APT攻擊特征及案例分析課件

網(wǎng)絡(luò)信息安全形勢(shì)、熱點(diǎn)、APT攻擊特征及案例分析

XX--教授

重慶郵電大學(xué)企業(yè)信息化研究中心重慶網(wǎng)安計(jì)算機(jī)技術(shù)服務(wù)中心2013年5月9日網(wǎng)絡(luò)信息安全形勢(shì)、熱點(diǎn)、APT攻擊特征及案例一、目前我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視。（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶信息泄漏引發(fā)社會(huì)高度關(guān)注。（三）我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多。（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)。（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗。（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)。（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)。一、目前我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升2（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視

根據(jù)工信部組織開展的通信網(wǎng)絡(luò)安全防護(hù)檢查情況，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)和水平較往年均有所提高，對(duì)網(wǎng)絡(luò)安全防護(hù)工作的重視程度進(jìn)一步加大，網(wǎng)絡(luò)安全防護(hù)管理水平明顯提升，對(duì)非傳統(tǒng)安全的防護(hù)能力顯著增強(qiáng)，網(wǎng)絡(luò)安全防護(hù)達(dá)標(biāo)率穩(wěn)步提高，各企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率為98.78%，較2011年前呈逐年穩(wěn)步上升趨勢(shì)。但是，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險(xiǎn)。如域名解析系統(tǒng)（DNS）、移動(dòng)通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險(xiǎn)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄的漏洞統(tǒng)計(jì)，發(fā)現(xiàn)涉及電信運(yùn)營(yíng)企業(yè)網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）的漏洞203個(gè)，其中高危漏洞73個(gè)；發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個(gè),應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個(gè)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的攻擊形勢(shì)嚴(yán)峻。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）監(jiān)測(cè)，近年每天發(fā)生的分布式拒絕服務(wù)攻擊（DDoS）事件中平均約有7%的事件涉及到基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊(cè)服務(wù)機(jī)構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致其負(fù)責(zé)解析的大運(yùn)會(huì)官網(wǎng)域名在部分地區(qū)無(wú)法解析。8月18日晚和19日晚，新疆某運(yùn)營(yíng)商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊，造成局部用戶無(wú)法正常使用互聯(lián)網(wǎng)。（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視根據(jù)3（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶

信息泄漏引發(fā)社會(huì)高度關(guān)注

據(jù)CNCERT監(jiān)測(cè)，中國(guó)大陸被篡改的政府網(wǎng)站大約為2000-3000個(gè)，比往年大幅下降39.4%。但從整體來(lái)看，近年網(wǎng)站安全情況并未改善，還有一定惡化趨勢(shì)，接收的網(wǎng)絡(luò)安全事件(不含漏洞)中，網(wǎng)站安全類事件占到61.7%；被植入網(wǎng)站后門的境內(nèi)網(wǎng)站已為12513個(gè)。涉及網(wǎng)站相關(guān)的漏洞占22.7%，較往年大幅上升。網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫(kù)26個(gè)，涉及帳號(hào)、密碼信息2.78億條，嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn)，我國(guó)部分網(wǎng)站的用戶信息仍采用明文的方式存儲(chǔ)，相關(guān)漏洞修補(bǔ)不及時(shí)，安全防護(hù)水平較低。（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶

4(三）我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多

抽樣監(jiān)測(cè)發(fā)現(xiàn)，境外有近4.7萬(wàn)個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國(guó)境內(nèi)主機(jī)，其控制的境內(nèi)主機(jī)數(shù)量已由近500萬(wàn)增加至近890萬(wàn)，呈現(xiàn)大規(guī)?；厔?shì)。其中位于日本（22.8%）、美國(guó)（20.4%）和韓國(guó)（7.1%）的控制服務(wù)器IP數(shù)量居前三位。在網(wǎng)站安全方面，境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁(yè)篡改；境外11851個(gè)IP通過植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制；仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外，其中美國(guó)仍然排名首位——共有481個(gè)IP（占72.1%）仿冒了境內(nèi)2943個(gè)銀行網(wǎng)站的站點(diǎn)，中國(guó)香港（占17.8%）和韓國(guó)（占2.7%）分列二、三位?？傮w來(lái)看，近年位于美國(guó)、日本和韓國(guó)的惡意IP地址對(duì)我國(guó)的威脅最為嚴(yán)重。另?yè)?jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)送的數(shù)據(jù)，在我國(guó)實(shí)施網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊(cè)。這些情況表明我國(guó)面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來(lái)越嚴(yán)重。(三）我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多抽樣監(jiān)測(cè)發(fā)現(xiàn)5（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈

隨著我國(guó)網(wǎng)上銀行的蓬勃發(fā)展，廣大網(wǎng)銀用戶成為黑客實(shí)施網(wǎng)絡(luò)攻擊的主要目標(biāo)。全國(guó)范圍大面積爆發(fā)了假冒中國(guó)銀行網(wǎng)銀口令卡升級(jí)的騙局，據(jù)報(bào)道此次事件中有客戶損失超過百萬(wàn)元。據(jù)CNCERT監(jiān)測(cè)，近年針對(duì)網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍,已發(fā)現(xiàn)針對(duì)我國(guó)網(wǎng)銀的釣魚網(wǎng)站域名3841個(gè)。全年要接收網(wǎng)絡(luò)釣魚事件舉報(bào)5459件，較往年增長(zhǎng)近2.5倍。（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈隨著我國(guó)網(wǎng)上銀6（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國(guó)伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運(yùn)作，11月Stuxnet病毒轉(zhuǎn)變?yōu)閷ｉT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。CNVD已收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較往年大幅增長(zhǎng)近10倍，涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處治安全漏洞，但在處治過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)繼2017（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展，黑客也將其視為攫取經(jīng)濟(jì)利益的重要目標(biāo)。CNCERT已捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè)。其中，惡意扣費(fèi)類惡意程序數(shù)量最多，為1317個(gè)，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機(jī)平臺(tái)來(lái)看，約有60.7%的惡意程序針對(duì)Symbian平臺(tái)，針對(duì)Android平臺(tái)的惡意程序較往年大幅增加，有望迅速超過Symbian平臺(tái)。近年境內(nèi)約超過712萬(wàn)個(gè)上網(wǎng)的智能手機(jī)曾感染手機(jī)惡意程序，嚴(yán)重威脅和損害手機(jī)用戶的權(quán)益。（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展，8（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗

CNCERT已發(fā)現(xiàn)近890萬(wàn)余個(gè)境內(nèi)主機(jī)IP地址感染了木馬或僵尸程序，較往年大幅增加78.5%。其中，感染竊密類木馬的境內(nèi)主機(jī)IP地址為5.6萬(wàn)余個(gè)，國(guó)家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)告，位于較高水平的黑客在瘋狂制造新的惡意程序的同時(shí)，也在想方設(shè)法逃避監(jiān)測(cè)和打擊，例如，越來(lái)越多的黑客采用在境外注冊(cè)域名、頻繁更換域名指向IP等手段規(guī)避安全機(jī)構(gòu)的監(jiān)測(cè)和處治。（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗CN9（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)

