作者:阿里安全钱盾反诈实验室  刘翔宇、染青

图片1.png

阿里安全钱盾反诈实验室高级算法工程师刘翔宇在北京举行的2018 HITB安全峰会演讲

随着机器学习取得了一个又一个的技术突破,越来越多的公司开始将机器学习应用于实际的安全解决方案中,比如异常检测、入侵行为检测、风险管理等。

但是,这些工作主要侧重在提出新的算法或发现新的应用场景方面,忽略了机器学习的输出结果和安全运营成本之间的分歧。例如,将 1 亿个测试用例输入误报率仅为 0.1% 的模型中,仍然会产生多达 100,000 个误报。但对于安全运营人员而言,他们每天可能至多能够处理 100 个告警。除此之外,考虑到安全面临的攻击手段众多,若针对每种攻击手段单独建模,那么告警数目将进一步大幅提升,远远超过安全运营人员的承受范围。

因此,我们将这种不匹配关系定义为机器学习和安全运营之间的最后一公里问题。

最后一公里问题应该如何解决?很多人可能会说,那就进一步提高模型的准确率,雇佣大量人力来对这些告警进行打标。这个方法已经在黄图识别上取得了良好的效果,何不移花接木一把?

但事实上,黄图识别有几个先天条件,是入侵检测难以满足的。

• 打标容易。人们可以轻易识别出黄图,但对入侵检测而言,就算安全专家也需要通过一系列的查证和搜索,才能确认一个告警是否是入侵案例。

• 打标费用低。因为大多数人可以轻易识别出黄图,因此市面上黄图打标价格相对很低,由此产生的人力成本在可控范围内。但对于告警而言,我们需要有专业的安全运营人员来进行判断。每一个专家,都是公司的宝贵财富。

• 大量数据样本。要想能够对样本进行打标,除了有充足的人手以外,样本也要足够多才行。但对于入侵检测,每年真实发生的案例是非常少的,因此不满足这个条件。

基于这几点,传统的方式已经无法解决机器学习和安全运营之间的分歧,因此我们结合自身的场景,提出了多种解决方案,如行为分析、特征排序、风险累积和知识图谱等,并在集团的入侵检测系统中进行了实践。

图片2.png

阿里安全钱盾反诈实验室数据挖掘工程师染青在北京举行的 2018 HITB 安全峰会演讲

第一种方案为结合行为分析。在实际中,许多网络安全问题都可以视为由多个子问题构成,因此不适合直接用机器学习进行「打包」处理。但是针对某些子问题,我们可以使用机器学习进行端到端的学习,然后再对预测结果的行为进行聚类、规则过滤等操作,进而得到最终结果。

例如我们知道 DGA(Domain generating algorithm) 算法实际上是为恶意软件提供新域名的程序,所以人们往往会直接将 DGA 域名和正常域名输入到神经网络中进行训练,并利用得到的分类模型进行预测。这样训练出来的模型在交叉验证的时候往往能达到 99% 甚至更高的准确率。

但事实上,由于 DGA 的本质是生成随机域名,因此如果只聚焦在域名本身这个维度上,那么模型所找出的所谓 DGA 域名,实际上便是一大堆随机域名。

而除了恶意程序以外,还有非常多的场景也会出现利用随机域名的情况,如 IOT 设备。那对于这种情况我们应该怎么办呢?我们对数据进行了进一步分析,发现虽然两者生成的都是随机域名,但 IOT 设备使用的随机域名和黑客使用的 DGA 随机域名在行为上大不相同。因此,我们可以在除了域名本身这一特征外,再进一步的通过这些域名的行为特征,比如与 IP 的映射关系、子域名个数和解析次数等将其区分开来。

第二个解决方案,是基于特征的排序。如前所述,由于告警数众多,因此对于每一个告警,我们都会将其和其他告警进行比较,从而给出一个它的告警分数。如果这个告警在所有特征指标上都表现很异常,那么它的告警分数就会非常高。通过这种方法,我们能够让更异常的告警浮到前面来,更早的被安全运营专家注意到。

在做完特征排序之后,告警数已经有了一定程度的下降了。但就像我们最初说的那样,入侵检测所面临的攻击种类繁多且具有很强的持续性和移动性,因此在对多种方案进行评估后,我们采用知识图谱来构建了我们的告警池,在基于单个告警分数的基础上,针对具有一定关联性的告警进行归并打分,让攻击事件能够更好的浮现出来。

在告警池搭建好之后,后面我们再想要基于它去做一些分析和建模,就方便了很多。比如说,针对每一个安全运营人员确定的攻击事件,我们能够自动将其相关的日志和告警抽取出来,对其中的特征进行分析和学习,并从历史告警池中将相似的关联告警回捞出来,同时将学习到的特征和规则自动并入我们的策略知识库中。今后,一旦发生类似手段的入侵检测行为,就会被我们自动捕捉到。通过这样的方案,我们就做到了不浪费一个事件的每一分价值。

文 / 阿里安全猎户座实验室 杭特

“如果杀毒软件厂商的自动化水平和能力,相当于天上的卫星,能看到地上奔跑的羚羊。那么,我们能做到什么程度?我们能看到羚羊身上的每个细胞。”

这是阿里安全资深专家、阿里安全猎户座实验室负责人杭特对旗下自动化逆向机器人TimePlayer的描述。虽然这个东东战力爆表,不过杭特淡淡地表示,这只是个开始……

什么是逆向?

黑客(或者白帽子)在很多人眼中属于非常神秘的种族,仿佛他们无所不能:破解设备,入侵系统,发现各种牛B的漏洞。逆向能力,就是这些黑客的基本功。其实,各行各业都有自己的基本功,比如学武术要先练站马步,否则下盘不稳,稍微推一下就倒;外科手术,手要既稳又灵活,否则手一抖,割错了地方,那就……当然基本功练到顶级,能达到出神入化的效果,比如武侠小说里内力深厚,可以把木枝当利剑,把树叶当飞镖。

那么黑客何时需要这个基本功呢?就是他需要搞清楚一个程序到底在做什么的时候。这里再举几个例子:早期国内企业想造汽车,又没有积累,怎么办呢?买一台日本车,把他大卸八块,发动机变速箱全都拆开,一块一块的研究,然后照葫芦画瓢仿制出自己的型号;一个病人来看病,医生有用听诊器加望闻问切,高级点的各种化验加CT核磁共振,都是为了发现这个病人有何异常;生物和医学研究,需要各种显微镜来观察细胞的各种运行状态,等等。

通过逆向,你就能弄明白:当你点了一下鼠标,你的照片是如何一步步显示在屏幕上的,脸上的青春痘是如何一步步被消除的;当你输入支付密码,你的验证码是如何一步步验证的,你的转账记录是如何一步步生成的;运行一个网上下载的“是男人就下一百层”游戏,背后是如何偷偷的盗取你的聊天记录和网游账号的……

现在逆向都是怎么做?

很不幸,大部分还处于比较原始的状态,除了少数通用工具(IDA、Ollydbg等等),绝大部分工作都需要人来操作。对于刚入门的同学,人工逆向打怪升级还有些成就感,“读了这些文件”,“发了这些数据”,“哦,原来是这么回事”,“MD,它竟然敢这么做”,“哈,终于绕过了这些限制”。但随着时间的推移和技能的提升,逆向工作就成了纯粹的体力劳动,每天只能反反复复的运行程序、设置断点、获取接口数据、修改数据、写分析记录,大量的时间耗费在这些繁文缛节里。

为什么要提自动化逆向,难度如何?

目前的主要矛盾:需要分析的对象数量越来越多、规模也越来越复杂,但分析人员人数有限,还经常出状况(比如高级分析人员的能力无法赋能给初级分析人员,人员流动导致的能力衔接不够,人工分析的准确性无法得到保证)。能不能把重复的人工分析任务完全由自动化的工具来做?答案是肯定的。

一定有些专业人士来挑战:不是有个叫做“脚本”的玩意儿么,你把常用的操作,写个脚本不就完了,或者开发个分析平台啥的,不难。

下面来个类比:

  • 开车作为一个现代人的基本技能,不算难,当然也要花1、2个月在驾校学习和考试上。目前我国的驾驶员有3亿。如果人工驾驶,改成自动驾驶,是不是难度陡然提升?现在还没有几家敢说自己达到Level4和Level5的自动驾驶吧?
  • 围棋,规则普通人一天差不多就能学会。但如果让超级电脑按照这个规则和人对弈,战胜人类冠军,哪怕计算力超强,也是很困难的事情,否则为什么阿尔法狗那么出名?因为难呐。

又有一些专业人士会反驳:胡说,那些杀毒软件厂商,每天查杀数亿样本,肯定是自动化实现的。我只能说,这个反驳有一定的专业度,但只看到了表象。每个杀毒软件厂商都有一个很大的运营团队(通常数百到上千人),用于人工分析自动化初筛后的样本。他们的自动化水平和能力,相当于天上的卫星,能看到地上奔跑的羚羊,仅此而已。而我们能做到什么程度?我们能看到羚羊身上的每个细胞。

阿里的自动化逆向机器人达到什么程度?

