金融科技技術的發展大力推動了金融服務領域的拓展和維度,其面臨的安全威脅也與日俱增。美國 Cybersecurity Ventures 發布的《2017年度網絡犯罪報告》1中指出:網絡犯罪是當今世界上所有公司面臨的最大威脅,也是人類面臨的最大問題之一。根據這份報告,到 2021 年為止,網絡犯罪的成本將從 2015 年的 3 萬億美元增加到 6 萬億美元。眾所周知,金融行業是我國網絡安全重點行業之一,因其行業特殊性金融機構一直是網絡犯罪的主要目標。以下,我們將通過 2017 年金融行業的重大安全事件說明安全威脅可能造成影響及損失。
DDoS 攻擊
分布式拒絕服務 (DDoS: Distributed Denial ofService) 攻擊指藉助於客戶 / 伺服器技術,將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動 DDoS 攻擊,從而成倍地提高拒絕服務攻擊的威力。
2017 年 6 月相繼發生的「匿名者」和「無敵艦隊」勒索事件,是對金融機構發起大規模DDoS 攻擊。顯而易見,拒絕服務攻擊已是當前金融領域極為常見的安全威脅,金融作為對安全性和穩定性都要求極高的行業,一旦服務癱瘓,資產管理系統中斷,將會造成難以彌補的損失。
攻擊仍然頻繁,共發生 20.7 萬次攻擊
2017 年同去年同期相比,攻擊發生次數基本保持平穩,共計發生 20.7 萬次。但是從攻擊總流量上來看有較為明顯的波動,從年初到年中 5 月份前後,攻擊總流量有非常顯著的增長,而 5 月份之後攻擊總流量回落至較為平穩的水平。與 2016 年相比,2017 攻擊仍然頻繁,攻擊總流量大幅上升。
圖2 2017年vs.2016年各月份攻擊次數和流量
從類型上看,2017 年攻擊次數佔比最高的攻擊類型仍然為反射型攻擊,實施這類攻擊,黑客只需要擁有很少的帶寬,就能經過放大產生顯著的攻擊流量。從攻擊流量的上看,SYNFlood 2017 年度佔比突出超過 60%。綜合 2017年度網絡環境分析,綠盟認為與 2017 年度物聯網殭屍網絡的擴張大有較大的關係,物聯網設備基數大、防護弱、長時間在線的特點,天然就是 DDoS 攻擊發動的溫床。
圖3 DDoS攻擊類型分布
流量再創新高,峰值高達 1.4Tbps
流量持續攀升似乎已經不是什麼新的態勢,從近兩年的報告中都可以看到,每個月都會出現超過百 G bps 的流量,最高的時候流量已經出於 T bps 的級別,2017 年度攻擊最頻繁的 5 月,攻擊最高的峰值更是達到了 1.4Tbps 的級別,這種「巨無霸」攻擊,一次一次挑戰著防禦者的能力上線。
圖4 DDoS攻擊流量分布
另外,從流量的區間分布來看,大流量攻擊明顯增多,也是 2017 年度一個顯著的趨勢。
來自 IoT 設備的攻擊比例達到 12%
在 2017 年的 DDoS 攻擊中,攻擊源中 IoT設備的數量已經佔據相當的比例,在或大或小規模的 DDoS 攻擊中 IoT 設備都有顯著的佔比,已經成為 DDoS 網絡環境中需要重點關注的一個類別。從網絡總體態勢來看,物聯網迅猛發展 的過程中必然伴隨著安全技術的滯後,可預期IoT 設備的威脅會進一步提上治理日程,而作為最易實施的攻擊類型之一,DDoS 攻擊中 IoT 設備的數量會進步增長。
圖5 DDoS攻擊源設備類型
在 IoT 設備參與 DDoS 的攻擊中,路由器、攝像頭是主要的設備類型。這與這兩年 IoT 發展的情況基本是一致的,大量的路由器、網絡攝像頭被引入生產、生活環境,而安全配套措施尚未進一步完善,可以合理預期的是在物聯網攻擊這個領域會有更多的攻擊形式出現。從統計數字上看,攝像頭 IP 的惡意 IP 比例約 4.8%。而歸屬中國的 IP 中惡意 IP 比例為 1.57%,攝像頭惡意 IP 比例是普通 IP 的 3 倍,是值得特別關注的。
圖 6 DDoS 攻擊源 IoT 設備
網絡勒索
網絡勒索(cyberextortion)是一種犯罪行為,它對企業造成攻擊事實或攻擊威脅,同時向企業提出金錢要求來避免或停止攻擊。拒絕服務(DoS)攻擊是過去最常見的網絡勒索方式。近年,網絡犯罪已經開發出可以用來加密受害人數據的勒索軟體(ransomware),然後攻擊者利用解密密鑰向受害人索取錢財。
圖7 2017年上半年最流行的勒索軟體
2017 年 6 月, 「無敵艦隊」勒索事件再次上演,許多金融機構收到勒索郵件,被要求支付10比特幣(市值約20萬人民幣)作為保護費。同月,「匿名者」向全球金融機構發起代號為「Opicarus2017」的攻擊,中國人民銀行、香港金融管理局等超過 140 個金融機構都在其攻擊列表中。根據歐洲網絡與信息安全局 (ENISA) 的報導2:2017 年 8 月底至 2017 年 9 月上旬,攻擊者利用勒索病毒劫持超過 26000 個資料庫並要求贖金。現今,對網際網路服務的勒索攻擊已經成為一種網絡攻擊趨勢,平均每天有 4000 起勒索軟體攻擊。面對這一系列攻擊,適當地保護網際網路服務,遵循最佳做法是至關重要的安全措施。
殭屍網絡
