一、恶意软件与恶意网址
(一)恶意软件
1. 2019年病毒概述
(1)病毒疫情总体概述
2019年瑞星“云安全”系统共截获病毒样本总量1.03亿个,病毒感染次数4.38亿次,病毒总体数量比2018年同期上涨32.69%。报告期内,新增木马病毒6,557万个,为第一大种类病毒,占到总体数量的63.46%;排名第二的为蠕虫病毒,数量为1,560万个,占总体数量的15.10%;灰色软件、后门、感染型病毒等分别占到总体数量的6.98%、6.31%和5.21%,位列第三、第四和第五,除此以外还包括漏洞攻击和其他类型病毒。
图:2019年病毒类型统计
(2)病毒感染地域分析
报告期内,广东省病毒感染人次为4,452万,位列全国第一,其次为北京市及山东省,分别为3,308万及2,898万。
图:2019年病毒感染地域分布Top10
2. 2019年病毒Top10
根据病毒感染人数、变种数量和代表性综合评估,瑞星评选出2019年1至12月病毒Top10:
3. 勒索软件和挖矿病毒
勒索软件和挖矿病毒是2019年的主流,报告期内瑞星“云安全”系统共截获勒索软件样本共174万个,感染次数为224万次;挖矿病毒样本总体数量为213万个,感染次数为1,628万次。
瑞星通过对捕获的勒索软件样本进行分析后发现,GandCrab家族占比78%,成为第一大类勒索软件,其次是Genasom家族和Lyposit家族,均占到总量的6%。
图:2019年勒索软件家族分类
另外,瑞星针对所有上报用户中230家进行抽样调查,其中政府用户占比达到34.78%,位列第一,其余还有电信、医疗、中小企业等用户均遭受勒索软件威胁,感染设备包括本地服务器和云主机。
图:2019年勒索病毒样本上报用户占比
挖矿病毒在2019年异常活跃,瑞星根据病毒行为进行统计,评出2019年挖矿病毒Top10:
勒索软件感染人次按地域分析,北京市排名第一,为72万,第二为广东省30万,第三为山东省13万。
图:2019年勒索软件感染地域分布Top10
挖矿病毒感染人次按地域分析,浙江省以199万次位列第一,其次是广东省194万次,第三位为江苏省106万次。
图:2019年挖矿病毒感染地域分布Top10
(二)恶意网址
1. 2019年全球恶意网址概述
2019年瑞星“云安全”系统在全球范围内共截获恶意网址(URL)总量1.45亿个,其中挂马类网站1.2亿个,钓鱼类网站2,454万个。美国恶意URL总量为5,612万个,位列全球第一,其次是德国848万个和墨西哥649万个,分别为二、三位。
图:2019年全球恶意URL地域分布Top10
2. 2019年中国恶意网址概述
报告期内,瑞星“云安全”系统所截获的恶意网址(URL)在中国范围内排名,第一位为香港,总量为119万个,其次为北京市和广东省,分别为55万和49万。
图:2019年中国恶意URL地域分布Top10
3. 2019年钓鱼网站概述
报告期内,瑞星“云安全”系统拦截钓鱼攻击次数总量为81万次,其中广东省为13万次,排名第一;其次为北京市和江苏省,分别为7万次和6万次。
图:2019年钓鱼攻击地域分布Top10
4. 2019年挂马网站概述
报告期内,瑞星“云安全”系统拦截挂马攻击次数总量为9万次,其中浙江省为5万次,排名第一;其次为北京市和辽宁省,分别为1万次和7千次。
图:2019年挂马攻击地域分布Top10
二、移动安全
(一)手机安全
1. 2019年手机病毒概述
2019年瑞星“云安全”系统共截获手机病毒样本344万个,病毒总体数量比2018年同期下降46.25%。病毒类型以信息窃取、资费消耗、流氓行为、恶意扣费等类型为主,其中信息窃取类病毒占比30%,位居第一;其次是资费消耗类病毒占比19.39%,第三名是流氓行为类病毒占比16.37%。
图:2019年手机病毒类型比例
2. 2019年1至12月手机病毒Top5
3. 2019年Android手机漏洞Top5
(二)2019年1至12月移动安全事件
1. 苹果FaceTime曝重大漏洞,用户可以轻易被“监听”
苹果FaceTime功能被发现存在一个重大漏洞,在社交媒体上疯狂传播。当有人使用FaceTime打电话给其他任何人,这个漏洞可以让使用者在对方接听或拒绝来电之前,立即通过手机听到他们的声音。
有记者通过验证发现,当使用iPhone发起一宗FaceTime视频通话,当处在拨号过程中,从屏幕下方上滑屏幕,点击添加联系人,输入自己的号码,这在系统显示上就会发起一个包括记者自己在内的三方通话,然后记者就可以听到对方的声音,即使对方并未接听。
2. 三星两款手机被曝高危漏洞
三星Galaxy S10和Note10两款手机搭载的超声波指纹识别存在安全漏洞。使用者在手机屏幕上放置特定的硅胶保护壳后,未登录的指纹也能成功解锁。
在媒体曝出指纹解锁存在安全漏洞的第二天,三星电子发表声明,承认了指纹识别程序存在漏洞,解释称这不是机器缺陷而是软件问题,可以通过软件更新进行完善。
3. 一加手机遭受数据泄露
智能手机供应商一加(OnePlus)遭受了涉及客户名称,电话号码,电子邮件地址和送货地址的数据泄露。
未经授权的一方在某个时候可以访问包含客户订单信息的数据库。幸运的是,支付卡或密码信息并没有泄露。
一加并未透露有多少客户陷入该漏洞,或者黑客在受影响的数据库中呆了多长时间。显然,黑客通过基于网站的安全漏洞获得了访问权限。这不是一加第一次遭受信息泄露。一年前,由于黑客在OnePlus.net网站上注入了恶意计算机脚本,该公司网站上多达40,000个客户的付款卡详细信息可能被盗。
4. 谷歌Pixel4面部解锁功能存在重大安全漏洞:闭眼也能解锁