CNVD共收集整理并公開發(fā)布信息安全漏洞5547個(gè)，其中，高危漏洞有2164個(gè)。在所有漏洞中，涉及各種應(yīng)用程序的最多，占62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞則排到第三位，占8.8%。

除發(fā)布預(yù)警外，CNVD還重點(diǎn)協(xié)調(diào)處治了大量威脅嚴(yán)重的漏洞，涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁(yè)瀏覽器、手機(jī)應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對(duì)安全問題重視不夠，質(zhì)量控制不嚴(yán)格，發(fā)生安全事件后應(yīng)急處治能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大，因此一旦某個(gè)產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞，將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強(qiáng)了對(duì)軟件和網(wǎng)站漏洞的挖掘和攻擊活動(dòng)。（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)CNVD共收集整理并公10（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)

DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一，表現(xiàn)出三個(gè)特點(diǎn)：一是DDoS攻擊事件發(fā)生頻率高，且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)，我國(guó)境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCPSYNFLOOD和UDPFLOOD等常見虛假源IP地址攻擊事件約占70%，對(duì)其溯源和處治難度較大。二是在經(jīng)濟(jì)利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大，難以防范。例如針對(duì)浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請(qǐng)求攻擊、UDPFLOOD、TCPSYNFLOOD、HTTP請(qǐng)求攻擊等多種方式，攻擊峰值流量達(dá)數(shù)10Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無(wú)辜者的情況屢見不鮮。2011年多家省部級(jí)政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊，且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭(zhēng)斗引起。（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)11二、網(wǎng)絡(luò)安全值得關(guān)注的熱點(diǎn)問題

（一）網(wǎng)站安全面臨的形勢(shì)可能更加嚴(yán)峻，網(wǎng)站中集中存儲(chǔ)的用戶信息將成為黑客竊取的重點(diǎn)。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差，其中存儲(chǔ)的用戶信息極易被竊取，黑客在得手之后會(huì)進(jìn)一步研究利用所竊取的個(gè)人信息，結(jié)合社會(huì)工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng)，可能導(dǎo)致更嚴(yán)重的財(cái)產(chǎn)損失。

（二）隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的豐富和3G、wifi網(wǎng)絡(luò)的快速發(fā)展，針對(duì)移動(dòng)互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加，智能終端將成為黑客攻擊的重點(diǎn)目標(biāo)。由于Android手機(jī)用戶群的快速增長(zhǎng)和Android應(yīng)用平臺(tái)允許第三方應(yīng)用發(fā)布的特點(diǎn)，運(yùn)行Android操作系統(tǒng)的智能移動(dòng)終端將成為黑客關(guān)注的重點(diǎn)。二、網(wǎng)絡(luò)安全值得關(guān)注的熱點(diǎn)問題（一）網(wǎng)站安全面臨的形勢(shì)12

（三）隨著我國(guó)電子商務(wù)的普及，網(wǎng)民的理財(cái)習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移，針對(duì)網(wǎng)上銀行、證券機(jī)構(gòu)和第三方支付的攻擊將急劇增加。針對(duì)金融機(jī)構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化，可能集網(wǎng)絡(luò)釣魚、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體，實(shí)施更具威脅的攻擊。（四）APT攻擊將更加盛行，網(wǎng)絡(luò)竊密風(fēng)險(xiǎn)加大。APT攻擊具有極強(qiáng)的隱蔽能力和針對(duì)性，傳統(tǒng)的安全防護(hù)系統(tǒng)很難防御。美國(guó)等西方發(fā)達(dá)國(guó)家已將APT攻擊列入國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)，近年APT攻擊將更加系統(tǒng)化和成熟化，針對(duì)重要和敏感信息的竊取，有可能成為我國(guó)政府、企業(yè)等重要部門的嚴(yán)重威脅。

（三）隨著我國(guó)電子商務(wù)的普及，網(wǎng)民的理財(cái)習(xí)慣正逐步向網(wǎng)上13

（五）隨著ICANN正式啟動(dòng)新通用頂級(jí)域名（gTLD）業(yè)務(wù)，新增的大量gTLD及其多語(yǔ)言域名資源，將給域名濫用者或欺詐者帶來(lái)更大的操作空間。ICANN（TheInternetCorporationforAssignedNamesandNumbers）互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)是一個(gè)非營(yíng)利性的國(guó)際組織，成立于1998年10月，是一個(gè)集合了全球網(wǎng)絡(luò)界商業(yè)、技術(shù)及學(xué)術(shù)各領(lǐng)域?qū)＜业姆菭I(yíng)利性國(guó)際組織，負(fù)責(zé)互聯(lián)網(wǎng)協(xié)議（IP）地址的空間分配、協(xié)議標(biāo)識(shí)符的指派、通用頂級(jí)域名（gTLD）以及國(guó)家和地區(qū)頂級(jí)域名（ccTLD）系統(tǒng)的管理、以及根服務(wù)器系統(tǒng)的管理。（六）隨著寬帶中國(guó)戰(zhàn)略開始實(shí)施，國(guó)家下一代互聯(lián)網(wǎng)啟動(dòng)商用試點(diǎn)，以及無(wú)線城市的大規(guī)模推進(jìn)和云計(jì)算大范圍投入應(yīng)用，IPv6網(wǎng)絡(luò)安全、無(wú)線網(wǎng)安全和云計(jì)算系統(tǒng)及數(shù)據(jù)安全等方面的問題將會(huì)越來(lái)越多地呈現(xiàn)出來(lái)。（五）隨著ICANN正式啟動(dòng)新通用頂級(jí)域名（gTL14

（七）工業(yè)控制系統(tǒng)信息安全工作將全面展開。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是信息化和工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速推進(jìn)，工業(yè)控制系統(tǒng)產(chǎn)品廣泛采用通用協(xié)議、通用硬件和通用軟件，越來(lái)越多地以各種方式與公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散。為了應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全日益嚴(yán)峻的形勢(shì)，工業(yè)和信息化部日前印發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部451號(hào)文)，要求各地區(qū)、各有關(guān)部門、有關(guān)國(guó)有大型企業(yè)充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運(yùn)行安全、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。（七）工業(yè)控制系統(tǒng)信息安全工作將全面展開。15三、APT攻擊的特征及案例分析

（一）APT攻擊的定義

APT即高級(jí)可持續(xù)威脅（AdvancedPersistentThreat），也稱為定向威脅，是指某組織對(duì)某一特定對(duì)象展開的持續(xù)有效的攻擊活動(dòng)和威脅。這種攻擊活動(dòng)具有極強(qiáng)的隱蔽性和針對(duì)性，通常會(huì)運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會(huì)工程學(xué)等多種手段實(shí)施先進(jìn)的、持久的且有效的威脅和攻擊。黑客個(gè)人的行為一般不能構(gòu)成APT攻擊，因?yàn)橥ǔＧ闆r下沒有足夠的資源來(lái)開展這種先進(jìn)且復(fù)雜的攻擊活動(dòng)。三、APT攻擊的特征及案例分析（一）APT攻擊的定義16

