专栏丨大东话安全之路边的野花不要采
网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安 全故事,以及如何进行针对性防御的建议。
一、谶曰
李白:清水出芙蓉,天然去雕饰。
大东:此莲花非彼莲花,水中隐藏的食人花者也~小白:路边的野花你不要采呀~~
二、病毒通缉令
小白:这张牌上的骷髅,头顶瞄准器,胸前扛大炮,肩上还挂着计时器,是目前为止装备最全的怪物了吧,嗯哼~它一定很有钱~~
大东:你说对了一半,它不仅有钱,还有权。
小白:噢哟~看来有听头~
大东:今天讲的是海莲花(Ocean Lotus),它是一个受外国政府资助的境外黑客组织,自2012年4月起,该组织针对中国展开攻击。恶意代码通过命令调用powershell.exe,将一段加密的Shellcode加载到内存中执行,该Shellcode由Cobalt Strike所生成。
小白:太可恶了!
大东:所以,这是个典型的APT行动,研发组织有政府的支持,目标也是国家级的组织、机构。
小白:快快,大东东快仔细讲讲!
三、初识海莲花
大东:海莲花是国内360互联网安全公司旗下“天眼实验室”发现的。360天眼利用“大数据安全分析”,从多个维度把从互联网得到的海量攻击、防护数据进行分析,从而发现了这个有组织、有计划、有针对性的长时间不间断攻击者。
小白:那海莲花是如何发动攻击的呢?
大东:这个问题问得好!海莲花主要通过鱼叉攻击和水坑攻击等方法,向我国特定目标人群,传播特种木马程序,达到控制电脑系统,窃取相关机密资料的目的。
小白:等等,什么是鱼叉,什么是水坑?为什么我想到了烤鱼??
大东:就让我好好跟你解释解释吧!所谓鱼叉攻击:其实就是将木马程序作为电子邮件的附件,配上吸人眼球的名称,诱使受害者打开附件,从而感染木马。举个例子,在期末考试前,小白你肯定对考试内容感兴趣吧,黑客们就会利用你的这个兴趣点,把邮件名设为“期末考试试卷预测”,那你小白可能就受不住诱惑,打开邮件,下载了带有病毒的附件咯。
小白:遇到陌生人的邮件,一定要慎重下载!
大东:没错。而水坑攻击,其发动者则会先入侵目标组织的官方网站,将恶意代码植入进去,当用户访问受到感染的网站后,恶意代码就通过命令调用,将一段加密的命令加载到内存中执行。这相当于在你的必经之路上设置陷阱,让你不得不“中招”。
小白:怎么个中招法?
大东:它可以获取计算机权限,把数据发送给受攻击服务器,是溢出程序和蠕虫病毒的核心。
小白:为了破坏网路安全,海莲花的套路好深啊,技术好“高大上”啊!
大东:这就是海莲花的可恨之处啦!看看下面一副图片,让大家更加直观了解海莲花的攻击方式:
海莲花攻击方式示意图
小白:哇~大东知道的真多~~
大东:低调~
肆虐的海莲花
大东:海莲花利用这些方法,可干了不少伤天害理的事。2012年4月,首次发现与该组织相关的木马。海莲花组织的渗透攻击就此开始。但在此后的两年左右时间里,海莲花并不活跃。
2014年2月,海莲花开始通过鱼叉攻击的方法对我们国内目标发起定向攻击,海莲花进入活跃期,并在此后的14个月内对我国多个目标发动了不间断的持续攻击。2014年5月,海莲花对国内某权威海洋研究机构发动大规模鱼叉攻击,并形成了过去14个月中鱼叉攻击的最高峰。同样是在2014年5月,海莲花还对国内某海洋建设机构的官方网站进行了篡改和挂马,形成了第一轮规模较大的水坑攻击。
2014年6月,海莲花开始大量向中国渔业资源相关机构团体发鱼叉攻击。2014年9月,海莲花针对于中国海域建设相关行业发起水坑攻击,形成了第二轮大规模水坑攻击。2014年11月,海莲花开始将原有特种木马大规模的更换为一种更具攻击性和隐蔽性的云控木马,并继续对我国境内目标发动攻击。2015年1月19日,海莲花针对中国政府某海事机构网站进行挂马攻击,第三轮大规模水坑攻击形成。
2015年3月至今,海莲花针对更多中国政府直属机构发起攻击。
海莲花攻击时间轴
小白:真可恶!
