完美世界国际版下载,有声小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

綠盟科技：HackingTeam數(shù)據(jù)泄露防護方案

7月5日晚，一家意大利軟件廠商被攻擊，其掌握的400GB數(shù)據(jù)泄露出來，由此可能引發(fā)的動蕩，引起了業(yè)界一片嘩然。截止發(fā)稿時止，有多個組織聲稱對此行為負責，包括Gamma Group Hacker。雖然目前沒有事實表明該聲稱確實可信，但由此讓黑色產(chǎn)業(yè)鏈條中的一種“新”形態(tài)暴露出來，即從攻擊最終用戶演變?yōu)楣糁虚g鏈條乃至攻擊者組織之間的互相廝殺，這種形態(tài)已經(jīng)從黑產(chǎn)上升到供應商、政府機構(gòu)之間的問題，這不得不說，對涉及中間鏈條的組織，敲響了警鐘。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),龍泉企業(yè)網(wǎng)站建設(shè),龍泉品牌網(wǎng)站建設(shè),網(wǎng)站定制,龍泉網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,龍泉網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學習、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

Hacking Team及Gamma Group

Hacking Team在意大利米蘭注冊了一家軟件公司，主要向各國政府及法律機構(gòu)銷售入侵及監(jiān)視功能的軟件。其遠程控制系統(tǒng)可以監(jiān)測互聯(lián)網(wǎng)用戶的通訊、解密用戶的加密文件及電子郵件，記錄Skype及其他VoIP通信，也可以遠程激活用戶的麥克風及攝像頭。其總部在意大利，雇員40多人，并在安納波利斯和新加坡?lián)碛蟹种C構(gòu)，其產(chǎn)品在幾十個國家使用。

無獨有偶，這次聲稱對此次事件負責的組織，Gamma Group International也曾經(jīng)在2014年的8月被人入侵過，在那次的事件中，該組織被泄露了40GB的內(nèi)部文檔和惡意程序代碼。這個組織無論從背景還是業(yè)務(wù)都與Hacking Team類似，但是一家英國的公司。

地下產(chǎn)業(yè)鏈各方的相互廝殺由此可見一斑，這里簡單用一張圖來簡單展示一下其中的一個部分。值得關(guān)注的是，這次通過攻擊供應商等中間鏈條獲得攻擊數(shù)據(jù)的動態(tài)。

圖注：黑色產(chǎn)業(yè)鏈

泄露數(shù)據(jù)

此次事件中泄露的數(shù)據(jù)多達400GB，數(shù)據(jù)包中主要包含幾個大的部分：

? 遠程控制軟件源碼，也是其核心，暫且稱之為 Hacking Team RCS(Remote Control System)

? 反查殺分析工具及相關(guān)討論文檔

? 0Day、漏洞及相關(guān)入侵工具

? 入侵項目相關(guān)信息，包括賬戶密碼、數(shù)據(jù)及音像資料

? 辦公文檔、郵件及圖片

? 其他

影響程度

在這些數(shù)據(jù)中，綠色標注的3類比較引人關(guān)注，這3類數(shù)據(jù)將對各個不同的領(lǐng)域造成影響

◆更頻繁：0Day、漏洞及相關(guān)入侵工具，從目前獲取的信息來看;

? Flash 相關(guān)的應用及軟件使用量非常龐大，Windows平臺上幾乎是所有的用戶都會用到;

? 這些漏洞的流入黑色產(chǎn)業(yè)鏈，會讓攻擊更加快速和復雜化;

◆門檻低：Hacking Team RCS，是該組織主要輸出的軟件，從目前獲取的信息來看

? 可以獲取目標用戶的電話、電腦的全部信息及影音資料;

? 涉及的桌面OS從Windows到MacOs X，手機OS基本覆蓋了市場上流行的系統(tǒng);

? 受該工具及其已經(jīng)感染的客戶端數(shù)量的影響，會讓攻擊門檻降低;

