来源:蜘蛛抓取(WebSpider)
时间:2018-05-09 06:25
标签:
威胁猎人 知乎
威胁情报_IT168
北京,日――日, 继“Petya”之后,名为“Bad Rabbit”的勒索病毒在全球范围内大肆蔓延,致使包括俄罗斯、德国、乌克兰等多个国家的媒体、交通设施的电脑系统遭受攻击,大量企业因此被迫关停。然而,无论是“Bad Rabbit”还是“Petya”,都只是当今众多安全事件的冰山一角。
威胁情报是一种重要的安全工具,它使用全球安全情报来检测网络内的恶意活动。这些解决方案可以采用多种不同的形式。威胁情报从供应商、分析师和其他有关威胁和不寻常活动的来源获取安全数据。恶意的IP地址、域、文件散列和其他数据流不断地从外部汇聚。这可以帮助公司了解可能影响他们自己网络的行为。
今年五月,全国信息安全标准化技术委员会按照GB/T 1.1-2009规则起草的国家标准《信息安全技术 网络安全威胁信息表达模型》开始进入征求意见阶段,北京启明星辰信息安全技术有限公司应邀成为模型起草单位。此项标准的制定意味着网络安全威胁情报将打破现有环境束缚,走向有国家标准的正轨,形成适合威胁
日,北京,什刹海之源,数字观星联合谷安天下、云堤举办联合产品发布会,旨在大数据时代,共同打造安全运营新模式,“让安全管理更简单”.
威胁情报是一种收集到的信息,应该给你一种能力,以快速甄别恶意行为,并且快速响应,这些信息包括但不限于网络、安全、IT等方面。在黑产的世界里,情报已经被很成熟的使用,恶意软件生产者、加工者、使用者、售卖者之间早已形成成熟的情报共享链条,因此对于防御方来说,构建成熟有效的威胁情报体系与
现代战争需要协同陆、海、空各个兵种的力量才能有机会取得胜利,在安全圈也是一样。在最新网络攻击面前,我们就像置身于现代战争一样,我们不仅仅依靠终端安全,或者防火墙等单一产品来防范和发现各类威胁和攻击,更要实现不同安全设备之间的协同联动,来提升应对网络威胁的防护能力。51CTO旗下网站
小议安全威胁情报之分类和使用场景
谈威胁情报之前想先说说情报(intelligence)的概念,情报一词英文的原意是“t解的能力”(the Faculty of Understanding),从传统情报机构的立场上,情报的本质则是“减少冲突的不确定性”,一个典型的情报周期可以分为以下六个步骤:需求、计划、搜集、处理、分析、分发。
作者:ZenMind来源:FreeBuf| 10:35
今年以来,威胁情报的概念突然在国内火了起来,一时间好像不做些和威胁情报相关的事情,就会变得过时。
笔者有幸也参与了一些相关的工作,并且对国际上相关的一些动态有些了解,就想在这里抛砖引玉,谈一谈威胁情报的分类和使用场景相关的话题,国内似乎还少有公开文章触及这方面,希望由此能让更多的人去关注威胁情报如何更好的服务用户,而不仅仅是如何建立一套威胁情报的系统。
威胁情报的概念
谈威胁情报之前想先说说情报(intelligence)的概念,情报一词英文的原意是&t解的能力&(the Faculty of Understanding),从传统情报机构的立场上,情报的本质则是&减少冲突的不确定性&,一个典型的情报周期可以分为以下六个步骤:
对情报的重视古已有之,《孙子兵法》中所说&知己知彼,百战不殆&讲的就是情报的重要性。
在网络空间的战斗中,情报同样有着至关重要的地位:
知己:更丰富的组织环境数据,也就是这几年经常提到的环境感知能力。通过&知己&,我们可以快速的排查误报,进行异常检测,支撑事件响应活动,在这里不再多言。
知彼:关于攻击对手自身、使用工具及相关技术的信息,即威胁情报,可以应用这些数据来发现恶意活动,以至定位到具体的组织或个人。
