快重新获取服务器控制权限。在努力无果后,Nayana公司最终还是选择以支付赎金的方式换取其服务器的控制权限,向勒索黑客支付价值100万美元的比特币,来解密锁指定的文件。

6.总结

瑞星安全专家通过对2017年1至6月的互联网安全事件分析发现,网络攻击有可能逐渐演变为网络恐怖主义,黑客组织有预谋地利用网络并以网络为攻击目标,攻击全球各个国家,并且破坏国家的政治稳定、经济安全,扰乱社会秩序,制造轰动效应的恐怖活动。随着全球信息网络化的发展,破坏力惊人的网络恐怖主义正在成为世界的新威胁。为此,防范网络恐怖主义已成为维护国家安全的重要课题。

(二)全球网络扫描异常活跃

网络扫描是一些网络攻击的前奏,也是一些网络威胁活动的体现,通过捕捉网络扫描行为,可以感知到网络空间的威胁态势,是了解网络空间安全状况的最好途径之一。

根据瑞星全球威胁情报采集网络采集的网络扫描数据,瑞星总结出以下特点:

 球网络扫描异常活跃

1、Telnet默认端口成为最大被扫描对象

大量的Telnet扫描来自于服务器、网络设备、IoT设备等运行Linux系统的计算设备,主要原因是目前相当活跃的巨大的僵尸网络,例如Linux.Gafgyt和Linux.Mirai这两大僵尸网络家族。

2、445端口被疯狂扫描

由于今年NSA武器库泄露,通过445端口利用“永恒之蓝”漏洞,成为入侵Windows系统计算机的最为简单便捷的方法。不久前Linux 上使用的Samba服务也爆出远程执行漏洞(CVE-2017-7494),影响Samba 3.5.0 和包括4.6.4/4.5.10/4.4.14中间的版本,同样是使用445端口,被称为Linux上的“永恒之蓝”。

Windows系统和Linux系统这两个漏洞的产生直接导致了445端口的疯狂扫描和针对性的攻击事件的暴增。通过该漏洞传播的WannaCry勒索以及后来的Petya,同时借助该漏洞传播的门罗币挖矿机和组建僵尸网络的各种BOT肆虐网络,极大破坏了网络环境。

基于如此高频的445扫描,再次提示务必做好服务器安全工作,安装相应的安全更新,避免成为网络扫描者手到擒来的“猎物”,彻底结束NSA武器库泄露带来的不良影响。

3、来自中国地区的网络扫描对数据库服务更感兴趣

数据显示,从IP的角度看,来自中国的网络扫描更加青睐数据库服务器。其中,对MySQL、MSSQL的扫描次数、源IP个数,都位于全球第一。虽然无法准确判断扫描者在确认数据库服务类型之后的下一步动作,但也不妨碍我们推断出“扫描者”对数据库服务及数据资产的渴望。

 来自中国地区的网络扫描对数据库服务更感兴趣

 来自中国地区的网络扫描对数据库服务更感兴趣

 来自中国地区的网络扫描对数据库服务更感兴趣

 来自中国地区的网络扫描对数据库服务更感兴趣

(三)僵尸网络持续影响全球网络

根据2017上半年采集的数据显示,全球范围内最为活跃的两大著名的僵尸网络,分别为Linux.Gafgyt/Linux 和 Linux.Mirai。

Linux.Gafgyt最主要的功能是Telnet扫描。在执行Telnet扫描时,木马会尝试连接随机IP地址的23号端口。如果连接成功,木马会根据内置的用户名/密码列表,尝试猜测登录。登录成功后,木马会发出相应命令,下载多个不同架构的BOT可执行文件,并尝试运行。

僵尸网络持续影响全球网络

 僵尸网络持续影响全球网络

Linux.Mirai病毒是一种通过互联网搜索并控制物联网设备并发起DDOS攻击的一种病毒,当扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆,一旦登陆成功,这台物联网设备就进入“肉鸡”名单,黑客操控此设备开始攻击其他网络设备。

