1、加密流量检测与态势预警平台研究
摘 要
络流量检测是实现 络整体安全态势感知的主要手段,通过采集 络流量、脆弱性、安全事件和威胁情 等数据,利用大数据和机器学习技术,分析 络行为及用户行为等因素构成的整个 络当前状态和变化趋势,并预测 络安全状态发展趋势。随着密码技术的广泛应用, 络中存在着越来越多的加密流量,如 HTTPS、VPN 流量;由于加密技术的使用,破坏了明文数据的统计特点、数据格式等,用通用的流量检测方法很难有效检测加密流量,基于加密技术的随机性、 络上下文等,结合人工智能技术和机器学习方法,研究和设计了 络加密流量检测体系框架、方法和关键技术,对加密流量的检测具有较强的指导意义。
0 引 言
络空间安全态势感知能有效捍卫国家 络空间安全,提高国家对 络空间的监管、治理能力和强度,保护 络空间的正常运行,为 络空间 会治理、 络经济有序繁荣、 络民生安全等提供有力支撑,促进和谐、安全、开放、合作的 络空间建设。
流量检测是全天候 络空间安全态势感知的基础,通过对 络流量数据的检测,借助大数据存储能力与多种分析手段来可视化呈现流量分布情况,自动发现 络访问关系,从而认知、理解、建立、完善、预测 络流量秩序, 满足对 络空间流量监控和异常感知的需求, 形成 络安全态势中的流量态势,如流量分布、异常攻击、TOP 地址、TOP 协议、安全总体态势等信息。
随着互联 的普及和电子商务、电子政务、 交应用的大力推广, 会整体安全意识的提高,基于数据安全和隐私保护的需求,大量采用了密码技术,加密流量呈现爆发式增长。如大量采用安全套接字层(SSL)、安全外壳协议(SSH)、虚拟专用 (VPN)、匿名通信(如Tor)等密码技术以满足 络安全需求。即时通信(IM)和流媒体也越来越多地使用加密和隧道技术应对DPI(deep packet inspection)技术的检测;加密协议良好的兼容性和可扩展性,使得加密技术应用变得越来越简单,如现有的 Web应用可以无缝地迁移到 HTTPS,且 SSL 协议除了能跟 HTTP 搭配,还能跟其他应用层协议搭配( 如 FTP、SMTP、POP),以提高这些应用层协议的安全性。
构建 络全数据流量检测的 络空间安全态势感知能力成为国家 络空间安全的重中之重,能有效全面监控、审计和管理 络行为,有效规避风险,有效提升我国的信息安全自主化和信息安全防护能力,对实现国家 络强国目标,构建可控、有序、健康发展的 络生态具有重要战略意义。而加密流量检测是目前 络空间安全态势感知的难点和关键。基于端口、数据流特性的加密流量检测等技术,各有优缺点,充分利用目前的加密流量检测方法,结合人工智能、机器学习、大数据分析等技术,突破加密流量检测体系框架、评估体系、检测方法和关键技术,指导加密流量的深度检测应用化。
1 加密流量研究
党和国家一直非常重视 络空间安全,大力推广商用密码技术在各领域、各行业的广泛应用,制定出台了相关法律法规和政策,如《 络安全法》《密码法》《商用密码管理条例》《 络安全等级保护条例》《关键信息基础设施安全保护条例》和《金融和重要领域密码应用与创新发展工作规划 2018—2022 年》等重要法律和要求。各行业和领域也纷纷出台了商用密码应用推进和实施计划、实施方案,在金融、能源、电子政务等领域大力推广商用密码技术的使用, 也取得了显著效果,形成了关键基础设施、基础 络和重要信息系统商用密码应用的国产化浪潮。
但是,由于密码技术、密码产品、密码系统、密码服务的多样化、专业化和应用系统的复杂性,难以对密码应用的正确性、合规性和有效性进行有效的监管和评估。
密码技术虽然能有效保护数据安全和隐私,但同样可以构成新的安全威胁和风险,使得对 络攻击的检测、跟踪和分析更加困难,如勒索病毒、暗 、基于洋葱路由的双向匿名秘密通信、采用密码技术对僵尸 络进行多态化和变形混淆等,这些攻击方法能规避常规的 络监测,构成了对我国 络空间安全、国家安全和 会稳定、经济繁荣的现实威胁和破坏,传统的基于防火墙、入侵检测技术构建的安全体系难以应对基于密码技术的 络攻击。
因此迫切需要构建 络空间的密码应用态势感知与密码应用监管能力,形成密码应用的“可管理、可感知、可预警、可防护、可处置”的一体化监管与态势感知预警体系,对 络空间的密码应用进行全面有效监控、审计和管理;能有效规避密码应用风险,提升我国 络空间信息安全自主化和信息安全防护能力,对实现国家 络强国目标,构建可控、有序、健康发展的 络生态具有重要战略意义。
加密流量检测是密码应用态势感知和密码应用监管的核心技术,其主要功能如下:
(2)支撑安全决策和应急响应,利用云端检测,形成“云 端”协同的主动防御体系,通过“云 端”协同联动,基于知识库根据实时场景自适应决策响应,快速生成密码应用应急响应预案,实现密码应用安全事件的预警、响应和处置,完成对威胁攻击的控制闭环反馈。
