騰訊安全反病毒實驗室馬勁松：網(wǎng)絡(luò)攻擊趨向產(chǎn)業(yè)化和專業(yè)化

11月9日，在天津召開的第二屆（2017）國際反病毒大會來到第二個日程，來自政府主管部門領(lǐng)導(dǎo)、國內(nèi)外信息安全知名專家學(xué)者、信息安全企業(yè)負(fù)責(zé)人圍繞反病毒技術(shù)、云安全、移動APP治理、APT攻擊、網(wǎng)絡(luò)威脅治理等信息網(wǎng)絡(luò)安全前沿技術(shù)及熱點(diǎn)問題展開研討。

騰訊電腦管家安全專家、騰訊安全聯(lián)合實驗室反病毒實驗室負(fù)責(zé)人馬勁松出席了大會當(dāng)天的應(yīng)對勒索軟件威脅分論壇，發(fā)表名為《基于網(wǎng)絡(luò)邊界檢測感知威脅》的主題演講，詳細(xì)介紹了當(dāng)下流行的網(wǎng)絡(luò)攻擊特征及趨勢，并結(jié)合實例分享了如何通過邊界安全檢測感知威脅的經(jīng)驗。

（圖為騰訊電腦管家安全專家、騰訊安全聯(lián)合實驗室反病毒實驗室負(fù)責(zé)人馬勁松在國際反病毒大會現(xiàn)場演講）

漏洞攻擊產(chǎn)業(yè)化  網(wǎng)絡(luò)攻擊呈現(xiàn)三大趨勢

5月席卷全球的WannaCry勒索病毒雖然已經(jīng)遠(yuǎn)去，但給醫(yī)院、高校、企業(yè)、政府等內(nèi)網(wǎng)用戶造成的困擾至今仍令人心有余悸。而事實上網(wǎng)絡(luò)攻擊的危害遠(yuǎn)不止于此，騰訊電腦管家安全專家、騰訊安全聯(lián)合實驗室反病毒實驗室負(fù)責(zé)人馬勁松在大會指出，伴隨著信息安全技術(shù)的不斷升級，網(wǎng)絡(luò)攻擊已逐漸呈現(xiàn)出三大趨勢，而每一種攻擊趨勢又包含著“花樣繁多”的攻擊方式。

首先是不法分子對于漏洞的利用越來越產(chǎn)業(yè)化、規(guī)?；麄儠罅坷霉_的漏洞觸發(fā)代碼(PoC)，及Angler、Nuclear Exploit kits等黑客工具。而具體到如何利用漏洞完成攻擊行為，馬勁松介紹了三種方式，主要有外部投遞、橫向移動以及輔助手段等方式，前段時間剛剛過去的WannaCry勒索病毒、Petya勒索病毒、XData新型勒索病毒就是應(yīng)用了上述三種攻擊方式。

除此之外，不法分子還會精細(xì)化地使用社會工程學(xué)發(fā)送釣魚郵件、構(gòu)造釣魚網(wǎng)站以及網(wǎng)站掛馬達(dá)到攻擊目的。馬勁松結(jié)合騰訊安全聯(lián)合實驗室反病毒實驗室前段時間起底的一批影響約200萬人的掛馬攻擊，介紹了當(dāng)下網(wǎng)站掛馬的特點(diǎn)。他指出，不法分子會通過分析被攻擊者的網(wǎng)絡(luò)活動規(guī)律，尋找被攻擊者經(jīng)常訪問網(wǎng)站的弱點(diǎn)，實施“水坑式”攻擊，具體途徑有入侵后臺、廣告投毒、DNS劫持、推廣自建網(wǎng)站等形式。目前仍在活躍狀態(tài)的“壞兔子”勒索病毒就是利用水坑攻擊，偽造了一個Adobe Flash Player有安全更新的假消息，用來欺騙目標(biāo)用戶下載安裝。

除了直接向用戶下手之外，不法分子還會發(fā)起供應(yīng)鏈攻擊，目標(biāo)直指官方正版的軟件，利用這些軟件的海量用戶基礎(chǔ)，擴(kuò)大傳播范圍。前不久，騰訊安全聯(lián)合實驗室反病毒實驗室就監(jiān)控到主流的遠(yuǎn)程終端軟件Xshell和知名清理軟件CCleader被打包了惡意代碼，運(yùn)行此版本軟件后，受害者電腦上會被植入后門，存在被不法分子遠(yuǎn)程控制的風(fēng)險。這兩起影響用戶數(shù)眾多的安全事件也入選了騰訊安全聯(lián)合實驗室反病毒實驗室發(fā)布的《2017年Q3季度安全報告》七大影響全球的安全事件。