谷歌的Pixel4系列推出后不久,就有外媒发现了新设备面部解锁功能的一些问题。用户即使闭着眼睛也可以使用面部解锁来解锁Pixel4。
这显然是一个重大漏洞,会使攻击者无需得到手机主人的许可即可轻松地解锁该设备,例如用户在睡觉或是被束缚,Pixel4都能被解锁。
Google的面部解锁支持页面也证实了这一点,支持页面甚至警告用户将设备放在安全的地方,以避免此类攻击。
5. AirDoS攻击能远程让附近的iPhone或iPad设备无法使用
有人发现了一个存在于iOS系统中的DoS问题,暂且把它命名为AirDoS(隔空DoS),该bug能让攻击者一直用AirDrop共享弹出窗口向附近的iOS设备发送垃圾消息。
此共享弹出窗口会阻止用户界面,因此设备所有者将无法在设备上执行任何操作,只有选择弹出窗口上的接受或是拒绝按钮,而且弹出窗口会反复再现,即使设备在锁定后,也一样会持续发生。
6. 可伪装成正常应用程序,安卓又见新型漏洞Strandhogg
这个漏洞被称为Strandhogg,目前已经有几十个恶意应用利用了这个漏洞来窃取用户的银行信息和其他的登入数据。
这个Strandhogg漏洞是利用安卓的多任务处理功能,使安装在安卓系统上的恶意应用可以伪装成该设备上的任何其他应用程序,包括任何需要特权的系统应用程序。换句话说,当用户点击一个正常应用程序的图标时,利用Strandhogg漏洞的恶意应用可以拦截劫持这个任务并且向用户显示一个虚假的应用界面,而不是启动那个正常的应用程序。
透过误导用户让他们以为打开的是一个正常的应用程序,这个漏洞可以使恶意应用以虚假的登录界面来窃取用户的数据。
7. 5G的缺陷:允许设备指纹识别和中间人攻击
5G使用的许多安全协议和算法都继承于之前的4G标准,有研究人员之前就发现过4G安全性的问题,利用这些安全漏洞可以进行设备指纹攻击和中间人攻击。
在黑帽2019召开的名为“5G网络中的新漏洞“的会议上有人指出,在5G中与4G一样,设备的功能性信息在任何保护被植入连接前就被发送到了基站。无线安全性包括从终端到基站的流量加密,但是由于设备功能性信息在开始之前传输,因此它们以明文形式显示。
8. 一张贴纸破解顶级FaceID
只需用普通打印机打出一张带有图案的纸条贴在脑门上,就能让目前业内性能领先的公开 Face ID 系统识别出错。
有人测试,在贴上纸条以后,即使没有遮住脸,系统也会把 Person_1 识别成另外一些人「0000663」和「0000268」等。
使用对抗样本攻击图像识别系统,在人工智能领域里已经不算什么新鲜事了,但是想要在现实世界里做到无差别攻击,还是人脸识别这种数千万人都在使用的应用技术,这就显得有些可怕了。使用这种新方法,人们可以轻松地打印一个破解纸条贴在脑门上,随后让 AI 识别的准确率显著下降。
三、CVE漏洞
(一)2019年CVE漏洞利用率Top10
报告期内,瑞星根据漏洞被黑客利用程度进行分析,评选出2019年1至12月份漏洞Top10:
1. CVE-2014-6332 IE浏览器远程代码执行漏洞
CVE-2014-6332是微软2014年11月11日公布的一个潜藏了18年的IE浏览器远程代码执行漏洞,影响IE版本为IE3-IE11。漏洞出现在VBS脚本引擎中,自Windows 95首次发布以来就一直存在。VBS引擎在执行Redimarray(nNum)时,即重定义数组时,会调用OLEAUT32.dll模块里面SafeArrayRedim函数,该函数内部处理逻辑不严谨,使用了错误的条件跳转指令,而且当传入的nNum足够大时,函数内部的数组空间申请会失败,SafeArrayRedim函数不做任何处理直接返回,导致返回时已经将nNum写入数组结构,后续对该数组便可以随意“越界”访问。
2. CVE-2016-7255 Win32k 特权提升漏洞
CVE-2016-7255漏洞是一个Windows内核提权漏洞,影响:Microsoft Windows VistaSP2,Windows Server 2008 SP2和R2 SP1,Windows7 SP1,Windows8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows10 Gold,1511,1607,Windows Server 2016。攻击者可利用该漏洞在内核模式下执行任意代码。多个APT组织在攻击活动中使用了该内核提权漏洞进行攻击。
3. CVE-2017-11882 Office远程代码执行漏洞
该漏洞又称公式编辑器漏洞,2017年11月14日,微软发布了11月份的安全补丁更新,悄然修复了潜伏17年之久的Office远程代码执行漏洞CVE-2017-11882。该漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。漏洞出现在模块EQNEDT32.EXE中,该模块为公式编辑器,在Office的安装过程中被默认安装。该模块以OLE技术将公式嵌入在Office文档内。由于该模块对于输入的公式未作正确的处理,攻击者可以通过刻意构造的数据内容覆盖掉栈上的函数地址,从而劫持程序流程,在登录用户的上下文环境中执行任意命令。
4. CVE-2010-2568 Windows LNK快捷方式漏洞
该漏洞影响Windows XP SP3,Server 2003 SP2,Vista SP1和SP2,Server 2008 SP2和R2和Windows 7。Windows没有正确地处理LNK文件,特制的LNK文件可能导致Windows自动执行快捷方式文件所指定的代码。