(3)有利于建立安全全局预警机制,面向大规模 络的密码应用安全态势感知,通过提供全局的密码应用安全视图,使用户、主管部门能够快速准确地把握全 当前的密码应用安全状态,掌握全 密码应用安全态势趋势, 并能够对异常事件进行预警, 对于提高国家骨干 络的应急响应能力,缓解 络攻击造成的危害,发现潜在的恶意入侵,具有十分重要的意义。
因此,加密流量检测需要针对不同的密码应用领域、不同业务应用、不同的平台、不同的 络应用环境、政策需求等,突破传统单一加密流量分析和检测的局限性,通过对加密流量特征的深度挖掘,进行加密流量的多尺度行为建模,实现加密流量的快速、精确分析与预警;采用多维、多层、多粒度的加密流量分析融合技术,结合关联规则、聚类算法和逻辑推理等数据挖掘技术,实现对加密流量的全面动态、可靠检测,有效规避加密流量引发的安全威胁和风险, 提升密码应用的安全性、合规性和有效性。
2 加密流量检测模型
图 1 加密流量检测框架
加密流量机器学习框架如图 3 所示。
图 3 加密流量检测机器学习框架
3 加密流量检测关键技术
针对密码应用的多样性、复杂性、关联性及大规模等特征,研究提取表征密码应用态势的关键要素。在此基础上,研究密码应用特征的多层次(数据级、特征级和决策级)的数据融合技术。
研究密码应用的异常检测方法;研究从单个密码应用汇聚整体 络空间密码应用行为的异常检测方法,从而进一步刻画 络空间密码应用态势。研究基于机器学习、模糊推理、数据流挖掘等方法建立动态的密码应用态势预测模型,实现对 络空间大规模密码应用态势的预测;最终完成预警,为安全管理和安全应急提供决策支持。
需要突破的关键技术如下:
(1)自适应的加密流量检测模型:实时反馈的加密流量检测模型的建立,实现科学、合理、高效的特征集提取(数据包特征与数据流的特征)与快速匹配算法;保障加密流量检测模型的科学性(约束、关联、层次和结构)、加密流量检测模型的演化和扩展性(退化、涌现、变异、适应和稳定)、加密流量检测模型性能指标(可用性、全面性、复杂性、准确率、漏 率、误 率、实时性)。
(2)多加密流量检测引擎下的综合评估与评判准则。研究自适应加密流量检测下的综合评估体系,建立覆盖全面、完善合理、策略灵活的综合评价指标。
4 加密流量态势感知预警平台框架
图 4 加密流量态势感知预警平台框架
通过统一的数据服务方式,实现通 预警、可视化呈现、信息处置和应急处置。同时,平台安全管理是加密流量态势感知预警平台安全的有力保障,保障平台自身安全、访问控制和安全审计等。
5 结 语
密码应用监管与态势感知能有效捍卫国家 络空间安全,提高国家对 络空间的监管、治理能力和强度,保护 络空间的正常运行,为 络空间 会治理、 络经济有序繁荣、 络民生安全等提供有力支撑,促进和谐、安全、开放、合作的 络空间建设。遵循“以密码应用为中心、以密码监管与态势感知预警能力为基本抓手”的原则,采取整体规划与布局,构建多层次、全方位的密码应用监管与态势感知预警能力,实现密码应用的实时监管、实时感知与实时处置。主要包括如下几点:
(1)完善密码应用监管体系和制度,出台相关密码监管与态势感知预警政策与要求,明确互联 密码应用的态势感知与预警要求,强化在基础 络、重要信息系统中的密码应用监管与态势感知平台建设,建立各国家密码主管部门、密码应用行业主管单位、用户单位、监督和检测机构的信息通 、共享机制。
(2)完善相关标准,密码应用监管与态势感知预警,离不开密码设备、密码系统的配合和支撑,目前的密码产品应用标准、接口标准、服务标准、检测标准等,都不能完全满足密码应用的监管与态势预警需求,需要完善监管相关标准与接口。
(3)构建国家级分级、分层、联动共享、及时响应的密码威胁情 库、专家委员会和密码智库等。形成对密码应用监管与态势感知预警的有力支撑。
(4)构建国家互联 智能化密码应用态势感知平台。采用分层、分级部署方式(按国家、省、市方式部署),形成统一、协调联动的国家互联 密码应用态势感知能力,实现对互联 密码应用的细粒度感知与预警;针对互联 密码应用的多样性、复杂性等特征,在关键节点、关键应用上提取密码应用态势感知的关键数据(加密流量、源 / 目的地址、应用等);采用大数据、数据挖掘、人工智能等技术,对数据进行归一化、关联和融合等分析处理,结合威胁情 库与专家系统,对整个互联 的密码应用态势与密码应用异常进行检测与预警。实现从单个节点、应用的密码异常检测到整个 络空间的密码应用态势进行评估、告警和辅助决策。
(5)构建多层次、多领域、高度智能化的关键基础设施、基础 络和重要信息系统密码应用监管与态势感知预警一体化平台。实现密码设备、密码应用、密码算法的实时监管,实现密码应用态势的实时感知、应急处置,保障密码应用的合规性、准确性和有效性。主要包括对密码产品和密码服务的有效性、合规性管理、密码设备的实时监管、密码专家委员会和智库管理。针对不同领域的密码应用、不同的 络应用环境、政策需求等,建设密码应用信息采集和态势感知预警平台,实现密码应用信息采集 送、智能分析、态势感知、安全预警、应急处理一体化管理。建立多层次、多领域的密码应用态势感知预警平台。