作为一种攻防间的对抗活动,威胁情报工作其实从开始的时候就存在了:回想一下IPS或者AV的签名,其中很大一部分不就是针对攻击者使用的攻击工具的吗,IP及域名的信誉库也是同样。
需要看到,从APT1报告提供OpenIOC格式的威胁情报数据开始,威胁情报已经和传统安全的签名和信誉数据有了很大的不同。我们后续可以在分类和使用场景部分清楚的看到这点。
威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石,这部分打算在未来关于大数据安全分析的文章里在展开陈述。
威胁情报的种类
首先解释一个词:指标(Indicator)。指标是一条信息,指向一个确定性的结论,它是威胁情报里的核心组成,完善的威胁情报还可能含有其它参数,如:背景信息、上下文信息、时效性、升级时间、信誉度,等等。
通过威胁情报的指标可以用两种方法对其进行分类:所产生的作用以及指标的数据类型,对威胁情报进行分类,对分类的讨论可以让大家对威胁情报有更具体、形象的理解。
一、基于用途的分类
基于用途,可以把威胁情报分为4类,分别是:
1、归属指标:它可以区分特定的行为或者证据,指向特定的攻击者,主要回答问题&谁&(如:谁写的恶意软件,谁发起的攻击)。这无疑一个非常困难的问题,指标给出的回答也许模糊不清,但这是情报分析中不可或缺的一环。一般来说,这类情报的收集和分析能力不是大多数私营公司可以建立的,它涉及到大量有关组织的战略、战役及战术相关情报数据,也包括其它传统来源的情报数据,最后即使有这样的能力也往往在行为上受到法律的限制。
2、检测指标:它指向在主机或者网络上可以观察到的事件,如果命中,就意味者一个安全事件。它尝试回答的问题是&what&(如:网络中某个木马联系了CnC服务器;这个Web会话中包含了注入攻击等)。这个类型的威胁情报形成了市场上可以看到的威胁情报产品的绝大多数,在讨论基于数据类型分类时也是侧重考虑的这点。
3、指向指标:帮助预测那些用户、设施或者项目,可能成为定向攻击的目标。这个类型虽然非常有价值,但是它和特定的行业或者组织关联更紧密,因此现在还很少看到提供此方面内容的威胁情报厂商。
4、预测指标:通过行为模式来预测其它事件的发生(如:发现某PC下载了一个后门程序也许就可以预测之前这台设备发生过漏洞利用,之后会有连接CnC的网络行为),这个方面的知识安全分析过程中一直在使用,每一个成熟的安全分析师都会关注收集攻击者行为模式方面的信息。
一个具体指标可以同时属于不同类型情报,例如CnC地址,可以同时是归属指标和检测指标;而恶意软件代码的某些特殊特征也是如此。
二、数据类型的分类
在威胁情报相关的文章中,David J. Bianco 这位曾经在Mandiant担任狩猎团队leader的一篇《The Pyramid of Pain》非常出色。这篇文章对不同类型的威胁情报及其在攻防对抗中的价值有非常清晰的描述。下面这部分的内容主要来源与对这篇文章的理解。
建立这个金字塔模型,就是为了说明你可能用来检测敌方活动的威胁情报相关的指标类型,以及当你能够利用这些指标时,会引起的攻击者的攻击代价大小或者说痛苦指数。一般来说威胁情报中价值最低的是Hash值、IP地址和域名,其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTP(战术、技术和行为模式)类型的威胁情报。下面分别阐明道理。
1、HASH值:SHA1或MD5是最常见的例子,对应于入侵相关的特定样本/文件。任何文件的改变,即使是无关紧要的在未使用资源中修改一个bit或者在结束位置添加一个Null。结果就是一个完全不同也不相关的哈希值。哈希值的改变是那么容易,在很多情况下,它甚至可能不值得跟踪。需要指出的是有一类特殊的 fuzzy hashes ,它试图通过在计算时考虑输入的相似性来解决问题。换句话说,两个文件只有轻微或者中度的差异,会造成类似的模糊散列值,使研究者注意到他们之间可能的关系,它们可能适合放在&攻击工具&类型,因为它们更抗拒改变和操纵,事实上,它们在DFIR(数字取证及事件响应)最常见的用途是识别工具及恶意软件的变种,以纠正静态hash值的缺点。