5. CVE-2017-0147 Windows SMB协议漏洞MS17-010
2017年5月份 Shadow Brokers 公布了他们从Equation Group窃取的黑客工具,其中包含“永恒之蓝”等多个MS17-010漏洞利用工具。MS17-010对应CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148等多个SMB漏洞。这份工具的泄露直接导致了后来WannaCry病毒的全球爆发,包括中国在内的至少150多个国家,30多万名用户中招,并且金融、能源、医疗等众多行业皆受影响,据统计其造成损失高达80亿美元。此后各种利用MS17-010漏洞的病毒疯狂增长,影响深远。
6. CVE-2012-0158 Microsoft Office栈溢出漏洞
CVE-2012-0158漏洞出现在MSCOMCTL.OCX,是微软Office系列办公软件在处理MSCOMCTL的ListView控件的时候由于检查失误,导致攻击者可以通过构造恶意的文档执行任意代码。
7. CVE-2017-0199 Microsoft Office逻辑漏洞
此漏洞的成因主要是Word在处理内嵌OLE2LINK对象时,通过网络更新对象时没有正确处理的Content-Type所导致的一个逻辑漏洞。该漏洞利用Office OLE对象链接技术,将包裹的恶意链接对象嵌在文档中,Office调用URL Moniker将恶意链接指向的HTA文件下载到本地,URL Moniker通过识别响应头中content-type的字段信息最后调用mshta.exe将下载到的HTA文件执行起来。
8. CVE-2010-0188 TIFF图像处理缓冲区溢出漏洞
Adobe Reader和Acrobat TIFF图像处理缓冲区溢出漏洞,Adobe 在解析TIFF 图像文件的时候,使用了开源库代码 (libtiff) 存在堆栈溢出的bug,漏洞出在对DotRange属性的解析上。该漏洞被多个APT组织在攻击行动中所使用。
9. CVE-2011-2140 Adobe Flash Player远程内存破坏漏洞
Adobe Flash Player是一款Flash文件处理程序。Adobe Flash Player存在一个内存破坏引起的远程代码执行漏洞,攻击者构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意代码。
10. CVE-2009-0927 Adobe Acrobat和Reader Collab getIcon() JavaScript方式栈溢出漏洞
Adobe Acrobat和Reader没有正确地处理PDF文档中所包含的恶意JavaScript。如果向Collab对象的getIcon()方式提供了特制参数,就可以触发栈溢出。成功利用这个漏洞允许以当前登录用户的权限完全控制受影响的机器。
(二)2019年最热漏洞分析
1. CVE-2019-0708 远程桌面服务远程执行代码漏洞
2019年5月14日,微软发布了一个针对远程桌面服务(终端服务)远程代码执行漏洞(CVE-2017-0708)的漏洞补丁。该漏洞影响多个旧版本的Windows操作系统。此漏洞是预身份验证,无须用户交互,可以被网络蠕虫利用,可能出现类似WannaCry类似的蠕虫爆发。该漏洞影响多个Windows操作系统,从Windows XP到Windows Server 2008。因为影响较大微软给停止服务的Windows XP和2003 系统也发布了漏洞补丁。因漏洞危害等级高影响较大,该漏洞被命名为BlueKeep。
2. CVE-2018-20250 WinRAR目录穿越漏洞
2019年2月20日,Check Point团队爆出了一个关于WinRAR存在19年的漏洞,用它可以获得受害者计算机的控制。该漏洞是由于WinRAR 使用一个陈旧的动态链接库UNACEV2.dll所造成的,该动态链接库在2006 年被编译,作用是处理ACE 压缩格式文件。而在解压处理过程中存在一处目录穿越漏洞,允许解压过程写入文件至开机自启动文件夹,可以导致恶意代码重启执行。后期通过该漏洞投递的病毒大量出现。
3. CVE-2019-1181/1182远程桌面服务远程执行代码漏洞
2019年8月14日,微软发布了一套针对远程桌面服务的修复补丁,其中包括两个关键的远程执行代码(RCE)漏洞CVE-2019-1181和CVE-2019-1182。与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样,攻击者可以利用该漏洞制作类似于2017年席卷全球的WannaCry类的蠕虫病毒,进行大规模传播和破坏。
4. CVE-2019-1040/1019 Windows NTLM认证漏洞
2019年6月12日,微软官方在6月的补丁日中发布了漏洞 CVE-2019-1040的安全补丁,攻击者可以利用该漏洞绕过NTLM MIC(消息完整性检查)。攻击者可以修改NTLM身份验证流程中的签名要求,完全删除签名验证,并尝试中继到目标服务器,不强制执行签名的服务器都易受到攻击。通过这种攻击能使攻击者在仅有一个普通域账号的情况下可远程控制 Windows 域内的任何机器,包括域控服务器。
5. CVE-2019-2891/2890 WebLogic反序列化漏洞