2、恶意软件蹿行,捷克COVID-19测试中心惨遭攻击
世界各地的医院都在应对日益增长的COVID-19病毒感染浪潮,但是, 络犯罪活动毁掉了欧洲一个测试中心的努力。
彼时,捷克共和国全国感染超过140例,约4800人被隔离,政府已经宣布进入紧急状态,并对越境实施严厉限制。
但上周五的凌晨(3月13日)发生了一场 络攻击,导致了捷克共和国布尔诺大学医院的计算机系统当天关闭。该医院拥有捷克全国18个新冠病毒测试中心之一,每天需要进行20项测试。
并非所有系统都停摆
此次攻击发生在当地时间星期五早上2点左右。关于攻击的信息很少,性质仍然未知,但如果是勒索软件事件,也就不足为奇了。
由于受到攻击,过去几天里本该进行的COVID-19测试结果(估计有几十个)被推迟了。该医院的负责人表示,计算机系统开始“减少使用”,并且“必须关闭”。工作人员还收到了不打开计算机的指示。
幸好,为血液学、微生物学、生物化学、肿瘤诊断或放射学实验室服务的系统似乎与受影响的系统位于不同的 络上,还能继续工作。不过,虽然医院仍可进行基本手术,但是,实验室系统收集的医学数据被卡住了,无法记录在数据库中。
在疫情情况下,每一分钟都很重要。但现在数据是手写的或手打的,导致检查时间更长。
目前,该国国家 络和信息安全局(NúKIB)已被召集,并正在努力查明问题的根源并纠正这种情况,国家有组织犯罪中心也参与了此案。
COVID-19时代的恶意软件
一些勒索软件运营商(例如Maze)正在有意避免针对关键服务。他们表示:“不会袭击医院、癌症中心、妇产医院和其他对 会至关重要的实体”。
但是,一些其他勒索软件参与者则“百无禁忌”。2018年初,SamSam在美国至少袭击了两家医院。Ryuk也毫不后悔地攻击了医院。去年,Alabama的DCH医院支付了 络罪犯要求的用于解锁医疗数据的费用。
其他威胁参与者也试图从这次全球健康危机中获利,并以COVID-19主题创建恶意软件或发起攻击。
2020年2月1日:骗子开始利用冠状病毒作为诱饵传播恶意软件
安全研究人员警告了旨在传播恶意软件的活动,这些恶意软件利用了媒体对COVID-19的关注。
2020年2月25日:韩国遭受“病毒感染者传播情况”攻击
发现伪装成“ Corona 19实时状态”查询程序的恶意代码。
2020年2月26日:新的 络攻击活动利用了COVID-19
Cybaze Yoroi的研究人员发现了一个新的攻击活动,该活动利用了对COVID-19演变的兴趣来传播恶意软件。
2020年3月6日–TrickBot瞄准了意大利,使用假冒WHO冠状病毒电子邮件作为诱饵
2020年3月8日:以冠状病毒为主题的恶意垃圾邮件中提供了FormBook?恶意软件
专家们发现了一个新的以COVID19为主题的活动,正在分发一个恶意软件下载器,该下载器提供FormBook信息窃取木马。
2020年3月12日:攻击者使用武器化的冠病毒地图,以分发恶意软件
当世卫组织宣布COVID-19爆发为大流行病时,攻击者们仍试图利用这种情况赚钱。
2020年3月13日:国家资助的黑客发起以冠状病毒为主题的攻击
国家资助的黑客现在正在使用COVID-19诱饵感染其目标。
2020年3月15日:一种使用Cloudflare Workers进行C2通信的恶意软件BlackWater
专家发现了一个名为BlackWater的新后门,该后门假装提供有关COVID-19的信息。
参考链接
https://www.bleepingcomputer.com/news/security/covid-19-testing-center-hit-by-cyberattack/
https://securityaffairs.co/wordpress/99682/cyber-warfare-2/coronavirus-themed-attacks.html
3、区块链技术在工业互联 安全的应用
一、区块链技术与工业互联 安全
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式,本身具有去中心化、数据透明、不可篡改、集体维护等特点。其提供了一种安全、高效、可信的技术方法,为解决机构与机构、人与人、设备与设备之间的高效协作问题带来机遇。
(一)区块链技术符合工业互联 场景需求
区块链具有可信协作、隐私保护等技术优势,可与工业互联 实现深度融合,尤其是在工业互联 数据的确权、确责和交易等领域有着广阔应用前景,为构建国家工业互联 数据资源管理和服务体系提供了坚实技术基础。区块链技术具有促进数据共享、优化业务流程、降低运营成本、提升协同效率、建设可信体系等优点。工业互联 连接了工业全要素、全产业链,实时采集海量工业数据并支持自由流转和精准分析,需要实现在标识解析、协同制造等多类分布式场景里的多方协同。区块链的分布式 络技术、共识机制、可信数据交互模式可以在其中发挥优势。
(二)抢占新一代信息技术主导权
加强区块链技术的创新、试验和应用,有利于抢占新一代信息技术主导权。当前正处于信息化引领全面创新、构筑国家竞争新优势的重要战略机遇期,是我国从 络大国迈向 络强国、成长为全球互联 引领者的关键窗口期,是信息技术从跟跑并跑到并跑领跑、抢占战略制高点的激烈竞逐期。通过布局区块链前沿技术,研究及其在工业互联 安全方面的应用,有助于打造自主先进的技术体系,提升国际竞争力和安全可控能力,推动工业互联 安全产业协同创新。
(三)为工业互联 安全注入新动能
当前我国正处于信息化与经济 会深度融合、新旧动能充分释放的协同迸发期。工业互联 安全是传统计算机 络安全的延伸,也是工业控制系统安全的拓展,是工业信息安全重要组成部分,在传统安全保障工作机制的基础上,需要引入新的管理和技术模式。区块链技术提供了一种在不可信 络中进行信息与价值传递交换的可信通道,为解决工业互联 安全问题提供新方法和新思路。
二、区块链技术赋能工业互联 安全的思考
运用区块链技术能够从数据安全、可信协作、监管审计、响应联动、加快恢复几个方面保障工业互联 安全。
(一)区块链技术保障工业互联 数据安全
区块链技术可用于保障工业互联 中各类数据的真实性与完整性,实现数据权益保护。将工业互联 采集数据存储在区块链上,能够从源头保护工业互联 数据完整性,方便对工业互联 数据的取证、鉴定、保全以及出证,保障数据在全生命周期的证明力。将工业互联 标识数据存储在区块链上,方便对标识身份进行分布式验证,支撑对标识数据进行全生命周期的可信管理,包括注册、主体身份信息变更、属性数据更新、注销回收等。
(二)区块链技术实现工业互联 可信共享协作
区块链技术可用于实现工业互联 中的信息可信共享协作,通过智能合约实现工业互联 信息的多方共识验证,防止信息的篡改,同时结合匿名隐私保护技术,实现信息的安全共享与可信的价值交换,提升工业互联 安全可信生产能力。利用区块链技术打通跨企业、跨平台的可信数据交互渠道,实现可信、可追溯的数据录入和基于身份认证及访问控制的数据共享,保障企业及平台方的数据权属,支撑工业互联 数据治理,促进工业互联 企业及平台的互联互通。
(三)区块链技术支撑工业互联 监管审计
传统的信息化模式对于已经形成的数字化文件信息在各个节点的传递过程中,缺乏强大的数据保护措施,会出现数据文件的失窃和篡改的可能性。利用区块链多方参与的特性,在区块链 络中接入监管节点,可以在不影响原有生产及操作流程的基础上,快速同步区块链存储数据,支撑监管部门对工业互联 数据进行柔性监管与合规审计。
(四)区块链技术促进工业互联 安全事件联动响应
区块链技术可用于对安全信息与安全事件进行记录,有助于信息共享、攻击溯源以及事件关联分析,通过智能合约设计安全风险的识别与响应策略,能够实现全 快速的安全信息更新与安全事件响应联动,能够更好地落实应急响应策略,提升了自动化响应效率。
(五)区块链技术提升工业互联 攻击恢复能力
区块链技术可用于对被破坏系统进行灾难恢复,通过全节点备份为其中存储的数据提供快速恢复的能力,改变了原有体系的备份模式,能够实现异地多节点的快速共识与备份,降低了攻击、灾害的影响程度,提升了攻击者造成大规模攻击伤害的难度。
(六)区块链技术结合国产密码加强核心技术安全可靠
我国在区块链领域拥有良好基础,密码技术研究基础扎实,既具备国际主流密码技术的运用能力,又拥有自主密码算法、密码设备及其他基础设施。密码技术是区块链技术的关键与核心,通过密码算法的国产化替代能够把握区块链技术的自主权,从而提升区块链技术应用的可控性与可靠性。
三、区块链技术在工业互联 安全应用的挑战
一是区块链技术性能限制应用落地。区块链技术自身当前还处于探索发展阶段,共识速度、存储容量等性能指标与工业互联 海量终端场景下的低延时应用需求之间差距明显,是当前区块链技术在工业互联 中落地的主要瓶颈,数据隐私保护问题突出,亟需突破共识算法、密码学、跨链、数据治理等关键技术研究。
二是引入新兴技术为传统场景带来新的安全问题。区块链记录不可篡改、不可删除的特性一方面有利于保护数据安全,另一方面也带来新的信息监管问题,如利用区块链传播政治有害信息、 络谣言和煽动性、攻击性信息,给 会带来不利影响,也为监管部门带来很大挑战。区块链公开透明的数据流转方式搭建了低信任成本的多方可信数据交互平台,但也对数据治理、隐私保护带来更高的要求。区块链技术自身存在51%攻击、双花攻击、女巫攻击等安全风险,交易所、矿池、钱包等生态环节面临安全威胁。
三是前沿技术缺乏配套生态。当前区块链配套生态有待完善,区块链底层技术有待突破,特别是扩展性问题亟待解决,法律上缺乏针对智能合约的保护措施,需要建立对上链数据真实性的保证机制,确保工业互联 采集数据上链时的安全性,同时还需保障链上智能合约能够在链下执行。结合有效的应用监管政策,推动建立安全有序的区块链技术落地应用生态。