我们将安全从业人员逆向工作的大部分能力完全自动化,创立了自动化逆向机器人TimePlayer。相关的能力么?世界领先,甚至可以说是世界第一,不服来战嘛。

TimePlayer使用的相关的技术非常晦涩难懂,这里就不展开了。下面形象地说一下这个机器人的能力:

  • 摄像机:如果要分析一个程序,只需要在TimePlayer里运行一次就可以了,TimePlayer会把该程序所有的行为全部忠实的记录下来,不会遗漏任何的细节
  • 播放机:之前拍摄的内容,可以向前放、向后放、快放、慢放、放大任意处的细节、追踪任意的目标。要注意,这个播放时的结果要和摄像时一模一样,这是很有难度的。
  • 显微镜:程序的行为,要做到指令级别的粒度,所有的一切都要能观察到,包括每个指令是什么,寄存器状态,访问的内存内容,等等。打开一个App,通常几十亿条指令就执行完了,上面的内容统统不能遗漏。

大家可以把这个机器人类比成医学界的达芬奇机器人,配合技术高超的医生,能够实现许多很多专家都做不到的事情:

  • 前一阵大家都听说过WannaCry勒索病毒,很多用户重要数据被这种恶意软件加密了。如果要恢复这些数据,需要勒索者提供一个叫做“私钥”的东西,这个“私钥”数据量很小,其实是在受害者机器上生成的。由于勒索软件刻意的删除了本机的“私钥”,理论上只能掏钱向勒索者获取。虽然很多安全厂商做了各种分析,貌似很彻底,但都没有我们的独家发现:这个“私钥”实际上在用户态和内核态均有残留,且相较于暴力搜索用户态内存方法,精准的内核态残留提取更为稳定。
  • 安全人员工作中经常需要逆向一些网络协议或者文件格式,举个例子,只有逆向doc超级复杂的文件格式以及Word对其的解析过程,WPS才能打开doc文档并对其进行处理。现在,只需要把doc文档放到TimePlayer上打开,就能自动化的对doc文件格式进行分析。以前数人多年的分析工作,现在几天时间就能搞定,还不需要人的参与。
  • 攻防是个对抗的过程。为了对抗人工逆向,防护人员开发了各种各样的工具和产品提升逆向难度,其中最有名的叫做“虚拟机壳”。这种壳本质上就是一个超级复杂的迷魂阵,让逆向者不停的打转,耗费他们的时间和精力。一般只有特别资深的专业人士,经过一定时间的积累,才能搞定这种复杂的对象。TimePlayer利用了独特的技术,可以很轻松地化解这些迷魂阵,让最初级的分析人员也能很快的了解程序的算法细节,甚至都不需要了解,拿来使用即可。“虚拟机壳”这种纯工程化的障眼法,如果不结合一些理论上的难题,未来的天花板会很低。

以上的内容还只是TimePlayer能力的牛刀小试,更进阶的功能由于保密的原因还不能分享,我们会在适当时机进行发布。

另外,说一下对未来攻防形式的方向性看法。随着社会生活全面互联网甚至物联网化,需要分析的对象,无论是种类还是数量都呈现爆发性增长,指望有限的分析人员来覆盖这些对象是不现实的,人海战术将不能满足要求,自动化、规模化是大势所趋,也是能力能够沉淀的必经之路。

近日,思科Talos团队公开了一个新的恶意软件及系统“VPNFilter”。

研究结果表明,VPNFilter是一个可扩展性强、有较好健壮性、高水平及非常危险的安全威胁,高度模块化的框架允许快速更改操作目标设备,同时为情报收集和寻找攻击平台提供支撑。VPNFilter破坏性较强,可以通过烧坏用户的设备来掩盖踪迹,比简单地删除恶意软件痕迹更深入,同时VPNFilter恶意软件的组件允许盗窃网站凭证和监控Modbus SCADA协议。如果需要的话,类似命令可大规模地执行,可能会导致成千上万的设备无法使用。

影响面广 危害巨大

由于Talos团队的观察都是远程,而不是在设备上的,很多情况下很难确定具体的版本号和模型。但根据研究结果,所有如下设备都有与VPNFilter恶意软件相关的公开漏洞及威胁。不过以下清单是不完整的,但随着研究的深入,其他设备可能也会受到影响。

LINKSYS设备:E1200、E2500、WRVS4400N

MIKROTIK云核心路由器ROUTEROS版本:1016、1036、1072

NETGEAR设备:DGN2200、R6400、R7000、R8000、WNR1000、WNR2000

QNAP设备:TS251、TS439 Pro及其他运行QTS软件的QNAP NAS存储设备。

TP-LINK设备:R600VPN

针对VPNFilter恶意软件的防护建议

由于受影响的设备大多数直接连接到互联网,攻击者和设备之间大多没有安全设备,大多数受影响的设备有公开漏洞,此外,大多数都没有内置反恶意软件功能,这些使得对于此类威胁防护比较困难。

阿里安全猎户座实验室针对VPNFilter恶意软件的防护建议:

1)确保您的设备与补丁版本是最新的,及时应用更新补丁,避免存在公开漏洞。

2)设备对外最小化开放端口服务,减少攻击面。

3)设备默认口令需要及时变更,同时满足复杂度要求。

4)Talos开发并部署了100多个Snort签名,用于公开已知的与此威胁相关的设备的漏洞。这些规则已经部署在公共Snort集合中,可以使用这些规则来保护设备。

5)对VPNFilter涉及的域名/ip地址做黑名单,并将其与该威胁关联起来,进行检测拦截防御。

6)路由器和NAS设备被感染,建议用户恢复出厂默认值,升级最新版本打上最新补丁并重新启动。

事件回溯

2018年5月8日,思科Talos团队观察到VPNFilter感染活动急剧增加,几乎所有新的受害者都在乌克兰。同时,BlackEnergy和VPNFilter之间有代码重叠。而且种种迹象表明攻击可能很快就会发生;另外,至5月17日,在乌克兰新的VPNFilter受害者再次大幅增加。据估计,至少有54个国家的感染设备数量至少达到50万。为尽快减少此恶意软件带来的危害,思科Talos团队与合作伙伴协商后,在尚未完成研究之前就公开了这些信息。

据悉,VPNFilter恶意软件瞄准的设备类型为网络设备和存储设备,一般很难防御。这些设备经常出现在网络外围,没有入侵保护系统(IPS),也通常没有可用的基于主机的防护系统,如反病毒(AV)包,而且大多数的类似目标设备,特别是运行旧版本的,都有公开的漏洞或默认口令。这使得攻击相对简单,至少从2016年起这种威胁增长得很快。

目前,受VPNFilter恶意软件影响的已知设备:Linksys、MikroTik、NETGEAR和TP-Link网络设备,一般在小型和家庭办公室(SOHO)空间,以及QNAP网络附加存储(NAS)设备。

解析VPNFilter恶意软件

VPNFilter恶意软件是一个分不同阶段而且模块化运行的攻击平台,支持多种功能,并可进行情报收集和破坏性网络攻击操作。

第1阶段恶意软件通过重新启动植入,这使得它有别于大多数其他恶意软件,因为恶意软件通常无法在设备重启后存活。第1阶段的主要目的是获得一个持久化存在的立足点,并使第2阶段的恶意软件得以部署。第1阶段利用多个控制命令和通道(C2)来发现当前阶段2部署服务器的IP地址,使这个恶意软件极其健壮,能够处理不可预测的C2基础结构变化。

第2阶段恶意软件拥有智能收集平台中所期望的功能,比如文件收集、命令执行、数据过滤和设备管理,某些版本也具有自毁功能,覆盖了设备固件的关键部分,并可重新引导设备,使其无法使用。

此外,还有多个阶段3的模块作为第二阶段恶意软件的插件,提供附加功能,当前思科Talos团队已发现了两个插件模块:一个数据包嗅探器来收集通过该设备的流量,包括盗窃网站凭证和监控Modbus SCADA协议,以及允许第二阶段与Tor通信的通信模块,据称仍然有其他几个插件模块但当前还没有发现。

image001.jpg

其中:

1.VPNFilter恶意软件已知的C2域和IP

阶段1:

photobucket[.]com/user/nikkireed11/library

photobucket[.]com/user/kmila302/library

photobucket[.]com/user/lisabraun87/library

photobucket[.]com/user/eva_green1/library

photobucket[.]com/user/monicabelci4/library

photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library

photobucket[.]com/user/millerfred/library

photobucket[.]com/user/jeniferaniston1/library

photobucket[.]com/user/amandaseyfried1/library

photobucket[.]com/user/suwe8/library

photobucket[.]com/user/bob7301/library

toknowall[.]com

阶段2:

91.121.109[.]209

217.12.202[.]40

94.242.222[.]68

82.118.242[.]124

46.151.209[.]33

217.79.179[.]14

91.214.203[.]144

95.211.198[.]231

195.154.180[.]60

5.149.250[.]54

91.200.13[.]76

94.185.80[.]82

62.210.180[.]229

zuh3vcyskd4gipkm[.]onion/bin32/update.php

2.文件HASH值

阶段1:

50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec

0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92

阶段2:

9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17

d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e

4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b

9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387

37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4

776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d

8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1

0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b

阶段3:

f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344

afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

* 本文作者:阿里聚安全,转载注明来自FreeBuf.COM

前言

近日,某某龙在2018年的一次会议上发表了一个演讲,4000多人聚集在现场玩“跳一跳”游戏。随着他们指尖的翻飞跳跃,大屏幕上的现场排名也在不断刷新……而在全场的惊叹声中,最高分出现了,967分!而这位最高分得主,就是某某龙本人。

在随后的演讲中,某某龙也表示,这款DAU在一点几个亿的小游戏,网上居然出现了非常多的外挂。笔者以“跳一跳”为关键词在全球最大的同性社交平台github上进行搜索,居然有650个搜索结果。这些外挂,大多数都是以图像识别为基础的游戏辅助程序。利用这些外挂,玩家们可以很轻松的跳到几千分,甚至上万分。

image001.png

同样,在2018年1月23日举办的阿里游戏云“棋牌X安全”技术分享沙龙的活动现场,阿里巴巴集团安全部专家陵轩也对游戏从业者深恶痛绝的外挂问题进行了详细的解读,并针对反外挂提出了阿里的最新解决方案。

作为一款社交平台上的小游戏,如果外挂泛滥,一方面,看到朋友使用外挂打出了一个很高的分数,那么朋友之间的信任可能会出现问题;另一方面,外挂行为会破坏整个游戏的规则,并且让规则立即失效。基于这两方面,最终导致的就是正常玩家的流失,游戏面临衰败和死亡。

比如,一个正常玩家,在不断练习之后,每局的分数应该是会缓慢增长的,如果某个时间段突然增加了几千分甚至几万分,这本身就已经很不正常了。

外挂的种类

根据外挂的实现原理,以及对游戏正常业务造成的危害程度,我们对外挂大致可以分为如下三大类:辅助型、修改内存型、破解型。

image004.png


辅助型

这类外挂对游戏和业务的影响相对比较小,本身不会修改和破解游戏的代码,主要是模拟用户点击,自动化的做一些重复性的操作。比较常见的是图像识别和按键精灵等工具。通过图像识别技术,可以判断人物当前的位置、火车票余量等;然后通过按键精灵模拟用户点击,达到人物在游戏中的走动、自动购买火车票等操作。

最火的案例莫过于现在的直播答题场景了。

image006.png

外挂程序通过OCR识别出题目的文字,然后通过搜索引擎检索答案,最后自动化点击题目的答案,做到全自动化答题,并且准确率还很高。

image008.png

修改内存型

修改内存型外挂依托于官方游戏APP,属于动态修改游戏业务逻辑,这类外挂往往会向游戏进程中注入第三方恶意模块,然后通过修改代码的逻辑、修改内存中的数值等手段达到修改游戏地理位置、人物奔跑加速、破解收费道具、修改游戏币数量和增加血量等。此类外挂会极大的破坏游戏的平衡性。