2019年10月Oracle 官方发布安全公告,披露 WebLogic 存在多个高危漏洞。黑客利用漏洞可以远程获取 WebLogic 服务器权限,风险较大。CVE-2019-2890 未经授权的攻击者则通过构造T3协议请求,绕过 WebLoigc 的反序列化黑名单,CVE-2019-2891 未经授权的攻击者可以通过精心构造的 HTTP 请求向 Console 组件发起请求。利用两个漏洞都能够接管 WebLogic 服务器,危害较大。
6. CVE-2019-8912 Linux内核本地提权漏洞
2019年3月8日,Linux git仓库中发布一个 commit 补丁,修复了Linux内核中的一个本地权限提升漏洞。该漏洞出现在内核’crypto/af_alg.c’中的 af_alg_release 函数中,触发漏洞可以导致本地代码进行权限提升。
7. CVE-2019-0211 Apache HTTP 服务组件提权漏洞
2019年4月3日,开源软件Apache官方发布2.4.39版本的更新,修复了一个编号为CVE-2019-0211的权限提升漏洞。攻击者通过上传CGI脚本可直接造成目标系统的提权攻击,影响Unix平台下的Apache 2.4.17到2.4.38版本,该漏洞危害严重影响较大。
8. CVE-2019-11043 PHP远程代码执行漏洞
2019年9月26日,PHP官方发布了一则漏洞公告,公告中官方披露了一个远程代码执行漏洞。该漏洞存在于PHP-FPM + Nginx组合使用并采用一定配置的情况下。该漏洞PoC已在2019年10月22日公布,PHP与Nginx组合使用的情况较为广泛,攻击者可利用该漏洞远程执行任意代码,所以危害性较大。
9. CVE-2019-0841 Windows DACL权限覆写权限提升漏洞
Windows AppX Deployment Service (AppXSVC)在处理硬链接不当时存在权限提升漏洞,该漏洞允许低权限的用户通过覆写目标文件的权限来劫持属于NT AUTHORITY\SYSTEM的文件。成功利用就可以使低权限的用户获得对目标文件的完全控制权限。
10. CVE-2019-0863 Windows中错误报告机制引起的提权漏洞
Windows Error Reporting(WER,Windows错误报告)组件中的一个漏洞,根据微软的安全公告,攻击者一直在实际环境中利用该漏洞发起攻击,攻击活动直到2019年5月份微软推出安全补丁才暂告一段落。该漏洞可以用来提升至系统权限。
四、互联网安全
(一)2019年全球APT攻击事件解读
1. 越南背景“海莲花”
2019年,据外媒报,日本丰田遭到“海莲花”攻击,约有310万的****被泄露,并且此次攻击还不是第一次。在此之前,丰田位于澳大利亚的子公司就已经遭遇类似攻击。不只是丰田,其他多个国家的重要机构,制造业、能源等领域也是“海莲花”的重点攻击目标。“海莲花”又称APT 32 (Mandiant),OceanLotus (SkyEye Labs), Ocean Buffalo (CrowdStrike),是近几年针对中国攻击最频繁的APT组织之一。有信息表明该组织为越南背景,由国家支持,其攻击目标包括但不限于中国、东盟、越南中持不同政见者和记者,擅长信息盗取和进行间谍活动,常使用Microsotf Office漏洞,自研或开源工具,如Cobalt Strike,Cuegoe,Terracotta VPN,PowerSploit,Salgorea等。
图:“海莲花”攻击目标
2. 朝鲜背景Lazarus Group
2019年,印度Kudankulam核电厂遭到网络攻击,通过对其使用的攻击武器Dtrack分析,疑似APT组织Lazarus所为。Lazarus Group又称Lazarus Group (Kaspersky),Labyrinth Chollima (CrowdStrike),Group 77 (Talos),Hastati Group (SecureWorks),Zinc (Microsoft),是来自朝鲜政府的一个威胁团体,2014年索尼影业入侵事件,2016年盗窃孟加拉国央行和2017年影响全球的勒索病毒WannaCry都疑似其所为。Lazarus Group至少从2009年就开始活跃,除了擅长信息盗取,进行间谍活动,还会蓄意破坏获取经济利益,攻击的国家包括但不限于中国、德国、澳大利亚、日本,涉及的行业有政府、工程、金融和比特币交易所等。
图:Lazarus Group攻击目标
3. 伊朗背景APT33
据报道,2019年10至11月左右,近一个月的时间,APT33已经瞄准了数十家工业设备和软件公司。不仅如此,今年APT33一直在使用多台能实时指挥和控制的服务器针对美国等国家进行攻击。APT33又称Elfin (Symantec),于2015末或2016年初开始活跃起来,长期对沙特***和美国进行攻击,是一支不仅进行情报窃取,还发动破坏性攻击的国家级黑客精英组织。在过去三年中,至少袭击了沙特的50个组织,美国的18个组织,其中包括许多财富500强公司,主要针对的行业是航空、国防、能源和石化等。
图:APT33攻击目标
4. 伊朗背景MuddyWater
2019年,MuddyWater疑似向伊拉克KorekTelecom电信公司发动网络攻击。同年,MuddyWater针对土耳其库尔德政治团体和组织的基础设施等进行攻击。MuddyWater又称Seedworm (Symantec),TEMP.Zagros (FireEye),Static Kitten (CrowdStrike),自2017年以来就一直活跃,主要针对中东国家进行盗取信息和间谍活动。研究发现,尽管巴基斯坦的受害者占多数,但最活跃的目标似乎是:沙特***、阿联酋和伊拉克,攻击的部门包括但不限于国防、政府、电信、教育、IT、石油、运输,攻击重点主要放在政府、电信公司和石油公司上。