4、推进工业数据分类分级,精准防控数据安全风险
随着工业互联 、云计算、大数据、人工智能等新一代信息技术与制造业的深度融合发展,我国传统工业已走上数字化转型的道路,在数字化、 络化、智能化的趋势引领下,工业数据呈现出爆发式增长。汇集的海量数据经处理、分析、挖掘转化为信息和知识,可有效支撑工业生产决策,带来资源配置优化、生产效率提升和服务方式革新。工业数据作为新的生产要素资源,支撑供给侧结构性改革、驱动制造业转型升级的作用日益显现,正成为推动质量变革、效率变革、动力变革的新引擎。
然而,工业数据的巨大价值也引发了黑客组织和攻击者的高度关注,企业普遍面临工业数据被篡改、泄露、窃取等安全风险,如何推动企业提升工业数据管理能力,在促进工业数据使用、流动与共享的同时实现有效管控治理,成为亟待解决的问题。近日,工业和信息化部印发了《工业数据分类分级指南(试行)》(以下简称《指南》),从工业数据定义、分类分级方法、差异化管理等方面提出16条指导意见,这是工业领域关于数据分类分级管理的首份指导性文件,是加强工业数据管理实践探索和理论创新的重要阶段性成果。
一
工业数据安全事件频发敲响安全“警钟”
国家工业信息安全发展研究中心(以下简称“中心”)发布的《2019年工业信息安全态势展望 告》显示,2019年针对工业数据的 络攻击呈现明显增势,工业数据已成为 络攻击的重点目标。3月,全球铝业巨头挪威海德鲁公司遭 络攻击,20余种重要文件被加密,经济损失高达4000余万美元,6月,大型飞机零部件供应商ASCO遭遇勒索病毒攻击,位于比利时、德国、加拿大和美国的工厂被迫关闭,企业运营中断。据美国威瑞森公司《2019数据泄露 告》统计,2019年制造业数据泄露事件共发生87起,较上一年增加16起,增幅近20%。
二
数字化转型时代亟待分类分级标定“着力点”
中心作为《指南》编制的牵头支撑单位,承担了调查研究、指南起草、方法验证等重要任务。在前期调研中我们发现,随着工业数据体量的爆发式增长,工业领域对于数据安全的管理需求日益显现,很多大型工业企业和平台企业正在积极探索建立数据分类分级制度,目的在于通过分类梳理工业企业海量数据资产,明确基础数据类型,通过分级确定各类工业数据的敏感程度,明确数据的范围边界和使用方式,为加强数据安全管理,推动数据开放共享和最大化挖掘利用提供支撑。
三
扎实推进指南落实,做好工业数据“安全卫士”
《指南》的出台为推进工业数据分类分级工作提供了方法和指导,为进一步做好工业数据管理,强化工业数据安全防护奠定了坚实的基础。中心将切实发挥工业信息安全“国家智库”作用,致力于用科学理论、创新技术和解决方案服务于行业发展,为推进工业企业数字化转型,保障工业生产安全积极献力。下一步中心将充分发挥自身技术优势,从以下方面推进指南落实。
一是开展宣贯培训。深刻理解指南内容,详细剖析各项要求,编制工业数据分类分级系列宣贯读本,为 会各界了解使用指南提供参考;支撑各级工业和信息化主管部门以及企业开展工业数据分类分级培训,提高安全意识,助力指南落地实施;充分利用我中心自有媒体、联盟、论坛等资源,加大宣传力度, 召各方积极参与,努力打造“学习指南、落实指南”的良好氛围。
二是强化自身落实。将工业数据分类分级方法应用于安全态势感知、重要资源测绘等国家级平台的建设运营中,对平台汇聚的数据进行分类分级管理,明确数据使用范围和安全防护重点,保障平台运行安全。同时,利用分类分级数据标签绘制工业数据资产地图,通过持续跟踪监测工业数据资产情况,支撑工业数据安全态势感知、风险防控、产业分析等工作。
三是做好行业服务。围绕指南落地实际需求,为各级行业主管部门和有关企业提供工业数据分类分级咨询和技术服务。针对工业数据采集、传输、存储、分析等关键应用环节,梳理数据资产,划分数据等级,并提出分级数据安全防护策略建议。加快中心企业侧态势感知与安全服务平台的部署进度,持续监测工业数据安全状态,为各方提升工业数据管理水平和安全防护能力提供技术支撑。
5、 告称美国83%联 医疗成像设备易受黑客攻击
一项新的研究显示,美国绝大多数的医疗成像设备容易受到黑客攻击,一大原因是操作系统老旧,不受支持。根据Palo Alto Networks旗下Unit 42 Threat安全团队发布的《2020年物联 威胁 告》,多达83%的联 医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。这一比例明显高于2018年的56%。
Palo Alto Networks杰出工程师王梅(May Wang音译)将该比例的上升归因于微软不再支持Windows 7。虽然医疗设备的生命周期很长,但如果它们不定期更新到操作系统的最新版本,或者运行不受支持的操作系统,那么黑客就能乘虚而入,利用漏洞窃取数据,渗透到医院 络,扰乱医疗工作。
王梅说,“这就好比你的房子侧面一直有一扇坏了的窗户——你完全无法知道什么时候会有人溜进来,防不胜防。”