據綠盟科技威脅情報中心(NTI)監測的數據顯示,2017 年 Botnet 活動仍然十分猖獗,尤其 Q2 季度更是 Botnet 活動的高發期。根據綠盟監控的殭屍網絡 C&C 攻擊指令數據,在 Botnet活動最高峰時期,平均每天共發出 5187 次指令,單個 C&C 每天發出的指令最高達 114 次。
圖8 殭屍網絡C&C攻擊指令數據
2017 年 Botnet 的數量和規模在不斷擴大。其中,C&C 的數量持續不斷增長,進入 8 月份後增速明顯,10 月份環比增長達到 1.67%。另一方面,全球受控主機的數量間歇性增長,8 月份的數量環比上月增長高達 3 倍(增長320%)
圖9 殭屍網絡C&C變化趨勢
圖10 殭屍網絡受控主機變化趨勢
物聯網和智能、行動裝置構成的 Botnet 開始對 Botnet 戰場的形勢產生新的影響。我們持續跟蹤的 Botnet 中,至少存在 4% 的樣本攻擊目標為物聯網設備。雖然 Botnet 形式還是以Windows 平臺的設備為主,但是近年來,隨著IoT 設備、智能設備、行動裝置的入網,我們認為針對 IoT 或其他智能、行動裝置的惡意樣本會越來越多。
對於 PC 用戶,通過郵件、「水坑」站點或者在軟體安裝包中捆綁惡意代碼都是很有效的入侵手段,而對於物聯網設備來說,其在線時間長、用戶普遍疏於升級和配置、數量規模大,黑客通過簡單掃描就可以捕獲大量存在漏洞的設備。今年 10 月綠盟科技威脅情報中心(NTI)發現並命名的機頂盒蠕蟲 Rowdy,就是利用了機頂盒存在的脆弱性在國內網際網路上大規模 傳 播 。另外,綠盟科技關注到出現了一些Botnet 家族攻擊的目標是 Android 平臺的設備, 典 型 的 家 族 包 括:Dendroid、FlexiSpy、GMbot 等, Botnet 儼然是一個全平臺存在的網際網路威脅。
圖11 殭屍網絡運行平臺統計
正如在前文提到的,Botnet 持續不斷的追求規模的擴張,通過俘獲大量設備提升自身攻擊的能力,IoT 設備具有的脆弱性使其成為理想的切入點。但是貪婪的黑客們野心並未停止,我們觀察到有的 Botnet 已經具備了跨平臺的能力,他們在兼具自傳播的特點時,同時能夠根據設備類型,植入對應平臺的程序來獲取控制權限,進一步提升了自己的傳播能力。下面是幾個典 型的具有跨平臺傳播能力的 Botnet:
表 1 殭屍網絡跨平臺傳播能力分析之運行平臺
從 Botnet 採用的程序語言上,也可以發現跨平臺的趨勢。C 語言和腳本語言具有良好的跨平臺能力,無論在 arm 架構的嵌入式系統中,在 linux、Windows 系統中都有良好的適應能力。在此基礎上構建的 Botnet 程序,可以具備跨平臺傳播運行的能力。
表 2 殭屍網絡跨平臺傳播能力分析之編寫語言
另外,腳本語言的編寫相對比較容易,可以更加快速高效地實現一個新的 Botnet 程序。
較低的門檻、快速的收益吸引著更多的黑客加入進來,使得網絡中 Botnet 的威脅形勢更加嚴峻。2017 年 9 月,眾多網站發現其網頁內嵌了挖礦JavaScript 腳本,一旦用戶進入網站,JS 腳本就會自動執行,佔用大量機器資源挖取數字加密貨幣,導致電腦異常卡頓1。挖礦病毒就是殭屍網絡的一種。
2017 年是挖礦木馬殭屍網絡大規模爆發的一年,出現了「Bondnet」、「Adylkuzz」、「隱匿者」等多個大規模挖礦木馬殭屍網絡,而其中很大一部分挖礦木馬殭屍網絡來自於中國。金融、運營商及網際網路等眾多行業均有相關安全事件發生。2017 年 12 月底有安全公司發布預警稱「知名激活工具 KMSpico內含挖礦病毒」。據綠盟安全專家分析,原作者的官方版本並不含挖礦病毒,而是黑客利用搜尋引擎排名假冒克隆 KMSpico 的網頁,發布捆綁挖礦軟體在內的多種病毒,誘導用戶下載,進而竊取用戶隱私信息或利用用戶電腦挖礦謀取暴利。
APT 攻擊
高 級 長 期 威 脅( 英 語:advanced persistentthreat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。
在過往的監控中,實現政治訴求的 APT 居多,例如伊朗「震網」事件、白俄羅斯軍事通訊社事件,隨著時間遷移,APT 概念和技術開始被行業熟知,各種層面的對抗也更加複雜。2017 年 NSA「方程式組織」與 CIA 網絡情報機構的武器庫洩露,為整個黑色產業鏈條提供了大量有價值的「彈藥」,更多的組織、個人可以利用更加成熟的技術實施高級攻擊。APT 攻擊相較普通的攻擊手法,實施難度和成本都更高,除了國家資助下政府間的對抗外,受到巨大的利益驅使,金融行業首當其衝成為攻擊的目標,2017 年綠盟科技發現的境外 APT-C1 組織就是利用「互金大盜」惡意軟體攻擊我國某互金平臺,竊取平臺數字資產就是一起典型針對金融行業新型業務所採取的 APT 攻擊事件。
金融行業與其他行業一樣,都在面對技術的革新和升級,一方面帶來了更多的便利性,另一方面勢必導致許多潛在的風險,但是與其他行業不同的是,金融行業的資產天生比其他行業具有更直接的價值,對於 APT 風險,金融行業需要特別關注。