 僵尸网络持续影响全球网络

 僵尸网络持续影响全球网络

构建僵尸网络IOT设备类型分布

僵尸网络持续影响全球网络

四、趋势展望

(一)勒索软件蠕虫化

勒索软件蠕虫化的结果是恐怖的,2017年的WannaCry就震惊全球。通过蠕虫的传播手段将勒索软件迅速的分发到全球存在漏洞的机器上,造成的破坏将是毁灭性的。以往的传播手段主要是通过垃圾邮件和EK工具网站挂马等,采用被动手段,效果有限。但通过蠕虫化被动为主动,将起到“事半功倍”的效果。“WannaCry”已经验证了效果。不能想象勒索软件和蠕虫在不久的将来将会结合得愈来愈紧密。

(二)Linux病毒仍保持快速增长

2017年1至6月,瑞星“云安全”系统共截获Linux病毒样本总量42万个,远远超过了2013年、2014年和2015年的总和。瑞星早在2014年底发布的《Linux系统安全报告》就已预测,在接下来几年中针对Linux 的病毒将要有个爆发性的增长。这种增长势头可以预见仍将持续很长一段时间。

 Linux病毒仍保持快速增长

在2017年上半截获的Linux平台的恶意软件种类可以看出,僵尸网络依然是Linux平台下最为活跃的恶意软件类型。其中Linux.Gafgyt和 Linux.Mirai依然是最为流行、活跃的僵尸网络,这也解释为了为何Telnet/SSH端口被大量扫描。

 Linux病毒仍保持快速增长

另外,针对Linux系统的勒索软件数量也开始上升,虽然数量远远不及Windows平台,主要还是受众人群数量少和攻击面狭窄的原因,但是一被勒索,损失将会非常惨重。相对于个人PC而言,运行Linux的服务器、网络设备、IoT设备,一旦受到勒索软件的入侵,将导致数据丢失、系统停机等现象,后果更为严重,损失也更为巨大。

瑞星安全专家对目前典型的Linux恶意软件进行了简单说明:

1.致使大半个美国断网的Mirai病毒

2016年10月份,美国互联网服务供应商Dyn宣布在当地时间21日早上6点遭遇了一次“分布式拒绝服务”(DDoS)攻击,Dyn为互联网站提供基础设施服务,客户包括推特、Paypal、Spotify等知名公司,该攻击导致许多网站在美国东海岸无法登陆访问。这次攻击的背后的始作俑者是一款称为“Mirai”的蠕虫病毒,Mirai病毒是一种通过互联网搜索物联网设备的病毒,当扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆,一旦登陆成功,这台物联网设备就进入“肉鸡”名单,黑客操控此设备开始攻击其他网络设备。据统计一共有超过百万台物联网设备参与了此次 DDoS 攻击。

2.勒索韩国网络托管公司的Erebus病毒

2017年6月份,韩国网络托管公司 Nayana  在6月10日遭受网络攻击,导致旗下153台Linux 服务器与3,400个网站感染Erebus勒索软件。事件发生后,韩国互联网安全局、国家安全机构已与警方展开联合调查,Nayana公司也表示,他们会积极配合,尽快重新获取服务器控制权限。在努力无果后,Nayana公司最终还是选择以支付赎金的方式换取其服务器的控制权限,即向勒索黑客支付价值100万美元的比特币,来解密锁指定的文件。

3.以DVR设备为目标的IOT蠕虫Amnesia

Amnesia是一款基于IOT/Linux蠕虫“Tsunami”的变种,被黑客用来组建僵尸网络。它允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。该漏洞已被安全研究人员在TVT Digital(深圳同为数码)制造的DVR(硬盘录像机)设备中发现,并波及了全球70多家的供应商品牌。据数据统计显示全球有超过22.7万台设备受此影响,而台湾、美国、以色列、土耳其和印度为主要分布区。

4.感染家庭路由器用来”挖矿”的Darlloz 蠕虫病毒

Darlloz 是一款Linux IoT蠕虫病毒,能够迅速感染家用路由器,机顶盒,安全摄像头以及其它一些能够联网的家用设备,成功感染后会在设备中安装CPUMiner程序进行挖矿,将这些个设备变成为攻击者赚钱的矿机。其中中国、印度、韩国和美国受感染较严重。

5.CIA OutlawCountry和Gyrfalcon的曝光

维基解密最近曝光了CIA项目OutlawCountry,这个项目的目的在于让CIA能够入侵并且远程监听运行Linux系统的电脑。CIA黑客能够把目标计算机上的所有出站网络流量重定向到CIA控制的计算机系统,以便窃取或者注入数据。OutlawCountry工具中包含一个内核模块,CIA黑客可以通过shell访问目标系统加载模块,并且可以在目标linux主机创建一个名称非常隐蔽的Netfilter表。“OutlawCountry 1.0版本包含针对64位CentOS/RHEL 6.x的内核模块,这个模块只会在默认内核下工作。另外OutlawCountry v1.0只支持在PREROUTING中添加隐蔽DNAT规则。