如下是“XX酷跑”的游戏外挂,属于典型的内存修改类外挂程序。此外挂程序会往游戏进程中注入第三方模块,然后通过修改游戏的代码逻辑和内存中的数值,可以随意改变游戏的飞行距离、奖励的倍数、奔跑的速度等参数。

image010.png

破解型

破解型游戏外挂对于游戏厂商来说影响是最大的,不仅会破坏游戏的平衡性,更会加速游戏业务走向衰亡。

破解型外挂又分为两类:二次打包和脱机外挂。

APP的二次打包是基于对官方APP的修改,属于静态修改代码逻辑。黑客们通过逆向分析游戏逻辑,修改游戏赖以生存的核心功能,比如去除游戏中的广告代码,破解单机游戏的收费逻辑,插入盗号代码等。

如下是《XX那三国》游戏的二次打包版本,其中被插入了“一键跳过”副本、游戏对话速度可调至3倍速等外挂功能。

image012.jpg

脱机外挂的出现对游戏厂商来说是毁灭性的打击,这意味着游戏客户端和服务器端通信的逻辑都已经被黑客逆向的非常清楚了,所有的游戏操作都可以脱离游戏客户端而通过脚本来实现。

脱机外挂的危害也显而易见的,首先,原本属于游戏客户端的广告、道具等收入没有了;其次,脚本操作比正常的客户端操作要快很多很多,极大的破坏了游戏的平衡性。当年PC时代最为火爆的《传奇》游戏,很大程度上也是没落于脱机外挂的出现。

如下是《狼人杀》游戏的批量注册小号工具,黑客通过逆向游戏注册逻辑和算法,编写PC端自动化注册工具,完全脱离游戏客户端APP,属于典型的脱机外挂。

image014.png

外挂难防

作为一名游戏行业反外挂领域多年的从业者,陵轩也在现场对外挂的存在原因,防控难度及外挂的分类等进行了详细的分析。

image016.jpg
阿里巴巴集团安全部专家 陵轩

游戏外挂问题,不仅仅只在微信“跳一跳”小游戏中出现,它更是一个手游行业普世存在的、并且不能被忽视的严重问题。那么,这些外挂究竟是如何产生的呢?

首先,相较PC时代的C++游戏客户端,现在的手机游戏基本上都是以脚本语言为主。由于脚本语言的特性,游戏的开发成本降低了,迭代周期缩短了,但也同样面临容易被反编译、篡改破解等问题。

第二,以往在PC时代被广泛使用的游戏驱动保护,到了移动时代由于手机的限制,也同样不能用了。这就导致了黑客可以有Root、越狱等超级权限,而游戏则只有普通的用户权限,这种攻防对抗层面的权限不对等,也是移动端外挂难防的一个很重要原因。这就好比我是一个拿菜刀的屠夫面对一群拿AK47的恐怖分子一个道理,根本没法打。

第三,出于对手机网络的不稳定,以及流量使用等原因的考虑,很多手机游戏的计算逻辑和过程都在客户端进行,这就导致了黑客可以很容易的篡改客户端进行游戏作弊,比如,直接跳过某些游戏关卡、BOSS一击毙命等。

第四,手游时代对外挂工作室来说,作弊成本低。一台主流PC机可以虚拟出几十个模拟器;作弊工具产业链成熟,包括IP代理商,卡商猫池、打码平台、群控软件等。

第五,游戏开发同学通常缺乏安全对抗经验,无法及时发现和阻断外挂的使用和传播。

谁在使用外挂?

随着移动互联网的兴起,同时,手游行业制作外挂的成本低,导致更多的外挂制作者从PC纷纷向移动端转变,这就导致了手游外挂的泛滥。那么,究竟是哪些人会使用外挂呢?

第一类:虚荣心作祟的玩家。在游戏中,玩家们可以沙场驰骋、江湖侠情,在现实中失意的人们可以再游戏中得到慰藉,使得心灵愉悦。那么,如何才能花更少的钱,得到更大的心灵慰藉呢?唯有借助外挂的力量,可以在战场上杀更多的人,比分比别人高。

第二类:打金工作室。对于打金工作室来说,游戏币的产量是直接关系到变现的。使用外挂可以自动化的执行游戏中的一些重复性劳动,比如固定的主线任务、跑商、押镖等。而且,在外挂的帮助下,可以24小时全程无人值守,大大提供游戏币的产出量。

第三类:竞争对手。通过对官方游戏逆向分析,竞争公司可以很容易的通过换肤等手段,制造一款玩法相近、界面类似的新游戏;另外,竞争对手还会使用外挂批量注册小号,来破坏游戏的正常运营。

通用的检测和防御机制

游戏外挂的实现方式多样,危害也都各不相同,那么游戏厂商又该如何对不同种类的外挂做针对性的防护呢?

第一步:客户端APP的防护。客户端在外发之后,最终到了正常玩家手里还是黑产手里,这块是不可控的,那么如何提高黑客分析客户端代码的成本,保护端上代码的安全是头等大事。我们可以对游戏脚本进行加密处理,对于解密游戏脚本的核心代码逻辑进行代码混淆、加固,反外挂从提升攻防门槛开始,一个保护机制相对完善的客户端,虽然不能杜绝外挂,但能在一定程度上将大部分跃跃欲试的黑客阻挡在外。

第二步:通信链路的防护。脱机外挂的产生,很大程度上是因为客户端APP和服务器端通信的签名算法、加密算法被破解了。采用常规加解密算法的变形算法,以及保护好核心秘钥至关重要,采用白盒加密不失为一种好的对策。

第三步:业务层及时防控。云端业务层通过实时的各种IP库、手机库的查询、人机模型算法以及离线的数据分析等。从服务器端及时发现和防控已知和未知的作弊方案,为业务及时止损。被黑客攻击并不可怕,可怕的是不知道被攻击,允许黑客一小段时间的作恶,换取绝大多数用户的安全,是业界通用的做法,快速发现问题并解决问题才是治理外挂的核心。

物美价廉的解决方案

基于前面的介绍,手机游戏外挂的制作难度和成本极低,外挂的制作者又都是专业的黑产从业人员;另一方面,对于游戏厂商来说,普通游戏开发者一般都更关注游戏功能逻辑的实现和开发,本身缺乏安全技术和游戏攻防对抗经验。因此,游戏厂商想要及时的发现并阻断外挂作恶相对来说比较困难,从投入产出比来看,成本也相对偏高。

定制的解决方案研发和维护成本过高,但通用的又担心效果不好。是不是能有一个折中的方案呢?答案是肯定的。其实,攻防对抗是一个两军对垒人和人、人和机器博弈的过程,一下子把门槛提升太多是不合时宜的,就像一下子改一个大版本着急大不一样,这个是得不偿失的。利用前面提到的分层而治,就能取得一个比较好的事半功倍的效果。

阿里云游戏安全解决方案,从云(云端业务层)、管(通信链路层)、端(游戏客户端APP)全链路防检测并防控游戏外挂。经过多年双11的攻防演练,阿里巴巴业务风控体系具备及时发现黑产的“眼睛”,为游戏厂商及时止损。

阿里游戏云“棋牌X安全”技术分享沙龙还在继续,更多会议内容及资讯内容敬请关注阿里聚安全公众号或官方博客。

*本文作者:阿里聚安全,转载请注明来自FreeBuf.COM

随着网络空间成为第五空间、社会基础产业全面互联网化,网络安全(或称广义的信息安全)面临的威胁越来越大,对网络安全的人才需求也呈现出井喷趋势。即使目前很多人可以自学成才,“网络空间安全”也成为一级学科,但根据《第十一届网络空间安全学科专业建设与人才培养研讨会》得出的结论,“我国网络空间安全人才年培养规模在3万人左右,已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。”缺口不小,但目前安全人才的历史存量和每年的增量,其结构是不是合理,是否反映了产业的需求呢?

image001.jpg
阿里安全资深专家杭特

阿里安全资深专家杭特在安全行业从业十余年,甲方和乙方公司都有经历。他认为,相对于欧美等发达国家,国内人才培养在结构和技能方面,有几个“怪现状”。

image002.png

重视“攻”, 轻视“防”

攻防就如同硬币的两面,哪一方面都不可或缺,因此才出现了“以攻促防”,“未知攻,焉知防”之类的金句。但现实往往不尽如人意,这些金句实际上也只做到了前面一半,后一半则明显薄弱,最终成了“虎头蛇尾”,“强弩之末”。现在安全人才在总数不够的前提下,防守人才更是极其匮乏,比例严重失调。表现形式很多:

情形1、对于搞Web漏洞和渗透的人,八成以上不知道怎么搞SDL;

情形2、技术类的文章,大部分都是攻击挖洞类的文章,至于防护方案,通常只有短短几句,“已将问题提交厂商”、“不要使用弱口令”、“及时更新系统”等等;

image003.png

情形3、一个个基础系统被攻破,2G有伪基站、4G也能被降级劫持、Wi-Fi不可靠、蓝牙不安全,操作系统天天打补丁还能被控制。安全Geek们无所不能的同时,也得保护好自己,把自己武装到了牙齿,“我小心故我安全”,但想做到独善其身很难,你的爹妈和亲戚朋友可咋办?别说那些高大上的,密码太多记不住,这么现实的问题,让岁数大的人怎么解?

小结攻击技术很重要,相关人才也要占领高地,高价值漏洞这样的战略武器一定要有,但这绝不是网络安全的全部。打个比方,相对于目前多方都有“NUKE”(核武器)的现状,造十枚还是百枚核弹并没有区别,反而是类似于美国的TMD(战区导弹防御系统)更显重要。我们有如此多的系统需要建长城来守卫,期待更多防守人才的出现和贡献。

重视“攻防”, 轻视“数据”

大部分业界从业者认为,安全就是Security,但实际上对应的英文单词有两个,我们先来区别一下(根据NIST CPS Framework的定义)。

Safety:确保生命、健康、财产、权益人数据及物理环境等方面不存在灾难性后果;

Security:内外部的保护,以避免无意或者未授权的访问、改变、破坏或使用。

之前网络安全大部分都属于Security的范畴,但随着IoT和ICS 的出现,动动鼠标也能物理危害人身安全,从而扩展到了Safety的领域。 由于Safety更注重能影响物理世界的安全,因此作为争夺“EIP”控制权的“攻防”是最为重要的;而Security要重点保护的,其实是“数据”的控制权。

可惜的是,绝大多数的安全人才都把精力放在“攻防”上,认为只要拿到控制权,就能拿到数据,但事实真的如此?举个反例,不考虑物理攻击,现在iOS的指纹数据貌似还没有人能拿到,即使能完美越狱又如何呢?在这里笔者再引申两个问题,供大家可以思考:

问题1、不借助硬件,有哪些领域的数据安全需求是和漏洞一点关系都没有的?