2、IP地址:这可以说是最常见的指标,因为IP数量太大,任何合理的APT攻击均可以更改IP地址,只需要很小的成本。在某些情况下,如果他们使用Tor或者类似的匿名代理服务,他们可以相当频繁的改变IP地址。这就是为什么IP地址是金字塔的绿色部分。如果你利用IP地址进行防御,他们通常可以转换,甚至不影响攻击节奏。
3、域名:域名的改变需要付出一些代价,为了使用,他们必须注册、支付并且进行托管。但是,有大量的DNS提供商有宽松的注册标准(其中许多是免费的)。所以在实践中,这不是太难以改变。新域名可能需要1-2天时间在整个互联网上就随处可见了,虽然如此,这些相比IP地址是稍微困难的改变。
4、网络或主机特征:在这个层面上,开始让对手觉得有些棘手。当你能够在这个层面上检测并响应,可以使攻击者回到他们的实验室重新配置或编译他们的工具。一个很好的例子是,当你使用User-Agent特征字符方式查找攻击者的HTTP探测工具,你阻止其User-Agent的任何请求时,你强迫他们回去花一些时间搞清楚你如何发现他的探测工具,并解决这个问题。当然修复可能微不足道,但至少他们不得不花费一些精力来识别和解决你设在他们面前的障碍。
5、攻击工具:在这个层面上,我们有了真正让攻击者感到头痛的能力。很可能发生的情况是,因为我们获得了检测他们某个工具的能力,他们必须临时放弃,去找到或者创建一个用于相同目的的新工具。这是一个大的胜利,因为他们必须花时间研究(查找现有的工具,它具有相同的能力)、发展(如果有能力,创建一个新的工具)和培训(弄清楚如何使用工具,熟练掌握它)。你使他们真的需要花费时间,特别是你能得到他们几个工具的时候。
此类指标的实例可以包括AV或者Yara签名,前提是他们可以发现相同文件的中等程度变化。分析网络通信协议的网络感知工具也属于这个层面,变更协议需要大量工作重写原来的工具。此外,如前所述,Fuzzy哈希也应该属于这个层面。
6、TTPs(Tactics、Techniques & Procedures):最后,在顶点的是TTP。当你在这个层面检测并响应,你直接针对对手的技能,不再是他们的工具。例如:你检测重放哈希的攻击(也许通过分析windows日志),而不是他们使用的攻击工具,从效益的角度看,这是最理想的。如果你能足够快的应对对手的TTP,你强迫他们做了最耗时的事情:学习新的行为。让我们想想这些,如果你到达顶点,即掌握了不同对手多种不同的TTP时,将会发生什么?你给他们两个选项:放弃或者重新塑造自身,如果我是对手,选择放弃更吸引我。
通过以上对威胁情报相关类型的描述,我们可以看到其内涵已经远远超过了早年的信誉库(IP、域名、文件等)。相应的它们发挥作用的场景也不仅仅是检测那么简单,而更加广泛,下面我们就讨论这个话题。
几个典型的使用场景
一提起威胁情报的用途,人们最经常提到的应该是攻击检测方面的价值了,但实际上威胁情报的使用场景会更加的广泛,也许通过前面的类型的描述就已经有所感觉了。下面就描述几个比较典型的使用场景:
1、安全计划(或者安全体系建设与完善)
上面曾经提过,防御思路正在从漏洞为中心转化为威胁为中心,只有对需要保护的关键性资产存在的威胁有足够的了解,才能够建构起合理、高效的安全体系结构,而这些就依赖于对攻击者可能的战术、方法和行为模式(即TTPs)的全面理解,如果能有指向指标类的信息,让我们知道所在行业当时可能的最大风险,就更能做到有的放矢。如果说不同方向的安全从业者(如:漏洞挖掘、渗透测试、安全分析和事件响应、产品及开发等)需要的知识结构有所不同,那么这种对攻击面的理解就是所有行业从业者必须了解的内容。