（1）持續(xù)性：攻擊者為了重要的目標(biāo)長(zhǎng)時(shí)間持續(xù)攻擊直到攻破為止。攻擊成功用上一年到三年，攻擊成功后持續(xù)潛伏五年到十年的案例都有。這種持續(xù)性攻擊下，讓攻擊完全處于動(dòng)態(tài)發(fā)展之中，而當(dāng)前我們的防護(hù)體系都是強(qiáng)調(diào)靜態(tài)對(duì)抗能力很少有防護(hù)者有動(dòng)態(tài)對(duì)抗能力，因此防護(hù)者或許能擋住一時(shí)的攻擊，但隨時(shí)間的發(fā)展，系統(tǒng)不斷有新的漏洞被發(fā)現(xiàn)，防御體系也會(huì)存在一定的空窗期：比如設(shè)備升級(jí)、應(yīng)用需要的兼容性測(cè)試環(huán)境等等，最終導(dǎo)致系統(tǒng)的失守。（二）APT攻擊的主要特征（1）持續(xù)性：（二）APT攻擊的主要特征17

（2）終端性：攻擊者雖然針對(duì)的是重要的資產(chǎn)目標(biāo)，但是入手點(diǎn)卻是終端為主。再重要的目標(biāo)，也是由終端的人來(lái)訪問的。而人在一個(gè)大型組織里，是難以保證所有人的安全能力與安全意識(shí)都處于一個(gè)很高水準(zhǔn)之上的。而做好每個(gè)人的終端防護(hù)比服務(wù)器端防護(hù)要困難很多。通過SQL注入攻擊了WEB服務(wù)器，一般也是希望利用他攻擊使用這些WEB服務(wù)器的終端用戶作為跳板滲透進(jìn)內(nèi)網(wǎng)。（二）APT攻擊的主要特征（2）終端性：（二）APT攻擊的主要特征18

（3）廣譜信息收集性：攻擊者會(huì)花上很長(zhǎng)的時(shí)間和資源，依靠互聯(lián)網(wǎng)搜集，主動(dòng)掃描，甚至真實(shí)物理訪問方式，收集被攻擊目標(biāo)的信息，主要包括：組織架構(gòu)，人際關(guān)系，常用軟件，常用防御策略與產(chǎn)品，內(nèi)部網(wǎng)絡(luò)部署等信息。（4）針對(duì)性：攻擊者會(huì)針對(duì)收集到的常用軟件，常用防御策略與產(chǎn)品，內(nèi)部網(wǎng)絡(luò)部署等信息，搭建專門的環(huán)境，用于尋找有針對(duì)性安全漏洞，測(cè)試特定的木馬是否能饒過檢測(cè)。（二）APT攻擊的主要特征（3）廣譜信息收集性：攻擊者會(huì)花上很長(zhǎng)的時(shí)間和資源，依靠互19（二）APT攻擊的主要特征（5）未知性：

攻擊者依據(jù)找到的針對(duì)性安全漏洞，特別是0DAY，根據(jù)應(yīng)用本身構(gòu)造專門的觸發(fā)攻擊的代碼。并編寫符合自己攻擊目標(biāo)，但能饒過現(xiàn)有防護(hù)者檢測(cè)體系的特種木馬。這些0DAY漏洞和特種木馬，都是防護(hù)者或防護(hù)體系所不知道的。（二）APT攻擊的主要特征（5）未知性：20（二）APT攻擊的主要特征（6）滲透性社工：

攻擊者為了讓被攻擊者目標(biāo)更容易信任，往往會(huì)先從被攻擊者目標(biāo)容易信任的對(duì)象著手，比如攻擊一個(gè)被攻擊者目標(biāo)的電腦小白好友或家人，或者被攻擊者目標(biāo)使用的內(nèi)部論壇，通過他們的身份再對(duì)組織內(nèi)的被攻擊者目標(biāo)發(fā)起0DAY攻擊，成功率會(huì)高很多。再利用組織內(nèi)的已被攻擊成功的身份再去滲透攻擊他的上級(jí)，逐步拿到對(duì)核心資產(chǎn)有訪問權(quán)限的目標(biāo)。（二）APT攻擊的主要特征（6）滲透性社工：21（二）APT攻擊的主要特征(7)隱蔽合法性：

攻擊者訪問到重要資產(chǎn)后，往往通過控制的客戶端，分布使用合法加密的數(shù)據(jù)通道，將信息竊取出來(lái)，以饒過我們的審計(jì)和異常檢測(cè)的防護(hù)。(8)長(zhǎng)期潛伏與控制：

攻擊者長(zhǎng)期控制重要目標(biāo)獲取的利益更大。一般都會(huì)長(zhǎng)期潛伏下來(lái)，控制和竊取重要目標(biāo)。當(dāng)然也不排除在關(guān)鍵時(shí)候破壞型爆發(fā)。（二）APT攻擊的主要特征(7)隱蔽合法性：22三、案例分析

目前APT攻擊發(fā)布細(xì)節(jié)出來(lái)的案例，基本都是以美國(guó)公布的。但是不代表APT攻擊只針對(duì)歐美，主要原因在于，美國(guó)由于IT技術(shù)的發(fā)達(dá)成為APT攻擊的首要目標(biāo)，而且很多高科技公司也是民營(yíng)的，而美國(guó)公司把針對(duì)安全事件發(fā)生后的調(diào)查和公布看作一種公司的誠(chéng)信行為，而其他很多國(guó)家因?yàn)楸还艉蟾?xí)慣捂蓋子的做法公開的很少。另一個(gè)原因是，美國(guó)在APT檢測(cè)和防御技術(shù)上具備一定的先進(jìn)性,使他們具備針對(duì)部分APT攻擊能及時(shí)發(fā)現(xiàn)，因此可以在攻擊一開始時(shí)就配合取證了解完整的攻擊過程與手法，而其他國(guó)家在這方面比較落后，發(fā)現(xiàn)時(shí)都是后期階段，只能清除而很難分析取證溯源了解整個(gè)攻擊過程與手法了。三、案例分析目前APT攻擊發(fā)布細(xì)節(jié)出來(lái)的案23APT攻擊案例中比較著名的有：1）針對(duì)GOOGLE等三十多個(gè)高科技公司的極光攻擊：