图:MuddyWater攻击目标
5. 印度背景“蔓灵花”
2019年,某组织针对中国仿建了大量和中国重要领域相关的钓鱼网站,例如中华人民共和国外交部邮件系统登录页面,中航技进出口有限责任公司电子邮件登录页面和国家发展改革委互联网安全电子邮件系统登录页面等,通过分析域名,疑似“蔓灵花”所为。不仅如此,还发现了“蔓灵花”针对中国外交部等重要部门发动的网络攻击样本,并且在“蔓灵花”所使用的木马服务器lmhostsvc.net控制后台中发现了部分中国被攻陷的IP。“蔓灵花”又称BITTER,T-APT-17,疑似来自印度,于2016由美国安全公司Forcepoint首次曝光,长期针对中国和巴基斯坦进行攻击,攻击的行业有政府、军工和核能企业等。
图:“蔓灵花”攻击中国事件
(二)2019年“响尾蛇”针对中国攻击事件
1. 攻击事件回顾
2019年,APT组织“响尾蛇”先后对我国发动多起攻击事件,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等。
图:历史事件
攻击事件1:
2019年6月,APT组织“响尾蛇”投递的诱饵文档为:某科技有限公司驻外代表处的安全和保密工作手册。
图:攻击事件1
攻击事件2:
2019年7月,APT组织“响尾蛇”投递的诱饵文档为:中华人民共和国国防部国际军事合作办公室组织驻华武官听取关于重要问题的情况介绍。
图:攻击事件2
攻击事件3:
2019年8月,APT组织“响尾蛇”投递的诱饵文档为:某国际物流有限公司关于开展工程建筑和员工购房领域等违规违纪问题自查自纠的报告。
图:攻击事件3
攻击事件4:
2019年9月,APT组织“响尾蛇”投递的诱饵文档为:某国防科技研究中心有限公司质量管理文件。
图:攻击事件4
攻击事件5:
2019年10月,APT组织“响尾蛇”投递的诱饵文档为:中国人民***文职人员条例。
图:攻击事件5
攻击事件6:
2019年10月,APT组织“响尾蛇”投递的诱饵文档为:中国北京2019年10月20日至22日第九届北京香山论坛议程纲要。
图:事件6
2. 背景介绍
APT组织“响尾蛇”疑似来自印度,其最早的活跃时间可以追溯到2012年。该攻击有着针对性强,组织严密,持续时间长,高隐蔽性和间接攻击的显著特征,主要针对中国、巴基斯坦等国家进行定向攻击,目的在于窃取政府、能源、军事、矿产等领域的机密信息。
3. 攻击手法简述
“响尾蛇”根据不同的攻击目标制定不同的攻击手法。今年捕获到的这几起事件都针对中国,通过技术分析,发现今年“响尾蛇”针对中国主要采用的攻击手法是:通过发送伪造的和受害者工作或生活等相关的邮件,诱使受害者打开邮件中的附件从而实现APT攻击。邮件的附件一般是带有OLE对象和CVE-2017-11882漏洞的RTF文档,利用Office远程代码执行漏洞(cve-2017-11882)执行开源工具DotNetToJScript生成JavaScript脚本,从而释放和执行自研的木马程序达到远控和窃密等目的。
下述是“响尾蛇”今年针对中国的攻击手法详细介绍,因这几起事件的攻击手法较一致,所以取其中一个样本作为例子。分析的样本取自攻击事件1。
4. 技术分析
(1)攻击流程
图:攻击流程
(2)诱饵文档
投递的诱饵文档均会被攻击者在末尾嵌入一个名为“包装程序外壳对象”的对象,对象属性指向%temp%目录中的1.a文件。打开文档会在%temp%目录下释放由JaveScript脚本编写的1.a文件。
图:对象属性
攻击者利用诱饵文档的漏洞CVE-2017-11882触发shellcode执行1.a。
图: shellcode
Shellcode流程如下:通过异或0x12解密出一个JavaScript脚本,该脚本的主要功能是执行%temp%目录下的1.a文件。
图:JavaScript脚本密文
图:解密后的JavaScript脚本
ShellCode会将公式编辑器的命令行参数改成JavaScript脚本,利用RunHTMLApplication函数执行将该脚本执行起来。
图:替换命令行
图:执行JavaScript
(3)1.a文件分析
1. a是通过开源的DotNetToJScript工具生成,主要功能是通过JavaScript脚本内存执行.net的DLL文件。该脚本首先解密出StInstaller.dll文件,并反射加载该DLL中的work函数。Work函数对传进来的参数x(参数1)和y(参数2)进行解密,解密后x为PROPSYS.dll,y为随机命名文件V1nK38w.tmp。
图:1.a脚本内容
(4)StInstaller.dll文件分析
StInstaller.dll是一个.NET程序,会创建工作目录C:\ProgramData\AuthyFiles,然后在工作目录中释放3个文件,分别是PROPSYS.dll,随机命名文件V1nK38w.tmp和write.exe.config,并将系统目录下的写字板程序(write.exe) 拷贝到该目录中。运行write.exe(白文件)加载同级目录下的PROPSYS.dll(黑文件), 通过白加黑的手段运行恶意代码。 以下是详细过程:
图:work函数
① 在work函数中调用xorIt解密函数得到3个重要配置数据,分别是工作目录名AuthyFiles,域名 https://trans-can.net和设置的注册表键名authy。
图:解密数据
图:xorIt解密函数
② 创建工作目录C:\ProgramData\AuthyFiles,拷贝系统文件write.exe到工作目录,并将其设置为开机自启动。
图:创建AuthyFiles和write.exe
③ 在工作目录中释放一个随机命名的文件V1nK38w.tmp。
④ 在工作目录中释放PROPSYS.dll,并更新该文件中接下来要加载程序的文件名为V1nK38w.tmp。
图:创建PROPSYS.dll
⑤ 将拼接后完整的url链接:https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b5写入V1nK38w.tmp文件中。再将该文件使用EncodeData函数进行加密。
图:创建V1nK38w.tmp文件
图:EncodeData加密函数
⑥ 创建配置文件write.exe.config,防止不同.NET版本出现兼容性问题。
图:创建write.exe.config
图:write.exe.config内容
⑦ 执行C:\ProgramData\AuthyFiles\write.exe,调用恶意的PROPSYS.dll。
图:执行write.exe
(5)PROPSYS.dll文件分析
使用DecodeData函数对V1nK38w.tmp进行解密,解密完后加载执行V1nK38w.tmp。
图:加载执行V1nK38w.tmp
图:DecodeData解密函数
(6)SystemApp.dll文件分析
V1nK38w.tmp被解密后为SystemApp.dll,其主要作用是窃取大量信息和接收指令执行。
图:主要行为
① 加载初始配置,配置由资源中的Default解密得到。配置内容是网址,上传文件的暂存目录和窃取的指定文件后缀名(doc, docx, xls, xlsx, pdf, ppt, pptx)。
图:加载配置
图:解密后的Default资源信息
② 将配置使用EncodeData函数加密,存于注册表HKCU\Sotfware\Authy中。
图:在注册表中加密的配置信息
③ 访问指定地址下载文件执行,优先选择配置信息中的网址,如果没有则选择默认网址https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b。
图:下载数据
④恶意程序窃取了大量的用户数据信息。它将窃取的信息以json格式整合,数据内容以明文形式存储于%appdata%\AuthyDat目录下后缀为.fls,.flc,.sif,.err的4个文件中,文件命名为:随机字符串+特定后缀。
图:窃取信息文件
∙ 后缀为.sif的文件主要存储的是系统权限信息,系统信息,4个系统目录文件列表,磁盘驱动器信息,系统安装软件列表。
图:后缀.sif存储的信息
系统权限信息的格式为 privileges":{"IsInAdminGroup":"Yes/NO","IsAdminPrivilege":"Yes/NO"}。
受害者机器的系统信息记录格式是: “sysInfo”:{系统信息}。
详细的系统信息如下表所示:
图:系统信息
受害者机器上特殊目录中的文件列表记录格式是:“dirList”:{目录文件列表}。
详细系统目录文件列表如下表所示:
表:文件目录
受害者机器的驱动信息记录格式是:“driveInfo”:{磁盘驱动器信息}。
详细的磁盘驱动器信息如下表所示:
Name | type | isReady | TotalSize |
---|---|---|---|
FreeSpace | availableFreeSpace | driveFormat | volumeLabel |
表:磁盘驱动器信息
受害者机器上的安装程序列表记录格式是:“installedApps”:{安装程序列表}。
详细的安装程序列表如下表所示:
表:安装程序信息
后缀为.fls的文件中记录的是后缀为doc, docx, xls, xlsx, pdf, ppt, pptx的文件信息。
filePath | 文件的名字和路径 |
---|---|
complete | 文件传送情况 |
sentOffset | 文件上传的数据大小 |
表:信息记录
图: 后缀.fls的存储信息
后缀为.flc的文件记录的是盘符信息和盘符下的文件夹和文件信息。
攻击者要获取的盘符信息如下表:
Length | Name | DriveType | IsReady |
---|---|---|---|
Format | AvailableFreeSpace | TotalFreeSpace | TotalSize |
VolumeLabel |
表:盘符信息
攻击者要获取的文件夹信息如下表:
Length | Name | Attributes | CreationTime |
---|---|---|---|
LastWriteTime | LastAccessTim |
表:盘符下的文件夹信息
攻击者要获取的文件信息如下表:
Length | Name | Attributes | CreationTime |
---|---|---|---|
LastWriteTime | LastAccessTim |
表:盘符下的文件信息
∙ 捕获程序运行异常,将异常信息记录到后缀为.err的文件。
图:捕获异常
⑤ 更新注册表中存储的配置数据:首先遍历系统找寻和指定后缀相同的文件,然后从注册表HKCU\Sotfware\Authy读取和解密配置数据,将找到的文件的名字和路径补充到配置数据中,最后将配置信息加密继续存放注册表。
