首页 公司 机构 空间 双创地图 推广通 活动 订阅
+企业号 +SaaS平台
    账号密码登录
  • 记住我
  • 立即登录
    免密码登录
  • 获取验证码
  • 立即登陆
第三方账号登录
·
·

Hello,新朋友

在发表评论的时候你至少需要一个响亮的昵称

GO
分享到

深度复盘:勒索病毒或将大爆发,你的手机也逃不过

时间:4天前 阅读:1763次 来源:Xtecher

这次黑客入侵引起了巨大恐慌,然而这很可能只是刚刚开始,更大的爆发或许就在不远的将来。


作者|赵逸禅

编辑|贾聪聪

网址|www.xtecher.com

微信公众号ID|Xtecher



5月12日晚,勒索病毒“WanaCrypt0r 2.0”席卷全球,它可以让被感染的电脑在10秒内锁住,文章被加密无法打开,至今仍无法被解密。全球至少150个国家和地区,包括医院、学校在内的许多个人用户企业及政府机构都遭受了蠕虫攻击


幸运的是,此次病毒高发时间是北京时间周五晚上,给我们留出了足够的应对时间。但本次袭击也暴露了我们在网络安全防范上存在的严重问题。


绿盟安全安全研究部总监左磊日前在中国计算机学会青年计算机科技论坛上表示,这次危害的创新性在于勒索程序和蠕虫相结合,黑客利用微软公开的漏洞补丁中修复的漏洞进行了攻击


听起来有些费解,但事实的确如此。公布漏洞补丁和用户下载安装之间有个时间差,而且公布的漏洞补丁介绍了漏洞详情,黑客利用这个时间差和漏洞详情就可以轻易攻入还没有及时修复漏洞的系统。如果用户在黑客攻击之前及时根据微软提供的漏洞补丁修复漏洞(微软当时没有发布Windows XP的补丁),就可以避免此类攻击(1day)。这是一个尴尬的存在。造成这个问题是原因是:一类是用户缺乏安全意识,不及时对系统进行修复,解决方式只能是用户增加安全意识。还有一类是用户想修复,但联网就会中招,这类问题安全厂商已经通过种种手段解决了(除少数特殊情况外)。


本文想要反思的是,PC之外,是否面临类似的勒索隐患?Xtecher调查发现,PC上的攻击只是冰山一角,其他设备处于更大的安全隐患中。因为,移动设备、车联网和物联网很难升级,安全厂商难以凭借一己之力抵御攻击。


碎片化的Android


据FreeBuf报道,早在2014年就已经出现了用短信传播病毒的Android手机勒索软件Koler。此后,勒索病毒的技术在不断升级,甚至出现了让受害者用语音说出解锁密码的奇葩勒索软件。以盗取网银为目的的木马也层出不穷。在移动支付等功能大规模普及的今天,移动硬件一旦遭受攻击,危害不亚于PC。


避免感染Android勒索软件的常用方法有以下几点:不要安装未知来源的应用程序;不要给手机中的应用提供不必要的权限;保证及时修补安卓的漏洞。


这些都能实现吗?


360互联网安全中心于2017年1月发布了《2016中国安卓系统安全性生态环境研究》。这份报告是基于360安全卫士的漏洞扫描随机抽取了70万台手机的用户分析而来的,检测内容涵盖了近两年来Android和Chrome36个主流漏洞,包括Android系统的各个层面,并且与设备本身无关。


报告显示,截止至2016年12月,现存用户中99.99%的Android手机存在安全漏洞,仅有0.01%的Android手机没有安全漏洞。其中,99.5%的手机存在被攻击者远程攻击的风险。


移动安全公司Trustlook创始人&CEO张亮接受Xtecher采访时表示,手机系统的安全更新是很困难的一件事,手机是厂商定制开发的,每个手机打补丁的方式都不同,并且都要做兼容测试,对厂商而言很困难。厂商在其维护周期内,通常会隔一段时间向用户推送一次升级版本,能做到每月1次更新的厂商寥寥无几,能够进行修复的,往往是少数高端机型,而用户在大多数情况下可以自主选择升级或不升级。综上,在Android系统的安全漏洞方面,也产生了严重的碎片化问题。


