• 黑客

中國加油！武漢加油！——求爾君

引

好久不見，先祝大家元宵快樂！

萬萬沒想到，庚子鼠年的第一篇更新，竟然是在老家的茶幾上敲完的。

記得1月中旬在和同事聊天時，對新冠病毒認(rèn)知尚淺，當(dāng)時不覺有甚，提前規(guī)劃好短暫假期里的各項(xiàng)活動安排，誰知不到一個月，所有計(jì)劃全部泡湯，以至于最近幾乎家家閉戶，自我隔離?；匚靼采习?，暫時成為奢望。

當(dāng)下，全國的醫(yī)療資源幾乎都向湖北傾斜，陜西也派出了累計(jì)七支醫(yī)療隊(duì)伍趕赴武漢，并與湖北十堰結(jié)成幫扶對子，一省包一市，患難見真情。

國際上，各國小伙伴也紛紛伸出了援助之手，其中來自日本的“山川異域 風(fēng)月同天”尤其令人動容。

當(dāng)然，有君子就少不了小人。早幾日，我在抖音上刷到一則印度利用本次疫情關(guān)鍵詞對我國網(wǎng)絡(luò)進(jìn)行攻擊的消息，讓人憤懣。于是第一時間業(yè)內(nèi)知名網(wǎng)絡(luò)安全公司零時科技鄧總求證，鄧總證實(shí)了此消息的準(zhǔn)確性。

以下，為求爾君就此次攻擊事件采訪實(shí)錄。

問題1：此次有不法組織借疫情進(jìn)行黑客攻擊是真的嗎？

就在全國人民萬眾一心抗擊疫情之時，國內(nèi)安全研究機(jī)構(gòu)360安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔示例如：“武漢旅行信息收集申請表.xlsm”，攻擊者以郵件為投遞方式，并通過相關(guān)提示誘導(dǎo)受害者執(zhí)行系統(tǒng)指令代碼，對抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動APT攻擊。

拓展：什么是APT攻擊？

APT(Advanced Persistent Threat)是指高級持續(xù)性威脅，本質(zhì)是針對性攻擊，利用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的"惡意商業(yè)間諜威脅"。這種行為往往經(jīng)過長期的經(jīng)營與策劃，并具備高度的隱蔽性，針對特定對象，長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，偷竊資料。

簡單說，攻擊者其將關(guān)鍵信息數(shù)據(jù)存在表格的worksheet里，worksheet被加密，在誘導(dǎo)用戶點(diǎn)擊執(zhí)行的系統(tǒng)指令代碼里面使用秘鑰key去解密然后獲取明文信息數(shù)據(jù)。然而其用于解密數(shù)據(jù)的秘鑰Key為：nhc_gover，而nhc正是中華人民共和國國家衛(wèi)生健康委員會的英文縮寫。

這里誘導(dǎo)用戶點(diǎn)擊執(zhí)行的系統(tǒng)指令代碼被執(zhí)行，攻擊者就能訪問其控制的遠(yuǎn)程服務(wù)器并加載惡意腳本， 并使用特定黑客攻擊方法遠(yuǎn)程執(zhí)行這些惡意腳本文件，從而攻擊特定目標(biāo)。

之后，在進(jìn)一步追蹤溯源中，最后發(fā)現(xiàn)這起APT組織隸屬于南亞地區(qū)的黑客組織。

問題2.如何確定是印度（南亞地區(qū)）發(fā)起的攻擊？

2019 年間，南亞地區(qū)的APT組織處在一個十分活躍的狀態(tài)，同時，它還呈現(xiàn)出強(qiáng)烈的地緣政治傾向、明顯的網(wǎng)絡(luò)諜報(bào)特征、有計(jì)劃有預(yù)謀的全鏈條攻擊。軍工軍貿(mào)、政府機(jī)關(guān)、外交機(jī)構(gòu)、基礎(chǔ)設(shè)施企業(yè)， 這等重磅級單位企業(yè)成其火力全開地攻擊目標(biāo)，而目目標(biāo)所屬國度是：中國、巴基斯坦、孟加拉國和斯 里蘭卡等。

通過網(wǎng)絡(luò)安全團(tuán)隊(duì)及研究組織分析溯源，南亞APT組織逐步被披露，蔓靈花（BITTER）、摩訶草 （HangOver）、響尾蛇（SideWinder）、DoNot（肚腦蟲）等都是較有名的南亞APT組織。

其中一個APT組織：摩訶草，一個至今已活躍9年有余的APT組織，持續(xù)的曝光并沒有停止它攻擊的步伐，反而令其愈發(fā)的猖狂，可謂“野火燒不盡”。

該印度APT組織的攻擊目標(biāo)主要為：在中國、巴基斯坦等亞洲地區(qū)國家進(jìn)行網(wǎng)絡(luò)間諜活動，其中以竊取敏感信息為主。而且在對中國地區(qū)的攻擊中，主要針對政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊，尤其以科研教育領(lǐng)域?yàn)橹鳌?/p>