攻擊者通過FACEBOOK上的好友分析，鎖定了GOOGLE公司的一個(gè)員工和他的一個(gè)喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的機(jī)器，然后偽造了一個(gè)照片服務(wù)器，上面放置了IE的0DAY攻擊代碼，以電腦小白的身份給GOOGLE員工發(fā)送IM消息邀請(qǐng)他來(lái)看最新的照片，其實(shí)URL指向了這個(gè)IE0DAY的頁(yè)面。GOOGLE的員工相信之后打開了這個(gè)頁(yè)面然后中招，攻擊者利用GOOGLE這個(gè)員工的身份在內(nèi)網(wǎng)內(nèi)持續(xù)滲透，直到獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問權(quán)限。竊取了MAIL系統(tǒng)中的敏感信息后，攻擊者通過合法加密信道將數(shù)據(jù)傳出。事后調(diào)查，不止是GOOGLE中招了，三十多家美國(guó)高科技公司都被這一APT攻擊搞定，甚至包括賽門鐵克這樣牛比的安全廠商。APT攻擊案例中比較著名的有：1）針對(duì)GOOGLE等三十多個(gè)24APT攻擊案例中比較著名的有：2）針對(duì)美國(guó)能源部的夜龍攻擊：

攻擊者首先收集了很多能源部門的WEB服務(wù)器的SQL注射的漏洞，攻擊并控制了這些WEB服務(wù)器。但這并不是攻擊者想要的，攻擊者在這些WEB站點(diǎn)上一些供內(nèi)部人員訪問的頁(yè)面上放置了針對(duì)IE和OFFICE應(yīng)用的0DAY掛馬攻擊代碼，因?yàn)獒槍?duì)內(nèi)部站點(diǎn)的，靠掛馬檢測(cè)難以檢測(cè)，傳播范圍不大，而且上來(lái)的都基本是目標(biāo)。于是很快搞定了一些個(gè)人終端，滲透進(jìn)能源部門的內(nèi)網(wǎng)。竊取和控制了大量的有價(jià)值的主機(jī)。APT攻擊案例中比較著名的有：2）針對(duì)美國(guó)能源部的夜龍攻擊：25APT攻擊案例中比較著名的有：3）針對(duì)RSA竊取SECURID令牌種子的攻擊：

攻擊者首先搞定了RSA一個(gè)外地的小分支機(jī)構(gòu)人員的郵箱或主機(jī)，然后以這個(gè)人員的身份，向RSA的財(cái)務(wù)主管發(fā)了一封財(cái)務(wù)預(yù)算的郵件請(qǐng)求RSA的財(cái)務(wù)主管進(jìn)行審核，內(nèi)部附屬了一個(gè)EXCEL的附件，但是里面嵌入了一個(gè)FLASH的0DAY利用代碼。RSA的財(cái)務(wù)主管認(rèn)為可信并是自己的工作職責(zé)，因此打開了這個(gè)EXCEL附件，于是攻擊者成功控制了RSA的財(cái)務(wù)主管，再利用RSA的財(cái)務(wù)主管的身份逐步滲透，最后竊取走了SECURID令牌種子，通過IE的代理傳回給控制者，RSA發(fā)現(xiàn)被入侵后一直不承認(rèn)SECURID令牌種子也被竊取走，直到攻擊者利用竊取的SECURID令牌種子攻擊了多個(gè)美國(guó)軍工企業(yè)RSA才承認(rèn)SECURID令牌種子被偷走。APT攻擊案例中比較著名的有：3）針對(duì)RSA竊取SECURI26APT攻擊案例中比較著名的有：4）針對(duì)伊朗核電站的震網(wǎng)攻擊：

伊朗核電站是一個(gè)物理隔離的網(wǎng)絡(luò)，因此攻擊者首先獲得了一些核電站工作人員和其家庭成員的信息，針對(duì)這些家庭成員的主機(jī)發(fā)起了攻擊，成功控制了這些家庭用的主機(jī)，然后利用4個(gè)WINDOWS的0DAY漏洞，可以感染所有接入的USB移動(dòng)介質(zhì)以及通過USB移動(dòng)介質(zhì)可以攻擊接入的主機(jī)。終于靠這種擺渡攻擊滲透進(jìn)了防護(hù)森嚴(yán)物理隔離的伊朗核電站內(nèi)部網(wǎng)絡(luò)，最后再利用了3個(gè)西門子的0DAY漏洞，成功控制了控制離心機(jī)的控制系統(tǒng)，修改了離心機(jī)參數(shù)，讓其發(fā)電正常但生產(chǎn)不出制造核武器的物質(zhì)，但在人工檢測(cè)顯示端顯示一切正常。成功的將伊朗制造核武器的進(jìn)程拖后了幾年。APT攻擊案例中比較著名的有：4）針對(duì)伊朗核電站的震網(wǎng)攻擊：27APT攻擊案例中比較著名的有：

還有一些屬于APT攻擊范疇但細(xì)節(jié)比較少或者攻擊時(shí)就被發(fā)現(xiàn)的案例：1）洛克-馬?。汗粽呤褂肞DF0DAY嵌入到郵件中發(fā)送給內(nèi)部人員發(fā)起攻擊，但被檢測(cè)出來(lái)，但洛克-馬丁未公布是如何檢測(cè)到這個(gè)PDF0DAY的2）VERISIGN：VERISIGN今年承認(rèn)內(nèi)部發(fā)現(xiàn)被黑客攻擊成功，但當(dāng)時(shí)在現(xiàn)在離任的高級(jí)管理人員都不知道這件事，VERISIGN堅(jiān)持自己用于可信站點(diǎn)簽名的根證書還是安全的，但是又沒證據(jù)證明。如果VERISIGN的根證書和RSA的SECURID令牌種子一樣已被竊取，這意味著攻擊者以后可以扮演任何一個(gè)可信站點(diǎn)，可以針對(duì)加密鏈路發(fā)起中間人攻擊而不被察覺。APT攻擊案例中比較著名的有：還有一些屬于28APT攻擊案例中比較著名的有：3）NASA：NASA承認(rèn)去年至少有13次被黑客成功入侵且竊取走了許多核心機(jī)密，但具體的攻擊細(xì)節(jié)沒有披露。4）韓國(guó)農(nóng)協(xié)銀行：據(jù)一些未公開的分析過程是攻擊者利用社工，將一張免費(fèi)的網(wǎng)絡(luò)電影觀看券（韓國(guó)網(wǎng)上看電影是需要付費(fèi)的）給了負(fù)責(zé)韓國(guó)農(nóng)協(xié)銀行內(nèi)部系統(tǒng)開發(fā)的IBM外包團(tuán)隊(duì)的項(xiàng)目經(jīng)理，項(xiàng)目經(jīng)理使用了工作的筆記本去訪問這個(gè)電影的URL中招，攻擊者利用此臺(tái)筆記本作跳板，成功控制了韓國(guó)農(nóng)協(xié)銀行的所有重要系統(tǒng)并竊走信息。然后長(zhǎng)期在銀行備份時(shí)惡意破壞備份但顯示備份成功，最后來(lái)了一次總爆發(fā)，將所有數(shù)據(jù)刪除后撤退。韓國(guó)農(nóng)協(xié)銀行試圖用備份恢復(fù)系統(tǒng)發(fā)現(xiàn)最近的備份都被破壞，導(dǎo)致大量數(shù)據(jù)無(wú)法同步，損失慘重。APT攻擊案例中比較著名的有：3）NASA：NASA承認(rèn)去年29

當(dāng)然還有一些被報(bào)道出來(lái)的APT攻擊案例，這里就不列舉。但總體來(lái)看，APT攻擊始終依賴于：

1）攻擊者對(duì)被攻擊者的信息了解，這是制定社工和攻擊策略的前提；

2）有針對(duì)性的0DAY漏洞，這是突破當(dāng)前防護(hù)體系和有一些安全意識(shí)的人員的利器；

3）有針對(duì)性的木馬和行為的對(duì)抗，特別是殺毒，HIPS，網(wǎng)絡(luò)審計(jì)產(chǎn)品的對(duì)抗當(dāng)然還有一些被報(bào)道出來(lái)的APT攻擊案例，這里30

謝謝！2013年4月9日謝謝！31網(wǎng)絡(luò)信息安全形勢(shì)、熱點(diǎn)、APT攻擊特征及案例分析

XX--教授

重慶郵電大學(xué)企業(yè)信息化研究中心重慶網(wǎng)安計(jì)算機(jī)技術(shù)服務(wù)中心2013年5月9日網(wǎng)絡(luò)信息安全形勢(shì)、熱點(diǎn)、APT攻擊特征及案例一、目前我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視。（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶信息泄漏引發(fā)社會(huì)高度關(guān)注。（三）我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多。（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈。（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)。（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)。（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗。（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)。（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)。一、目前我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全形勢(shì)（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升33（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視

根據(jù)工信部組織開展的通信網(wǎng)絡(luò)安全防護(hù)檢查情況，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)和水平較往年均有所提高，對(duì)網(wǎng)絡(luò)安全防護(hù)工作的重視程度進(jìn)一步加大，網(wǎng)絡(luò)安全防護(hù)管理水平明顯提升，對(duì)非傳統(tǒng)安全的防護(hù)能力顯著增強(qiáng)，網(wǎng)絡(luò)安全防護(hù)達(dá)標(biāo)率穩(wěn)步提高，各企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率為98.78%，較2011年前呈逐年穩(wěn)步上升趨勢(shì)。但是，基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的部分網(wǎng)絡(luò)單元仍存在比較高的風(fēng)險(xiǎn)。如域名解析系統(tǒng)（DNS）、移動(dòng)通信網(wǎng)和IP承載網(wǎng)的網(wǎng)絡(luò)單元存在風(fēng)險(xiǎn)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的信息安全漏洞數(shù)量較多。據(jù)國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄的漏洞統(tǒng)計(jì)，發(fā)現(xiàn)涉及電信運(yùn)營(yíng)企業(yè)網(wǎng)絡(luò)設(shè)備（如路由器、交換機(jī)等）的漏洞203個(gè)，其中高危漏洞73個(gè)；發(fā)現(xiàn)直接面向公眾服務(wù)的零日DNS漏洞23個(gè),應(yīng)用廣泛的域名解析服務(wù)器軟件Bind9漏洞7個(gè)。涉及基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的攻擊形勢(shì)嚴(yán)峻。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）監(jiān)測(cè)，近年每天發(fā)生的分布式拒絕服務(wù)攻擊（DDoS）事件中平均約有7%的事件涉及到基礎(chǔ)電信運(yùn)營(yíng)企業(yè)的域名系統(tǒng)或服務(wù)。2011年7月15日域名注冊(cè)服務(wù)機(jī)構(gòu)三五互聯(lián)DNS服務(wù)器遭受DDoS攻擊，導(dǎo)致其負(fù)責(zé)解析的大運(yùn)會(huì)官網(wǎng)域名在部分地區(qū)無(wú)法解析。8月18日晚和19日晚，新疆某運(yùn)營(yíng)商DNS服務(wù)器也連續(xù)兩次遭到拒絕服務(wù)攻擊，造成局部用戶無(wú)法正常使用互聯(lián)網(wǎng)。（一）基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力明顯提升，但安全隱患不容忽視根據(jù)34（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶

信息泄漏引發(fā)社會(huì)高度關(guān)注

據(jù)CNCERT監(jiān)測(cè)，中國(guó)大陸被篡改的政府網(wǎng)站大約為2000-3000個(gè)，比往年大幅下降39.4%。但從整體來(lái)看，近年網(wǎng)站安全情況并未改善，還有一定惡化趨勢(shì)，接收的網(wǎng)絡(luò)安全事件(不含漏洞)中，網(wǎng)站安全類事件占到61.7%；被植入網(wǎng)站后門的境內(nèi)網(wǎng)站已為12513個(gè)。涉及網(wǎng)站相關(guān)的漏洞占22.7%，較往年大幅上升。網(wǎng)站安全問題進(jìn)一步引發(fā)網(wǎng)站用戶信息和數(shù)據(jù)的安全問題。CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注，被公開的疑似泄露數(shù)據(jù)庫(kù)26個(gè)，涉及帳號(hào)、密碼信息2.78億條，嚴(yán)重威脅了互聯(lián)網(wǎng)用戶的合法權(quán)益和互聯(lián)網(wǎng)安全。根據(jù)調(diào)查和研判發(fā)現(xiàn)，我國(guó)部分網(wǎng)站的用戶信息仍采用明文的方式存儲(chǔ)，相關(guān)漏洞修補(bǔ)不及時(shí)，安全防護(hù)水平較低。（二）政府網(wǎng)站篡改類安全事件顯著減少，網(wǎng)站用戶

35(三）我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多

抽樣監(jiān)測(cè)發(fā)現(xiàn)，境外有近4.7萬(wàn)個(gè)IP地址作為木馬或僵尸網(wǎng)絡(luò)控制服務(wù)器參與控制我國(guó)境內(nèi)主機(jī)，其控制的境內(nèi)主機(jī)數(shù)量已由近500萬(wàn)增加至近890萬(wàn)，呈現(xiàn)大規(guī)?；厔?shì)。其中位于日本（22.8%）、美國(guó)（20.4%）和韓國(guó)（7.1%）的控制服務(wù)器IP數(shù)量居前三位。在網(wǎng)站安全方面，境外黑客對(duì)境內(nèi)1116個(gè)網(wǎng)站實(shí)施了網(wǎng)頁(yè)篡改；境外11851個(gè)IP通過植入后門對(duì)境內(nèi)10593個(gè)網(wǎng)站實(shí)施遠(yuǎn)程控制；仿冒境內(nèi)銀行網(wǎng)站的服務(wù)器IP有95.8%位于境外，其中美國(guó)仍然排名首位——共有481個(gè)IP（占72.1%）仿冒了境內(nèi)2943個(gè)銀行網(wǎng)站的站點(diǎn)，中國(guó)香港（占17.8%）和韓國(guó)（占2.7%）分列二、三位。總體來(lái)看，近年位于美國(guó)、日本和韓國(guó)的惡意IP地址對(duì)我國(guó)的威脅最為嚴(yán)重。另?yè)?jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)送的數(shù)據(jù)，在我國(guó)實(shí)施網(wǎng)頁(yè)掛馬、網(wǎng)絡(luò)釣魚等不法行為所利用的惡意域名約有65%在境外注冊(cè)。這些情況表明我國(guó)面臨的境外網(wǎng)絡(luò)攻擊和安全威脅越來(lái)越嚴(yán)重。(三）我國(guó)遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多抽樣監(jiān)測(cè)發(fā)現(xiàn)36（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈

隨著我國(guó)網(wǎng)上銀行的蓬勃發(fā)展，廣大網(wǎng)銀用戶成為黑客實(shí)施網(wǎng)絡(luò)攻擊的主要目標(biāo)。全國(guó)范圍大面積爆發(fā)了假冒中國(guó)銀行網(wǎng)銀口令卡升級(jí)的騙局，據(jù)報(bào)道此次事件中有客戶損失超過百萬(wàn)元。據(jù)CNCERT監(jiān)測(cè)，近年針對(duì)網(wǎng)銀用戶名和密碼、網(wǎng)銀口令卡的網(wǎng)銀大盜、Zeus等惡意程序較往年更加活躍,已發(fā)現(xiàn)針對(duì)我國(guó)網(wǎng)銀的釣魚網(wǎng)站域名3841個(gè)。全年要接收網(wǎng)絡(luò)釣魚事件舉報(bào)5459件，較往年增長(zhǎng)近2.5倍。（四）網(wǎng)上銀行面臨的釣魚威脅愈演愈烈隨著我國(guó)網(wǎng)上銀37（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)

繼2010年伊朗布舍爾核電站遭到Stuxnet病毒攻擊后，2011年美國(guó)伊利諾伊州一家水廠的工業(yè)控制系統(tǒng)遭受黑客入侵導(dǎo)致其水泵被燒毀并停止運(yùn)作，11月Stuxnet病毒轉(zhuǎn)變?yōu)閷ｉT竊取工業(yè)控制系統(tǒng)信息的Duqu木馬。CNVD已收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較往年大幅增長(zhǎng)近10倍，涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然能夠積極配合CNCERT處治安全漏洞，但在處治過程中部分企業(yè)也表現(xiàn)出產(chǎn)品安全開發(fā)能力不足的問題。（五）工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長(zhǎng)態(tài)勢(shì)繼20138（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展，黑客也將其視為攫取經(jīng)濟(jì)利益的重要目標(biāo)。CNCERT已捕獲移動(dòng)互聯(lián)網(wǎng)惡意程序6249個(gè)。其中，惡意扣費(fèi)類惡意程序數(shù)量最多，為1317個(gè)，占21.08%，其次是惡意傳播類、信息竊取類、流氓行為類和遠(yuǎn)程控制類。從手機(jī)平臺(tái)來(lái)看，約有60.7%的惡意程序針對(duì)Symbian平臺(tái)，針對(duì)Android平臺(tái)的惡意程序較往年大幅增加，有望迅速超過Symbian平臺(tái)。近年境內(nèi)約超過712萬(wàn)個(gè)上網(wǎng)的智能手機(jī)曾感染手機(jī)惡意程序，嚴(yán)重威脅和損害手機(jī)用戶的權(quán)益。（六）手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢(shì)隨著移動(dòng)互聯(lián)網(wǎng)生機(jī)勃勃的發(fā)展，39（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗

CNCERT已發(fā)現(xiàn)近890萬(wàn)余個(gè)境內(nèi)主機(jī)IP地址感染了木馬或僵尸程序，較往年大幅增加78.5%。其中，感染竊密類木馬的境內(nèi)主機(jī)IP地址為5.6萬(wàn)余個(gè)，國(guó)家、企業(yè)以及網(wǎng)民的信息安全面臨嚴(yán)重威脅。根據(jù)工業(yè)和信息化部互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)成員單位報(bào)告，位于較高水平的黑客在瘋狂制造新的惡意程序的同時(shí)，也在想方設(shè)法逃避監(jiān)測(cè)和打擊，例如，越來(lái)越多的黑客采用在境外注冊(cè)域名、頻繁更換域名指向IP等手段規(guī)避安全機(jī)構(gòu)的監(jiān)測(cè)和處治。（七）木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗CN40（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)

CNVD共收集整理并公開發(fā)布信息安全漏洞5547個(gè)，其中，高危漏洞有2164個(gè)。在所有漏洞中，涉及各種應(yīng)用程序的最多，占62.6%，涉及各類網(wǎng)站系統(tǒng)的漏洞位居第二，占22.7%，而涉及各種操作系統(tǒng)的漏洞則排到第三位，占8.8%。

除發(fā)布預(yù)警外，CNVD還重點(diǎn)協(xié)調(diào)處治了大量威脅嚴(yán)重的漏洞，涵蓋網(wǎng)站內(nèi)容管理系統(tǒng)、電子郵件系統(tǒng)、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)頁(yè)瀏覽器、手機(jī)應(yīng)用軟件等類型以及政務(wù)、電信、銀行、民航等重要部門。上述事件暴露了廠商在產(chǎn)品研發(fā)階段對(duì)安全問題重視不夠，質(zhì)量控制不嚴(yán)格，發(fā)生安全事件后應(yīng)急處治能力薄弱等問題。由于相關(guān)產(chǎn)品用戶群體較大，因此一旦某個(gè)產(chǎn)品被黑客發(fā)現(xiàn)存在漏洞，將導(dǎo)致大量用戶和單位的信息系統(tǒng)面臨威脅。這種規(guī)模效應(yīng)也吸引黑客加強(qiáng)了對(duì)軟件和網(wǎng)站漏洞的挖掘和攻擊活動(dòng)。（八）應(yīng)用軟件漏洞呈現(xiàn)迅猛增長(zhǎng)趨勢(shì)CNVD共收集整理并公41（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)

DDoS仍然是影響互聯(lián)網(wǎng)安全的主要因素之一，表現(xiàn)出三個(gè)特點(diǎn)：一是DDoS攻擊事件發(fā)生頻率高，且多采用虛假源IP地址。據(jù)CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)，我國(guó)境內(nèi)日均發(fā)生攻擊總流量超過1G的較大規(guī)模的DDoS攻擊事件365起。其中，TCPSYNFLOOD和UDPFLOOD等常見虛假源IP地址攻擊事件約占70%，對(duì)其溯源和處治難度較大。二是在經(jīng)濟(jì)利益驅(qū)使下的有組織的DDoS攻擊規(guī)模十分巨大，難以防范。例如針對(duì)浙江某游戲網(wǎng)站的攻擊持續(xù)了數(shù)月，綜合采用了DNS請(qǐng)求攻擊、UDPFLOOD、TCPSYNFLOOD、HTTP請(qǐng)求攻擊等多種方式，攻擊峰值流量達(dá)數(shù)10Gbps。三是受攻擊方惡意將流量轉(zhuǎn)嫁給無(wú)辜者的情況屢見不鮮。2011年多家省部級(jí)政府網(wǎng)站都遭受過流量轉(zhuǎn)嫁攻擊，且這些流量轉(zhuǎn)嫁事件多數(shù)是由游戲私服網(wǎng)站爭(zhēng)斗引起。（九）DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)42二、網(wǎng)絡(luò)安全值得關(guān)注的熱點(diǎn)問題

