加强防范重大政治外交活动前后的境外有组织网络威胁风险

◎上海戎磐网络科技有限公司总裁 刘旭

2019年4月，中国将举办第二届“一带一路”国际合作高峰论坛。每逢重大政治、外交活动期间，网络犯罪、黑客攻击等问题已经逐渐成为不可回避的挑战，少数国家不断利用自身互联网资源优势行使网络霸权，也给我国重大政治外交活动带来极大网络威胁风险。据此，在利用前期大量实时监控网络威胁数据分析的基础上，我们综合运用大数据、软件基因等技术方法，对“一带一路”国际合作高峰论坛期间网络威胁风险进行了预警预测分析，对后续防范应对提出了建议。主要内容如下：

一、今年以来网络威胁数据监测情况

（一）网络协议攻击监测情况

根据戎磐网络监测数据，总体看，3月份以来，通过抽检6个境内监测节点，共监测到境外对我网络攻击3.17亿次，其中口令探测攻击2.6亿次，端口扫描3800万次，恶意代码攻击24万次，Web远程攻击9.31万次，工控关键基础设施攻击1.45万次，邮件植入攻击725万次。远程代码执行408次。其余为不明攻击类型。按端口服务分，遭受攻击最多的服务端口前五分别是：80端口、2009端口、2014端口、2222端口、2223端口。按攻击源地址国家分，发起攻击次数最多的前五个国家分别是：美国、加拿大、希腊、荷兰、俄罗斯。其中，IP地址经由美国本土发起的网络攻击数量占比超过了50%。

（二）重要恶意代码变化监测情况

1、Remexi后门程序融合利用合法代码使识别发现更加困难。

Remexi最早在2015年被检测到，该后门程序被一个名为Chafer的网络间谍组织用来组织实施网络间谍攻击行动。最新攻击中使用的样本与已知的Remexi样本在代码上虽然遗传了原有基因，但最新发现的Remexi恶意软件能够远程执行命令，截取屏幕，获取浏览器数据（包括用户凭证、登录数据和历史）以及用户输入的所有文本。使用合法的Microsoft后台智能传输服务（BITS）应用程序来上传被盗数据。这种恶意软件和合法代码相结合的攻击趋势有助于攻击者在制造恶意软件时节省时间和资源，而且让确认攻击归属变得更为复杂。

2、SLUB后门利用GitHub和Slack进行有针对性的攻击。

3月份新发现的SLUB后门（Backdoor.Win32.SLUB.A），仅用于复杂的有针对性攻击。SLUB是第一个真正利用Slack进行C2通信的恶意软件。一旦在目标系统上安装了SLUB恶意软件，它就会检查特定的GitHub页面以检索命令。当恶意软件执行命令时，结果将发布到攻击者控制下的私有Slack通道。专家们在恶意软件代码中发现了两个硬编码认证令牌，允许控制Slack通道。

3、StealthWorker恶意软件使用Windows，Linux机器人来破解网站。

StealthWorker恶意软件（也被称为GoBrut）是一种使用Go语言编写的暴力恶意软件。主要用来爆破目标网站，并窃取隐私等有用信息。为了获得访问其目标后端的权限，通常可以利用内容管理系统（CMS）或其插件中的漏洞来进入目标系统。StealthWorker则使用更简单的暴力攻击。虽然速度很慢，但这种方法对于使用弱密码或常用密码的管理员仍然十分有效。此恶意软件的早期版本仅针对Windows平台。2月份以来的新版本不仅增加了平台适用性，而且增加了智能机器人功能，使得自己能够自我更新和完善。目前该恶意软件已经增加了Linux平台二进制文件有效负载。新版本还能够破坏多个平台，并能够完成自我更新。

（三）重要安全事件监测情况

1、委内瑞拉遭遇多波次旨在造成国家级电力瘫痪的网络攻击。

3月7日晚上，委内瑞拉全境出现大面积断电。总统马杜罗指责华盛顿对本国“电力战”。通信和信息部长乔治·罗德里格斯则将停电归咎于“美国精心策划的网络攻击”。当地时间3月7日下午开始，包括首都加拉加斯在内的委内瑞拉全国发生大规模停电，直到8日傍晚，供电部分恢复。当地时间9日，委内瑞拉总统马杜罗在参加集会时说，全国受停电影响地区本来已经恢复大约70%的供电，但当天中午电力系统又受到新一轮网络攻击，导致再次崩溃。事实上，早在2017年8月初，委内瑞拉就遭受大规模网络攻击，导致数十家政府网站关闭，另外造成7百万手机用户无法使用电信服务。