360的报告中也证实了这一观点,报告显示,综合对比用户手机系统的更新状态、安卓官方的更新状态和手机厂商的更新状态,与安卓官方最新更新情况相比,用户的手机系统平均滞后了约6.7个月;但如果与手机厂商已经提供该机型的最新版本相比,则平均只滞后了2.4个月,用户手机因未能及时更新而存在安全漏洞的重要原因之一,就是手机厂商普遍未能实现其定制开发的安卓系统与安卓官方同步更新,而且延时较大。


张亮认为,安卓系统更新不及时特别是很多中低端手机,主要是因为手机厂商优先从商业利益的角度来思考问题。安全不是不受重视,而是当安全和商业利益发生冲突时,厂商往往去牺牲安全而去单边保商业利益。这样造成的结果是,手机卖出后厂商不愿为用户提供后面几年的技术和升级支持。


张亮还表示,安卓代码是开源的,我们能很清楚的知道谷歌每月修补了哪些漏洞,在高端机修复漏洞的同时,也同时把漏洞昭告天下黑客,他们能在很短的时间内搞清楚漏洞在哪里,如何做利用去拿到手机控制权,现在利用漏洞并不是一件很难的事。我们过去曾看到每次当一个远程利用漏洞给修补后,黑客组织都有对4G和LTE网络进行大规模扫描,企图远程利用漏洞大规模入侵手机和平板等移动设备。


对此,谷歌一直在解决安卓碎片化的问题,据外媒报道,谷歌推出了Project Treble,在Project Treble的全新模块化体系下,谷歌直接将由芯片制造商用于控制底层程序的“Vendor Implementation(VI)”接口和整体的安卓框架分离,使新的供应商接口可以通过供应商测试套件进行验证。在此之前,每次有新系统,厂商就必须升级大量安卓代码,现在OEM(代工)商则可以跳过芯片供应商直接将新版系统推送给用户。


不安装未知来源的应用程序,就能保证你的手机安全吗?


2015年,ArkTeam和合天网安实验室联合发布的WormHole虫洞漏洞实验显示,一个由百度提供的软件开发包Moplus被曝内含后门,攻击者可以轻易利用这一后门侵入用户的Android移动设备。这个事件被称为“百度全家桶”,据不完全统计,百度云、百度新闻、爱奇艺视频等数十个应用均受影响。这个漏洞影响了许多安卓平台用户量过亿的App。


苹果手机IOS也非绝对安全。同样在2015年,IOS平台也发生了XCodeGhost事件,开发者使用了非苹果官方渠道的开发程序,导致正常的苹果APP被植入恶意代码,甚至连微信也没有幸免;2017年3月,有人发现不法分子通过滥用或购买企业证书打包非法App的情况;漏洞也可能发生在第三方,谷歌Project Zero员工Gal Beniamini公布了博通的Wi-Fi芯片的漏洞,漏洞可能导致受害者的设备被完全控制,相应机型的苹果和Android手机均会受到影响。


当手机恶意软件和蠕虫相结合,后果更不堪设想。5月13日,在GeekPwn举办的GeekPwn 年中赛上,来自腾讯玄武实验室的“X兴趣小组”就成功演示了一种新的移动安全威胁模型——手机僵尸,Wombie Attack。


这是一种全新的移动安全攻击思路。不但可以实现传染式的攻击,而且攻击过程不依赖互联网。攻击者会入侵附近的手机,并将手机改造成新的攻击者。


腾讯玄武实验室负责人于旸(tombkeeper)表示:“如果软件开发者对手机软件的安全性继续这么不重视的话,涉及移动设备的更大规模数字灾难迟早会发生。”


张亮告诉Xtecher,这个灾难的大规模爆发不是可能发生,而是一定发生,智能移动设备的普及是一个基础,目前已经普及完成。现在手机具备了支付功能,这又是一个基础。手机上的数据对地下黑产有了巨大的价值。最后,有重要数据的人会为此买单。


无法升级的物联网


相比于通常只会造成信息和财产损失的手机,一旦智能网联汽车、物联网遭受攻击,受影响就可能是人身安全了,如果说Android是碎片化不易升级,那么物联网、智能网联汽车就是几乎无法升级。在这里,我们以智能网联汽车为例进行说明。


“其实安全问题很容易变成这样,在没出问题之前大家都觉得不是问题,好像做什么都是杞人忧天。”中国软件评测中心的智能网联汽车测试工程师薛晓卿对Xtecher说,“PC或者手机被入侵,对个人来说的话可能就是丢失一些个人信息,最多造成财产的损失,但如果汽车被入侵的话,可能损失的就不光是论文或者资料了。”


2016年的腾讯互联网安全领袖峰会上,GeekCar参与协办了“智能汽车安全分会场”,会上,腾讯科恩实验室薛伟透露,最近也有黑客在研究荣威RX5,通过挟持手机App 来打开车门车窗。关于针对汽车的攻击,就连TPMS 胎压监测也可能成为入口,胎压过低就会自动刹车,从而对用户造成危险。


就在2016年的9月20日,科恩实验室完成了全球首次“远程入侵”特斯拉的壮举。此次攻击通过特斯拉车辆的互联网络实现,这是他们能够实现“远程无物理接触”的前提。


相比PC,车企修复联网汽车的软件漏洞要更为困难,只能通过召回和OTA升级来解决,但特斯拉这种通过OTA升级来解决问题的车企还是少数,因为一旦开启了OTA,意味着系统反而可能会被病毒“升级”。


另据2016年9月30日外媒报道,安全专家称,黑客利用多达100万台中国造摄像头、数字视频录像机和其他设备,生成造成攻击目标不能被正常访问的网络流量。Level 3发现,在最近的攻击中,中国厂商大华生产的摄像头和视频录像机“功不可没”。专家还表示,黑客通常通过感染有恶意件的计算机或不安全的WiFi路由器劫持联网设备,并能借此发动攻击。


应对措施


近日,阿里云安全专家吴翰清以及亚马逊AWS首席云计算技术顾问费良宏在接受猎云网采访时表达了对此事件的分析。


吴翰清认为,目前大部分学校基本都是一个大的内网互通的局域网,网内单台计算机都可连接互联网,如果学校没有使用合适的安全策略,所有机器都将直接在互联网上暴露。


费良宏说:“很多企业都认为,内网是一个一劳永逸的办法。所以他们更加忽视了内网信息安全防控。但我们必须承认,当企业实行了内外网隔离,但又缺乏相应严格的安全标准执行,并且长期处于安全监控和防范技术缺失的情况下,存在大量安全漏洞的专属网络,肯定会成为被攻击的对象,并且爆发程度更严重。”


那么,公有云是合适的解决方案吗?但如果所有的数据都在云里,黑客成功攻击云的收益会不会更大?


360首席安全官谭晓生在中国计算机学会青年计算机科技论坛上表示,云里面的虚拟机可能被感染,云用户的系统有各种各样的版本,没打补丁的都会中招。但是放在云储里面是不是就安全了?这也不可能是百分之百保证的。


他解释说,(在云服务器上)通过多个渠道重复存储或传输数据以防止数据的丢失是成立的,因为一个利用漏洞的蠕虫只会影响一类系统,而这不是云本身的安全。此外,云服务商往往有专门团队看着,补丁打得及时,比在自己的电脑上安全系数高一点。不过,“放在云里就安全了”的说法从逻辑上来讲是不可能成立的。


那么,我们究竟应该如何进行安全防护?


对于互联网企业,在线教育企业VIPKID公司安全团队带头人Secsky结合自己从零开始建立安全团队的经历,在2017 FreeTalk北京站上进行了分享。他认为,企业需要做的是建设+运营的工作,实际上是循环的过程,企业在挖掘安全需求,确认安全目标进行安全规划和体系建设后,需要持续地进行安全运营和体系优化完善,这个过程应该伴随企业的成长。


近日,斗象科技CTO张天琪向Xtecher介绍了漏洞盒子企业SRC,它是一个一站式企业SRC托管服务平台。平台内汇集安全专家资源,拥有国际漏洞审核体系,并能企业级定制,帮助企业保证安全的同时避免企业不必要的投入。


Android系统的安全只能依赖于厂商,对于应用的安全,张亮在接受采访时表示,Trustlook开发了融入AI算法的静态和动态病毒查杀引擎。二者机制不同,基本上是对立、互补的关系。动态引擎指通过软件的真实行为数据来定位恶意软件/恶意行为。与之相对应的是静态引擎,根据软件的代码特征来找到恶意软件。传统的移动厂商只用静态引擎,在病毒检测准确率和反应时间上都很滞后。移动端的动态查杀引擎是Trustlook从成立开始独创的技术,在其成熟之后也做了自己的静态引擎。这套解决方案可以全平台通用,并可针对不同用户进行需求定制。


薛晓卿谈及智能车联网的安全时认为,汽车的升级接口肯定要留,我们不能因为害怕被利用而不去研究更便捷的技术,但为了防止病毒升级,必须做好接口的防护工作,同时,还要结合市场综合考虑是否能在车辆端加隔离设备及其成本,是否会影响现有系统,通过软件实现的可靠性及被破解的风险。但无论如何,为了安全,这些措施都是必不可少的。


阿里云安全专家祝建跃认为,整个IOT行业的安全解决方案要从芯片做起。IOT的安全要conver是端+管道+云三大部分,本质还是要将安全做到事前预防。


中关村网络安全与信息化产业联盟企业移动计算工作组组长王克向Xtecher提出了意见:“无论是移动网络、固定网络,还是物联网,甚至独立的智能设备,软件是网络功能实施者也是网络安全事件的制造者,因此,加强网络空间软件管控将是网络安全建设的核心任务。针对当前我国的移动终端安全问题,应该实施移动app开发审核、实名签名与验证机制,建立移动软件安全服务产业。首先从政府和企业的移动信息网络做起,建立规范的移动应用市场生态,逐步影响和辐射到移动消费市场,促进中国移动信息化健康可持续发展。”


投入远远不足


目前,信息资源对人类社会的重要性超过了能源和物质资源,成为社会生产力中起主导作用的因素,其必要性和重要性已经被世人认同。随着国内信息化建设的发展,信息安全领域的竞争也在不断推进,行业在不断发展,在这个过程中,我们也面临种种挑战。


联想之星投资副总裁胡国中向Xtecher表示安全行业的投资很难,他认为,难点在于市场规模和技术原创,目前假自主自主知识产权,OEM,招投标的不透明控标行为,阻碍了中国独立安全公司的发展,因此希望国家在制度层面有所改革与创新,给有技术创新力的小公司以发展空间。威客安全的创始人兼CEO陈新龙对该观点表示认同并补充说,市场拓展能力、技术核心竞争力以及良好的公司管理制度也很重要。因此,投资安全行业是很难的一件事。


拥有国内外200余家安全公司,1000余款安全产品,10万+安全从业者的威客安全是一家基于“互联网+安全”模式的网络与信息安全产业平台。其发布的《2016年“信息安全”项目公开招标大数据》显示,据不完全统计,2016年全国“安全项目”公开招标共计607标,总额达14.6亿RMB。威客安全的创始人兼CEO陈新龙表示,中投顾问发布的《2016-2020年中国信息安全产业投资分析及前景预测报告》指出美国信息安全投资占IT总投资占比约为10%左右,而我国这一比例不到2%,投入远远不足。


胡国中认为,虽然投入占比远远不足,但是随着网络安全法的落地,中国的新创网络安全企业会有一个爆炸式的发展,比如在物联网安全、云安全和数据安全等方面。接下来,网络安全将围绕去边界化、云化、智能化的维度快速发展,不管是从技术层面还是理念层面来说,我们都会在10年左右的时间后达到美国安全行业的水平。