◆影響大：入侵項目相關(guān)信息，這里面包含了各種入侵過程資料，甚至包含了已經(jīng)成功獲取的賬戶密碼及相關(guān)資料，一旦被惡意攻擊者獲取并利用，將會在黑色產(chǎn)業(yè)鏈中進一步發(fā)酵。

圖注：Hacking Team遠程控制系統(tǒng)

防護思路

綠盟科技威脅響應中心在長年對黑客組織事件的追蹤及分析中，獲得了豐富的經(jīng)驗積累，借鑒及建立了一些模型去理解它們，試圖從中找到規(guī)律，以便為應對未來的未知威脅提供經(jīng)驗借鑒。針對此次事件，這里使用Intrusion Kill Chain模型跟大家進行探討，雖然不一定適合所有業(yè)務(wù)環(huán)境，但希望可以幫助大家找到指定自身防護方案的一點靈感。

Intrusion Kill Chain模型精髓在于明確提出網(wǎng)絡(luò)攻防過程中攻防雙方互有優(yōu)勢，防守方若能阻斷/瓦解攻擊方的進攻組織環(huán)節(jié)，即是成功地挫敗對手的攻擊企圖。模型是將攻擊者的攻擊過程分解為如下七個步驟: Reconnaissance(踩點)、Weaponization(組裝)、Delivery(投送)、Exploitation(攻擊)、Installation(植入)、C2(控制)、Actions on Objectives(收割)，如下圖：

通過目前對Hacking Team RCS軟件的分析情況來看，主要通過如下三種方式入侵目標：

? 感染移動介質(zhì) 與很多木馬、病毒及流氓軟件的傳播方式一樣，該軟件首先還是采取這種低成本的方式進行，感染一些能夠接觸目標的移動媒體，比如CD-ROM、USB等，即便是OS 或者BIOS設(shè)置了密碼也一樣可以感染，從而獲取一些環(huán)境數(shù)據(jù)，比如電腦是否可以上網(wǎng)等，為后續(xù)的動作提供參考依據(jù)。

? 代理攻擊采用軟件或硬件的系統(tǒng)，能夠在網(wǎng)絡(luò)會話過程中修改和注入數(shù)據(jù)，在某些情況下，可以注入到系統(tǒng)并難以被檢測到。同時，也能夠感染W(wǎng)indows平臺上的可執(zhí)行文件，如果目標電腦從網(wǎng)站上下載并執(zhí)行這些可執(zhí)行文件時，Agent將在后臺自動安裝，用戶不會知曉。

? APT如上兩種方式都無法奏效的時候，就會采用多種形式組合入侵，采用相關(guān)的漏洞、入侵工具及更多利用手段。

針對這些入侵方式，下面來分階段討論防護思路。

Detect

在這個階段，建議您將當前IT環(huán)境中的漏洞掃描系統(tǒng)升級到最新版本后，盡快開始對業(yè)務(wù)系統(tǒng)進行掃描，尤其是受此次Flash 0Day漏洞影響的業(yè)務(wù)系統(tǒng)平臺進行一次完整的漏洞掃描。

此次事件中，綠盟威脅分析系統(tǒng)(NSFOCUS Threat Analyze Center，TAC)即體現(xiàn)出優(yōu)越性，即通過獨創(chuàng)的靜態(tài)檢測和動態(tài)檢測引擎，能夠不依賴于攻擊特征識別惡意軟件及其危害程度，率先偵測到Flash 0Day漏洞。

綠盟TAC可有效檢測通過網(wǎng)頁、電子郵件或其他在線文件共享方式進入網(wǎng)絡(luò)的已知和未知惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護客戶網(wǎng)絡(luò)免遭利用0day漏洞等攻擊造成的各種風險，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。

綠盟TAC能夠在如下兩個階段對此次事件所帶來的可能攻擊進行檢測

? Delivery階段：發(fā)現(xiàn)(detect)試圖傳輸?shù)絻?nèi)網(wǎng)的惡意軟件(文件)，包括已知和未知的高級惡意軟件;