问题2、不考虑可用性问题,一个系统给你root/admin就真的非常可怕?

小结安全要搞清楚保护的对象是什么,而这些对象也随着产业发展不断变化。“EIP”控制权的争夺应该更多的面向与物理世界相连的设备,而其它的场景,则应该重点关注“数据”的控制权。数据已经成为DT时代的石油,是产生价值的新能源,如果还是用传统的漏洞思维来谈数据安全,是肯定做不好的,密码学久违的春天已经到了。

重视“单点、破坏”, 轻视“体系、建设”

安全有一个著名的木桶理论,“系统安全性的整体水位与最脆弱的组件水位相同”,绝大多数的人都在“集中优势兵力,从系统最薄弱的地方突破”,可是破坏容易建设难。当要保护的对象足够多、足够复杂,如何能成体系地进行安全建设,如何能将安全威胁收敛到可控的程度,是一件非常有挑战的事情,下面列举几个:

反入侵对于所有的企业,这都是个令人头疼的挑战。有句笑话,“世界上只有两种企业,一种是知道自己被入侵的,一种是不知道自己被入侵的”。反入侵需要非常体系化的架构来控制风险。很多企业借助众筹或蓝军模拟渗透找到某些脆弱点并完成修复,认为这样就能高枕无忧,这种做法只是暴漏了很小的风险,连标都没治,更别说本了。实际上SDL只是标配,WAF、RASP、各种监控、各种数据、各种算法,安全建设的任务艰巨……

供应链安全前几年APT热火朝天,各种0day满天飞,门槛也快速提升,攻防双方的日子都不好过。东边不亮西边亮,随着XCodeGhost的爆发,xshell、CCleaner、pip、nodejs接连中招,原来还可以这么玩?目前发现的例子都是事后,还有多少掩藏在冰山之下?目前还没有特别有效的防护方案,要么太重型,要么太晚,面对连规则都没有的目标,希望渺茫。试问有哪个企业和组织可以置身事外?别以为有源码就安全了,pip和nodejs都是源码,更别说还有算法级后门了。

防止钓鱼安全培训天天讲,可是社工这一关很多人就是过不了。别看对手low,效果还异常的好,毕竟明枪易躲,暗箭难防。

小结安全本不是平等的对抗,打开恶魔的盒子不那么难,但灾后重建却异常艰难。相对于“千里之堤,溃于蚁穴”的蚂蚁,业界更需要的是为生态授粉、创造自然奇迹的蜜蜂。

重视“技术”, 轻视“业务”

安全是个技术对抗非常激烈的领域,但这并不代表技术高超就能把基本问题解决的很好,黑灰产对抗就是个非常好的例子。作为一个产业,现在的黑灰产已经形成了一个完整的链条,每个环节都有大量的从业者各司其职。相比较那些神奇的0day,除了极个别情况,黑灰产使用的技术都是相对基础的。即使如此仍然有大量网站被简单的注入或者弱口令攻破,无数个人信息都在地下黑市被贩卖,如果没有徐玉玉案件引起国家重拳,现在的情况可能更为糟糕。商业上的薅羊毛也让众多电商网站承受资损并搅乱了市场公平,但行业里相关的人才却很稀缺。

小结有数据表明,黑灰产的市场规模已经和网络安全市场的规模相当,都是千亿规模。整个业界的技术支持配比是否应该向1:1努力?

重视“反向能力”, 轻视“正向能力”

很多人都是从渗透、逆向、分析漏洞入门的,其实这些都是反向能力,如果要达到相反的目标,也就是防止渗透、防止逆向、设计没有漏洞的系统,一种是“反反向能力”,一种是“正向能力”,两者并不相同。其实这个和汽车工业有些类似,早期自主品牌造车都是逆向起家,买辆样车大卸八块,试图造出差不多的产品,吃夹生饭的结果就是动力、油耗、安全性都与原型相去甚远。下面再举几个例子。

逆向与混淆逆向是二进制安全的基础,但对于很多公司来说,防止产品被逆向进而保护知识产权,是个硬需求。业界目前采用的常见手段就是花指令、防调试、执行流混淆、普通壳、虚拟机壳、白盒密码。除了白盒密码,其它的都属于“反反向能力”,虽然在现实场景中大量应用,但首次分析和二次分析的强度及有效度无法用数字来度量,虚拟机壳效果好一些,但通俗点讲就是对小白很难,但对专家不难。白盒密码属于“正向能力”的初级阶段,强度至少可以通过数量级(比如2^40)来衡量,但不幸的是,目前最好的白盒密码也撑不过28天(参考CCS 2017白盒挑战赛的结论)!美国已经开始高级阶段,至少10万美金的挑战赛还没人成功,东西方差距明显。

可靠软件如果要开发一个功能,并确保安全可靠,很多人意识里就那么几招,功能测试、覆盖率测试、黑盒fuzz、白盒代码扫描,技术高级点的再加上个符号执行,这些也都偏“反反向能力”,因为这些测试全通过了,也不代表是安全的。有些人可能会说“本来就没有绝对的安全”,但这些测试本质上并没有说明哪些是应该的、哪些是不应该的。而“正向能力”就是要解决这些问题,这也就是为什么别人有信心造出“无法劫持的无人机”、“功能实现正常的加解密算法和协议”。

ChromeNaCl如果要在浏览器上运行第三方插件,对性能要求高,必须得跑x86机器码,但如何保护安全性呢?“反方向能力”基本就是inline hook、调试器监控异常、DBI、虚拟机执行,属于哪里有问题就去堵哪里的策略;“正向能力”就如同NaCl这种,确保生成的代码必须符合规范,并利用x86的体系架构,在加载的时候,只要通过验证就能确保安全性,其强度远超虚拟机。

小结精通反向能力,未必能做好正向能力。国内的反向能力与世界水平相当,但正向能力却实打实的低下,我们也应该开始重视正规军的建设了。

重视“人肉”, 轻视“自动化”

虽说安全的本质是人性的斗争,人的因素不可或缺,但目前大量的工作都是低级重复性的。比如漏洞分析和逆向,除了少数特别复杂和高深的对象,大部分就是纯体力劳动,以下的场景很普遍。

image004.png

小结对于企业,如何才能让安全从业者从繁重的分析中解脱出来,更多的聚焦更有价值和挑战性的工作?如何能将部分能力沉淀到平台而不强烈依赖个体,进而更好的规模化、易用化?

总结

网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。

*本文作者:阿里聚安全,转载请注明来自FreeBuf.COM

0×1. 背景

近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植入用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险等。

“DowginCw”能上架知名应用商店和长期驻留用户设备,是因为它使用了一套成熟的免杀技术,利用这套技术,免杀病毒可在杀软面前肆无忌惮地实施恶意行为而不被发现,其免杀技术手段包括:代码加固保护、插件化,以及代码延迟加载。

0×2. 影响范围

相关数据表明,早在去年10月“DowginCw”病毒家族应用就上架应用商店。其中几款应用下载量甚至高达3千万,疑似存在刷榜,刷量和刷评分,来诱骗用户下载。

image001.jpg

image003.png

image005.png

目前,钱盾反诈实验室已拦截查杀“DowginCw”病毒家族2603款应用。下图近两月病毒感染设备次数已达93w,平均每日感染用户过万,共计感染87w用户设备。

image007.png

应用名 包名 感染量
魔仙公主换装 com.cocoplay.iceskater 107543
大球吃小球烧烤 com.mahjong.sichuang 39403
魔仙公主装扮游戏 com.colorme.game.gongzhuhuayuano 28339
巴拉拉公主蛋糕 com.fcl.anaadwqra 22798
奇妙蛋糕屋游戏 com.qiyou.kxct_MM 19951
小芭比公主游戏 air.com.empiregames.fungirlgames 14619
公主化妆和换装 com.cocoplay.ryenpncocoiceprincess_googleplay 12940
叶萝莉美甲师(免费版) com.fc.mhklmjslnad 12249
可爱公主医生小游戏 com.andromo.dev249143.app236834 12058
丛林发型制作世界 com.fancywing.s3 11697

0×3恶意样本分析

对“DowginCw”病毒家族其中一样本分析。

应用名:王子结婚换装小游戏

包名:com.brainsterapps.google.katyinternational

2.1主包解析:

首先将主包脱壳,拿到加固前代码。下图主包功能模块。

image009.png

启动恶意代码;

从云端获取恶意推广插件信息;

加载执行恶意推广行为;

监听应用安装、网络改变,进而调用子包,执行恶意行为;

1.恶意代码是在入口activity的attachBaseContext被加载的,也就是应用一启动就会加载恶意代码块。为了躲避动态沙盒监测,恶意行为会延迟30s执行。

image011.pngimage013.png

2.访问http://mail[.]zbmcc.cn/s获取插件Json数据。数据如下,a:插件包下载地址;b:版本号;c:设备sd卡存放位置;d:恶意弹窗控制指令数据,函数call的参数。

{
"a": "http://d2[.]chunfeifs[.]com/jfile/ter.jar",
"b": "5.0",
"c": "download/br/",
"d": "1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;"
}

3.插件下载地址来自xiongjiong[.]com或chunfeifs[.]com。成功下载后,随后动态加载ter5.0.jar,并反射执行“init”方法完成恶意推广行为初始化,下图“CWAPI”的静态代码块,可知DowginCw的弹窗方式。

image015.png

最后主包通过反射执行子包“call”函数启动恶意推广。

4.应用安装成功、网络改变广播监听,通过反射调用子包LCReceiver类onReceive函数实现。

2.2子包恶意推广

下图子包工作图:

image017.png

设置恶意推送模式和定时弹应用安装提示窗的指令数据,来自mail[.]zbmcc[.]cn返回的json数据中的b字段值,例如数据指令“1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;”会开启以下3种推送模式和设定弹应用安装提示窗口定时器:

内插轮番,在指定的间隔时间在主包应用窗口弹推送窗;

解锁,设备解锁弹推送窗;