2、攻击检测和防御
基于威胁情报数据,可以创建IDPs或者AV产品的签名,或者生成NFT(网络取证工具)、SIEM、ETDR(终端威胁检测及响应)等产品的规则,用于攻击检测。如果是简单的IP、域名、URL等指标,除了以上用途,还可以考虑直接使用在线设备进行实时阻截防御。
这个方面做的比较好的厂商,无疑是Fireeye,其核心产品都可以使用威胁情报数据来增强检测和防御能力。还可以关注一个相关的开源项目CIF,CIF( Collective Intelligence Framework)是一个网络威胁情报管理系统。 CIF让你从多个威胁情报来源结合来获取已知的恶意威胁信息,并利用这些信息进行识别,检测和缓解。但比较遗憾的是,现有版本的CIF仓库支持的常见类型是IP地址,域名和网址,相较fireeye尚有一段距离。
3、安全分析及事件响应
安全分析及事件响应中的多种工作同样可以依赖威胁情报来更简单、高效的进行处理。在报警分流中,我们可以依赖威胁情报来区分不同类型的攻击,从中识别出可能的APT类型高危级别攻击,以保证及时、有效的应对。在攻击范围确定、溯源分析中可以利用预测类型的指标,预测已发现攻击线索之前或之后可能的恶意活动,来更快速的明确攻击范围;同时可以将前期的工作成果作为威胁情报,输入SIEM类型的设备,进行历史性索引,更全面的得到可能受影响的资产清单或者其它线索。
威胁情报的使用场景远不止于此,这里只是简单的举了几个已经在使用的例子,希望更多的引起大家的兴趣,不止是关注威胁情报的建立,更关注如何产生更多的客户价值,也许从需求出发来建立威胁情报,才能保障它发挥更大的作用。
这篇文章介绍了个人对威胁情报概念的理解,威胁情报的分类及使用场景。相关的话题还有很多,如何建立与维护威胁情报系统,如何评价它,威胁情报相关的标准,以及以及威胁情报平台的建立,等等。相关标准的话题国内讨论的文章很多了,没有必要再多说;其它方面希望也有机会能将想法整理出来和大家分享,当然更希望有机会和对此有兴趣的同仁更多的交流。
本人的联系邮箱是 zhili.,欢迎大家的批评意见。【编辑推荐】【责任编辑: TEL:(010)】
大家都在看猜你喜欢
热点热点热点头条热点
24H热文一周话题本月最赞
讲师:1646人学习过
讲师:3765人学习过
讲师:1004人学习过
精选博文论坛热帖下载排行
本书使用通俗易懂的语言,通过大量的实例,从实际应用的角度出发,全面系统地介绍了网络服务操作系统平台、电子邮件系统、Web站点和FTP站点...
订阅51CTO邮刊:黑产及,BAT等家超一线互联网公司
来源:猎云网
原标题::黑产及,BAT等家超一线互联网公司
【猎云网(微信:ilieyun)武汉】3月14日报道(文/钱佳信)
对于太多人而言,网络黑产是个晦涩的词汇,可这并不妨碍网络黑产大军的迅速扩大。目前国内涉足网络黑产的从业者多达40万人,产业链上下游相关的从业者更是多达160余万,年产值约1100亿元。
所谓黑色产业(简称黑产),就是利用病毒木马来获得利益的一个行业。近日,猎云网(微信:ilieyun)采访了威胁猎人创始人毕裕,他表示,2013年之后,国内企业的业务安全需求开始爆发。但是随着黑产的技术手段不断推进,大部分互联网公司业务安全的员工数量仍然很少。
威胁猎人成立于2017年1月,是一家以情报能力为核心的业务安全解决方案服务商。毕裕介绍到,威胁猎人以安全数据优势切入并实现场景化解决方案,目标用户是TOP100的互联网公司。