? Installation階段：發(fā)現(xiàn)高級惡意軟件成功利用后，試圖從控制端下載更多惡意程序。

Deny

如果您已經(jīng)部署了綠盟網(wǎng)絡(luò)入侵防護系統(tǒng)(Network Intrusion Prevention System，簡稱NIPS)，在升級最新的升級包后，即可阻斷Flash 0Day漏洞所帶來的攻擊，并持續(xù)獲得敏感數(shù)據(jù)保護、客戶端防護、服務(wù)器非法外聯(lián)防護、僵尸網(wǎng)絡(luò)防護等多項防護。

請所有使用綠盟產(chǎn)品的用戶盡快升級。綠盟科技已在軟件升級公告中提供規(guī)則升級包，規(guī)則可以通過產(chǎn)品界面的在線升級進行。如果您的業(yè)務(wù)系統(tǒng)暫時還無法升級規(guī)則包，那么可以在軟件升級頁面中，找到對應的產(chǎn)品，通過下載升級包，以離線方式進行升級。

另外，用戶如果已部署綠盟NIPS產(chǎn)品，可以通過增加TAC防護組件的方式，使企業(yè)本地網(wǎng)絡(luò)具備未知威脅發(fā)現(xiàn)能力，并與綠盟NIPS形成聯(lián)動，在第一時間做到未知威脅檢測、攔截。

Patch

在這個階段，建議您盡快的安裝就此次泄露出來的資料庫中所包含的Flash 0Day漏洞，Adobe官方已經(jīng)修復了漏洞，并提供了升級版本，請廣大用戶盡快升級到最新版本。FLASH更新步驟如下：

? 打開https://get.adobe.com/flashplayer/?loc=cn

? 點擊立即安裝，保存安裝包，下載完成后執(zhí)行安裝文件

0Day漏洞一旦被公開，往往也是被攻擊者利用最為猖狂的時候。在此, 安全專家建議:

? 安裝反病毒軟件進行全盤查殺, 并第一時間更新系統(tǒng)和Flash補丁

? 推薦使用安全級別更高的獵豹, FireFox瀏覽器

? Chrome用戶請升級至最新版本(>=43)

? IE, Chrome用戶請手動升級Flash至最新版本

? 養(yǎng)成良好的上網(wǎng)習慣和安全意識,

? 提高內(nèi)部員工的安全意識和建立完備的監(jiān)控體系是防范APT的重要手段。

? 建議對內(nèi)部員工開展廣泛的安全意識培訓，避免出現(xiàn)使用弱口令、點擊不明來歷郵件附件、訪問惡意網(wǎng)站等危險行為。不隨意打開陌生人通過QQ等發(fā)送的網(wǎng)頁鏈接, 不隨意打開垃圾郵件

解決方案

綠盟下一代威脅解決方案(NGTP解決解決方案)，是針對APT威脅進行檢測和防御的解決方案。NGTP解決方案聚焦APT攻擊鏈條，檢測和防御APT攻擊鏈中攻擊，潛伏和盜取三個主要環(huán)節(jié)。重點檢測和防御在攻擊嘗試階段，進入后的潛伏和擴展攻擊階段，以及最終盜取數(shù)據(jù)目的階段。

NGTP解決方案以全球威脅情報云為紐帶，以未知威脅檢測為核心，通過與傳統(tǒng)終端、網(wǎng)關(guān)設(shè)備聯(lián)動，實現(xiàn)跨廠商的威脅情報的共享，以及企業(yè)威脅態(tài)勢可視化，最終達到提升企業(yè)APT威脅防護的能力的目標。

應對0Day

NGTP針對0Day漏洞攻擊的解決方案，由本地沙箱TAC，威脅防御模塊IPS，綠盟安全信譽和ESPC管理等系統(tǒng)構(gòu)成。NGTP方案防御0Day漏洞攻擊的流程：