Gyrfalcon也是维基解密曝光的CIA内部一款针对Linux的工具。Gyrfalcon 能够收集全部或部分 OpenSSH 的会话流量,包括 OpenSSH 用户的用户名和密码。Gryfalcon 的工作原理是通过以 OpenSSH 客户端为目标,在活动的SSH会话中获取用户信息。通过这款工具窃取到的信息以加密文件的方式保存在本地,后通过通讯渠道传送到攻击者的计算机上。

瑞星安全研究人员通过分析全球的僵尸网络发现,大量组建僵尸网络用来DDos攻击的,Linux系统占的比较多。具体僵尸网络利用恶意软件列表如下:

Linux病毒仍保持快速增长

 图:Linux DDos攻击典型样本

(三)物联网(IoT)设备面临的安全威胁越发突出

IoT设备最近几年发展神速,但是随之增加的安全问题愈加严峻。这些设备中往往缺乏相关的安全措施,而且这些设备大多运行基于Linux的操作系统,攻击者利用Linux的已知漏洞,能够轻易实施攻击。致使大半个美国断网的Mirai,以DVR设备为目标的Amnesia,感染家庭路由器用来”挖矿”的Darlloz等病毒都将矛头指向了这些脆弱的IoT设备。可以预见这些脆弱的IoT设备随着数量的增加,安全问题将愈发严峻。

专题1:网络摄像头泄露用户隐私分析报告

近两年来网络摄像头市场火爆,购买一个小小的摄像头,通过家庭WIFI接入网络,不需要太过于复杂的设置,简单的注册账号配对成功后,用户就可以在手机端实时查看你要的监控画面,甚是方便。而且网络摄像头价格低至百元,入手门槛非常低,所以很快便成了居家防盗、监控宠物、公司监控等方面的利器。

1、摄像头漏洞形成

用户在使用摄像头设备进行配置时,会分配一个公网IP和端口,设备默认存在admin,user,guest登录用户,密码均为默认密码或简单密码。通过访问公网IP和端口,输入账号和密码就可以登陆摄像头监控管理界面,对摄像头所拍摄的画面进行实时管理和监控。

由于用户安全意识较低,对网络摄像头所带来的危害没有直观意识,并没有对设备默认的账户进行修改,导致恶意攻击者通过网络扫描进行攻击,获取到摄像头公网IP和端口,对账户和密码进行攻击,成功获取摄像头管理界面,甚至可对摄像头设备进行管理、录像,拍照,语音监听等操作。

2、摄像头扫描设备在群里公开售卖

瑞星安全专家通过某平台搜索到各种网络摄像头品牌,价格不等,有的支持wifi功能,无需布线即可使用,可进行家用或商用,可谓功能齐全。

网络摄像头泄露用户隐私 

通过暗访,加入摄像头破解交流群,然后就有人主动询问是否需要摄像头IP地址,可实时观看监控画面,也有人询问是否需要摄像头设备扫描软件,在摄像头录像交流群中里发现有人对摄像头IP地址进行贩卖,一批摄像头IP地址包括成功的账号和密码,IP地址数量几十到几百不等,1个摄像头IP地址售卖30元,2个可监控的摄像头IP地址售卖50元不等。

 网络摄像头泄露用户隐私

 网络摄像头泄露用户隐私

通过调查发现,有人会在群里发布某些被黑用户的家庭隐私录像、图片等,在某个时间段还要进行实时播放,这将对被黑用户的个人隐私造成极大的危害。

 网络摄像头泄露用户隐私

同时,有人还会对攻击成功的摄像头设备进行标注,分类明确,同时可监控几十个摄像头设备。恶意攻击者对摄像头用户进行实时监控,观看用户的日常起居。想想在生活中的一举一动都被人时时刻刻监视,就令人害怕。

 网络摄像头泄露用户隐私

也有人对摄像头设备扫描软件进行出售,售卖价格为50元。购买者自己购买了软件后自己进行摄像头设备扫描。通过渠道得到一款摄像头设备扫描软件,软件配置简单,输入IP地址点击开始就能自动扫描。