大东:海莲花初期特种木马技术并不复杂,还比较容易发现和查杀。但是2014年以后,它开始给自己戴面具,加特效,duang~文件伪装、随机加密、自我销毁都会了,后来甚至使用云控技术,大大增强了攻击的危险性、不确定性和木马识别查杀的难度。
小白:真是无所不用其极!受害者也变多了吧!
大东:下面这张海莲花感染感染者地域分布图,你就能看清它的厉害了。
海莲花感染者地域分布图
野花不要采
小白:吓死宝宝了!那有没有什么预防措施呢?大东:那必须有!对于部门、机构、企业嘛,预防可以通过以下三点:设置防嗅探网络,多使用交换机和路由器;给会话加密;使用静态IP-MAC地址表;部署防火墙。
防范社会工程学攻击,增强网络安全意识,不在微信微博上透露工作内容,不访问来历不明的电子邮件、不向未经确认的个人或组织发送内部资料等。同时提高网络安全技术,经常更新系统、应用程序、杀毒软件等漏洞补丁,开启防火墙,设置隔离沙箱,小心运行可执行文件。网络异常行为检测,谨慎给他人授予权限,防止内部的非授权访问、非法外联。禁止在网络上使用未经授权的设备、禁止将敏感数据复制到可移动媒体上。
小白:及时发现内部威胁,将其扼杀在摇篮里!那咱们这种无业游民有没啥办法呢~
大东:怎么会没有呢?
小白:快说说!
大东:这个说起来就非常细致了,秉着“字多不看”的原则,我待会儿在“涨姿势”里慢慢给你细说吧。
小白:没问题!说得越细越好~~
四、漫话英雄
小白:今天大东东要在漫威上侃啥捏~
大东:今天这张牌让我想起了银影侠。他原本是外星Zenn-La的年轻天文学家,为了拯救其星球避免被行星吞噬者Galactus吞食,而自愿永远成为他的部下。行星吞噬者给予他宇宙能量Cosmic Power将他的身体变成银色,以驾驭宇宙能量。
小白:银色的身体!cool~
大东:还有更cool的,银影侠的身体由宇宙中最坚硬的物质组成,他的滑浪板也是。
小白:坚不可摧!
大东:身为银河王使者,他的使命是要在宇宙中寻找星球让其主人行星侵吞者进食,但银影侠的目标通常都是一些无人星球。
小白:他这么厉害,有点儿大材小用呀。
大东:银影侠屈服于行星吞噬者是为了保护自己的母星,在屈服中也尽力不伤害他人。而海莲花黑客组织,却为了自己的私利,受雇于一个外国政府。自2012年4月起,海莲花就展开了一系列针对中国的攻击。
小白:太可恶!这两者初衷不同,完全是正邪两派的代表!
五、涨姿势
个人计算机如何预防“海莲花”
1、关闭“文件和打印共享”,修改注册表,用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。
2、禁用Guest账号。用鼠标右键点击桌面的“计算机”图标,然后选择“管理”。在弹出的“计算机管理”窗口中依次展开“计算机管理\本地用户和组\用户”。双击该“guest账户”。在弹出的“Guest属性”窗口中选项“常规”选项卡,然后取消勾选的“账户已禁用”选项。分别点击“确定”和“应用”按钮。3、禁止建立空连接。在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。
因此,我们必须禁止建立空连接。方法是修改注册表:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe。打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。
4、安装必要的安全软件。我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。
5、不要访问、下载陌生人的邮件及链接。6、做好IE的安全设置。打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe。
打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。
无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。
7、安装系统补丁