（一）網(wǎng)站安全面臨的形勢(shì)可能更加嚴(yán)峻，網(wǎng)站中集中存儲(chǔ)的用戶信息將成為黑客竊取的重點(diǎn)。由于很多社交網(wǎng)站、論壇等網(wǎng)站的安全性差，其中存儲(chǔ)的用戶信息極易被竊取，黑客在得手之后會(huì)進(jìn)一步研究利用所竊取的個(gè)人信息，結(jié)合社會(huì)工程學(xué)攻擊網(wǎng)上交易等重要系統(tǒng)，可能導(dǎo)致更嚴(yán)重的財(cái)產(chǎn)損失。

（二）隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用的豐富和3G、wifi網(wǎng)絡(luò)的快速發(fā)展，針對(duì)移動(dòng)互聯(lián)網(wǎng)智能終端的惡意程序也將繼續(xù)增加，智能終端將成為黑客攻擊的重點(diǎn)目標(biāo)。由于Android手機(jī)用戶群的快速增長(zhǎng)和Android應(yīng)用平臺(tái)允許第三方應(yīng)用發(fā)布的特點(diǎn)，運(yùn)行Android操作系統(tǒng)的智能移動(dòng)終端將成為黑客關(guān)注的重點(diǎn)。二、網(wǎng)絡(luò)安全值得關(guān)注的熱點(diǎn)問題（一）網(wǎng)站安全面臨的形勢(shì)43

（三）隨著我國(guó)電子商務(wù)的普及，網(wǎng)民的理財(cái)習(xí)慣正逐步向網(wǎng)上交易轉(zhuǎn)移，針對(duì)網(wǎng)上銀行、證券機(jī)構(gòu)和第三方支付的攻擊將急劇增加。針對(duì)金融機(jī)構(gòu)的惡意程序?qū)⒏訉I(yè)化、復(fù)雜化，可能集網(wǎng)絡(luò)釣魚、網(wǎng)銀惡意程序和信息竊取等多種攻擊方式為一體，實(shí)施更具威脅的攻擊。（四）APT攻擊將更加盛行，網(wǎng)絡(luò)竊密風(fēng)險(xiǎn)加大。APT攻擊具有極強(qiáng)的隱蔽能力和針對(duì)性，傳統(tǒng)的安全防護(hù)系統(tǒng)很難防御。美國(guó)等西方發(fā)達(dá)國(guó)家已將APT攻擊列入國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)，近年APT攻擊將更加系統(tǒng)化和成熟化，針對(duì)重要和敏感信息的竊取，有可能成為我國(guó)政府、企業(yè)等重要部門的嚴(yán)重威脅。

（三）隨著我國(guó)電子商務(wù)的普及，網(wǎng)民的理財(cái)習(xí)慣正逐步向網(wǎng)上44

（五）隨著ICANN正式啟動(dòng)新通用頂級(jí)域名（gTLD）業(yè)務(wù)，新增的大量gTLD及其多語(yǔ)言域名資源，將給域名濫用者或欺詐者帶來(lái)更大的操作空間。ICANN（TheInternetCorporationforAssignedNamesandNumbers）互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)是一個(gè)非營(yíng)利性的國(guó)際組織，成立于1998年10月，是一個(gè)集合了全球網(wǎng)絡(luò)界商業(yè)、技術(shù)及學(xué)術(shù)各領(lǐng)域?qū)＜业姆菭I(yíng)利性國(guó)際組織，負(fù)責(zé)互聯(lián)網(wǎng)協(xié)議（IP）地址的空間分配、協(xié)議標(biāo)識(shí)符的指派、通用頂級(jí)域名（gTLD）以及國(guó)家和地區(qū)頂級(jí)域名（ccTLD）系統(tǒng)的管理、以及根服務(wù)器系統(tǒng)的管理。（六）隨著寬帶中國(guó)戰(zhàn)略開始實(shí)施，國(guó)家下一代互聯(lián)網(wǎng)啟動(dòng)商用試點(diǎn)，以及無(wú)線城市的大規(guī)模推進(jìn)和云計(jì)算大范圍投入應(yīng)用，IPv6網(wǎng)絡(luò)安全、無(wú)線網(wǎng)安全和云計(jì)算系統(tǒng)及數(shù)據(jù)安全等方面的問題將會(huì)越來(lái)越多地呈現(xiàn)出來(lái)。（五）隨著ICANN正式啟動(dòng)新通用頂級(jí)域名（gTL45

（七）工業(yè)控制系統(tǒng)信息安全工作將全面展開。

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展，尤其是信息化和工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速推進(jìn)，工業(yè)控制系統(tǒng)產(chǎn)品廣泛采用通用協(xié)議、通用硬件和通用軟件，越來(lái)越多地以各種方式與公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散。為了應(yīng)對(duì)工業(yè)控制系統(tǒng)信息安全日益嚴(yán)峻的形勢(shì)，工業(yè)和信息化部日前印發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部451號(hào)文)，要求各地區(qū)、各有關(guān)部門、有關(guān)國(guó)有大型企業(yè)充分認(rèn)識(shí)工業(yè)控制系統(tǒng)信息安全的重要性和緊迫性，切實(shí)加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理，以保障工業(yè)生產(chǎn)運(yùn)行安全、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全。（七）工業(yè)控制系統(tǒng)信息安全工作將全面展開。46三、APT攻擊的特征及案例分析

（一）APT攻擊的定義

APT即高級(jí)可持續(xù)威脅（AdvancedPersistentThreat），也稱為定向威脅，是指某組織對(duì)某一特定對(duì)象展開的持續(xù)有效的攻擊活動(dòng)和威脅。這種攻擊活動(dòng)具有極強(qiáng)的隱蔽性和針對(duì)性，通常會(huì)運(yùn)用受感染的各種介質(zhì)、供應(yīng)鏈和社會(huì)工程學(xué)等多種手段實(shí)施先進(jìn)的、持久的且有效的威脅和攻擊。黑客個(gè)人的行為一般不能構(gòu)成APT攻擊，因?yàn)橥ǔＧ闆r下沒有足夠的資源來(lái)開展這種先進(jìn)且復(fù)雜的攻擊活動(dòng)。三、APT攻擊的特征及案例分析（一）APT攻擊的定義47

