7 新形势下的未知威胁应对之道--.pdf

王 辉 涂小毅 安恒高级经理 当前安全形势 互联网攻击事件频发 国家正规军 黑客雇佣兵 军火供应 “斯拉夫兵工厂” Hacking Team事件 境外敌对组织（匿名者等 ） 英国Gamma公司事件 高度针对拉美国家特定语系、特定 政治诉求与经济诉求相结合的境外黑客组织 ， 国际数字军火商偏爱系统底层0 day ，尤以 疑似国家行为的APT攻击 种族人群且跨平台传播的定制化、 接受雇佣请求 ，计划、组织与发起具有高度目 GrSecurity/ PaX类Linux内核漏洞为最 ，一旦规 规模化攻击战术 “弯刀” 的性的攻击行动 ，如OP HK和OP CHINA 模化利用则会对国家级重要信息系统造成毁灭性 后果 乌克兰电力系统APT事件 近期，在乌克兰，至少有三个区域的电力系统被具有高度破坏性的恶意软件 攻击并导致大规模的停电，造成成千上万的家庭在黑暗中度过。 这次大规模的电力中断使得近一半的乌克兰伊万诺- 弗兰科夫斯克地区的家庭 陷入在黑暗当中，乌克兰新闻通讯社TSN 报道了本次大规模停电事件。报道中指 出，黑客在乌克兰国家电网中植入了恶意软件，从而导致发电站意外关闭。 乌克兰电力APT攻击过程 1、本次攻击过程开始于一个带有恶意宏的XLS文件，黑客通过钓鱼链接或钓鱼邮件诱 使用户下载恶意文件。 2、当用户无意下打开XLS文件，会启动恶意宏代码执行，宏代码会在临时文件目录下 释放文件vba_macro.exe，释放完成后立即启动其运行。 3、宏释放的恶意程序vba_macro.exe通过释放BlackEnergy来执行后续操作，例如与 控制端通信以及下载KillDisk、SSH后门等一系列组件来执行攻击。 4、系统一旦被感染，BlackEnergy会释放出破坏性的KillDisk组件和SSH后门，修改 注册表，创建服务，然后遍历进程和硬盘，删除系统关键数据，并且会执行关机命令。 5、通过攻击过程来看，BlackEnergy （黑色力量）运行于Windows平台，因此，除电 力系统外，其它使用Windows平台的行业用户也可能会被波及。 跨国公司遭受黑客攻击 夜龙攻击 2011.2.10 5家西方跨国能源公司遭到的黑客 “有组织、隐蔽、有针对性”的攻击 大量的 敏感文件、机密信息泄漏 始于2007年，目前攻击行动仍在持续。 跨国公司遭受黑客攻击过程 攻击过程分析 通过SQL注入，入侵外网Web服务器 ； 以Web服务器为跳板 ，对内网其他服务器及终端电脑进行扫描； 通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑 ； 向被入侵电脑植入恶意代码 ，并安装远端控制工具； 建立直接通道，传回大量机敏文件 ； 更多内网遭到入侵 ，更多高级主管点击了看似正常的邮件附件，却不知其中 含有恶意代码。 国内政府