腾讯安全反病毒实验室马劲松:网络攻击趋向产业化和专业化

 

11月9日,在天津召开的第二届(2017)国际反病毒大会来到第二个日程,来自政府主管部门领导、国内外信息安全知名专家学者、信息安全企业负责人围绕反病毒技术、云安全、移动APP治理、APT攻击、网络威胁治理等信息网络安全前沿技术及热点问题展开研讨。

腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松出席了大会当天的应对勒索软件威胁分论坛,发表名为《基于网络边界检测感知威胁》的主题演讲,详细介绍了当下流行的网络攻击特征及趋势,并结合实例分享了如何通过边界安全检测感知威胁的经验。

(图为腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松在国际反病毒大会现场演讲)

漏洞攻击产业化  网络攻击呈现三大趋势

5月席卷全球的WannaCry勒索病毒虽然已经远去,但给医院、高校、企业、政府等内网用户造成的困扰至今仍令人心有余悸。而事实上网络攻击的危害远不止于此,腾讯电脑管家安全专家、腾讯安全联合实验室反病毒实验室负责人马劲松在大会指出,伴随着信息安全技术的不断升级,网络攻击已逐渐呈现出三大趋势,而每一种攻击趋势又包含着“花样繁多”的攻击方式。

首先是不法分子对于漏洞的利用越来越产业化、规模化,他们会大量利用公开的漏洞触发代码(PoC),及Angler、Nuclear Exploit kits等黑客工具。而具体到如何利用漏洞完成攻击行为,马劲松介绍了三种方式,主要有外部投递、横向移动以及辅助手段等方式,前段时间刚刚过去的WannaCry勒索病毒、Petya勒索病毒、XData新型勒索病毒就是应用了上述三种攻击方式。

除此之外,不法分子还会精细化地使用社会工程学发送钓鱼邮件、构造钓鱼网站以及网站挂马达到攻击目的。马劲松结合腾讯安全联合实验室反病毒实验室前段时间起底的一批影响约200万人的挂马攻击,介绍了当下网站挂马的特点。他指出,不法分子会通过分析被攻击者的网络活动规律,寻找被攻击者经常访问网站的弱点,实施“水坑式”攻击,具体途径有入侵后台、广告投毒、DNS劫持、推广自建网站等形式。目前仍在活跃状态的“坏兔子”勒索病毒就是利用水坑攻击,伪造了一个Adobe Flash Player有安全更新的假消息,用来欺骗目标用户下载安装。

除了直接向用户下手之外,不法分子还会发起供应链攻击,目标直指官方正版的软件,利用这些软件的海量用户基础,扩大传播范围。前不久,腾讯安全联合实验室反病毒实验室就监控到主流的远程终端软件Xshell和知名清理软件CCleader被打包了恶意代码,运行此版本软件后,受害者电脑上会被植入后门,存在被不法分子远程控制的风险。这两起影响用户数众多的安全事件也入选了腾讯安全联合实验室反病毒实验室发布的《2017年Q3季度安全报告》七大影响全球的安全事件。

有效捕捉网络攻击踪迹  腾讯安全构建立体化防御体系

网络攻击在不断变换攻击手法的同时,始终保持不变的就是其隐蔽性,而在不断监测网络攻击的过程中,腾讯安全联合实验室反病毒实验室已经摸索出一套感知方法——基于边界检测实现威胁感知,可以有效的捕捉到网络攻击的踪迹。据马劲松介绍,该方法通过敏感地址协议检测——漏洞检测——APT沙箱分析——安全大数据平台的分析路径,可以实现对APT、DDoS、Botnet等攻击的威胁感知和溯源分析。

其中,针对网络攻击中最不易察觉的APT攻击,马劲松着重介绍了上述方法中APT沙箱分析的技术实现过程,即在模拟虚拟用户环境的沙箱中,通过行为监控模块和环境防御模块分析文件的静态信息、行为信息、联网数据、同源线索,并通过后续严格的鉴定流程鉴别不明文件的黑白属性和威胁情报,从而打破APT攻击的隐蔽性,斩断APT攻击的链条。

依托腾讯安全联合实验室反病毒实验室的感知方法,腾讯内部集合各个终端优势建立了立体化的防御体系防御网络攻击,即通过全面采集终端及网络日志、恶意进程深度分析、引入强大威胁情报并联动终端防御、通过轻量化的大数据平台分析威胁四大能力可以实现统一威胁管理、统一数据分析及提供云端接入SDK等功能。与此同时,腾讯安全联合实验室反病毒实验室还基于终端感知和新恶意样本形成的活跃威胁情报,与全球安全舆情整合,发布准确、全面的威胁态势,进一步增强边界检测的能力。

在今年上半年爆发的WannaCry、Petya、Xdata、坏兔子等勒索病毒中,腾讯安全的立体防御体系发挥了显著的防御作用。以WannaCry勒索病毒为例,腾讯安全联合实验室反病毒实验室在第一时间检测到其动向之后,迅速协同腾讯电脑管家拉响警报,并推出一整套包含漏洞免疫工具、文档守护者工具、文件恢复工具、勒索病毒专杀工具等在内的处置措施,帮助用户抵御病毒的侵袭。与此同时,腾讯安全联合实验室反病毒实验室还在解密WannaCry勒索病毒上取得重大突破。在国外同行的研究基础上,全球首发针对XP系统感染用户的解密工具,经过验证,该工具可以最高概率帮助用户找回被锁文件。

此外,鉴于勒索病毒的不断猖獗,腾讯电脑管家还升级发布文档守护者2.0工具,通过全网拦截引擎,可实现对包括WannaCry、Petya、XData,坏兔子在内的430种勒索病毒样本的免疫;同时还能提供对未知的勒索病毒的拦截能力,并自动备份全盘文档,帮助用户构建完善的事前防御手段。

马劲松表示,网络攻击手法不断发生变异的情况下,要求安全厂商需要以更加积极的姿态面对,应用机器学习、大数据等前沿技术提升威胁感知精度,提前感知潜伏的攻击,进一步保障广大用户的网络安全。

关键词: