網安同期聲 | 數說安全:重磅!2018全球網絡安全競爭力研究報告發布

導言：網安同期聲，是安在為中國網絡安全新媒體聯盟專設欄目，上周網安要聞，各家媒體巡演，技管財政大全，笑看行業發展

1.安在：華數葉翔：在安全圈做一個正直的「大噴子」

2.一本黑：火牛視頻的數億騙局與生意：80萬元一夜蒸發，300萬用戶被套牢

3.FreeBuf：FBI數萬名特工信息遭披露，英美法多國情報機構均受影響

4.中國信息安全：對國內外網絡供應鏈攻擊的思考

5.E安全：「無證據」證明華為參與間諜活動，德國IT監管部門發聲

6.看雪學院：CVE-2014-6332學習筆記

7.網安視界：華為：未來5年將投資20億美元加強網絡安全

8.數說安全：重磅！2018全球網絡安全競爭力研究報告發布

9.遊俠安全網：McAfee報告：加密貨幣惡意軟體數量過去1年增長4000%

01.安在：華數葉翔：在安全圈做一個正直的「大噴子」

在安全圈裡，我覺得葉翔算是個異類。要說這樣一個大隱隱於市，又頗有些個性想法的咖，總會給人一種「掃地僧」的神秘和威壓，但真實的葉翔卻總又帶了點「人間不值得」的戲謔與灑脫。

2002年浙大畢業後，葉翔先是北漂聯通，搞了幾年網絡安全，又轉戰電信，因為一句簡單的「合不來」，離職換崗大建行。一直到2016年，葉翔帶著沉澱了整整十五年的安全經驗和方法論，來到了華數，擔負起集團安全的重任。

初到華數，網絡安全、信息安全、數據安全，整個安全體系可謂一窮二白。想要在廣電行業做好網絡安全，擺在葉翔面前的最大障礙就是，大部分技術人員都沒有網絡安全的意識。

首先是制度規範和考核。他從2016年到這裡之後，一直在補這方面的課。其次是著手產品，產品規範化、建立產品目錄，做統一的日誌收集和審計。最後是凝心聚力，每年組織大檢查，把應急預案和演練規範起來，每年組織一次大型培訓，把每個子公司的副總和技術部門經理都請來培訓。

此外，葉翔在華數大力推進攻防競賽，遇到不小的阻力。因為這不僅僅只是一個比賽，它同時還是一種安全能力的檢閱。經過努力後，第一屆攻防競賽一共120人參加培訓，90人參加個人賽，42人組成14支隊伍參加團隊賽。

這個結果讓葉翔頗感滿意。

02.一本黑：火牛視頻的數億騙局與生意：80萬元一夜蒸發，300萬用戶被套牢

9月23號之前，在火牛平臺上，投入10000元，每天可以拿到約900元的分紅。在巨額收益的吸引之下，火牛視頻用戶不斷增持手中的「火幣」。

當潮水退去，高企的利潤率快速下降。按平臺的分紅比例，每天100火鑽可以分到1元，然而，9月23日，分紅利率從100火鑽：1 很快下降到10000火鑽：1，而且，這一比率還在不斷下降。

號稱要打造區塊鏈+抖音模式的火牛，在剛剛到達自己目標山腳下的時候就已經停滯不前。曾經的賺錢工具，轉眼間就成了騙子的代名詞。

主播在其中扮演著重要角色。隨著主播的入駐，整個平臺也越來越活躍，最終帶來投資者的狂歡。

火牛視頻的模式並不新鮮，老套的資金盤遊戲，加上區塊鏈噱頭，再加上主播打賞。只不過打賞的氪金變成火鑽（FB），主播自己也成了傳銷者中的一員。

在火牛視頻的騙局中，一開始的無需充值，零門檻進入吸引大批用戶進入。看小視頻、看直播都能賺錢，這是八線城鎮最受歡迎的薅羊毛方式。但很多情況下，薅羊毛不成卻成為狼爪下的小綿羊。

03.FreeBuf：FBI數萬名特工信息遭披露，英美法多國情報機構均受影響

近日，FBI 兩萬多名警員數據被洩露，連英國、法國的情報機構也受到影響。

Twitter上ID為「Anonymous Unity」的用戶在昨天接連發了幾條推特全部是與此有關。該用戶直接貼出了暗網的連結，透露其中包含 FBI以及法國警方的成員清單。其主要針對目標就是美國、英國、法國等情報機構。

