騰訊安全反病毒實(shí)驗(yàn)室馬勁松:網(wǎng)絡(luò)攻擊趨向產(chǎn)業(yè)化和專(zhuān)業(yè)化

  • 人閱讀
  • 2017-11-10 12:46:58

  • 來(lái)源:中國(guó)網(wǎng)

  • 相關(guān)關(guān)鍵詞

11月9日,在天津召開(kāi)的第二屆(2017)國(guó)際反病毒大會(huì)來(lái)到第二個(gè)日程,來(lái)自政府主管部門(mén)領(lǐng)導(dǎo)、國(guó)內(nèi)外信息安全知名專(zhuān)家學(xué)者、信息安全企業(yè)負(fù)責(zé)人圍繞反病毒技術(shù)、云安全、移動(dòng)APP治理、APT攻擊、網(wǎng)絡(luò)威脅治理等信息網(wǎng)絡(luò)安全前沿技術(shù)及熱點(diǎn)問(wèn)題展開(kāi)研討。

騰訊電腦管家安全專(zhuān)家、騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松出席了大會(huì)當(dāng)天的應(yīng)對(duì)勒索軟件威脅分論壇,發(fā)表名為《基于網(wǎng)絡(luò)邊界檢測(cè)感知威脅》的主題演講,詳細(xì)介紹了當(dāng)下流行的網(wǎng)絡(luò)攻擊特征及趨勢(shì),并結(jié)合實(shí)例分享了如何通過(guò)邊界安全檢測(cè)感知威脅的經(jīng)驗(yàn)。

(圖為騰訊電腦管家安全專(zhuān)家、騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松在國(guó)際反病毒大會(huì)現(xiàn)場(chǎng)演講)

漏洞攻擊產(chǎn)業(yè)化  網(wǎng)絡(luò)攻擊呈現(xiàn)三大趨勢(shì)

5月席卷全球的WannaCry勒索病毒雖然已經(jīng)遠(yuǎn)去,但給醫(yī)院、高校、企業(yè)、政府等內(nèi)網(wǎng)用戶造成的困擾至今仍令人心有余悸。而事實(shí)上網(wǎng)絡(luò)攻擊的危害遠(yuǎn)不止于此,騰訊電腦管家安全專(zhuān)家、騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松在大會(huì)指出,伴隨著信息安全技術(shù)的不斷升級(jí),網(wǎng)絡(luò)攻擊已逐漸呈現(xiàn)出三大趨勢(shì),而每一種攻擊趨勢(shì)又包含著“花樣繁多”的攻擊方式。

首先是不法分子對(duì)于漏洞的利用越來(lái)越產(chǎn)業(yè)化、規(guī)?;麄儠?huì)大量利用公開(kāi)的漏洞觸發(fā)代碼(PoC),及Angler、Nuclear Exploit kits等黑客工具。而具體到如何利用漏洞完成攻擊行為,馬勁松介紹了三種方式,主要有外部投遞、橫向移動(dòng)以及輔助手段等方式,前段時(shí)間剛剛過(guò)去的WannaCry勒索病毒、Petya勒索病毒、XData新型勒索病毒就是應(yīng)用了上述三種攻擊方式。

除此之外,不法分子還會(huì)精細(xì)化地使用社會(huì)工程學(xué)發(fā)送釣魚(yú)郵件、構(gòu)造釣魚(yú)網(wǎng)站以及網(wǎng)站掛馬達(dá)到攻擊目的。馬勁松結(jié)合騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室前段時(shí)間起底的一批影響約200萬(wàn)人的掛馬攻擊,介紹了當(dāng)下網(wǎng)站掛馬的特點(diǎn)。他指出,不法分子會(huì)通過(guò)分析被攻擊者的網(wǎng)絡(luò)活動(dòng)規(guī)律,尋找被攻擊者經(jīng)常訪問(wèn)網(wǎng)站的弱點(diǎn),實(shí)施“水坑式”攻擊,具體途徑有入侵后臺(tái)、廣告投毒、DNS劫持、推廣自建網(wǎng)站等形式。目前仍在活躍狀態(tài)的“壞兔子”勒索病毒就是利用水坑攻擊,偽造了一個(gè)Adobe Flash Player有安全更新的假消息,用來(lái)欺騙目標(biāo)用戶下載安裝。

除了直接向用戶下手之外,不法分子還會(huì)發(fā)起供應(yīng)鏈攻擊,目標(biāo)直指官方正版的軟件,利用這些軟件的海量用戶基礎(chǔ),擴(kuò)大傳播范圍。前不久,騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室就監(jiān)控到主流的遠(yuǎn)程終端軟件Xshell和知名清理軟件CCleader被打包了惡意代碼,運(yùn)行此版本軟件后,受害者電腦上會(huì)被植入后門(mén),存在被不法分子遠(yuǎn)程控制的風(fēng)險(xiǎn)。這兩起影響用戶數(shù)眾多的安全事件也入選了騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室發(fā)布的《2017年Q3季度安全報(bào)告》七大影響全球的安全事件。

