本文轉自【科技日報】;
慎點!來歷不明的疫情郵件或是黑客陷阱
如果郵箱裡收到標題為《新冠肺炎的診斷和預防措施.xlsm》《武漢旅行信息收集申請表.xlsm》等看似與疫情密切相關的郵件,相信有人會忍不住進行查看。殊不知,滑鼠輕輕一點,也許你就踏入了黑客的陷阱。
近期,360技術團隊稱,在抗疫期間發現有境外黑客組織不斷嘗試竊取我國醫療衛生行業的相關機密,使用「白利用」手法繞過了部分殺毒軟體的查殺,利用新冠疫情題材誘使用戶執行木馬程序,最終達到控制系統、竊取情報的目的。
事實上,遭受攻擊的受害者並非只在我國出現。據此前360發布的報告,該黑客組織發動的高級可持續威脅攻擊(APT攻擊),涉及地域十分廣泛,至少還包括境外36個國家。
攻擊方式隱蔽難纏
「『白利用』手法是較為常見的一種網絡攻擊方法。攻擊者通過精心製作木馬病毒,利用看起來是『白名單』之內的文件來實現木馬攻擊。」 近日,北京理工大學計算機網絡及對抗技術研究所所長閆懷志接受科技日報記者採訪時這樣表示。
「具體來說,『白利用』主要的技術核心是通過移形換影,將遠程控制木馬進行偽裝,並且隱藏在防護系統白名單內的文件中,以此來矇混過關。」閆懷志進一步解釋,「白利用」手法具體有兩種實現途徑,一是通過正常程序自身的漏洞使該程序可被遠程控制,二是木馬製作者利用社會工程學等方法,讓木馬躲過惡意代碼查殺工具和沙箱(一種網絡編程虛擬執行環境)等主動防禦機制,從而魚目混珠,混入白名單之中。
現有資料顯示,「魚叉攻擊」「水坑攻擊」等APT攻擊手法是該黑客組織的慣用伎倆。
閆懷志告訴科技日報記者,「魚叉攻擊」是釣魚攻擊的重要形式之一,通常將木馬病毒作為電子郵件的附件,郵件主題和附件通常會起極具誘惑力的名稱,誘使受害者打開附件,從而感染木馬,導致目標人群「中招」。「水坑攻擊」則是利用被攻擊目標經常訪問的網站漏洞植入攻擊代碼,構造一個陷阱,一旦被攻擊目標訪問該網站即會陷入「水坑」,成為攻擊者的「囊中之物」。
需要注意的是,「水坑攻擊」無需專門製作釣魚網站,而是利用了合法網站的脆弱性,因而具有更高的隱蔽性。
根據360此前發布的安全報告可以得知,APT攻擊具有針對性強、潛伏期長、攻擊覆蓋面廣等特點。此次發動攻擊的黑客組織至少使用了4種不同程序形態、不同編碼風格和不同攻擊原理的木馬程序,惡意伺服器遍布全球13個國家,註冊的已知域名多達35個。
「這些APT攻擊往往使用精密、複雜的惡意程序及技術,持續監控特定目標,潛伏期極長,攻擊者對受害者的網絡保有控制權的平均時間為一年,最長可達數年。」閆懷志指出,APT攻擊非常難纏,通常令人難以招架,發現和防禦極為困難。
亟須構建網絡空間「雷達」
小到人們的日常生活,大至一個國家的經濟、政治、軍事及社會穩定,黑客攻擊導致的安全事件危害不容小覷。在全球抗擊疫情的特殊時期,黑客攻擊抗疫一線的組織機構,其心可誅。
「網絡攻擊是各國面臨的共同威脅,在當前新冠肺炎疫情蔓延全球的背景下,針對抗疫機構的網絡攻擊無疑應當受到全世界人民的同聲譴責。」此前,我國外交部新聞發言人耿爽表示。
科技日報記者了解到,不同於以往製造木馬病毒的「小毛賊」,此次APT攻擊的實施者已經發展為國家級的「大玩家」,其攻擊對象直指各類關鍵基礎設施,攻擊手段更是層出不窮、防不勝防。尤其是此次黑客攻擊利用了新冠肺炎疫情相關題材為誘餌,醫療機構、醫療工作領域無疑會成為首要目標,一旦其攻擊得逞,輕則導致數據丟失,引發計算機系統故障,重則影響疫情防控工作推進,後果不堪設想。
「網絡安全是國家安全的核心要素,政治安全、經濟安全、文化安全、軍事安全等,都與網絡安全密切相關、相互作用。」閆懷志表示。
在360集團董事長兼CEO周鴻禕看來,構建網絡空間「雷達」,發現敵人之所在是贏得這場戰爭的關鍵。「這就像現代戰爭中沒有雷達,有再多的火炮和飛彈也只是擺設一樣。應對APT攻擊的關鍵,首先在於要看得見,而要看得見,不能靠肉眼,不能靠陳舊的思維,必須靠更為先進的『雷達』。」
他認為,打造網絡空間「雷達」需要3個必要條件:安全大數據是看見的基礎,威脅情報和知識庫幫助篩選,高級別攻防專家起決定性作用。三者結合,才能真正有效進行防禦。