恶意软件Conficker卷土重来
王梅指出,医院在 络安全方面通常落后于其他行业,因此它们特别容易受到各种攻击。例如,该 告详细描述了已有12年历史的恶意软件Conficker是如何卷土重来的。
在 告中提到的一家未具名医院,一台乳腺X线机出现了异常流量。在短短几天的时间里,IT团队确定Conficker蠕虫感染了医院 络上的其他医疗设备,包括另一台乳腺X线机、一台放射机、一台数字成像设备以及其他的设备。
Conficker在2008年首次被检测到,当时它利用了Windows XP和较老的微软操作系统中的漏洞。该蠕虫会感染设备,并将它们添加到僵尸 络中,然后继续寻求感染其它的设备。到2009年,这种蠕虫感染了大约1500万台电脑,波及医院、政府机构和企业。
2015年,估计有40万台机器感染了Conficker蠕虫。2020年的 告说,这个数字现在可能是50万。
在上面提到的那家医院,重新启动设备并不起作用,因为引发Conficker感染的漏洞没有修补。最终,该医院不得不让设备下线,给它们安装重要的安全补丁,然后慢慢将它们一个接一个地重新上线。 告称,该医院当时宕机了一个星期。
黑客为何攻击医院
Palo Alto Networks的 告还警告称,黑客会对利润丰厚的个人数据发起新的攻击。
数据安全公司Mimecast的企业安全主管马修·加德纳(Matthew Gardiner)在接受杂志时表示,“医疗机构存有高度机密和敏感的个人信息,这些信息对于不法分子尤其具有吸引力。从本质上讲,那是信息宝库,既可以用来直接变现,也可以用于身份盗窃或其他的后续攻击。”
Mimecast周二发布的研究 告显示,去年高达90%的医疗机构受到过电子邮件攻击。其中,四分之一的医疗机构称,其遭受的攻击极具破坏性。甚至有医疗机构因为 络攻击而不得不关闭。
对于资金并不充裕的医院来说,有两个选择:购买新的成像机,或者投资升级医院防火墙来帮助缓解这类攻击。
王梅称,攻击者知道医院系统升级缓慢,因而往往利用这一点来谋利。“企业的系统宕机意味着金钱损失,而医院的系统宕机则意味着生命损失。医疗机构往往会通过向勒索软件支付赎金来重新获得对系统和数据的控制。”
预防措施
医院现在可以采取一些措施来缓解这种威胁。
王梅建议医疗机构定期扫描它们的 络,看看哪些物联 设备处于联 状态。任何不属于 络上的或者不在使用状态的设备都应该断开连接。其他的设备应定期更新,以确保修补任何的漏洞。最后,物联 医疗设备应该与常规 络分离。
“正如我们的 告所显示的,在72%的医疗机构里,物联 医疗设备没有与常规 络分离,”王梅说道,“这意味着,攻击一旦渗透到物联 医疗设备,那么除了可能从医疗设备本身窃取患者数据外,攻击者还可能会渗透到医院的主 络,窃取更多的患者数据。”
7、刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
一.前言
双尾蝎APT组织(又名: APT-C-23 ),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。
攻击平台主要包括 Windows 与 Android :
其中针对 windows 的平台,其比较常见的手法有投放带有” *.exe “或” *.scr “文件后缀的 释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的 侦查者(Recon).持久存在的方式也不唯一,一般通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器的相关信息包含( 系统版本,计算名,杀毒软件信息,当前文件所在路径,恶意软件当前版本),以及其解析 C2 的回显指令,并执行.比如: 远程shell,截屏和文件下载。
同时根据别的安全厂商的 告,我们也得知该组织拥有于攻击 Android 平台的组件,拥有 定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情 信息;PC 端后门程序功能包括收集用户信息上传到指定服务器的功能、远程下载文件能力.
近日 check point 安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但最后结果还是被以色列给反制了一波…………
Gcow安全团队 追影小组于 2019.12 月初开始监测到了 双尾蝎APT组织通过投递带有诱饵文件的相关可执行文件针对 巴勒斯坦的部门 进行了相应的攻击活动,这些诱饵文件涉及教育,科技,政治等方面的内容,其攻击活动一直持续到了 2020.2 月底. 追影小组对该组织进行了一定时间的追踪.遂写成此 告还请各位看官欣赏.
二.样本信息介绍以及分析 1.样本信息介绍