 网络摄像头泄露用户隐私

通过分析发现,软件是全自动,如果扫描成功会输出结果,成功的显示登陆成功并附带登录账号和密码,失败的显示登陆失败。用户和密码都是较为常见的简单类型,大多数用户名和密码相同,也有较为简单的密码。

使用扫描成功的进行连接,通过访问IP地址和端口,输入正确的账号密码,就能进入到监控界面,经过短暂加载,摄像头远程传输的画面开始播放,且清晰度相当高,可以看到室内的物品摆设,也能看到部分物品的字体、画面是实时播放,在界面功能中可以对监控进行录像、拍照、监听等操作。

 网络摄像头泄露用户隐私

瑞星安全专家称这种扫描主要依靠扫描器扫描,通过扫描器对IP地址和端口进行大范围的扫描,扫描出匹配的摄像头设备类型,然后使用一些弱口令密码进行校验登录,常见的网络摄像头设备弱口令是admin,user,guest,123456,admin123,admin888。

3、网络摄像头同样支持APP

通过分析发现网络摄像头同样支持APP,在手机上安装一款APP软件,选择相应的产品型号,填上IP地址和端口,输入正确的用户名和密码,就能监控到摄像头拍摄的画面。

 网络摄像头泄露用户隐私

网络安全专家从测试结果来看,目前有关视频画面泄露的问题主要集中在网络摄像头云平台登录逻辑漏洞问题和手机APP软件漏洞两个方面,其他可能导致信息泄露的问题也存在,但是相比之下数量较少。

4、网络摄像头被曝近八成不合格

据了解,目前市面上的网络摄像头多数分为两种:一种是连接在PC端,作为视频聊天使用,价格不是很高,安全系数较低;另一种是固定在家中某个位置,常年与家中的WiFi相连接,起到安全保护的作用,价位高,看上去比较安全。

其实,这两种摄像头都存在不同的安全风险。如果摄像头直接连接到网络上,那么安全风险是一样的。视频摄像头在电脑开机时,还有可能存在被“直播”的隐患。一位业内人士表示,用做安保的摄像头因为长期处于工作状态,信息被盗取的可能性就更大一些。

之前,央视曾多次报道过摄像头漏洞泄露用户隐私的问题,这种曝光是为了让民众在生活中的隐私能够有一个自我保护的安全意识行为,但是结果却相反,大多数用户对于个人隐私的保护意识相对薄弱。

 网络摄像头泄露用户隐私

5、安全专家建议

1、购买监控或者智能家居产品时,尽量选择一些大品牌和正规厂商,可以对所选品牌进行一些调查,根据相关报道了解产品的安全和口碑如何。在安全性和管理规范上,正规厂商相对于小厂商来讲更安全。

2、在使用时,对默认密码进行修改,设置一定强度的密码,及时关注摄像头软件的提醒。

3、经常登录摄像头进行查看,如发现实际拍摄角度与安装时发生变化等情况,需要检查账号安全并及时修改密码。

4、关注所用品牌摄像头安全方面的消息,如果发现设备漏洞应停止使用,等待厂家更新,并保证所使用的摄像头软件是最新版本。

专题2:反病毒技术分享:动态防御成“敲诈软件”最有效克星

众所周知,脚本病毒与宏病毒是勒索软件经常使用的传播手段,近年来,“敲诈软件”呈现快速增长趋势,病毒作者经常将病毒脚本作为邮件附件发送给受害者,其运行后会下载勒索病毒等高危病毒,给用户造成严重的经济损失。

瑞星安全专家介绍,Nemucod家族是一个近年来十分流行的脚本病毒,其主要是一些混淆变型的JS或VBS脚本,被“黑客”附加在电子邮件中投递给潜在受害者,激活后脚本代码从远程服务器下载勒索软件到本地并运行。

瑞星安全专家通过持续跟踪近期收集的相关家族样本,发现由于脚本代码混淆成本非常低,同一个版本的源码,可以在短时间内通过不同的混淆策略构造出大量的不同静态特征的变种类型。下面,瑞星安全研究员将分别介绍样本的一些静态混淆变化特点以及动态对抗手法。