外插轮番,在指定的间隔时间在任意应用窗口弹推送窗;

image019.png

“DowginCw”每发起一次恶意推送,都会从go[.]1mituan[.]com获取加密的待推送应用数据。

image021.png

经解压解密可获取数据如下,包括应用编号、弹窗图片地址、推送应用下载地址:

image023.png

为了能够在设备解锁,任意应用界面弹窗,病毒需要获取当前运行Activity实例。“DowginCw”通过反射获取ActivityThread中所有的ActivityRecord,从ActivityRecord中获取状态不是pause的Activity。

image025.png

成功弹出恶意推广窗,用户触屏图片区域,甚至点击“取消”也会下载准备的应用。

image027.png

安装提示窗也是定时执行,若监测到下载应用没被安装,则会弹窗诱导用户安装应用。当应用成功安装,LCReceiver会接受处理“android.intent.action.PACKAGE_ADDED”广播,实现应用自启动。如此环环相扣,完成一个又一个恶意应用植入用户设备。

image029.png

我们发现恶意推送的应用全部来自域名:xiongjiong[.]com和youleyy[.]com,下载的应用以伪装成游戏和色情类app为主,大部分属于SmsPay家族(启动发送扣费短信),部分Rootnik家族(root设备向系统目录注入恶意应用),下表部分推送应用:

应用名 包名
我的世界 com.xiaodong.android.mc.chwan0724
绝地求生 il.fhatiazsfv.f.k2be42121f2539.f9b1
复仇者联盟 com.union.theavenger20713
贪吃蛇大作战 yoq.yvlha.tfyz.HX2017_728
私密空间 com.simsiskongj20088ian.cdsqcgpmdpfm
女神来了 ymju567_thjtyu.juki
我的安吉拉 bgbg_67_n_6666.ghgyh
越野飙车 com.kkpo.iibs61108
我的世界 cdf.khyhkgdgd.lfdbvbhbngx

0×4 黑色产业链分析

如下图所示,由制马人、广告平台、多渠道分发、转账洗钱构成了“DowginCw”黑色产业链的关键环节。

image031.png

其中制马人团队负责开发维护,以及免杀处理,目前病毒已迭代到5.0版本,特点包括:能以插件形式集成到任意app;代码延迟加载,由云端下发恶意插件;字符串加密,代码强混淆等技术,可见“DowginCw”开发团队专业度之高。“广告平台”角色是“DowginCw”病毒的主要赚钱方式,通过在黑市宣传推广能力,以成功下载应用或成功安装病毒木马收费。“多渠道分发”团队在整个链条中处于相对核心的地位,通过与某些应用合作,成功集成“DowginCw”插件,致使能上架知名应用商店。从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑产人员参与其中,比如上架应用商店后,想要让app曝光诱骗用户下载,会请专业人员进行刷榜,刷量,涮好评。

0×5团伙溯源

我们通过钱盾恶意代码智能监测引擎,从“DowginCw”病毒家族中提取出如下C&C地址:zbmcc.cn、smfoja.cn、typipe.cn、unfoot.com、yuchanglou.com.cn、inehzk.cn、chunfeifs.com、xiongjiong.com.cn、1mituan.cn、elianke.cn、youleyy.com、cd.zciec.com。从域名的注册邮箱分析,可挖掘出该产业链部分人员,如下图所示。

image033.png

分析发现:

1、黑产团伙使用ailantian198*@126.com、lantian198*@foxmail.com、30854789*@qq.com作为“DowginCw”域名地址的公共邮箱,并使用这些邮箱注册大量其他恶意域名。

image035.pngimage037.png

2、其团伙成员包括:黄某、余某、程某、石某、齐某等9名成员,其中黄某负责平台推广;余某负责已注册的老域名购买;石某和齐某疑是病毒插件开发人员;其余人员属于下游工作者。

3、根据该团伙黄某,石某在公网泄漏的QQ账号[email protected][email protected],发现团伙的“根据地”应该在福建。

image039.jpgimage041.jpg

0×6清理方案

目前,钱盾全面支持“DowginCw”病毒家族清理;建议用户开启全盘扫描模式,清理下载的恶意应用安装包。

image043.png

*本文作者:钱盾反诈实验室,转载请注明来自FreeBuf.COM

知道如何从攻击的视角去发现漏洞,才能建立更安全的体系,促进了整个生态的良性发展。以阿里安全潘多拉实验室为例,在对移动系统安全研究的过程中,把研究过程中发现的问题上报给厂商,促进系统安全性的提升。小编第一时间深度探访阿里安全潘多拉实验室,采访了此次攻破苹果iOS11.2.1的重要成员之一龙磊,他本人就已向苹果报告了7个安全漏洞,并获得厂商的认可和致谢。

d6e2ebf02b79d49.jpg

据了解,iOS系统的每一次升级都有可能引入新的安全缓解技术,修补一些未经公开的漏洞,这会加大漏洞利用的难度,所以每一次升级都会给安全研究人员提出新的挑战。为了能够在最短时间内完成对最新版本的越狱工作,安全研究人员不仅要能挖掘出可以独立提权的漏洞,还要有不一样的思路,以免手上的漏洞和其他人撞车,或者是被Apple意外补上。”

“越狱是一件非常具有技术挑战性的工作,也是每个iOS安全研究者都想去攀登的一个高峰。”龙磊兴奋的说道。苹果在iPhone 7(A10)往后的机型加入了SMAP机制,但值得注意的是,iOS 11.1之前苹果实现的SMAP是存在漏洞,可以通过特定的方式绕过。但在最新的版本中,这一问题已经被修复,这就要求安全研究人员使用其他的方式来解决SMAP带来的影响。此外,在老的iOS版本中,安全研究人员还可以通过mach_zone_force_gc接口来触发内核GC,否则就只能填充同类型的数据。但在iOS 11中苹果禁用了mach_zone_force_gc接口,所以就需要新的触发内核GC的方式。

攻防的博弈从来都是一个永无止境的较量,系统安全水位的不断提升促进着安全研究人员在攻击技术领域的不断进步,两者形成了一个正向的循环,共同促进了整个移动生态的良性发展!

*本文作者:阿里聚安全,转载请注明来自FreeBuf.COM

为了适配iPhoneX和iPad Pro,苹果对iOS进行了一次有史以来最大跨度的升级。苹果官方对iOS 11的评价是“为iPhone带来巨大进步,让iPad实现里程碑式飞跃。”但升级往往与漏洞同在,为了不断修复Bug,苹果更是于12月2日推出最新的iOS 11.2,修复了Google安全人员上报的安全漏洞,进一步增强了iOS系统的安全性。

日前,阿里安全潘多拉实验室宣称已经完美越狱苹果iOS 11.2。

越狱2.jpg

阿里安全潘多拉实验室负责人宋杨称,其团队已在iPhone X上完美越狱iOS 11.2。据他介绍,相较于近两年别的越狱,潘多拉实验室的越狱有着本质的不同,是“完美的”。

Cydia之父Jay Freeman曾表示,苹果的安全性能提升,越狱越来越困难,“我觉得iOS越狱基本上已经死了”

“虽然iOS 11.2修复了一些安全问题,但在发布当天,我们就已经确认了新版本依然可以越狱。”宋杨称,“尽管我们很快完美越狱了iOS 11.2,但我们仅限于安全研究目的,所以并不会对外提供越狱工具。”

代码.jpg

目前,行业内对于苹果iOS 11漏洞的关注度正在升温。此前,已有外媒报道谷歌Project Zero团队预计将带来iOS 11.1.2版本的越狱。得益于一套封闭的系统体系,苹果手机一直是业内公认的安全性能最高的手机,而发现苹果系统漏洞,实现越狱是很多安全领域人员关注的热点话题。

尽管从用户和开发者的角度来看,越狱的流行程度已经有所下降,但开发者社区对于iOS 11.1.2和更早的漏洞也一直有着浓厚的兴趣。今年11月17举行的先知创新大会上,阿里安全潘多拉实验室的研究人员就曾公开演示过完美越狱iOS 11.1。

虽然一直以来,对iOS系统的越狱都是安全领域的热门话题,但真正的实施越狱却并不多见,而实现完美越狱的更是少之又少。

*本文作者:阿里聚安全,转载请注明来自FreeBuf.COM

近日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,加快推进IPv6规模部署,构建高速率、广普及、全覆盖、智能化的下一代互联网。

ipv6-evolution.png

0×00 引言

随着计划实施推行以及移动互联网、物联网的大力发展,我国整个网络环境将发生翻天覆地的变化,全产业链已蓄势待发,目前IPv6根服务器架设中国开始部署,IPv6城域网、政府网站IPv6双栈化改造、IPv6城市公共无线网络等均已开始试点和部署,互联网BAT部分内容已支持IPv6访问,流量增长迅速,新的网络环境以及新兴领域均将面临着新的安全挑战。

按照部署计划,到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,到2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址,到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位,网络、应用、终端全面支持IPv6,全面完成向下一代互联网的平滑演进升级,形成全球领先的下一代互联网技术产业体系。

针对IPv6安全,计划中重点要求升级安全系统,强化IPv6地址管理,增强IPv6安全防护,加强IPv6环境工业互联网、物联网、车联网、云计算、大数据、人工智能等领域的网络安全技术、管理及机制研究,构筑新兴领域安全保障能力。

本文从IPv6安全威胁结合互联网网络安全运营视角进行了重点分析,同时探讨了互联网IPv6网络安全保障体系面临安全风险及加固建议。

0×01 IPv6协议介绍

IPv6(Internet Protocol version 6,互联网通信协议第6版)是数据包交换互联网络的网络层协议,主要用于寻址和路由,是IETF(互联网工程任务小组Internet Engineering Task Force,简称IETF)设计用来替代IPv4协议的,在早期协议发展阶段,IPv6也叫做IPng。

IETF自1990年开始,开始规划IPv4的下一代协议,除要解决IP地址短缺问题外,还要进行更多扩展。1994年,IETF会议中正式提议IPv6发展计划,并于1998年8月成为IETF的草案标准,最终IPv6在1998年底被IETF通过公布互联网标准规范(RFC 2460)的方式定义正式发布。

目前随着移动互联网、物联网的大力发展,计算机网络已经与人们的生活密切相关,可能身边的每一样电子设备都需要连入网络,IP地址需求量剧增,同时IPv4地址越来越紧缺,IPv6的发展越来越迫切。