20000+名FBI警員信息，包含姓名、職務、電話、郵箱等信息。如果這份數據是真實的，勢必很快會引起FBI的重視，至於這份數據從何處來以及是什麼時候被洩露出來的，暫時還不知道。

除了這2萬多名FBI警員信息，這份數據中還包含有大量法國警察成員信息，同樣包含姓名、電話、郵箱地址等。

同樣被公開的還有法國對外安全局（DGSE）、美國FBI、CIA以及英國軍情六處各級網站域名及其對應的IP位址，還有大量子域名及其IP位址。

04.中國信息安全：對國內外網絡供應鏈攻擊的思考

一、供應鏈攻擊：國家博弈的戰略型武器

本質上，供應鏈攻擊是對目標進行「迂迴」式攻擊，復用已有的、正常的、多樣的開發、交付或使用渠道進行打擊。

供應鏈攻擊的共性，是產業鏈上遊被汙染，大量下遊廠商的產品或服務作為上遊組件的封裝，基於海量攻擊目標對知名產品或服務的潛在信任，難以徹底斷根篩查，召回或升級這些產品經濟成本巨大，而且周期漫長。

二、國內外供應鏈攻擊的防禦思路

（一）各國政府投入大量精力應對供應鏈安全。在不斷強化供應鏈安全對於國家戰略重要性的同時，各國政府機構也先後在多項相關政策法規中提出要求。

1.Google等國際廠商縮小被攻擊面抵禦入侵。Google在應對供應鏈攻擊上，減少關注「可能性」，更多地關注「結果本身」，即把主要精力放在「做好自己」上，儘可能地縮小自己的攻擊面。

（三）國內網際網路廠商斬斷攻擊路徑。國內網際網路廠商的普遍做法則更重視「檢」和「防」；國內企業都在持續建設檢測和響應制度，建立資產管理及持續監控能力，對供應鏈各個環節的基礎資產盤點。

1.思考和探討

2.防禦理論需要升維。

第二，防禦資源需要升級。

未來，供應鏈攻擊將會更加嚴重，對於攻擊的提前研究和全局思考，主動建設「攻、檢、防三位一體」的防禦體系必不可少。

05.E安全：「無證據」證明華為參與間諜活動，德國IT監管部門發聲

據《明鏡（Spiegel）》周刊上周五報導，德國IT監管部門對抵制中國電信巨頭華為這一呼籲持懷疑態度，認為目前並無證據表明該公司可能利用其設備協助中方進行監視。

華為因涉嫌聯繫中國情報局，正面臨日益嚴厲的安全審查，這促使美國、澳大利亞與日本等國禁止華為加入建設其國內新一代的超高速5G網際網路。

《明鏡》寫道，美國正向德國施壓，要求德國對華為發出禁令。肖恩波姆稱BSI專家已對全球華為產品與組件進行檢查。BSI很明顯地否認了華為存在網絡安全風險，某些觀察者對此表示不滿。

《明鏡》指出，德國三大主要行動網路運營商都使用了華為提供的基礎設施。華為還是德國多個主流移動手機背後的品牌。

06.看雪學院：CVE-2014-6332學習筆記

漏洞簡介

CVE-2014-6332是微軟2014年11月11日公布的一個IE瀏覽器漏洞影響IE版本為IE3-IE11。

究其原因是因為vbs引擎在執行Redim array(nNum)時，會調用OLEAUT32.dll模塊裡面SafeArrayRedim函數，該函數內部處理邏輯不嚴謹，使用了錯誤的條件跳轉指令。

漏洞分析

1.1.1Vbscript中的VARIANT結構。VARIANT結構是腳本語言中常用的一種結構，用於封裝對象結構。參見官方說明：

https://docs.microsoft.com/zh-cn/windows/desktop/api/oaidl/ns-oaidl-tagvariant

1.1.2 Vbs中將函數指針賦值給變量。Vbs中將函數指針賦值給變量時，先將函數類型的VARIANT結構壓入求值棧，然後將求值棧中結構再傳遞給變量，但當檢測到求值棧中的數據類型為0x400C（即函數類型）時，並不會傳遞此類型，引發相關異常。如果當前代碼流設置了On Error Resume Next，則會忽略當前異常，執行下面的代碼。

1.1.3 SafeMode。SafeMode是Windows作業系統中針對安全的一種特殊模式，即安全模式。在Vbs引擎中同樣存在這樣一個安全屬性值，正常情況下該屬性值為0xE。

1.2漏洞分析

我們選用附件中一個彈計算器的Exp進行分析(stage2.html)。由於Vbscript腳本由Vbs引擎解釋執行，調試的目的是為了復現漏洞位置的代碼bug，跟蹤關鍵數據的解析過程即可。