一、静态混淆变化特点

Nemucod家族样本混淆的时候,主要是对原样本代码中出现的关键字符串(如:网址,函数方法名,函数调用参数串等)进行处理,一种是对字符串明文进行随机长度拆分,执行的时候进行拼接。另一种是对整个字符串进行加密,执行时通过特定函数解密后再使用。

(1)明文串随机拆分

 明文串随机拆分

对于拆出来的子串,依据JS的语法特点,主要有三种表现形式:字符串形式,数组形式和函数形式。 

 明文串随机拆分

 明文串随机拆分

 明文串随机拆分

(2)通过解密函数解密

 通过解密函数解密

除了核心字符串混淆之外,整个代码文件还用了一些其他的混淆策略,常见的有三种:变量名和函数名长度内容随机化,随机插入无效的垃圾代码和随机插入各种注释信息。无效垃圾代码主要表现形式:随机插入重复的赋值语句,构造无效的代码块。

 通过解密函数解密

 通过解密函数解密

二、动态对抗手法

瑞星安全专家经过分析发现,大量Nemucod变种经过动态还原后,其实所对应的源码模板变化不太大。通过动态跑JS脚本,获取脚本运行的中间结果进行检测,效果显著。但是,动态跑JS代码需要依据代码逻辑动态执行,若虚拟机对于某些函数功能模拟不正确就导致最终跑出来的中间结果是不完整的,从而影响特征扫描。对抗脚本虚拟机,目前发现的有以下几种方式:

(1)检测运行环境

 (1)检测运行环境

调用接口获取Windows目录下第一个子目录,检测该子目录文件名长度,若文件名长度大于1则执行代码。

 (1)检测运行环境

调用接口获取C盘文件系统类型,若文件系统类型为NTFS且特定变量符号指定类型才执行代码。

 (1)检测运行环境

调用接口获取C盘磁盘容量,若磁盘容量字节数大于特定值才执行代码。

 (1)检测运行环境

调用接口,获取C盘host文件属性和类型,满足指定值才执行代码。

 (1)检测运行环境

调用接口获取C盘的序列号,非0的情况下才执行代码。

 (1)检测运行环境

调用接口获取当前操作系统的语言类型,只有包含1033(英语)的才执行代码。

 (1)检测运行环境

对于特定语句/*cc_on */这个语句在IE和Wscript环境中,被当作代码语句执行,而在一般的Jscript引擎中,/**/会被当作注释,所包含的语句是不会被执行的。从语句逻辑可知,一般的模拟器是不会执行变量Time申明和复制操作那一句的,那么后边的和Time变量相关的方法调用也会出错。

调用接口设置当前时间值(秒),立马获取当前时间值(秒),若设置的值与获取的值相同则执行代码。

(2)下载域名随机化

每个变种所带的下载域名都不同,而且没有变化规律,在域名串上拦截很难。

(3)(1)检测运行环境

使用多层脚本调用执行功能,即使JS层被跑开了,但是内层的脚本依然存在混淆,那么单单跑开外层脚本,得到的脚本串依然存在混淆,那就加大了检测的难度。

 (1)检测运行环境

第一层混淆是JS的,若顺利跑开后,可以得到内层的PowerShell脚本,通过CMD命令行方式启动的,可以看到内层的PowerShell脚本也是这种字符串随机拆分然后拼接执行的。

通过上述内容我们可以看到,Nemucod家族样本在静态混淆变化上,依据所用语言的语法特性,把样本核心功能串碎片化并且增加各种垃圾代码,使得样本代码膨胀,代码逻辑结构复杂化。在动态对抗手法上,通过构造奇特的代码运行条件,使用多层代码调用策略并且层层代码做混淆,增加动态还原JS代码的难度。

杀毒软件在检测该家族样本时,不管是从静态特征上还是从动态行为上,都会增加不小的难度。与病毒之间的对抗本来就是你来我往,持续跟踪家族样本并且及时依据样本特征更新杀软的检测方式方法,才能很好实现对该家族的查杀。

专题3:The Shadow Brokers方程式工具包分析

2017年4月,The Shadow Brokers公布了第三批NSA(美国国家安全局)使用的网络入侵工具。泄露的资料中包括一整套完整的入侵和控制工具。泄露资料中包括FuzzBunch 攻击平台,DanderSpiritz 远控平台,和一个复杂的后门oddjob还包括NSA 对SWIFT进行攻击的一些资料信息。经分析这一次泄露出来的工具涉及的面更广,危害也更大。