2、国内多部门信息系统遭遇勒索攻击，开启紧急应对模式。

“两会”期间，我国境内政府、医院、高法等多部门网络遭遇网络黑客勒索攻击，勒索病毒采用最新升级版本，运行后将对用户主机硬盘数据全盘加密，并让受害用户下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口缴纳赎金。事件正值“两会”安保敏感时期，造成多部门启动紧急应对措施。

3、英特尔CPU再现高危漏洞，官方证实可泄漏私密数据。

3月6日，研究人员在英特尔处理器中发现另外一个被称作Spoiler的高危漏洞，与之前被发现的Spectre相似，Spoiler会泄露用户的私密数据。虽然Spoiler也依赖于预测执行技术，现有封杀Spectre漏洞的解决方案对它却无能为力。对于全球覆盖面最大的计算机CPU厂商，其危害影响难以预估。

4、印度国有天然气公司再次泄漏了数百万客户的敏感信息

2月份，由于网络安全措施不到位，印度国有天然气公司(Indane)又一次暴露了数以百万计的 Aadhaar 生物识别数据库信息。预计受影响总人数或超过670万。这已经不是印度国家级能源企业第一次遭遇网络攻击。2018年7月，印度国有电力公司遭遇勒索攻击，曾被要求支付1000万卢比赎金。

二、涉我网络攻击的主要做法

从近期我国境内部分传感器捕获威胁样本数据看，一些传播性强、危害性大的新型网络攻击技术方法值得高度关注。

（一）跨平台无差别智能攻击方法

攻击代码首先入侵Windows主机，在被攻击Windows电脑植入攻击模块conn.exe，该模块利用永恒之蓝漏洞对局域网Windows电脑进行攻击，同时攻击模块利用JBoss、Tomcat、Weblogic、Apache Struts2等多个组件漏洞以及Tomcat弱口令爆破对Windows、Liunx服务器进行攻击。在攻陷的Linux机器上，植入攻击模块conn32/conn64，该攻击模块利用与Windows版本相同类型的服务器组件漏洞、Tomcat弱口令爆破针对Windows、Liunx服务器进行攻击，并且针对Linux系统利用SSH弱口令进行爆破攻击。

驱动级杀软对抗技术原理示意图

针对政府网络的勒索攻击典型流程示意图

此种攻击方法同时在Windows系统、Linux系统中进行蠕虫式震荡传播，具备对目标的智能识别和自我智能变形等技术，值得高度警惕。

（二）反射型超级端口映射DDOS攻击

近期发现的IntraScan家族型网络威胁，主要做法采用了较为粗暴的超级端口映射攻击。当恶意代码渗透进入内网后，会依据内网接入互联网的情况，把所有内网端口通过端口映射的方法都暴露到互联网上，同时将已经被控制的内部主机作为DNS反射至8.8.8.8的53端口，为下一步DDOS攻击或者渗透拓展攻击创造条件。由于此类攻击专门针对内网环境，因此对政府、研究院所等核心要害部门网络有较大威胁。

（三）驱动级杀软对抗技术

免杀始终是木马、病毒等恶意代码追求的功能。近期出现的驱动级杀软对抗技术，给传统查杀与防范带来了极大的困难。此类技术通过不断提升拦截过滤、对抗杀软、自保护等技术实现对抗杀软。一是通过注册各种各样的回调、hook系统相关函数，以合适的时间获得执行机会，在回调函数中完成相关的拦截过滤功能，直接拦截包括文件过滤、网络过滤等文件。二是采用各种手段完成对抗，包括病毒文件名随机化、阻止杀毒软件进程启动、设备占坑、阻断联网、重定向、禁写BCD配置文件等。三是采用“自保护“方式，通过阻止或者隐藏自身注册表以达到自保护的目的。

（四）针对政府等大型网络的勒索攻击从渗透到支付都更加自动化

监控显示，今年“两会”期间，境外多个黑客组织对我国有关政府部门开展了大量勒索病毒攻击。例如，GandCrab勒索病毒运行后将对用户主机硬盘数据全盘加密，并让受害用户访问网址“https://www.torproject.org/”下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口http://gandcrabmfe6mnef.onion/1812a265c3857fa，要求受害用户缴纳赎金。