“抓住主动权是对抗黑产的重要手段。”毕裕介绍到,业务安全的工作重心一直在变化。第一个阶段是建立风控的基础模块、框架和系统,而第二阶段是如何用好这个系统,提升攻防效率。
那么威胁猎人是如何化被动为主动的呢?对抗黑产最核心的需求点是及时感知黑产的最新攻击逻辑和方法,考验的是风险感知能力和溯源能力。
威胁猎人推出的产品TH-Karma是一个业务安全情报服务平台,通过开源情报中社交网络信息、黑产线索源的信息等,提早发现黑产攻击意图和趋势,让客户了解黑产的一举一动。
“很多时候解决问题并不是难点,如何确定是攻击流量还是正常访问流量才是服务的重点。” 毕裕表示,TH-Karma从监控或侦查黑产情报和数据收集的角度出发,实时感知已发生的攻击,将流量对应至黑产攻击的场景分类。
目前,TH-Karma每天监控超过10万台服务器的攻击流量,帮助客户了解黑产攻击所需要的核心资源及相关成本,可以进行情报搜索、关联及深度分析等操作。
如果说石油是现代工业的血液,那手机黑卡就是互联网黑产的“原油”。威胁猎人也推出了手机黑卡检测产品,可以为用户提供黑卡手机号码的鉴定,帮助企业直接判断该手机号是否为羊毛党或者猫池手机号。
威胁猎人的盈利模式分为两种:SaaS平台按次、月或年收费;提供一整套业务安全解决方案。“我们期待自己能超出用户的预期,用更完整的外部情报来做好威胁感知。”
目前,威胁猎人已和BAT等30多家超一线企业达成合作。毕裕表示,未来产品矩阵会越来越丰富,在2B的基础上做好2C,对业务安全的问题解决也会参与。
威胁猎人团队近40人,核心成员多数来自腾讯和百度。CEO毕裕是前腾讯业务安全情报团队负责人和前猎豹移动高级安全技术经理。
项目:威胁猎人
公司:深圳永安在线科技有限公司
公众号:ThreatHunter
万事万物在到了一个阶段之后便会开始新的变革,这不仅仅是自然的规律,也是社会的规律。零售业有几千年的历史,在这历史长流 ...
饮食男女,人之大欲存焉。 孔子比一般老司机的更早看穿这个真理,但你可能不知道的是,不少人羞谈的性也许还能反映 ...哈勃分析系统2016年威胁情报安全报告 - 腾讯安全联合实验室
哈勃分析系统2016年威胁情报安全报告
发表时间:
腾讯反病毒实验室 &哈勃分析系统
威胁情报态势报告 &——年终总结
报告编号:2016第7期
发布时间:2017年1月
一、 报告概述
&&&&1. 关于我们
&&&&2. 关于本报告
二、 木马态势概述
&&&&1. 敲诈者类木马概述
&&&&&&&&1.1 敲诈者木马趋势
&&&&&&&&1.2 敲诈者木马区别于普通木马的特性
&&&&&&&&1.3 新增敲诈者木马家族
&&&&2. 热点事件木马概述
&&&&&&&&2.1 色播类木马爆发
&&&&&&&&2.2 广告类木马趋势
&&&&&&&&2.3 Fake类木马危害性变大
&&&&3. 脚本病毒概述
&&&&&&&&3.1 宏病毒
&&&&&&&&3.2 HTA木马
&&&&&&&&3.3 CHM木马
&&&&&&&&3.4 Java Applet木马
三、&总结与建议&
一、报告概述
威胁情报,指的是对计算机系统(包括但不限于大型机、服务站、个人电脑、手机等移动设备、嵌入式设备等)中,可能对使用者产生威胁的程序、数据、流量等,进行感知、识别、提取、汇总后归纳而成的情报。
随着恶意产业的不断发展,在传统的基于恶意代码和特征的打击方式之外,基于威胁情报的恶意威胁检测和防御的方法正在兴起,并成为近几年的热门方向。
在这个背景下,腾讯反病毒实验室哈勃分析系统推出“威胁情报态势报告”系列报告,目的是在安全行业内交流我们对于威胁情报的认识,分享我们对于威胁情报的利用方法,同时曝光恶意木马作恶手法和恶意产业资源,携手各安全厂商共同开展打击。
1.关于我们
腾讯反病毒实验室是腾讯旗下的安全特色团队,从“自研引擎能力、哈勃分析系统、APT前沿技术分析”等多个角度入手,通过建立“安全查杀能力、热点快速响应能力及病毒样本分析”等全面、系统、一体化的防护措施,为腾讯安全实力进一步提供了强大技术支撑。独立开发的杀毒引擎以及云引擎已经获得了VB100、AV-C、西海岸、AV-TEST等多家国际著名评测机构认证,并且已被用于腾讯电脑管家和手机管家等安全产品之中。
哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统,支持对Windows程序、安卓应用、文档、脚本等文件类型的分析检测。哈勃系统采用虚拟运行环境,在该环境中使用行为激发系统诱使样本运行出与真实环境一致的动态行为,并且对其执行过程进行完整捕获。通过重点监控其中的高可疑异常行为,同时结合行为判定、静态特征判定、大数据学习引擎判定等多种手段,哈勃系统可以有效地识别出恶意样本。哈勃分析系统拥有调度灵活的大规模分析集群,实现了千万级的样本日吞吐量,可以对海量样本进行高效的筛选和识别。
2.关于本报告
本报告是哈勃分析系统发布的第7期威胁情报态势报告,子主题是“年终总结”。
依托于海量样本吞吐处理能力,哈勃分析系统当前每日会对真实环境中捕获到的大量样本进行自动化分析,并且根据样本的动态行为特点,对恶意样本进行筛选、判定和分类。对于同一家族的恶意样本而言,其在虚拟环境中运行时表现出的动态行为会存在比较高的一致性和趋同性,因此动态行为是对这些样本进行类别、家族划分的一个重要且有效的手段。
哈勃分析系统在2全年系统自动捕获的样本威胁情报中,整理并挑选了一些真实环境中出现比较频繁、影响范围比较广泛的木马,并对它们的动态行为进行了总结和分析。
二、木马态势概述
1.敲诈者类木马概述
2016年最具危害性的木马之一无疑是敲诈者木马,敲诈者木马会利用更改用户密码、加密用户文件、锁屏等技术手段,勒索用户缴纳赎金。
1.1&敲诈者木马趋势
从2016年哈勃分析系统捕获到的敲诈者木马数量变化可以看出,在利益的驱使下,敲诈者木马呈现出不断增长的态势。
图1.&敲诈者木马变化趋势
哈勃分析系统对新爆发的敲诈者木马进行持续关注,并对高热度的新型敲诈者木马进行播报预警。
图2.&哈勃分析系统对敲诈者木马预警
1.2&敲诈者木马区别于普通木马的特性
总结敲诈者木马的特点,可以发现以下几点共性。
通过邮件的方式,使用大量的非PE载体进行传播。
使用成熟的、高强度的加密算法,对受害者电脑上的文件进行加密操作后,删除原文件。
破坏文件恢复的一些途径,例如禁用Windows系统的备份和还原机制,或者在删除文件之前向其中写入无意义数据。
展示的赎金支付说明指向暗网中的页面。
要求受害者使用比特币支付赎金。
1.3&新增敲诈者木马家族
Locky敲诈者
Locky是2016年2月被捕获到的一类敲诈木马。根据版本的不同,Locky会采用不同的传播载体,一开始依然是使用Office宏执行下载代码,后期的版本会使用js、wsf等多种类型的脚本文件。同时,被加密的文件也会被添加.locky、.zepto、.odin、.thor等多种不同的扩展名。
Locky在使用AES加RSA对文件进行加密后,会根据操作系统语言的不同,向服务器请求不同语言的敲诈文本并进行展示。值得注意的是,在Locky的敲诈界面上,很快出现了繁体中文和简体中文的敲诈内容。
图3.&Locky敲诈者木马
Petya敲诈者
Petya木马在2016年3月被安全厂商捕获。与其它敲诈木马不同的是,此木马首先修改系统MBR引导扇区,强制重启后执行引导扇区中的恶意代码,加密硬盘数据后显示敲诈信息,是第一个将敲诈和修改MBR合二为一的恶意木马。
图4.&Petya敲诈者木马