? 第一步：要經(jīng)過本地沙箱系統(tǒng)TAC的檢測，TAC提供靜態(tài)檢測引擎和虛擬執(zhí)行引擎，對惡意軟件進行Shellcode靜態(tài)分析，然后再進行虛擬執(zhí)行。通過這兩步分析，從Hacking Team組織泄露的0Day攻擊軟件被識別出來;

? 第二步：TAC檢測出惡意軟件的來源，生成信譽信息，包括文件的信譽和攻擊源IP等信息，同步到本地的安全管理中心ESPC，形成本地的信譽庫;

? 第三步：NIPS從本地信譽庫接收到惡意軟件的信譽信息，對發(fā)起攻擊的源IP實現(xiàn)阻斷，并生成告警日志。

方案優(yōu)勢

? APT威脅檢測和防御的全面性綠盟下一代威脅解決方案，能夠全面的對APT威脅檢測和防御。無論是網(wǎng)絡(luò)，Web還是郵件，終端眾多通道，都是APT威脅可能利用的通道，NGTP解決方案，不僅在網(wǎng)絡(luò)邊界進檢測和防御，還在企業(yè)內(nèi)網(wǎng)，郵件服務(wù)器，終端等多個層面進行檢測和防御。既能夠?qū)崟r進行檢測和阻斷，還利用大數(shù)據(jù)分析平臺，進行事后的分析和調(diào)查。

? APT檢測的準確性綠盟下一代威脅解決方案，利用本地沙箱和云端安全信譽，準確地對APT威脅檢測和防御。本地沙箱提供了惡意軟件靜態(tài)檢測和虛擬執(zhí)行手段，檢查惡意軟件Shellcode，并且模擬真實的PC環(huán)境進行驗證，極大提高惡意軟件的準確性;同時，云端信譽提供最新的威脅情報信息，進一步提供NGTP方案對APT威脅檢測的準確性。

? 解決方案技術(shù)領(lǐng)先組成NGTP解決方案的各個模塊技術(shù)先進。TAC產(chǎn)品，是國內(nèi)最早推向市場的APT檢測設(shè)備，經(jīng)過幾年的不斷優(yōu)化，功能和性能得到極大提高，尤其是獲得專利技術(shù)的靜態(tài)Shellcode檢測技術(shù)和虛擬執(zhí)行檢測技術(shù)，更是為APT威脅檢測的準確性提供強力支撐。綠盟NIPS產(chǎn)品也是久負盛譽，不僅在國內(nèi)市場上遙遙領(lǐng)先，還多次于國際權(quán)威檢測機構(gòu)得到認可。綠盟安全威脅信譽系統(tǒng)，提供最新最全的安全信譽，讓NGTP方案發(fā)揮最大效能。

威脅情報

從目前此次攻擊及各方面應對情況來看，對于一些高級攻擊形式，關(guān)鍵在于盡可能快的了解到相關(guān)的情報，以便盡可能快的啟動應急響應機制。這無論對于解決木馬或者APT攻擊來說都是重要的手段之一，威脅情報的獲取及響應都體現(xiàn)了防御能力的建設(shè)程度，威脅情報服務(wù)體系至少包含了威脅監(jiān)測及響應、數(shù)據(jù)分析及整理、業(yè)務(wù)情報及交付、風險評估及咨詢、安全托管及應用等各個方面，涉及研究、產(chǎn)品、服務(wù)、運營及營銷的各個環(huán)節(jié)，綠盟科技通過研究、云端、產(chǎn)品、服務(wù)等立體的應急響應體系，向企業(yè)和組織及時提供威脅情報，并持續(xù)對對匿名者攻擊事件進行關(guān)注，保障客戶業(yè)務(wù)的順暢運行。

分享名稱：綠盟科技：HackingTeam數(shù)據(jù)泄露防護方案
網(wǎng)頁地址：http://fisionsoft.com.cn/article/ccddeee.html

新聞中心

其他資訊