在本次 双尾蝎APT组织针对 巴勒斯坦的活动中,Gcow安全团队 追影小组一共捕获了 14 个样本,均为 windows 样本,其中 12 个样本是释放诱饵文档的可执行文件, 2 个样本是带有恶意宏的诱饵文档
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2
在这 12 个可执行文件样本中,有 7 个样本伪装成 pdf 文档文件,有 1 个样本伪装为 word 文档文件,有 2 个样本伪装为 rar 压缩文件.有 2 个样本伪装成 mp3 , mp4 音频文件
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3
在这 14 个 Windows 恶意样本中,其诱饵文档的题材,政治类的样本数量有 9 个,教育类的样本数量有 1 个,科研类的样本数量有 1 个,未知类的样本数量有 3 个( 注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容)
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4
现在各位看官应该对这批 双尾蝎组织针对 巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的,这里 Gcow 安全团队 追影小组持该组织主要是攻击 巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队. 注意:这里只是一家之言,还请各位看官须知。
那下面 追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。 注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨
2.样本分析 (1).Define the Internet in government institutions a.样本信息
样本Define the Internet in government institutions_pdf.exe文件信息(表格)-pic5
样本Define the Internet in government institutions_pdf.exe文件信息(图片)-pic6 b.样本分析
通过对样本的分析我们得知了该样本是兼具 释放者(Dropper)与 下载者(Downloader)的功能,其 释放者(Dropper)主要是用以释放诱饵
文档加以伪装以及将自身拷贝到 %ProgramData%目录下,并且生成执行该文件的快捷方式并且释放于自启动文件夹下,而 下载者(Downloader)
部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有: 远程shell,文件下载,屏幕截屏
i.释放者(Dropper)部分:
通过 FindResource 函数查找名称为: MyData的资源
FindResource函数查找MyData资源-pic7
通过LoadResource 函数加载该资源
LoadResource函数加载资源-pic8
通过LockResource 函数锁定资源并且获取资源在内存的地址
LockResource函数锁定资源-pic9
通过SizeOfResource 函数通过获取资源的地址计算该资源的长度
SizeOfResource函数获取资源长度-pic10
通过CreateFile 函数在%temp%目录下释放诱饵PDF文档Define the Internet in government institutions.pdf
CreateFile函数创造诱饵PDF文档-pic11
通过WriteFile 函数将PDF源数据写入创建的诱饵文档内
诱饵PDF文档源数据-pic12
WriteFile函数将PDF文档源数据写入诱饵PDF文档中-pic13
通过ShellExecute 函数打开PDF诱饵文档,以免引起目标怀疑
ShellExecute函数打开诱饵PDF文档-pic14
其PDF诱饵文档内容如图,主要关于其使用互联 的政治类题材样本,推测应该是针对政府部门的活动
诱饵PDF文档原文以及翻译-pic15
同时利用CopyFileA 函数将自身拷贝到%ProgramData% 目录下并且重命名为SyncDownOptzHostProc.exe
CopyFile函数拷贝自身文件并重命名为SyncDownOptzHostProc.exe-pic16
利用CreateFilewW 函数在自启动文件夹下创造指向%ProgramData%SyncDownOptzHostProc.exe 的快捷方式SyncDownOptzHostProc.lnk
利用CreateFileW函数创造指向后门文件的快捷方式-pic17