有效捕捉網(wǎng)絡(luò)攻擊蹤跡  騰訊安全構(gòu)建立體化防御體系

網(wǎng)絡(luò)攻擊在不斷變換攻擊手法的同時，始終保持不變的就是其隱蔽性，而在不斷監(jiān)測網(wǎng)絡(luò)攻擊的過程中，騰訊安全聯(lián)合實驗室反病毒實驗室已經(jīng)摸索出一套感知方法——基于邊界檢測實現(xiàn)威脅感知，可以有效的捕捉到網(wǎng)絡(luò)攻擊的蹤跡。據(jù)馬勁松介紹，該方法通過敏感地址協(xié)議檢測——漏洞檢測——APT沙箱分析——安全大數(shù)據(jù)平臺的分析路徑，可以實現(xiàn)對APT、DDoS、Botnet等攻擊的威脅感知和溯源分析。

其中，針對網(wǎng)絡(luò)攻擊中最不易察覺的APT攻擊，馬勁松著重介紹了上述方法中APT沙箱分析的技術(shù)實現(xiàn)過程，即在模擬虛擬用戶環(huán)境的沙箱中，通過行為監(jiān)控模塊和環(huán)境防御模塊分析文件的靜態(tài)信息、行為信息、聯(lián)網(wǎng)數(shù)據(jù)、同源線索，并通過后續(xù)嚴(yán)格的鑒定流程鑒別不明文件的黑白屬性和威脅情報，從而打破APT攻擊的隱蔽性，斬斷APT攻擊的鏈條。

依托騰訊安全聯(lián)合實驗室反病毒實驗室的感知方法，騰訊內(nèi)部集合各個終端優(yōu)勢建立了立體化的防御體系防御網(wǎng)絡(luò)攻擊，即通過全面采集終端及網(wǎng)絡(luò)日志、惡意進(jìn)程深度分析、引入強(qiáng)大威脅情報并聯(lián)動終端防御、通過輕量化的大數(shù)據(jù)平臺分析威脅四大能力可以實現(xiàn)統(tǒng)一威脅管理、統(tǒng)一數(shù)據(jù)分析及提供云端接入SDK等功能。與此同時，騰訊安全聯(lián)合實驗室反病毒實驗室還基于終端感知和新惡意樣本形成的活躍威脅情報，與全球安全輿情整合，發(fā)布準(zhǔn)確、全面的威脅態(tài)勢，進(jìn)一步增強(qiáng)邊界檢測的能力。

在今年上半年爆發(fā)的WannaCry、Petya、Xdata、壞兔子等勒索病毒中，騰訊安全的立體防御體系發(fā)揮了顯著的防御作用。以WannaCry勒索病毒為例，騰訊安全聯(lián)合實驗室反病毒實驗室在第一時間檢測到其動向之后，迅速協(xié)同騰訊電腦管家拉響警報，并推出一整套包含漏洞免疫工具、文檔守護(hù)者工具、文件恢復(fù)工具、勒索病毒專殺工具等在內(nèi)的處置措施，幫助用戶抵御病毒的侵襲。與此同時，騰訊安全聯(lián)合實驗室反病毒實驗室還在解密WannaCry勒索病毒上取得重大突破。在國外同行的研究基礎(chǔ)上，全球首發(fā)針對XP系統(tǒng)感染用戶的解密工具，經(jīng)過驗證，該工具可以最高概率幫助用戶找回被鎖文件。

此外，鑒于勒索病毒的不斷猖獗，騰訊電腦管家還升級發(fā)布文檔守護(hù)者2.0工具，通過全網(wǎng)攔截引擎，可實現(xiàn)對包括WannaCry、Petya、XData，壞兔子在內(nèi)的430種勒索病毒樣本的免疫；同時還能提供對未知的勒索病毒的攔截能力，并自動備份全盤文檔，幫助用戶構(gòu)建完善的事前防御手段。

馬勁松表示，網(wǎng)絡(luò)攻擊手法不斷發(fā)生變異的情況下，要求安全廠商需要以更加積極的姿態(tài)面對，應(yīng)用機(jī)器學(xué)習(xí)、大數(shù)據(jù)等前沿技術(shù)提升威脅感知精度，提前感知潛伏的攻擊，進(jìn)一步保障廣大用戶的網(wǎng)絡(luò)安全。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。