针对政府网络的勒索病毒的主要攻击手法是利用邮箱进行远程植入。然后寻找其它脆弱主机进行内部网络拓展。

三、“一带一路”高峰论坛期间网络威胁风险预警预测

通过近期综合多个网络威胁信息源大数据分析看，2019年“一带一路”高峰论坛期间网络安全形势不容乐观。应着力防范重大网络威胁事件发生。

一是大规模网络勒索攻击将是高概率事件。去年是勒索高发年，我国境内高法、卫生、医疗、能源、教育、酒店等行业均遭遇大量网络勒索攻击。今年“两会”安保期间，从监控数据看，我国多地政府部门网络已经遭遇大量境外黑客组织勒索攻击。因此，境外网络黑客组织如希望利用“一带一路高峰论坛”会议期间扩大网络攻击的危害影响，网络勒索是首选方案。特别是，近期跨平台无差别攻击、驱动级免杀等技术方法出现后，将给核心要害部门造成巨大威胁，应对重点有针对性加强防范。

二是“一带一路”沿线BRI关键基础设施风险加剧。中国的一带一路倡议（BRI）作为一个开发项目，主要用于建设连接东南亚、中亚、中东、欧洲和非洲国家的基础设施。2017年高峰论坛期间，BRI项目中非政府组织金融投资战略中心就曾遭遇有组织的网络黑客攻击。今年3月份，委内瑞拉电力网络疑遭攻击以后，境外黑客组织再次感受到针对电力关键基础设施网络攻击的巨大威力。因此，BRI关键基础设施网络威胁将随着大型政治外交活动开展面临风险的加剧。

三是利用IoT发起大规模对峰会官网、信息系统等的DDOS攻击存在较大隐患。从目前Roar Panda等安全团队监控掌握的数据情况看，由于互联网上暴露的物联网设备数量庞大，且相关漏洞层出不穷，物联网恶意家族如Gafgyt、Mirai等较为活跃，且僵尸网络呈现出服务化、集中化，基本形成托管服务（DDoSaaS、Ransomware-aaS、Cryptojacking-aaS）。以UPnP物联网协议为例，已经监控到，全球有约280万台物联网设备开放了此服务，仅国内目前就有140万台物联网设备。调用其中10万台，即可发起超过瞬时1000G以上DDOS攻击流量，足以造成任何网站、信息系统的拒绝服务。

四、对策建议

（一）加强全天候态势感知能力建设

随着少数国家以网络霸权推动网络攻击政治化、军事化，国家关键信息基础设施面临较大风险隐患，网络安全防控能力薄弱，难以有效应对国家级、有组织的高强度网络攻击。必须加强全天候态势感知能力建设，同时建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，以准确把握网络安全风险发生的规律、动向、趋势，并形成有效的应对方法。

（二）对黑产、APT、国家背景网络攻击开展基因识别分析

随着黑客武器的潜伏能力、智能变种能力进一步加强，传统基于规则检测的技术方法已逐渐失效。面对变种速度加快、形态变化差异性加大的恶意代码攻击，应从“基因”视角开展关联分析、种群聚类，以提升对未知威胁、变种威胁的第一时间发现能力。

（三）加强暗网监测和网络攻击行为诱捕

造成目前网络威胁影响面越来越大的原因之一，是大量存在脆弱性的互联网节点曝光在网络上，被黑产做成各种服务在暗网中兜售。攻击者只需在暗网购买服务即可完成攻击，无需花费构建的时间等。这种变化造成两方面影响，一是一些有国家背景支持的网络攻击进一步提升了自身的隐蔽性。二是降低了普通黑客组织发起大规模网络攻击的成本和门槛。因此建议要加强对暗网的监测和攻击行为诱捕，提升对大规模网络攻击的应急响应能力。

（四）加强对核心要害部门安全管理

在加强技术防控的同时，也应加强相应的管理。特别是对一些核心要害部门，在峰会前后，应从管理上进一步加强。如：不打开不明来源的邮件附件；不启用Office执行宏代码；及时打系统补丁和重要软件的补丁；及时安装主流杀毒软件，升级病毒库，对相关系统进行全面扫描查杀；禁用U盘的自动运行功能；对已感染主机或服务器采取断网措施，防止病毒扩散蔓延；一旦发现网站系统遭攻击后及时处置并报告等等。