早期的Petya木马在算法的使用上有一些问题,可用的密钥的复杂度偏低,导致可以通过暴力破解的办法枚举并找到密钥,并还原被加密的磁盘。在后期的几次更新之后,新的Petya木马已经修补了算法使用上的漏洞。同时,更新后的Petya还可以对整个磁盘和单个文件进行加密。
针对该早期版本的缺陷,哈勃分析系统推出了()破解工具的离线版,可以帮助用户解密被该版本加密的文件。
HadesLocker敲诈者
HadesLocker是10月份新爆发的一个敲诈者木马,HadesLocker会加密用户特定后缀名的文件,包括本地驱动器和网络驱动器,加密后文件后缀为.~HL外加5个随机字符。在支付赎金的网站上,木马作者将其命名为HadesLocker。
图5.&HadesLocker敲诈者木马
HadesLocker是由C#语言编写的新的敲诈勒索木马,与之前发现的C语言编写的木马不一样的是,之前出现的C#语言编写的木马只是简单地调用了一些C#库来辅助开发,而HadesLocker增加了多层嵌套解密、动态反射调用等复杂手段,外加多种混淆技术。
2.热点事件木马概述
哈勃分析系统持续追踪并预警了2016年全年的热点事件,按时间发生顺序可整理如下。
图6.&哈勃分析系统对热点事件预警
2.1&色播类木马爆发
年,色播类木马数量保持着有增无减的态势,并在2016年下半年集中爆发。
图7.&色播类木马变化趋势
色播类木马通常在引诱用户安装后,会自动或诱导用户发送SP扣费短信、安装推广应用,给用户带来财产上的损失。
图8.&色播类木马分类
经统计,色播类木马最常用的图标、应用名和包名分别如下所示。可以看到,色播类木马通常使用色情类图片和应用名来吸引、诱导用户下载安装:
图9.&色播类木马最常用的图标
图10.&色播类木马最常见的应用名
图11.&色播类木马最常见的包名
2.2& 广告类木马趋势
年,广告类木马在安卓端呈现出增长的态势,在电脑端则呈现出下降的趋势。但我们仍然不能忽视广告类木马带来的危害,因为在安卓端该类木马花样翻新,对自身进行加固保护,已插件形式实现多个广告,使得广告形式多样化且不易暴露,在移动端给用户带来的干扰和流量的损耗更加明显。哈勃分析系统在3月份对广告类木马进行了播报预警。
图12.&广告类木马变化趋势
2.3&Fake类木马危害性变大
类木马的主要特征是伪装成正规软件诱导用户安装,偷窃用户隐私或安装推广应用。由于Fake类木马披着正规软件的外套,用户很容易忽视其危害性。
图13.&类木马变化趋势
类木马除了伪装成知名软件外,还会伪装成热门影视资源诱惑用用户安装。哈勃分析系统在2016年发出过多次Fake类木马的预警,比如伪装成招商银行客户端、PokemonGo等正规软件的木马,以及伪装《青云志》、《如果蜗牛有爱情》等热播剧资源的木马。
图14.&伪装成PokemonGo的木马
3.脚本病毒概述
脚本病毒是由脚本语言编写的病毒程序,比如Office宏、JavaScript、VbSript等。年最具危害性的敲诈者木马大多也通过脚本进行传播,脚本病毒的危害性不容小觑。
由于脚本语言的易用性、变形性,使得通过静态特征识别脚本病毒的效率非常低下,哈勃分析系统通过动态运行脚本文件,监控其动态行为,可以很好的对加密、混淆、变形的脚本病毒进行识别。下图为2016年哈勃分析系统对各类脚本病毒的播报预警和捕获到脚本病毒的分类。
图15.&哈勃分析系统对脚本类木马进行预警
图16.&脚本类木马分类
3.1&宏病毒
在2016年,伴随着勒索类木马的流行,作为其传播载体的宏病毒再次受到了广泛的关注。宏病毒通常是寄存在Office文档中,当文档被打开时,会执行寄存在其中的宏代码,下载并执行恶意payload。