图:找寻特定后缀文件
图:补充文档路径
⑥ 更新注册表中存储的配置数据:将上传文件的信息更新到注册表配置数据中。
图:注册表中解密后的配置信息
⑦ 将注册表配置信息中记载的指定后缀文档的数据内容全部压缩上传。
图:上传指定后缀文档
⑧ 上传暂存目录中后缀为sif,flc,err和fls的文件。
图:上传文件
5. 总结
“响尾蛇”APT组织于2019年频繁针对我国进行攻击,瑞星威胁情报中心将持续监视其攻击活动,国内相关政府机构和企业单位也务必要引起重视,加强防御措施。
五、2019年Linux病毒分析
瑞星安全研究院对近十年捕获到的Linux样本分析发现,近十年来Linux病毒状况可谓是飞跃式的增长。2009年针对Linux 的恶意软件数量逐渐呈现上升趋势, 到2019年Linux样本出现爆炸式增长。2019年捕获到Linux的病毒样本数量比2009年全年捕获到的病毒数量上翻了将近十万倍。
瑞星早在2014年底发布的《Linux系统安全报告》中就已预测,未来数年时间里Linux的病毒将会有一个爆发式增长。在2018年瑞星“云安全”系统共截获Linux病毒样本60万个,相较于2017年同比增长15%,2019年1月至10月共截获Linux病毒样本152万个,同比增长高达100%。由此可见,重视Linux系统安全早已迫在眉睫。
(一)流行Linux病毒种类
瑞星安全研究院对近些年捕获到的Linux样本分析发现,Linux系统上的病毒主要有如下几类:针对嵌入式和IOT设备的Botnet,利用Linux服务器资源进行挖矿的挖矿病毒,同在Windows上风声水起的勒索病毒类似,勒索病毒也在威胁着Linux系统。
1. Botnet
(1)Mirai
Mirai僵尸网络于2016年8月首次发现并活跃至今, Mirai在互联网上掀起了多起规模较大的网络攻击。Mirai并不局限于标准的计算机设备还通过譬如网络摄像头、家用路由器等物联网设备发起攻击, 由此可见其攻击规模也是远超过寻常僵尸网络。
Mirai擅长对开放的Telnet端口发起爆破攻击进而入侵到IoT等设备中, 随后在目标设备下远程下载Mirai病毒并执行, Mirai病毒将会主动与C&C服务器进行通信接收其下发的DDoS执行相应操作。
图:Mirai攻击流程
2016年10月, 美国互联网服务供应商Dyn宣布于当地时间21日早上6点遭遇一起“分布式拒绝服务攻击”(DDoS), 这次攻击导致欧洲和北美的大批用户无法使用Internet平台和服务, 当月Mirai的源码同时被公开发布到黑客论坛中。
图:受影响的地区
2017年12月, Check Point研究人员发现,Mirai变种利用华为HG532路由器的0day漏洞扩大Mirai僵尸网络的规模。
图:Mirai利用路由器0day
Mirai因为被病毒作者开源,各种修改版本层出不穷,Mirai家族仍然将是Linux网络设备的最大威胁之一。
(2)XorDDoS
安全研究小组MalwareMustDie在2014年9月首次报道了基于Linux操作系统的新威胁“XorDDoS”,通过该威胁可将Linux设备劫持加入到用于“分布式拒绝服务攻击”(DDoS)的僵尸网络。XorDDoS的名称正是源于该恶意软件在与C&C服务器在通信过程中所大量使用的XOR加密手法。
XoRDDoS可发起高达每秒150+Gbps的DDoS攻击,据CDN服务商Akamai公布的报告可知XorDDoS每天的目标网站超过20个,其中游戏行业和教育机构是XoRDDoS的常见攻击目标。
图:Akamai的攻击流量统计
那些受感染的Linux设备甚至包括Xor的C&C服务器IP地址都位于亚洲地区,因此也有部分安全人员推测XorDDoS的作者源自于中国。
2. 挖矿
(1)Linux.Lady(DDG)
DDG是一款运行在Linux系统下由Go语言编写的挖矿病毒,该病毒从去年一直活跃至今,在一年左右的时间内更新了DDG.3012/DDG3013/DDG3020/DDG4000/DDG4004等多个变种版本,一旦感染将会大量消耗服务器资源。该病毒难以清除并具有内网扩散的特性,DDG前期主要通过ssh爆破,redis未授权访问漏洞等方式进行传播。
图:最新捕获的DDG4004版本
新版中增加了两个漏洞,利用supervisord的远程命令执行漏洞CVE-2017-11610和nexus仓库管理器的远程代码执行漏洞CVE-2019-7238。DDG初始入口点为一个下载脚本,下载的是DDG的Go语言编译的恶意文件主体,其主要作用有创建守护进程、创建后门、下载挖矿程序挖矿、命令执行这4个功能,值得一提的是针对之前的systemdminer,有了针对性的对抗,对其域名做重定向、kill对应进程以及文件清除,可见竞争激烈。
(2)WatchDogsMiner
WatchDogsMiner是一款新型恶意挖矿蠕虫病毒,具有隐藏性高以及中毒后比较难清理的特点。该病毒主要通过Redis未授权访问、SSH爆破实现内外网的蠕虫式传播。中毒后表现为/tmp临时目录存在watchdogs文件,出现crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。
WatchDogsMiner病毒主体为一个sh脚本,sh脚本主要做了两个操作,清理其他恶意程序,“kworkerd”、“ddgs”等挖矿程序,然后下载并运行挖矿病毒。
图:watchdogs攻击流程
挖矿病毒使用Go语言编写,以守护进程的方式进行挖矿,币种为门罗币,程序包含了网络通信模块、加密算法、Redis攻击、SSH暴力破解、挖矿等自实现功能。