FuzzBunch 攻击平台

FuzzBunch攻击平台主要是通过远程溢出攻击网络上存在漏洞的机器,攻击成功后植入指定后门。该平台类似于大名鼎鼎的Metasploit工具,但更先进的是它使用的exp几乎全是操作系统级的远程溢出0day,攻击目标几乎囊括了全系列的Windows系统。虽然微软在MS17-010中放出了补丁,但对于那些没有及时打补丁和内网中的用户来说,这几乎就是一个灾难。

 此次放出来的exp大部分是针对SMB协议的,SMBv1、SMBv2和SMBv3的都有,不难看出NSA非常钟情于SMB协议的漏洞。受影响的操作系统从Windows NT,XP到2012全线覆盖。在部分python源码里面显示工具开发早于2012年,几乎所有的exp都是系统级的远程溢出,不需要什么钓鱼啊,访问网页啊,打开文档等用户交互操作,只要能访问到你机器就可以攻击,而且是指哪打哪,细思恐极!可想而知,这些年来NSA通过这些漏洞在互联网上来去,几乎就是如入无人之境。此处放出来的文件分析发现还并不是所有的文件,不排除NSA正在使用更多更先进的工具。

 FuzzBunch 攻击平台

平台框架由python开发,功能采用模块化实现,易于扩展。主要模块如下表所示:

 幻灯片43.png

平台使用类似MSF,采用傻瓜化操作,只要指定攻击的IP、Exploit和Payload就可以进行工作。Exp相对稳定,在几台测试的未打补丁的机器上都能成功溢出。

 使用Eternalblue溢出XP成功

图:使用Eternalblue溢出XP成功

 使用Eternalchampion溢出xp成功

图:使用Eternalchampion溢出xp成功

Eternalblue溢出成功后默认在用户的机器上植入Darkpulsar Payload。该Payload的功能相对较少,主要功能有执行shellcode和加载DLL,为以后植入复杂的后门做准备。

 使用Eternalchampion溢出xp成功

这些攻击工具危害是巨大的,好在微软在上个月发布的MS17-010的补丁中对这些个漏洞进行了修复。用户为了避免被攻击,需及时更新补丁,由于Windows XP和2003,微软已经停止更新,用户必须手动关闭139,445和3389等端口,避免受到攻击。

FuzzBunch 攻击平台 

DanderSpiritz 远控平台

DanderSpiritz是泄露工具中的一整套完整的远控平台。由Java实现的框架,python实现的插件系统。和许多世面上常见的后门的模式类似,可以主动连接控制端也可以等客户端反弹回来。还有一种比较有意思的模式:Trigger模式,向指定的主机发送一个HTTP包或一封邮件去触发后门。

 主界面截图

图:主界面截图

平台可以配置生成PeedleCheap后门。后门可以是EXE也可以是DLL,支持32位和64位系统。

 DanderSpiritz 远控平台

配置选项中可以指定监听的端口,可以指定反弹的IP和端口,还可以指定要注入的进程名,同时,还会生成一对RSA公私钥,供后门中使用。

 配置成功生成的后门

图:配置成功生成的后门

后门可以通过Darkpulsar进行植入,也可以单独以文件的形式进行植入,该后门的功能丰富,终端、文件操作等所有想要的功能都具备了,是一个功能非常全面的后门。

 终端支持的命令

图:终端支持的命令

DanderSpiritz中的功能不仅只有这一个后门那么简单,具体有哪些能力还在研究中,随着研究的深入,肯定还会有新的功能被发掘出来。

总结

从这些泄露的攻击工具中不难看出NSA的攻击步骤,先使用FuzzBunch平台进行溢出攻击,溢出成功后加载Darkpulsar,再通过Darkpulsar植入PeedleCheap,最终反弹到DanderSpiritz平台。

 The Shadow Brokers方程式工具包分析

此次泄露的是完整的一套攻击工具,任何人拿来经过一定的摸索就可以使用进行攻击。虽然微软补丁已经发布,FuzzBunch平台可能会失去作用,但是DanderSpiritz却可以拿来一直使用,危害较大。

* 本文作者:瑞星

未经允许不得转载:安全路透社 » Linux病毒呈爆发式增长,2017年上半年中国网络安全报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册