（1）持續(xù)性：攻擊者為了重要的目標(biāo)長(zhǎng)時(shí)間持續(xù)攻擊直到攻破為止。攻擊成功用上一年到三年，攻擊成功后持續(xù)潛伏五年到十年的案例都有。這種持續(xù)性攻擊下，讓攻擊完全處于動(dòng)態(tài)發(fā)展之中，而當(dāng)前我們的防護(hù)體系都是強(qiáng)調(diào)靜態(tài)對(duì)抗能力很少有防護(hù)者有動(dòng)態(tài)對(duì)抗能力，因此防護(hù)者或許能擋住一時(shí)的攻擊，但隨時(shí)間的發(fā)展，系統(tǒng)不斷有新的漏洞被發(fā)現(xiàn)，防御體系也會(huì)存在一定的空窗期：比如設(shè)備升級(jí)、應(yīng)用需要的兼容性測(cè)試環(huán)境等等，最終導(dǎo)致系統(tǒng)的失守。（二）APT攻擊的主要特征（1）持續(xù)性：（二）APT攻擊的主要特征48

（2）終端性：攻擊者雖然針對(duì)的是重要的資產(chǎn)目標(biāo)，但是入手點(diǎn)卻是終端為主。再重要的目標(biāo)，也是由終端的人來(lái)訪問的。而人在一個(gè)大型組織里，是難以保證所有人的安全能力與安全意識(shí)都處于一個(gè)很高水準(zhǔn)之上的。而做好每個(gè)人的終端防護(hù)比服務(wù)器端防護(hù)要困難很多。通過SQL注入攻擊了WEB服務(wù)器，一般也是希望利用他攻擊使用這些WEB服務(wù)器的終端用戶作為跳板滲透進(jìn)內(nèi)網(wǎng)。（二）APT攻擊的主要特征（2）終端性：（二）APT攻擊的主要特征49

（3）廣譜信息收集性：攻擊者會(huì)花上很長(zhǎng)的時(shí)間和資源，依靠互聯(lián)網(wǎng)搜集，主動(dòng)掃描，甚至真實(shí)物理訪問方式，收集被攻擊目標(biāo)的信息，主要包括：組織架構(gòu)，人際關(guān)系，常用軟件，常用防御策略與產(chǎn)品，內(nèi)部網(wǎng)絡(luò)部署等信息。（4）針對(duì)性：攻擊者會(huì)針對(duì)收集到的常用軟件，常用防御策略與產(chǎn)品，內(nèi)部網(wǎng)絡(luò)部署等信息，搭建專門的環(huán)境，用于尋找有針對(duì)性安全漏洞，測(cè)試特定的木馬是否能饒過檢測(cè)。（二）APT攻擊的主要特征（3）廣譜信息收集性：攻擊者會(huì)花上很長(zhǎng)的時(shí)間和資源，依靠互50（二）APT攻擊的主要特征（5）未知性：

攻擊者依據(jù)找到的針對(duì)性安全漏洞，特別是0DAY，根據(jù)應(yīng)用本身構(gòu)造專門的觸發(fā)攻擊的代碼。并編寫符合自己攻擊目標(biāo)，但能饒過現(xiàn)有防護(hù)者檢測(cè)體系的特種木馬。這些0DAY漏洞和特種木馬，都是防護(hù)者或防護(hù)體系所不知道的。（二）APT攻擊的主要特征（5）未知性：51（二）APT攻擊的主要特征（6）滲透性社工：

攻擊者為了讓被攻擊者目標(biāo)更容易信任，往往會(huì)先從被攻擊者目標(biāo)容易信任的對(duì)象著手，比如攻擊一個(gè)被攻擊者目標(biāo)的電腦小白好友或家人，或者被攻擊者目標(biāo)使用的內(nèi)部論壇，通過他們的身份再對(duì)組織內(nèi)的被攻擊者目標(biāo)發(fā)起0DAY攻擊，成功率會(huì)高很多。再利用組織內(nèi)的已被攻擊成功的身份再去滲透攻擊他的上級(jí)，逐步拿到對(duì)核心資產(chǎn)有訪問權(quán)限的目標(biāo)。（二）APT攻擊的主要特征（6）滲透性社工：52（二）APT攻擊的主要特征(7)隱蔽合法性：

攻擊者訪問到重要資產(chǎn)后，往往通過控制的客戶端，分布使用合法加密的數(shù)據(jù)通道，將信息竊取出來(lái)，以饒過我們的審計(jì)和異常檢測(cè)的防護(hù)。(8)長(zhǎng)期潛伏與控制：

攻擊者長(zhǎng)期控制重要目標(biāo)獲取的利益更大。一般都會(huì)長(zhǎng)期潛伏下來(lái)，控制和竊取重要目標(biāo)。當(dāng)然也不排除在關(guān)鍵時(shí)候破壞型爆發(fā)。（二）APT攻擊的主要特征(7)隱蔽合法性：53三、案例分析

目前APT攻擊發(fā)布細(xì)節(jié)出來(lái)的案例，基本都是以美國(guó)公布的。但是不代表APT攻擊只針對(duì)歐美，主要原因在于，美國(guó)由于IT技術(shù)的發(fā)達(dá)成為APT攻擊的首要目標(biāo)，而且很多高科技公司也是民營(yíng)的，而美國(guó)公司把針對(duì)安全事件發(fā)生后的調(diào)查和公布看作一種公司的誠(chéng)信行為，而其他很多國(guó)家因?yàn)楸还艉蟾?xí)慣捂蓋子的做法公開的很少。另一個(gè)原因是，美國(guó)在APT檢測(cè)和防御技術(shù)上具備一定的先進(jìn)性,使他們具備針對(duì)部分APT攻擊能及時(shí)發(fā)現(xiàn)，因此可以在攻擊一開始時(shí)就配合取證了解完整的攻擊過程與手法，而其他國(guó)家在這方面比較落后，發(fā)現(xiàn)時(shí)都是后期階段，只能清除而很難分析取證溯源了解整個(gè)攻擊過程與手法了。三、案例分析目前APT攻擊發(fā)布細(xì)節(jié)出來(lái)的案54APT攻擊案例中比較著名的有：1）針對(duì)GOOGLE等三十多個(gè)高科技公司的極光攻擊：

攻擊者通過FACEBOOK上的好友分析，鎖定了GOOGLE公司的一個(gè)員工和他的一個(gè)喜歡攝影的電腦小白好友。攻擊者入侵并控制了電腦小白好友的機(jī)器，然后偽造了一個(gè)照片服務(wù)器，上面放置了IE的0DAY攻擊代碼，以電腦小白的身份給GOOGLE員工發(fā)送IM消息邀請(qǐng)他來(lái)看最新的照片，其實(shí)URL指向了這個(gè)IE0DAY的頁(yè)面。GOOGLE的員工相信之后打開了這個(gè)頁(yè)面然后中招，攻擊者利用GOOGLE這個(gè)員工的身份在內(nèi)網(wǎng)內(nèi)持續(xù)滲透，直到獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問權(quán)限。竊取了MAIL系統(tǒng)中的敏感信息后，攻擊者通過合法加密信道將數(shù)據(jù)傳出。事后調(diào)查，不止是GOOGLE中招了，三十多家美國(guó)高科技公司都被這一APT攻擊搞定，甚至包括賽門鐵克這樣牛比的安全廠商。APT攻擊案例中比較著