科技日报慎点!来历不明的疫情邮件或是黑客陷阱

如果邮箱里收到标题为《新冠肺炎的诊断和预防措施.xlsm》《武汉旅行信息收集申请表.xlsm》等看似与疫情密切相关的邮件 , 相信有人会忍不住进行查看 。 殊不知 , 鼠标轻轻一点 , 也许你就踏入了黑客的陷阱 。
近期 , 360技术团队称 , 在抗疫期间发现有境外黑客组织不断尝试窃取我国医疗卫生行业的相关机密 , 使用“白利用”手法绕过了部分杀毒软件的查杀 , 利用新冠疫情题材诱使用户执行木马程序 , 最终达到控制系统、窃取情报的目的 。
事实上 , 遭受攻击的受害者并非只在我国出现 。 据此前360发布的报告 , 该黑客组织发动的高级可持续威胁攻击(APT攻击) , 涉及地域十分广泛 , 至少还包括境外36个国家 。
攻击方式隐蔽难缠
“‘白利用’手法是较为常见的一种网络攻击方法 。 攻击者通过精心制作木马病毒 , 利用看起来是‘白名单’之内的文件来实现木马攻击 。 ” 近日 , 北京理工大学计算机网络及对抗技术研究所所长闫怀志接受科技日报采访人员采访时这样表示 。
“具体来说 , ‘白利用’主要的技术核心是通过移形换影 , 将远程控制木马进行伪装 , 并且隐藏在防护系统白名单内的文件中 , 以此来蒙混过关 。 ”闫怀志进一步解释 , “白利用”手法具体有两种实现途径 , 一是通过正常程序自身的漏洞使该程序可被远程控制 , 二是木马制作者利用社会工程学等方法 , 让木马躲过恶意代码查杀工具和沙箱(一种网络编程虚拟执行环境)等主动防御机制 , 从而鱼目混珠 , 混入白名单之中 。
现有资料显示 , “鱼叉攻击”“水坑攻击”等APT攻击手法是该黑客组织的惯用伎俩 。
闫怀志告诉科技日报采访人员 , “鱼叉攻击”是钓鱼攻击的重要形式之一 , 通常将木马病毒作为电子邮件的附件 , 邮件主题和附件通常会起极具诱惑力的名称 , 诱使受害者打开附件 , 从而感染木马 , 导致目标人群“中招” 。 “水坑攻击”则是利用被攻击目标经常访问的网站漏洞植入攻击代码 , 构造一个陷阱 , 一旦被攻击目标访问该网站即会陷入“水坑” , 成为攻击者的“囊中之物” 。
需要注意的是 , “水坑攻击”无需专门制作钓鱼网站 , 而是利用了合法网站的脆弱性 , 因而具有更高的隐蔽性 。
根据360此前发布的安全报告可以得知 , APT攻击具有针对性强、潜伏期长、攻击覆盖面广等特点 。 此次发动攻击的黑客组织至少使用了4种不同程序形态、不同编码风格和不同攻击原理的木马程序 , 恶意服务器遍布全球13个国家 , 注册的已知域名多达35个 。
“这些APT攻击往往使用精密、复杂的恶意程序及技术 , 持续监控特定目标 , 潜伏期极长 , 攻击者对受害者的网络保有控制权的平均时间为一年 , 最长可达数年 。 ”闫怀志指出 , APT攻击非常难缠 , 通常令人难以招架 , 发现和防御极为困难 。
亟须构建网络空间“雷达”
小到人们的日常生活 , 大至一个国家的经济、政治、军事及社会稳定 , 黑客攻击导致的安全事件危害不容小觑 。 在全球抗击疫情的特殊时期 , 黑客攻击抗疫一线的组织机构 , 其心可诛 。
“网络攻击是各国面临的共同威胁 , 在当前新冠肺炎疫情蔓延全球的背景下 , 针对抗疫机构的网络攻击无疑应当受到全世界人民的同声谴责 。 ”此前 , 我国外交部新闻发言人耿爽表示 。
科技日报采访人员了解到 , 不同于以往制造木马病毒的“小毛贼” , 此次APT攻击的实施者已经发展为国家级的“大玩家” , 其攻击对象直指各类关键基础设施 , 攻击手段更是层出不穷、防不胜防 。 尤其是此次黑客攻击利用了新冠肺炎疫情相关题材为诱饵 , 医疗机构、医疗工作领域无疑会成为首要目标 , 一旦其攻击得逞 , 轻则导致数据丢失 , 引发计算机系统故障 , 重则影响疫情防控工作推进 , 后果不堪设想 。
“网络安全是国家安全的核心要素 , 政治安全、经济安全、文化安全、军事安全等 , 都与网络安全密切相关、相互作用 。 ”闫怀志表示 。 分页标题
在360集团董事长兼CEO周鸿祎看来 , 构建网络空间“雷达” , 发现敌人之所在是赢得这场战争的关键 。 “这就像现代战争中没有雷达 , 有再多的火炮和导弹也只是摆设一样 。 应对APT攻击的关键 , 首先在于要看得见 , 而要看得见 , 不能靠肉眼 , 不能靠陈旧的思维 , 必须靠更为先进的‘雷达’ 。 ”
【科技日报慎点!来历不明的疫情邮件或是黑客陷阱】他认为 , 打造网络空间“雷达”需要3个必要条件:安全大数据是看见的基础 , 威胁情报和知识库帮助筛选 , 高级别攻防专家起决定性作用 。 三者结合 , 才能真正有效进行防御 。