3. 勒索
(1)Lilocked
2019年7月首次报道了Lilocked勒索病毒, 根据部分用户的反馈攻击者很可能利用了Exim(邮件转发软件)的远程执行漏洞CVE-2019-15846进行传播。该病毒在初期感染量并不大,但在最近其感染量突增,有爆发的趋势,据Goolge关键字统计目前为止已至少感染了6000+台Linux设备。感染后计算机文件的文件加密后缀为.lilocked,并且在每个文件夹下产生一个#README.lilocked的勒索信。
图:Lilocked加密的服务器
攻击者通过创建名为#README.lilocked的勒索信来告知受害者,他们的数据已被加密, 必须前往指定的Tor地址支付赎金。当用户访问勒索地址并输入勒索信中的key后将跳转至勒索联系窗口,在该窗口下要求用户支付0.010BTC获得解密Key。
图:LiLocked付款页面
(2)Lucky
Lucky为Satan变种的勒索病毒,支持Windows和Linux双平台,该病毒会使用多种漏洞及弱口令攻击Windows和Linux系统,并植入勒索病毒和挖矿病毒。所有被加密文件使用同一密钥进行加密,加密成功后样本将原文件修改为:“勒索邮箱+原文件名+随机字符+.lucky”的格式。
图:Lucky攻击流程
此病毒使用了以下漏洞和弱口令进行攻击:
图:漏洞及弱口令攻击手段
Windows版本主要包含以下模块:
图:Windows下模块
Linux版本主要包含以下模块:
图:Linux下模块
(二)Linux病毒特点
1. Linux上大部分病毒的传播方式大都通过漏洞和弱口令进行传播
Linux系统主要被应用在服务器和嵌入式等网络设备中,同Windows在桌面级操作系统占据统治地位不同,病毒在Windows中利用的邮件、挂马、捆绑安装等传播方式在Linux系统中比较少见,病毒在Linux中传播途径以漏洞和弱口令传播为主。Linux服务器中承载的Web、数据库、Redis等第三方应用,漏洞是linux病毒传播主要的利用途径。同时错误系统配置,如SSH、数据库、Web等弱口令也是Linux上病毒的一种主要传播手段。从Mirai botnet的组建到最近这两年Linux挖矿病毒的泛滥,都是利用这两种手段进行大规模传播。
2. Linux上大部分病毒种类较少、目的相对单一,增长迅速
同Windows系统中病毒“百花齐放”不同,Linux病毒的种类还是相对较少,主要以后门、挖矿和DDOS类型为主,病毒以占用系统CPU资源进行挖矿和利用网络资源进行垃圾邮件发送和DDOS为主要目的。那些在Windows系统中常见的间谍软件、隐私窃取、广告等种类病毒在Linux系统中还是鲜有看到。同时我们看到,Linux病毒最近几年呈爆炸式增长。随着物联网、5G等新技术的发展和应用,在未来万物互联的时代,Linux病毒的威胁将会越来越大。
3. Linux病毒的开发成本逐渐变小门槛越来越低
随着Mirai病毒的开源、Linux病毒脚本化、Go语言流行等因素,Linux病毒的开发成本有着逐渐变小的趋势。目前泛滥的挖矿病毒,通过第三漏洞扫描工具扫描加远程命令执行传播到挖矿木马的种植,全过程几乎不用开发任何程序,通过公开的工具即可实现,将Linux病毒制造和传播门槛降到几乎为零。随着Linux病毒的增长,Linux病毒开发者之间相互学习借鉴也加快了病毒的增长。Linux病毒的开发成本和门槛的降低将进一步促进Linux病毒的发展。
(三)总结
Linux病毒因其系统的生态和应用场景而呈现出和windows不同的特点,虽然在病毒数量和种类上目前和Windows病毒不可同日而语,但是其增长速度迅猛。随着5G、物联网的发展,越来越多的设备将受到Linux病毒的威胁,同时由于Linux系统的安全人员的短缺,Linux系统病毒的安全威胁将愈发严重。
六、趋势展望
(一)国产操作系统发展迎来春天,病毒威胁不可回避
2019年随着中兴、华为事件的爆发,以及中美贸易战的愈演愈烈,自主可控的概念已经深入人心。操作系统领域,中国软件的两个核心子公司中标软件与天津麒麟进行了合并;中国电子集团、deepin、New Start、诚迈科技四家单位于2019年5月发起的UOS(unity operating system)操作系统的创建都预示着国产操作系统将迎来一个发展的春天。而未来随着国产操作系统的占有率的提升,国产操作系统面临的病毒威胁将不可回避。
(二)Linux病毒迎来爆炸增长期,预计将保持高速增长势头
Linux病毒在2019年迎来了一个爆炸性增长。瑞星2019年1月至10月共截获Linux病毒样本152万个,比2018年翻了一倍。虽然Linux病毒因其系统的生态和应用场景而呈现出和Windows不同的特点,病毒数量和Windows平台上差距巨大,但是Linux病毒增长速度远超Windows。随着5G、物联网设备和国产操作系统的发展,可以预见Linux病毒将在未来很长一段时间内快速增长。
(三)勒索软件目标全面转向企事业用户,攻击手法专业化,攻击对象定向化
勒索病毒的攻击活动在2019年依旧没有下降的趋势。瑞星对2019年全年接到用户求助的案例统计分析后发现,个人用户受到的攻击数量相对降低,企业用户被攻击数量显著增加,企业边界服务器被攻陷,连带内网大量主机被勒索的案例明显增加,甚至出现内网几十、上百台终端同一时间被勒索的现象。勒索软件和网络渗透攻击结合越来越紧密,攻击手法愈显专业化,攻击对象也越来越定向化,勒索软件攻击有向APT攻击蔓延的趋势。
*本文作者:瑞星,转载请注明来自FreeBuf.COM