宏病毒可以通过电子邮件进行APT攻击或网络钓鱼,因此得到了越来越多黑客的青睐,用来传播敲诈者木马,与此同时,这个手法也开始被传统木马所借鉴,比如哈勃分析系统捕获并分析的“盗神”木马就假称媒体插件未加载,要求用户开启宏以查看内容。
图17.&盗神”宏病毒
3.2& HTA木马
HTA为HTML-Application的缩写,可由HTML编写,可以方便的嵌入IE所支持的脚本语言,比如VBScript、JScript等。HTA是一个独立的桌面应用程序,可双击运行。一个HTA文件运行时可以不受浏览器安全模型的限制,它可以作为完全受信任的应用程序来执行,权限比普通网页大的多,HTA可能会成为今后使用更灵活的、有效逃避杀软的技术趋势。哈勃分析系统在2016年捕获到了一类利用HTA脚本进行传播的敲诈者木马,并及时对该利用手段就行了预警
图18.&HTA木马
3.3& CHM木马
CHM文件全名为编译的HTML帮助文件(Microsoft&Compiled&HTML&Help),是微软提供的一种帮助文件格式。它将HTML文件,图片,音频等文件编译到一个文件中,对于导航和索引的良好支持使之常被用于帮助文件以及电子书的载体。Windows操作系统内置的Html&Help&Workshop提供了制作与编译CHM文件的工具集合。
CHM文件支持与javascript,vbs,ActiveX等其他语言组件之间的交互,同时,由于CHM文件在默认情况下是使用Windows内置的hh.exe打开,此程序并没有浏览器那样级别的安全保护和沙盒限制措施,导致CHM文件中内置的脚本有可能对操作系统进行直接的操作。
尽管以CHM方式传播的木马并非一种新的技术手段,但是基于CHM的木马有着技术门槛低,制作简单,以及传播便利的优点,仍然被很多不法分子所使用。
图19.&哈勃分析系统捕获的CHM木马
3.4& Java Applet木马
Java是一种在Web环境下,运行于客户端的Java程序组件。Applet必须运行雨某个特定的“容器”,这个容器可以是浏览器本身,所以&Java木马通过嵌入到HTML网页中即可进行传播,传播方式更为简洁。由于其良好的跨平台特性,可以针对不同的系统,释放不同类型的可执行文本件,传播广度也更大。
Java Applet木马,该木马通过判断当前系统是windows还是mac,选择释放不同的可执行文件,用于窃取用户电脑上 & &浏览器保存的帐号密码、邮件、视频以及各类语音交互软件的音频内容等。正是由于该木马窃取的信息种类如此的之多,哈勃分析系统命名该类木马为“窃听狂魔”。
图20.&窃听狂魔”木马
三、总结与建议
通过对2016年全年捕获的威胁情报信息进行分析和统计,可以发现:敲诈者木马继续保持着上升的态势,脚本类木马在与敲诈者木马结合后,其危害性更加严重;色播类木马继续保持高位态势;而广告类木马则在电脑端和android端出现了不同的发展趋势;Fake类木马每每伴随着热点事件进行传播,传播性和危害性不容小觑。
腾讯反病毒实验室哈勃分析系统建议用户:
1.&始终从正规应用分发网站或官方网站下载和使用安卓应用,不要轻信小型网站、网盘分享的文件,也不要轻信群、论坛等社交渠道推荐的应用;
2.&在搜索工具的时候要提高警惕,慎重使用,尽量不要下载试用各类非法或者不正规的应用,避免恶意程序借助其名义进行传播。
3.&对于不放心的应用,可以使用哈勃分析系统()对其进行检测,及时发现风险;
图21.&哈勃分析系统首页
4.&安装并使用安全类软件,例如腾讯电脑管家,并随时留意保持其处于可用状态,例如开启必要的安全防御措施、及时更新版本等。腾讯电脑管家是腾讯公司推出的免费安全管理软件,能有效预防和解决计算机上常见的安全风险,并帮助用户解决各种电脑“疑难杂症”、优化系统和网络环境,是中国综合能力最强、最稳定的安全软件。
图22.&腾讯电脑管家