IPv6发展的主要原因如下:

a)128位的地址空间:IPv6由128比特位构成,单从数量级上来说,IPv6所拥有的地址容量是IPv4的约8×1028倍,达到2128个巨大的地址空间,不但解决了网络地址资源数量的问题,同时也为物联网的发展提供了基础。

b)层次化的路由结构,而这是当前IPv4无法满足的:

分层汇总(Public、Site、Interface)

更为简单的ACL

更少的路由条目

c)实现真正的点到点通信,而不是NAT

d)对安全传输的内在支持,提供更为安全的数据传输

e)对数据报文进行简化,提供更快的数据包处理

f)支持移动IPv6,提供稳定的移动网络服务

g)自动配置、即插即用

h)流标签提供更多的服务质量控制能力

如下图1为IPv4和IPv6报文头结构,从报文头结构对比看,IPv6借鉴了IPv4的应用经验,大大简化了基本报头结构,仅包含8个字段,IPv6中所有非核心功能都由扩展报头实现。

IPv4和IPv6报文头主要差异点如下:

a)IPv6简化报头和数据长度计算:报头长度字段已经不在IPv6基本报头中使用,只使用一个字段来标示数据净荷的总长度;

b)更好支持DiffServ QoS服务:IPv4报头的服务类型字段在IPv6中该字段被扩展为业务流类型、流标签2个独立的字段;

c)取消中间分片:IPv4报头为数据分片提供了数据报文ID、分片标志、分片偏移值3个字段,目前有许多针对这3个字段的攻击手段, IPv6采用Path MTU发现机制,避免了中间路由器的分片处理,消除了一些安全隐患;

d)取消校验和字段:许多IPv4后续报文头如ICMP、UDP和TCP中均含有同时覆盖基本报头和数据部分的检验和字段,因此IPv4报头中校验和字段是多余的,此字段在IPv6基础报头中已经取消;

e)对选项功能的处理:IPv6采用扩展报头实现选项功能,解决了IPv4中带有选项内容的数据包不能被高效传输的问题,也使得IPsec以及未来可能出现的新的安全协议的采用更加方便。

从报文头结构对比可见,IPv4协议报文头结构冗余,影响转发效率,同时缺乏对端到端安全、QoS、移动互联网安全的有效支持,而IPv6协议重点针对上述几个方面进行了改进,采用了更加精简有效的报文头结构,IPv6协议选项字段都放在扩展头中,中间转发设备不需要处理所有扩展报文头,提高数据包处理速度,并且通过扩展选项实现IPsec安全加密传输和对移动互联网安全的支持。

image001.png
图1  IPv4和IPv6报文头结构

从协议族来看,IPv6协议族相对于IPv4协议族,基本部分也发生了较大的变化,如ARP协议被邻居发现协议(NDP)代替,ICMPv6合并了IPv4中的ICMP(控制报文协议),IGMP(组成员协议)、ARP(地址解析协议)、RARP(反向地址解析协议)和RA(路由广播)等多个协议的功能。

0×02  IPv6协议设计的安全考虑

从协议的角度,IPv4协议诞生较早,前期设计几乎没有任何的安全考虑,因此特别是对报文地址的伪造与欺骗使得无法对网络进行很有效的监管和控制,而在IPv6协议设计之初,引入了AH(认证包头)、ESP(封装安全载荷)、SA(安全关联)、IKMP(密钥管理协议)等加密和认证机制,并强制实现了IPsec认证,IPsec协议族中的AH(AuthenticationHeader,报文认证头)和ESP(EncapsulationSecurity Payload,报文封装安全载荷)内嵌到协议栈中,作为IPv6的扩展头出现在IP报文中,提供完整性、保密性和源认证保护,从协议设计上较大地提升安全性。

从IPv6协议安全设计上考虑,相比IPv4主要有如下增强:

a)可溯源和防攻击:IPv6地址资源丰富,不需要部署NAT,扫描困难

b)IPv6的默认IPsec安全加密机制:IPv6协议中集成了IPsec,通过认证报头(AH)和封装安全载荷报头(ESP)两个扩展头实现加密、验证功能,中间转发设备只需要对带有IPsec扩展包头的报文进行普通转发,大大减轻转发压力

c)邻居发现协议(NDP)和SEND:采用NDP(neighbor discovery protocol)协议取代现有IPv4中ARP及部分ICMP控制功能如路由器发现、重定向等

d)真实源地址检查体系:真实源IPv6地址验证体系结构(SAVA)分为接入网(Access Network)、区域内(Intra-AS)和区域间(Inter-AS)源地址验证三个层次,从主机IP地址、IP地址前缀和自治域三个粒度构成多重监控防御体系。

特别对于IPv4网络地址而言,数量非常有限,因此很多时候是一个地址被多台主机通过NAT等技术共用。使用IPv6之后,可以将每个地址指定给一个对象,每个地址唯一,IPv6的地址分配可采用逐级、层次化的结构,这将使得追踪定位、攻击溯源得到很大的改善,用户、报文和攻击关联对应,用户对自己的任何行为负责,并具有不可否认性。

IPv6协议也定义了多播地址类型,而取消了IPv4下的广播地址,可有效避免IPv4网络中利用广播地址发起的广播风暴攻击和DDoS攻击。同时,IPv6协议规定了不允许向使用多播地址的报文回复ICMPv6差错消息,能有效防止ICMPv6报文造成的放大攻击。

另外,IPsec协议族中的AH和ESP安全扩展包头为IPv6核心的安全机制和设计,提供了关键的加密和认证机制。

AH 是IPv6的一个安全扩展包头,在RFC4302中定义,协议号为51。IPv6的认证主要由AH来完成。认证包头通过在所有数据包头加入一个密钥,通过AH使数据包的接收者可以验证数据是否真的是从它的源地址发出的,并提供密码验证或完整性测试。这种认证是IP数据包通过一定加密算法得出的编码结果,相当于对IP数据包进行数字签名,只有密钥持有人才知道的“数字签名”来对用户进行认证,同时接收者可通过该签名验证数据包的完整性。AH的验证范围与ESP有所区别,包括了整个IPv6数据包。

AH位于IPv6头和一些上层协议头之间,如果存在扩展包头,则AH必须位于逐跳选项头、选路扩展头和分段扩展头之后。

ESP也是IPv6的一个安全扩展包头,在RFC4303中定义,协议号为50。其对IPv6数据包的有效载荷部分加密,不包括IPv6包头部分,能为IP层提供机密性、数据源验证、抗重放以及数据完整性检验等安全服务,其中数据机密性是ESP的主要功能,其他均为可选。ESP头位于IPv6头和上层协议之间,如果存在扩展包头,则ESP头必须位于逐跳选项头、选路扩展头、分段扩展头和认证头之后。由于ESP只对ESP头之后的数据加密,所以通常将目的地选项头置于ESP头之后。

ESP和AH各扩展包头可以单独使用,也可以一起使用。

0×03 IPv6网络安全威胁分析

IPv6相对于IPv4,除了和IPv4相同的安全威胁外,新增部分主要来自于协议族、协议报文格式、自身设计实现、IPv4向IPv6的演进过程中新增或者变化引入的安全威胁。

1. IPv6与IPv4共同的安全威胁

IPv6与IPv4同为网络层协议,有共同的安全威胁如下:

a)未配置IPsec可实施网络嗅探,可能导致信息泄露

b)应用层攻击导致的漏洞大多数在网络层无法消除

c)设备仿冒接入网络

d)未实施双向认证情况下可实施中间人攻击Man-in-the-Middle Attacks (MITM)

e)泛洪攻击

2. IPv6协议族新增安全威胁

IPv6相对于IPv4在协议族上发生了较大的变化,新增安全威胁如下:

a)邻居发现协议(ND)攻击:针对ARP的攻击如ARP欺骗、ARP泛洪等在IPv6协议中仍然存在,同时IPv6新增的NS、NA也成为新的攻击目标,存在DoS攻击、中间人攻击等安全威胁。

b)新增ICMPv6协议作为IPv6重要的组成部分,存在DoS攻击、反射攻击等安全威胁;

c)IPv6 支持无状态的地址自动分配,该功能可能造成非授权用户可以更容易的接入和使用网络,存在仿冒攻击安全威胁;

d)IPv6 网络环境下由于网络扫描实施难度高,但仍可通过IPv6前缀信息搜集、隧道地址猜测、虚假路由通告及DNS查询等手段搜集到活动主机信息,通过DNS获取IPv6地址范围和主机信息可能会成为黑客优选攻击路径,针对DNS系统的攻击会更加猖獗;

e)IPv6组播地址仍然支持,存在通过扫描、嗅探甚至仿冒关键DHCP Server、Router等安全威胁。

f)IPv6路由协议攻击:RIPng/PIM依赖IPsec,OSPFv3协议不提供认证功能,而是使用IPv6的安全机制来保证自身报文的合法性,未配置IPv6安全机制,OSPFv3路由器存在仿冒的安全威胁;

g)移动IPv6仿冒伪造攻击:移动IPv6节点能够在不改变IP地址的情况下,在任何地方接入网络都能够直接与其他节点通信,在提供可移动性及方便通信的同时,由于移动节点的不固定性,也给不法分子提供了攻击的机会,存在伪造绑定更新消息等安全威胁;

h)MLD仿冒及泛洪攻击。

3. IPv6协议报文格式新增安全威胁

IPv6 协议相关RFC标准在不断的发展更新,协议自身也存在漏洞,所有遵循IPv6协议的设备都会受到该漏洞的影响,新增安全威胁如下:

a)协议自身存在漏洞,如IPv6协议Type0路由头拒绝服务漏洞,该漏洞已于2007年12月由RFC 5095修补,禁用了IPv6扩展头中的Type 0路由头;

b)IPv6分片攻击

c)IPv6扩展头攻击

d)ND DAD攻击(Duplicate Address Detection)

e)ND Router Advertisement仿冒、DoS、中间人攻击

4. IPv6自身实现新增安全威胁

IPv6 和IPv4协议一样,设备与应用在实现对IPv6协议的支持时,不同的系统开发商因软件开发能力的不同,在IPv6协议软件开发、各种算法实现也会引入各种可能的安全漏洞。

从下一代互联网国家工程中心全球IPv6测试中心11月份发布的《2017 IPv6支持度报告》来看:

