腾讯安全反病毒实验室起底套路多变的内网攻击
月10日,2017世界物联网博览会信息安全高峰论坛在江苏省无锡市召开,吸引了来自政府相关主管部门、重要行业、高等院校、研究机构、物联网产业界、信息安全产业界等近千名中外嘉宾,探讨国家网络安全建设、国际发展动态、新技术新应用安全等相关重点问题,分享漏洞分析与风险评估理论、方法、技术和实践的最新进展及成果。
其中,腾讯电脑管家、腾讯安全反病毒实验室的技术专家刘桂泽出席了大会的风险评估分论坛,发表名为《基于边界检测感知内网攻击》的主题演讲,详细介绍了当下流行的内网攻击特征及趋势,并结合实例分享了如何通过边界安全检测感知内网攻击的经验。
内网攻击套路多三大手法防不胜防
5月席卷全球的WannaCry勒索病毒虽然已经远去,但给医院、高校、企业、政府等内网用户造成的困扰至今仍令人心有余悸。而事实上内网攻击的危害远不止于此,腾讯电脑管家、腾讯安全反病毒实验室技术专家刘桂泽在大会指出,伴随着信息安全技术的不断升级,内网攻击已逐渐呈现出漏洞利用产业化和规模化、社会工程学的精细化利用、供应链攻击三大趋势,而每一种攻击趋势又包含着“花样繁多”的攻击方式。
其中,通过安全漏洞发起攻击是不法分子的常用招数,然而在当下大量利用公开的漏洞触发代码(PoC),以及Angler、Nuclear Exploit kits等黑客工具被广泛使用的产业化和规模化背景之下,他们的攻击方式变得更加多样。据刘桂泽介绍,目前漏洞攻击主要有外部投递、横向移动以及辅助手段等方式,前段时间刚刚过去的WannaCry勒索病毒、Petya勒索病毒、XData新型勒索病毒就是应用了上述三种攻击方式。
除此之外,不法分子还会精细化地使用社会工程学发送钓鱼邮件、构造钓鱼网站以及网站挂马达到攻击目的。刘桂泽结合腾讯安全反病毒实验室前段时间起底的一批影响约200万人的挂马攻击,介绍了当下网站挂马的特点。他指出,不法分子会通过分析被攻击者的网络活动规律,寻找被攻击者经常访问网站的弱点,实施“水坑式”攻击,具体途径有入侵后台、广告投毒、DNS劫持、推广自建网站等形式。
除了直接向用户下手之外,不法分子还会发起供应链攻击,目标直指官方正版的软件,利用这些软件的海量用户基础,扩大传播范围。上个月,腾讯安全反病毒实验室就监控到一款主流的远程终端软件XShell被打包了恶意代码,运行此版本软件后,受害者电脑上会被植入后门,存在被不法分子远程控制的风险。
四道严格程序边界检测实现威胁感知
内网攻击在不断变换攻击手法的同时,始终保持不变的就是其隐蔽性,而在不断监测内网攻击的过程中,腾讯安全反病毒实验室已经摸索出一套感知方法——基于边界检测实现威胁感知,可以有效的捕捉到内网攻击的踪迹。据刘桂泽介绍,该方法通过敏感地址协议检测——漏洞检测——APT沙箱分析——安全大数据的分析路径,可以实现对APT、DDoS、Botnet等攻击的威胁感知。
其中,针对内网攻击中最不易察觉的APT攻击,刘桂泽着重介绍了上述方法中APT沙箱分析的技术实现过程,即在模拟虚拟用户环境的沙箱中,通过行为监控模块和环境防御模块分析文件的静态信息、行为信息、联网数据、同源线索,并通过后续严格的鉴定流程鉴别该文件的黑白属性和威胁情报,从而打破APT攻击的隐蔽性,斩断APT攻击的进攻链条。
依托腾讯安全反病毒实验室的感知方法,腾讯内部集合各个终端优势建立了立体化的防御体系防御内网攻击,即通过全面采集终端及网络日志、恶意进程深度分析、引入强大威胁情报并联动终端防御、通过轻量化的大数据平台分析威胁四大能力可以实现统一威胁管理、统一数据分析及提供云端接入SDK等功能。
与此同时,腾讯安全反病毒实验室还基于终端感知和新恶意样本形成的活跃威胁情报,与全球安全舆情整合,发布准确、全面的威胁态势,进一步增强边界检测的能力。