结语


1983年,凯文米特尼克因被发现使用一台大学内部电脑擅自进入Internet的前身ARPA网,并通过该网入侵美国五角大楼电脑,而被判管教6个月。这一事件成为黑客攻击的开山之作。


在这篇文章中,我们仅仅从入侵的角度来分析,个人信息的数据泄露往往不会像勒索软件这样引人注目。黑客攻击只是信息安全的一部分。


Shadow Brokers泄露漏洞的时间是在4月14日,勒索软件攻击在5月12日爆发后,有人依旧中招,甚至有人恐慌到不敢开机。日前,Shadow Brokers发布了一篇声明,将从2017年6月开始公布更多0day漏洞,然而留给我们的时间不多了。


下个“永恒之蓝”或将6月爆发,我们还会幸运吗?


参考资料


1. 左磊. YOCSEF论坛速递:绿盟信息安全左磊《勒索软件技术分析的技术报告》[EB/OL]. http://xtecher.com/Xfeature/view?aid=5943, 2017-05-17


2. cindy. 用短信传播病毒:最新Android手机勒索软件Koler[EB/OL]. http://www.freebuf.com/news/48928.html, 2014-10-28


3. Alpha_h4ck. 这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码[EB/OL]. http://www.freebuf.com/news/127810.html, 2017-03-08


4. 360互联网安全中心. 2016中国安卓系统安全性生态环境研究[EB/OL]. http://zt.360.cn/1101061855.php?dtid=1101061451&did=490226409, 2017-01-16


5. 锐志. 谷歌再出手整治安卓碎片化推Project Treble加速系统升级[EB/OL]. http://tech.qq.com/a/20170514/016207.htm, 2017-05-14


6. hh619. 实验详解WormHole虫洞漏洞——百度moplus后门揭秘[EB/OL]. http://bbs.kafan.cn/thread-1862013-1-1.html, 2015-11-06


7. Gmxp. 你以为这就是全部了?我们来告诉你完整的XCodeGhost事件[EB/OL]. https://security.tencent.com/index.php/blog/msg/96, 2015-09-19


8. venkkk. 专坑国人!不法分子正大量滥用苹果iOS企业证书[EB/OL]. http://www.freebuf.com/news/129066.html, 2017-03-13


9. Gal Beniamini. Over The Air: Exploiting Broadcom’s Wi-Fi Stack[EB/OL]. https://googleprojectzero.blogspot.com/2017/04/over-air-exploiting-broadcoms-wi-fi_4.html, 2017-04-04


10. 白书记. 汽车越来越智能,bug 也越来越多,专家们都是怎么看的?[EB/OL]. http://geekcar.com/archives/53600, 2017-03-08


11. 白书记. 全球首次!腾讯科恩实验室成功“远程入侵”特斯拉[EB/OL]. http://geekcar.com/archives/50706, 2016-09-16


12. 王艺多. 比特币勒索病毒的爆发,或促使公有云时代全面到来[EB/OL]. http://www.lieyunwang.com/archives/312851, 2017-05-18


13. 霜叶. 黑客借大量摄像头等联网设备发动大规模互联网攻击[EB/OL]. http://tech.ifeng.com/a/20160930/44460982_0.shtml, 2016-09-30


14. Elaine. 数据清洗、智能网联汽车与企业安全建设:FreeTalk北京站看点回顾[EB/OL]. http://www.freebuf.com/fevents/133993.html, 2017-05-09


15. 赵逸禅. 方程式组织黑客工具包再曝光,曾经瞄准银行黑掉全世界?[EB/OL]. http://xtecher.com/Xfeature/view?aid=5234, 2017-04-17

声明:该文章版权归原作者所有,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系。

评论

游客

    为您推荐
  • 推荐
  • 人物
  • 话题
  • 干货
  • 地方
  • 行业
+加载更多资讯

阅读下一篇

尿大夫与建发医药达成战略合作 共同推广智能尿检

尿大夫与建发医药达成战略合作 共同推广智能尿检

返回创头条首页

©2015 创头条版权所有京ICP备15013664号RSS