指向后门文件的快捷方式于自启动文件夹下-pic18 ii.下载者(Downloader)部分:
通过 CreateFile 函数创造 %ProgramData%GUID.bin 文件,内部写入对应本机的 GUID .当软件再次运行的时候检查自身是否位于 %ProgramData% 文件夹下,若不是则释放pdf文档。若是,则释放 lnk 到自启动文件夹
生成GUID码-pic19
创造GUID.bin文件并将生成的GUID码写入-pic20 ①.信息收集
1.收集 当前用户名以及 当前计算机名称,并且读取 GUID.bin 文件中的 GUID码
收集username和computername并且读取GUID-pic21
再以如下格式拼接信息
当前计算机名称_当前用户名_GUID码
编码前cname 文-pic22
将这些拼接好的信息利用base64进行编码,组合成cname 文
编码后cname 文-pic23
2.通过 GetVersion 函数收集 当前系统版本
通过GetVersion函数收集当前系统版本-pic24
并且将其结果通过Base64进行编码,组成osversion 文
编码osversion 文-pic25
3.通过 WMI 查询本地安装的安全软件
被侦查的安全软件包括 360 , F-secure , Corporate , Bitdefender
通过wmi查询本地安全的安全软件-pic26
被侦查的安全软件列表-pic27
4.通过 GetModuleFile 函数获取当前文件的运行路径
通过GetModuleFile函数获取当前文件运行路径-pic28
编码aname 文-pic29
5.后门版本 ver 文,本次活动的后门版本 为: 5.HXD.zz.1201
编码前ver 文-pic30
编码后ver 文-pic31
cname=&av=&osversion=&aname=&ver=
通过send发送 文-pic32
wireshark 文-pic33 ②.获取指令
通过 http://nicoledotson.icu/debby/weatherford/ekspertyza URL获取功能命令( 功能为截屏,远程shell,以及下载文件)
获取功能指令-pic34 ③.发送屏幕快照
截取屏幕快照函数
截屏主要代码-pic35
向URL地址http://nicoledotson.icu/debby/weatherford/Zavantazhyty 发送截屏
发送截屏-pic36 ④.远程shell
远程shell主要代码
远程shell主要代码-pic37
向URL地址http://nicoledotson.icu/debby/weatherford/pidnimit 发送shell回显
发送shell回显-pic38 ⑤.文件下载
下载文件,推测应该先另存为base64编码的txt文件再解密另存为为exe文件,最后删除txt文件.由于环境问题我们并没有捕获后续的代码
下载文件1-pic39
下载文件2-pic40 ⑥.删除命令
通过URL http://nicoledotson.icu/debby/weatherford/vydalyty 获取删除指令
获取删除指令-pic41
此外我们还关联到一个与之相似的样本,诱饵文档与之相同故不再赘述
样本Internet in government_984747457_489376.exe信息(表格)-pic42 (2).Employee-entitlements-2020 a.样本信息
样本Employee-entitlements-2020.doc文件信息(表格)-pic43
样本Employee-entitlements-2020.doc文件信息(图片)-pic44
该样本属于包含恶意 宏的文档,我们打开可以看到其内容关于 财政部关于文职和军事雇员福利的声明,属于涉及 政治类的题材
样本Employee-entitlements-2020.doc正文与翻译-pic45 b.样本分析
通过使用 olevba dump出其包含的恶意宏代码(如下图所示:)
其主要逻辑为:下载该URL http://linda-callaghan.icu/Minkowski/brown 上的内容到本台机器的 %ProgramData%IntegratedOffice.txt (此时并不是其后门,而且后门文件的 base64 编码后的结果)。通过读取 IntegratedOffice.txt 的所有内容将其解码后,把数据流写入 %ProgramData%IntegratedOffice.exe 中,并且延迟运行 %ProgramData%IntegratedOffice.exe 删除 %ProgramData%IntegratedOffice.txt
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!