有效捕捉網(wǎng)絡(luò)攻擊蹤跡  騰訊安全構(gòu)建立體化防御體系

網(wǎng)絡(luò)攻擊在不斷變換攻擊手法的同時(shí),始終保持不變的就是其隱蔽性,而在不斷監(jiān)測(cè)網(wǎng)絡(luò)攻擊的過(guò)程中,騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室已經(jīng)摸索出一套感知方法——基于邊界檢測(cè)實(shí)現(xiàn)威脅感知,可以有效的捕捉到網(wǎng)絡(luò)攻擊的蹤跡。據(jù)馬勁松介紹,該方法通過(guò)敏感地址協(xié)議檢測(cè)——漏洞檢測(cè)——APT沙箱分析——安全大數(shù)據(jù)平臺(tái)的分析路徑,可以實(shí)現(xiàn)對(duì)APT、DDoS、Botnet等攻擊的威脅感知和溯源分析。

其中,針對(duì)網(wǎng)絡(luò)攻擊中最不易察覺(jué)的APT攻擊,馬勁松著重介紹了上述方法中APT沙箱分析的技術(shù)實(shí)現(xiàn)過(guò)程,即在模擬虛擬用戶環(huán)境的沙箱中,通過(guò)行為監(jiān)控模塊和環(huán)境防御模塊分析文件的靜態(tài)信息、行為信息、聯(lián)網(wǎng)數(shù)據(jù)、同源線索,并通過(guò)后續(xù)嚴(yán)格的鑒定流程鑒別不明文件的黑白屬性和威脅情報(bào),從而打破APT攻擊的隱蔽性,斬?cái)郃PT攻擊的鏈條。

依托騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室的感知方法,騰訊內(nèi)部集合各個(gè)終端優(yōu)勢(shì)建立了立體化的防御體系防御網(wǎng)絡(luò)攻擊,即通過(guò)全面采集終端及網(wǎng)絡(luò)日志、惡意進(jìn)程深度分析、引入強(qiáng)大威脅情報(bào)并聯(lián)動(dòng)終端防御、通過(guò)輕量化的大數(shù)據(jù)平臺(tái)分析威脅四大能力可以實(shí)現(xiàn)統(tǒng)一威脅管理、統(tǒng)一數(shù)據(jù)分析及提供云端接入SDK等功能。與此同時(shí),騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室還基于終端感知和新惡意樣本形成的活躍威脅情報(bào),與全球安全輿情整合,發(fā)布準(zhǔn)確、全面的威脅態(tài)勢(shì),進(jìn)一步增強(qiáng)邊界檢測(cè)的能力。

在今年上半年爆發(fā)的WannaCry、Petya、Xdata、壞兔子等勒索病毒中,騰訊安全的立體防御體系發(fā)揮了顯著的防御作用。以WannaCry勒索病毒為例,騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室在第一時(shí)間檢測(cè)到其動(dòng)向之后,迅速協(xié)同騰訊電腦管家拉響警報(bào),并推出一整套包含漏洞免疫工具、文檔守護(hù)者工具、文件恢復(fù)工具、勒索病毒專(zhuān)殺工具等在內(nèi)的處置措施,幫助用戶抵御病毒的侵襲。與此同時(shí),騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室還在解密WannaCry勒索病毒上取得重大突破。在國(guó)外同行的研究基礎(chǔ)上,全球首發(fā)針對(duì)XP系統(tǒng)感染用戶的解密工具,經(jīng)過(guò)驗(yàn)證,該工具可以最高概率幫助用戶找回被鎖文件。

此外,鑒于勒索病毒的不斷猖獗,騰訊電腦管家還升級(jí)發(fā)布文檔守護(hù)者2.0工具,通過(guò)全網(wǎng)攔截引擎,可實(shí)現(xiàn)對(duì)包括WannaCry、Petya、XData,壞兔子在內(nèi)的430種勒索病毒樣本的免疫;同時(shí)還能提供對(duì)未知的勒索病毒的攔截能力,并自動(dòng)備份全盤(pán)文檔,幫助用戶構(gòu)建完善的事前防御手段。

馬勁松表示,網(wǎng)絡(luò)攻擊手法不斷發(fā)生變異的情況下,要求安全廠商需要以更加積極的姿態(tài)面對(duì),應(yīng)用機(jī)器學(xué)習(xí)、大數(shù)據(jù)等前沿技術(shù)提升威脅感知精度,提前感知潛伏的攻擊,進(jìn)一步保障廣大用戶的網(wǎng)絡(luò)安全。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2017-11-10
騰訊安全反病毒實(shí)驗(yàn)室馬勁松:網(wǎng)絡(luò)攻擊趨向產(chǎn)業(yè)化和專(zhuān)業(yè)化
11月9日,在天津召開(kāi)的第二屆(2017)國(guó)際反病毒大會(huì)來(lái)到第二個(gè)日程,來(lái)自政府主管部門(mén)領(lǐng)導(dǎo)、國(guó)內(nèi)外信息安全知名專(zhuān)家學(xué)者、信息安全企業(yè)負(fù)責(zé)人圍繞反病毒技術(shù)、云安全、移動(dòng)APP治理、APT攻擊、網(wǎng)絡(luò)威脅治理等信息網(wǎng)絡(luò)安全前沿技術(shù)及熱點(diǎn)問(wèn)題展開(kāi)研討。騰訊電腦管家安全專(zhuān)家、騰訊安全

長(zhǎng)按掃碼 閱讀全文