目前的操作系统中,75%左右都默认安装IPv6协议栈,65%左右支持DHCPv6,50%左右支持ND RNDSS。其中手机操作系统支持IPv6协议已经从实验室走向了应用阶段,Android 4.2、IOS 4.1、Windows Phone 6.5、Symbian 7.0都已经支持IPv6,并且默认安装IPv6,自以上各手机系统版本后推出的新版本均支持IPv6。在DHCPv6功能上,IOS支持得比较好,从V4.0开始支持stateless DHCPv6,V4.3.1支持Stateful DHCPv6。Windows Phone支持DHCPv6 Lite,Android系统不支持DHCPv6。在邻居发现(ND)选项RDNSS功能上,IOS目前已经支持ND RDNSS,Android 5.0以上已经支持ND RDNSS。若一个操作系统不支持DHCPv6和ND RDNSS,则无法在纯IPv6网络环境中自动配置查询域名服务器。

各种应用软件也逐渐开始支持IPv6以应对广大用户的需求。但是目前并不普遍,只有一些基础应用软件已经支持IPv6。

基础应用软件中有一小部分已可以支持IPv6,其中浏览器软件,如IE系列、Chrome、Firefox和Opera等都支持IPv6;下载软件和邮件客户端软件,如FileZilla3、SmartFTP4以及Outlook等都支持IPv6。但是国内自主研发的基础应用软件,除浏览器外,其他诸如下载软件、即时通讯软件等都尚无法在IPv6环境下正常使用。

各类软件安全实现不当都可能引入IPv6协议安全漏洞,需要做好安全编码及质量保障活动。

如下为典型的IPv6协议栈实现方面的漏洞。

1、Python getaddrinfo() remote IPv6 buffer overflow

2、Apache remote IPv6 buffer overflow

3、Postfix IPv6 unauthorized mail relay vulnerability

4、Openbsd remote code execution in IPv6 stack

……

5. IPv4向IPv6演进过程中新增安全威胁

IPv4向IPv6的过渡是一个长期的过程,在IPv4与IPv6共存时期,为解决两者间互通所采取的各种措施将带来新的安全风险。例如,隧道方式下存在的拒绝服务攻击、中间人攻击,NAT-PT技术下存在的拒绝服务攻击等。

IPv4向IPv6的演进过程中涉及到双栈、隧道以及翻译技术,主要安全威胁如下:

a)双栈技术:许多操作系统都支持双栈,IPv6默认是激活的,但并没有向IPv4一样加强部署IPv6的安全策略,支持自动配置,即使在没有部署IPv6的网络中,这种双栈主机也可能受到IPv6协议攻击。

b)隧道技术:几乎所有的隧道机制都没有内置认证、完整性和加密等安全功能,攻击者可以随意截取隧道报文,通过伪造外层和内层地址伪装成合法用户向隧道中注入攻击流量,存在仿冒以及篡改泛洪攻击安全威胁。

c)翻译技术:涉及载荷转换,无法实现端到端IPsec,存在受到NAT设备常见的地址池耗尽等DDoS攻击安全威胁。

0×04 互联网IPv6网络安全保障体系及策略探讨

随着基于IPv6的下一代网络中应用的增加、速度的加快和规模的变大,IPv6网络面临着新的安全风险。

对于互联网网络,安全是保证网络健康发展的重要因素,IPv6网络安全保障体系的配套建设作为IPv6网络建设的重要方面,在IPv6网络设计阶段对网络安全需要进行通盘考虑,提升网络架构的整体安全性。

网络安全保障体系可分为静态安全防护体系以及动态安全运营体系两个层面。

静态安全防护体系根据ITU-T X.805标准(端到端通信系统安全框架),网络可分为基础设施层、业务层和应用层,每个网络层次可以划分为管理、控制和数据三个平面。采用多种技术手段隔离管控,并在每个平面实施相应安全防护措施,从而使每个平面在安全方面都具备访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私性8个属性防护能力。

动态安全运营体系通过安全检测和响应等安全基础设施和相关安全管理组织、制度和流程的配套建设,可实现对网络安全风险的动态发现和管理。

与IPv4相比,可以共用相同的网络整体安全保障体系,但在IPv4基础网络的前提下需要确定升级演进到IPv6的策略,基于IPv6的特点和安全威胁分析,识别IPv6安全产品缺失的现状并补齐,确定改造节奏,包括LVS、DNS等各类型服务器、网络设备、DDoS设备、防火墙等,升级安全系统,结合业务实际利用好IPv6协议本身的安全增强技术手段,增强IPv6安全防护,同时加强IPv6环境各业务领域特别是新兴领域物联网、云计算、大数据、人工智能等的网络安全技术、管理及机制研究,促进新的安全业务和应用的开展,形成全球领先的下一代互联网技术产业体系。

0×05 IPv6网络安全加固建议

虽然IPv6相对于IPv4来说增强了自身的安全机制,但一个新协议的引入必然会引入新的安全问题,对已有的网络安全技术体系造成影响,因此熟悉已有业务及网络、IPv6现状及其安全性并针对性部署安全加固非常重要。

针对不同的IPv6网络安全风险,有不同的安全应对技术、措施和方法,需要采取合适自身的IPv6安全解决方案及措施,构筑IPv6网络安全及IPv6环境下新兴领域安全保障能力。

如下典型的IPv6网络安全加固建议供参考。

a)做好IPv6网络各层各面和各安全域的隔离及访问控制,将安全影响控制到最小;

b)合理管控IPv6管理、控制和数据平面之间的资源互访,在各平面安全域根据各域的特点辅以相应的安全保护和控制措施,实施双栈的情况建议在IPv4/6双栈设备上采用严格的网络过滤和访问控制,防范IPv4和IPv6安全问题的相互影响;

c)做好管理和控制平面IPv6网络接入的认证与鉴权,制定完善的边界防护策略,防止恶意设备及用户的接入,结合业务实际情况有效利用IPv6协议的IPsec特性、源地址过滤技术等加强平面内的安全保护;

d)控制平面做好新增ICMPv6协议安全防护,建议根据实际情况选择合适的安全措施,例如配置ACL白名单,仅允许必须的ICMPv6等报文通过,接口关闭ICMPv6重定向、端口停止发送RA消息,关闭发送ICMP不可达信息,关闭源路由防止Type 0 Routing Header攻击等;

e)控制平面通过IPsec、认证以及白名单策略等做好IPv6网络路由等协议安全防护;

f)管理平面与IPv4网络类似,通过白名单策略、禁用不使用的IPv6服务等,确保攻击面最小;

g)数据平面与IPv4网络类似,配置ACL白名单策略,关闭不必要的服务、禁止源路由,部署IPv6 uRPF等;

h)DNS做好IPv6扫描及嗅探的安全检测及防护;

i)建议严格限制IPv6同一片报文的分片数目,设置合理的分片缓冲超时时间;

j)建议配置端口的最大ND表项学习数量,限制扩展头的数量和同一类型扩展头实例的数目;

k)IPv6网络涉及各类服务器、终端、网络设备及应用软件等,设计及开发需要遵从成熟的安全工程方法及规范,确保IPv6协议栈安全质量,同时做好已知漏洞的安全检测及修复;

l)IPv6协议攻击的实施目前已有很成熟的开源安全工具套件,例如THC-IPv6、Si6 Networks ipv6-toolkit等,IPv6网络及协议上线运行时,需要提前做好网络中各部分IPv6协议栈健壮性测试、安全渗透测试及安全质量评估,及时削减安全风险;

m)基于IPv6的特点和安全威胁分析,确定IPv4升级演进到IPv6的策略,识别IPv6安全产品缺失的现状并补齐,确定改造节奏,升级安全系统。

0×06 参考文档:

[1]IPv6的发展和安全性研究

[2]Atlasis, IPv6 Extension Headers: New Features, and New Attack Vectors, IPv6 Security Summit,

Troopers 13, Heidelberg, 11-15 March 2013

[3]RFC 2460: Internet Protocol, Version 6 (IPv6) Specification

[4]RFC 3756: IPv6 Neighbor Discovery (ND) Trust Models and Threats

[5]RFC 4291: IP Version 6 Addressing Architecture

[6]RFC 4443: Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 Specification

[7]RFC 4941: Privacy Extensions for Stateless Address Autoconfiguration in IPv6

[8]RFC 4942: IPv6 Transition/Coexistence Security Considerations

[9]下一代互联网国家工程中心-全球IPv6测试中心-《2017 IPv6支持度报告》

*本文作者:东帆@阿里安全技术平台团队,转载请注明来自FreeBuf.COM

KSB.png

01 更多的供应链攻击

卡巴斯基实验室的全球研究和分析团队追踪了超过100个APT(高级持续性威胁)的组织,发现有一些的攻击活动非常复杂,他们不仅拥有广泛的武器库,包括零日漏洞,无文本攻击工具等,并将传统的黑客攻击复杂化去实现数据渗透的目的。

在APT攻击中,常有高级威胁行为者试图破坏某个目标,却不断失败的案例。这是因为他们的攻击目标使用了强大的网络安全防护体系,对员工进行了良好的安全教育,或者遵循了诸如澳大利亚的DSD TOP35之类的防御策略。

但是,高级APT攻击组织的威胁行为者是不会轻易放弃的,他们会一直寻找方法入侵。

当一切尝试都失败时,他们可能会后退一步,重新评估形势。在重新评估中,威胁行为者会发现“供应链攻击”比直接进攻更有效。

攻击目标即使使用了第三方软件,构建了世界上最好的网络防御系统也无济于事,因为第三方软件可能是一个更容易的目标,他们可以利用它来攻击受到更好保护的原始目标企业。

在2017年,有这样一些案例,包括但不限于:

Shadowpad

CCleaner

ExPetr / NotPetya

这些攻击很难识别。例如,在Shadowpad的案例中,攻击者成功地利用Netsarang软件携带恶意软件程序包,在世界各地传播,尤其是银行、大型企业和其他垂直行业。

在很多情况下,它们都是命令和控制(C&C)流量,毕竟用户很难察觉到干净的程序包和携带恶意代码的程序包的差异。

在CCleaner案例中,估计有超过200万台电脑被感染,这使它成为2017年最大的供应链攻击之一。

研究人员分析了恶意的CCleaner代码后,将它与其他一些已知的后门程序联系起来,这些后门程序被APT组织“Axiom umbrella”(APT17,也叫Aurora)使用过。这证明了APT组织愿意为了实现其目标拉长战线。

综上所述,目前的“供应链攻击”数量可能比我们了解到的要高得多,只是这些还没有被暴露出来。

在2018年,我们能预计无论是已经发现的还是攻击到实际的,在攻击数量方面将出现更多的“供应链攻击”。

在特定区域和垂直行业上使用木马化专业软件,将变成类似于“水坑攻击”的战略性选择。

1.png

02 更多高端的移动恶意软件

2016年8月,CitizenLab和Lookout公司公布了一份他们发现的一个名为“Pegasus”的移动间谍平台的分析报告。

Pegasus是一款所谓的“合法拦截”软件套件,被一家名为“NSO Group”的以色列公司出售给政府和其他实体企业。

Pegasus若是结合多个零日漏洞,能够远程绕过现代移动操作系统(如iOS)的安全防御。

2017年4月,谷歌发布了其对Android版本的Pegasus间谍软件的分析报告,该软件名为“Chrysaor”。

除了Pegasus和Chrysaor等“合法监视”间谍软件之外,许多其他APT组织也开发了专属的移动恶意软件。

由于iOS是一个特殊的操作系统,用户很难检查他们的手机是否被感染。

所以,尽管Android的安全漏洞越来越严重,但Android上的情况要更好一些。

综上所述,由于遥测技术的缺陷,使得一些移动恶意软件难以被发现和根除,所以,目前在野存在的移动恶意软件的总数可能比已经公布的要高。

在2018年,我们预计将会出现针对移动设备的更高端的APT恶意软件,毕竟安全检测技术改进了,针对移动端的攻击数量也在增长中,恶意软件也需要更高端。

03 更多类似BeEF的web框架分析工具

随着越来越多的安全和缓解技术被默认部署在操作系统中,零日漏洞的价格在2016年和2017年急剧上升。

例如,世界著名漏洞军火商Zerodium最近表示愿意出价150万美元购买一套完整的iPhone(iOS)持续性攻击的远程越狱漏洞,即在没有任何用户交互的情况下,远程感染目标设备。

2.png

一些政府客户也选择用惊人的价格为这些漏洞买单,这意味着人们越来越多地注意保护这些漏洞,以避免意外披露。

这也意味着,攻击者在攻击前需要经历一个更缜密的侦察过程。

例如,侦察阶段可以强调识别目标、操作系统、插件和其他第三方软件使用的浏览器的准确版本。

凭借这些信息,攻击者可以针对目标特性调整他们的开发方式,交付一个不太敏感的将“1-day”或“N-day”的漏洞,而不是被誉为“皇冠上的宝石”的“0-day”漏洞。

类似于TurlaSofacyNewsbeef这样的APT组织已把这类分析技术运用得相当熟练,其他的APT组织也以其自定义的分析框架而闻名,比如多产的Scanbox。

由于分析框架的普遍性和零日漏洞的高昂代价,我们可以估计在2018年使用“BeEF”之类的分析工具包将会增加,更多的黑客团队可能采用公共框架,或者自己开发工具包。

3.png

04 先进的UEFI和BIOS攻击

UEFI (统一可扩展固件接口)是一种软件接口,是现代pc机与操作系统之间的媒介。由英特尔在2005年开发,正在迅速取代传统的BIOS标准。这是因为BIOS缺乏一些高级特性:例如,安装并运行可执行文件、网络功能、加密、CPU独立架构和驱动程序等能力。

而UEFI可以弥补BIOS缺乏的这些能力,这使得UEFI成为一个有吸引力的平台,攻击者也在其中找到许多在BIOS平台上并不存在的新漏洞。

例如,运行自定义可执行模块的能力使得它能够创建恶意软件,而由UEFI直接执行就能绕过任何反恶意软件解决方案。

从2015年开始,商业级的UEFI恶意软件就已经存在了。但是, 到目前为止仍然缺少针对这类恶意软件的成熟的、可靠的检测方法。

我们预计,在2018年,将会看到更多基于UEFI的恶意软件。

4.png

05 破坏性的攻击仍在继续

从2016年11月开始,卡巴斯基实验室观察到一波针对中东地区多个目标的“雨刷攻击”。

在新的袭击中使用的恶意软件是臭名昭著的Shamoon蠕虫病毒的变种,该蠕虫在2012年袭击了Saudi Aramco和Rasgas公司。

沉寂了四年,历史上最神秘的雨刷工具又回来了。Shamoon,也被称为Disttrack,是一个具有高度破坏性的恶意软件家族,它能有效地清除了受害者设备上的数据。

在袭击当天,一群被称为“正义之剑”的组织发布了一份巴氏(Pastebin)信息,并对Saudi Aramco发动攻击,并称此次袭击是针对沙特王室的一项举措。

在2016年11月,又发生了Shamoon 2.0攻击事件,此次目标是沙特阿拉伯多个关键部门和经济部门。就像之前的变种一样,Shamoon 2.0“雨刮器”的目标是对组织内部系统和 设备进行大规模破坏。

在调查Shamoon 2.0的攻击时,卡巴斯基实验室还发现了一个以前不为人知的恶意软件,似乎针对的也是沙特阿拉伯地区的组织。

我们已经把这种新“雨刷器”称为“StoneDrill”,它很有可能与Newsbeef APT组织存在关联。

除了Shamoon和Stonedrill,发生在2017年的极具破坏性的攻击活动还有很多,如ExPetr/ NotPetya攻击,最初被认为是勒索软件,结果被证明是一个巧妙伪装的“雨刷器”。

紧随其后的另一波“赎金”攻击,使得受害者几乎没有机会恢复他们的数据,这都是因为这些勒索软件都被 “雨刷器”巧妙地掩饰了。

关于“雨刷器即勒索软件”(wipers as ransomware)这一事实,在2016年出现的由CloudAtlas APT组织发起的针对俄罗斯的金融机构的攻击活动中可以证实。

在2018年,我们预计破坏性攻击活动将继续上升,或许还会在网络战中占据极大地位。

06 更多的加密系统被颠覆

在2017年3月,美国国家安全局开发的IoT加密方案提议遭到了Simon和Speck异体ISO认证的质疑,这两项提案都被撤回并推迟了。

2016年8月,Juniper Networks宣布在他们的NetScreen防火墙中发现了两个神秘的后门。可能是Dual_EC随机数生成器所使用的常量发生了细微的变化,使得攻击者能够从NetScreen设备解密VPN流量。

最初的Dual_EC算法是由国家安全局设计的,并通过了NIST标准。

早在2013年,路透社(Reuters)的一份报告就显示,美国国家安全局(NSA)向RSA支付了1000万美元,把Dual_EC这个脆弱的算法集成到它的加密套件中

即使在2007年就从理论上确定了植入后门程序的可能性,一些公司(包括Juniper)仍采用了不同的常数集,继续使用该算法,这在理论上是安全的。

但是这组不同的常量并不能改变什么,一些APT攻击者仍会攻击Juniper,他们会将这些常量更改为一个可以控制和利用的内容来解密VPN流量。

这些尝试并没有被忽视。在2017年9月,一个国际密码学专家小组迫使美国国家安全局放弃了两种新的加密算法,该组织希望将其标准化。

2017年10月,新闻报道了英飞凌技术股份公司(Infineon Technologies)在他们使用的硬件芯片加密库中的一个缺陷。虽然这一漏洞似乎是无意的,但它确实让我们对“智能卡、无线网络或加密Web流量等日常生活中使用的基础加密技术的安全性”产生了质疑。

在2018年,我们预测将会发现更加严重的加密漏洞,并希望无论是加密算法标准本身还是在具体的实践中出现的漏洞都能被修补。

07 电子商务领域的身份认证危机

在过去的几年里,发生了大规模的的个人可识别信息(PII)泄露事件。

最新的数据显示,Equifax的漏洞事件影响了约1.455亿美国人。

虽然许多人已经对这些数据泄露事件麻木,但需要明白的是,规模化的PII信息泄露可能会危及电子商务的基础,以及将互联网用作重要文书工作的政府机构的安全。

欺诈和身份盗用问题是一个长期存在的问题,但当基本的身份识别信息泄露如此泛滥时,人们是否会认为相关企业根本就不可靠呢?

这时,商业和政府机构(特别是在美国)将面临一种选择,即缩减采用互联网运营的舒适度,或是采用其他多因素安全解决方案。

也许像ApplePay这样的有弹性的替代方案将会成为一种现实的方式来确保身份和交易,但同时,我们可能会看到,为了实现繁琐的官僚程序的现代化和降低运营成本,互联网的关键作用正在放缓。

5.png

08 更多的路由器和调制解调器攻击

另一个被广泛忽视的领域是路由器和调制解调器。

无论是在家里还是在企业中都存在这些硬件,它们对日常运营至关重要,然而这些硬件上面运行的专有软件却又常处于未打补丁或无人看管的状态。

一些攻击者正是利用这一点,获取到网络持久和隐蔽性访问权。

此外,最新研究结果显示,在某些情况下,攻击者甚至可以模拟不同的互联网用户,将踪迹转移到完全不同的网络连接地址中。

2018年,可以预计,攻击者对误导和虚假标志的兴趣正在不断增加。对这些设备进行更严格的审查将会有更多的发现。

6.png

09 社交媒体的政治化作用凸显

在即将过去一年里,除了信息泄露和政治闹剧之外,社交媒体本身已经扮演了一个重要的政治化角色。

无论是政府当局的幕后操纵,还是《南方公园》的作者们对Facebook首席执行官的冷嘲热讽,人们都将目光转向了不同的社交媒体巨头,他们要求进行一定程度的事实核查,以确认虚假用户和试图发挥不相称的社会影响力的机器人(即僵尸粉)的真实性。

然而,这些社交网络(以“日常活跃用户”之类的量化指标为基础)几乎没有什么动机来真正清除他们的机器人用户群。

即使这些机器人正在服务于一个明显的恶意软件,或者可以被独立研究人员追踪到。

我们预计,社交媒体政治化将会呈现更明显的滥用趋势,大型僵尸网络将成为更广泛的政治毒瘤,更大的反弹将指向社交媒体本身的真实用户,反感的用户会更为迫切地需要寻找到下一个替代品。

7.png

总结

在2018年,我们希望看到先进的威胁行为者发挥他们的新优势,打磨他们的新工具,以及在上述领域更大程度地发挥他们的作用。

每年的主题和趋势都不应该孤立地进行,它们相互依赖,无论是个人、企业还是政府,都能看到面临的威胁正在不断增长。

应对这一冲击的唯一方式是威胁情报的共享和相关知识的应用。

尽管这些预测涵盖了针对先进目标的威胁趋势,但单个行业部门将面临各自不同的挑战。在2018年,我们也会把目光放在其中的一些上。

PDF下载地址:Kaspersky Security Bulletin

* 参考来源:Securelist,本文作者:阿里聚安全,转载请注明来自Freebuf.COM