Exploit分析

筆者在調試stage2.html時，簡單總結了一下代碼流程：

初始化數組arrX()、arrY()。（即Init()函數）。

通過循環redim嘗試使得arrX和arrY空間「連續」(準確來講使得原始數組arrX和arrY之間只間隔8位元組)。（Exploit()函數）

觸發漏洞修改arrX的cElements欄位，使得arrX數組可「越界」訪問arrY數組元素，讓兩個數組後續空間重疊。（Trigger()函數）

通過前面提到的將自定義函數指針賦給變量的方法獲取獲取CScriptEntryPoint對象地址、為獲取Safe Mode標誌位置做準備。（LeakFnAddr()函數）

獲取COleScript對象地址，並通過數組重疊後的特性構造特定的數組空間布局以及偽造的數組結構myarray成功訪問到Safe Mode並修改其屬性值為0。此時已成 功開啟上帝模式（EnableGodMode()函數）

執行自定義的shell。（runshell()函數）

總結

該漏洞是一個存在於IE VBS引擎中的非常經典的數組「越界」的漏洞，對於研究IE漏洞是一個非常不錯的選擇。瀏覽器相關漏洞定位關鍵代碼一直是重點也是難點。

07.網安視界：華為：未來5年將投資20億美元加強網絡安全

據《今日美國》報導，華為表示，未來五年將投資20億美元，加強網絡安全，招聘更多員工，升級實驗室設施。目前，華為正在應對全球對其網絡設備相關風險的擔憂。

華為輪值主席胡厚昆(Ken Hu)表示:「將競爭對手擋在一個競技場之外，並不能讓你變得更好。我們認為，任何對華為安全的擔憂或指控都應該基於事實證據。沒有事實證據，我們不接受也反對這些指控。」

華為實際上已經被擋在美國市場之外，澳大利亞和紐西蘭也禁止華為建設5G網絡。所有拒絕華為製造5G網絡的國家都表示，華為的設備可能為中國的間諜活動提供便利。

據胡厚昆介紹，他們已經贏得了超過25個5G商業合同，排名世界第一，還將在全球範圍內運送超過1萬個5G基站。此外，華為還與全球50多家運營商進行了5G商業測試。

08.數說安全：重磅！2018全球網絡安全競爭力研究報告發布

12月20日，上海賽博網絡安全產業創新研究院發布了兩份重磅報告，《2018全球網絡安全企業競爭力研究報告》和《2018年全球網絡安全產業投融資研究報告》，本人有幸參與了這兩份報告的部分工作。

本報告對全球500多家網絡安全企業進行了研究及數據匯總，結合科學的研究方法論，列示出了2018年全球範圍內網絡安全百強企業，並標註這100家企業在網絡安全競爭力象限的位置（報告中叫做"賽博競爭力指數圖譜"）。通過上述研究分析，報告中也給出了全球網絡安全產業的十大趨勢，供各位讀者參考。

詳細報告內容及下載點擊連結查看。

09.遊俠安全網：McAfee報告：加密貨幣惡意軟體數量過去1年增長4000%

http://www.youxia.org/2018/12/43540.html

隨著加密貨幣的價值斷崖式下跌，黑客會更加猖獗地攻擊最後狠狠撈一筆還是偃旗息鼓等待加密貨幣反彈後再割？只有時間能給出答案。根據McAfee實驗室近期公布的最新研究報告，針對加密貨幣的惡意軟體數量在過去一年中增長了4000%。

McAfee實驗室發布的2018年12月威脅報告[PDF]中，這家安全公司強調稱2018年第一季度針對加密貨幣礦工的惡意軟體數量大幅增長。這一趨勢在第二季度似乎略有減少，但在第三季度，環比增長近40％。這表明這些攻擊者正轉向更有利可圖的加密劫持模式（cryptojacking）。

由於普遍缺乏適當的安全控制，類似於IP攝像頭等物聯網設備和路由器等設備非常容易受到攻擊。在過去兩年中，惡意軟體總體上已經出現了穩定和可預測的增長，這一趨勢沒有顯示出放緩的跡象。

「推薦閱讀」

網絡安全新媒體聯盟，由聚焦網安行業的包括安在、E安全、Freebuf、看雪論壇、數說安全、安全村、網安視界、遊俠安全網、一本黑等在內的新媒體或自媒體共同發起成立，同時有《中國信息安全》顧問支持，是非營利非實體性質的新媒體聯絡協調和合作互助機制。