摩訶草在2019年的幾次攻擊活動中，使用 了一款新后門程序，并直接引用該后門的pdb文件為其命名為cnc_client。

然而，此次攻擊所使用的惡意后門程序與之前已披露的南亞地區(qū)APT活動總結(jié)中印度組織專屬后門cnc_client相似，通過進(jìn)一步對二進(jìn)制代碼進(jìn)行對比分析，其通訊格式功能等與cnc_client后門完全一致。可以確定，攻擊者來源于印度的APT組織！

問題3.您如何評價此次攻擊？

作為網(wǎng)絡(luò)攻擊的“黃金御用”手段，APT紅熱高發(fā)區(qū)也正是全球地緣政治沖突的敏感帶，而且時刻都在發(fā)生。

針對本次攻擊，攻擊者精心利用新冠肺炎疫情相關(guān)題材作為誘餌文檔，進(jìn)行魚叉式攻擊時，醫(yī)療機(jī)構(gòu)、醫(yī)療工作領(lǐng)域無疑成為此次攻擊的最大受害者。

印度APT組織如此喪盡天良的對我國醫(yī)療機(jī)構(gòu)發(fā)動定向攻擊的原因，我們不妨可以大膽猜測：它們?yōu)榱双@取最新最前沿的醫(yī)療新技術(shù)；它們?yōu)榱诉M(jìn)一步截取醫(yī)療設(shè)備數(shù)據(jù)；擾亂中國的穩(wěn)定，制造更多的恐怖。

別有用心的國家級APT組織的攪局，讓這場本就步履維艱的疫情之戰(zhàn)，更加艱難。一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個人乃至企業(yè)政府等各機(jī)構(gòu)的網(wǎng)路安全。尤其面對這等有著國家級背景的APT組織的攻擊，后果簡直不堪設(shè)想。

問題4.黑客是怎么進(jìn)行攻擊的個人或企業(yè)如何進(jìn)行防護(hù)？

此次攻擊主要利用肺炎疫情相關(guān)題材作為惡意的誘餌病毒文檔，利用郵件投遞的方式進(jìn)行釣魚攻擊，誘惑受害者執(zhí)行，針對類似攻擊基層機(jī)構(gòu)應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全防御，加固信息系統(tǒng)；普通人最 重要的是提高網(wǎng)絡(luò)安全意識。

計(jì)算機(jī)病毒只是一個程序或者代碼，之所以叫他病毒，就是因?yàn)樗哂型t(yī)學(xué)病毒相似的屬性。對于病毒的概念，準(zhǔn)確說應(yīng)該叫惡意代碼，是指能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)，影響計(jì)算機(jī)系統(tǒng)的正常使用的程序、代碼、指令。

生物病毒具有破壞性、潛伏性、傳染性、隱蔽性、非授權(quán)性、不可預(yù)知性。計(jì)算機(jī)病毒同理，在入侵計(jì)算機(jī)后，也會對計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行破壞、會隱藏系統(tǒng)中不會馬上發(fā)作、并且具備自我復(fù)制傳播或者通過其他途徑進(jìn)行傳播的能力、無需系統(tǒng)管理者授權(quán)對計(jì)算機(jī)進(jìn)行無感知的破壞。

下面是生物病毒與計(jì)算機(jī)病毒在特點(diǎn)、防范方式等方面的共同點(diǎn)。

不管是什么病毒什么變種，他的感染和傳播途徑無外乎以上幾種方法，所以，不管是什么病毒，預(yù)防的方法都是一樣的：

1.增強(qiáng)安全意識，使用強(qiáng)口令。避免社工攻擊和口令爆破。

2.經(jīng)常關(guān)注最新的漏洞，及時給系統(tǒng)打補(bǔ)丁，避免通過漏洞滲透。

3.加強(qiáng)對U盤等移動介質(zhì)的管理，避免通過病毒U盤傳播。

4.對于下載的文件、郵件附件等下載后先掃描再打開。

5.加強(qiáng)對于互聯(lián)網(wǎng)的管理，防止通過網(wǎng)頁、電子郵件、實(shí)時通訊工具、網(wǎng)絡(luò)下載等方式感染和傳播病毒。

6.部署網(wǎng)絡(luò)防火墻和主機(jī)防火墻。關(guān)閉常用的危險(xiǎn)端口。

7.加強(qiáng)對應(yīng)用程序的安裝和啟動的管理，禁止未經(jīng)授權(quán)的程序啟動和運(yùn)行。

8.加強(qiáng)對于共享文件夾的權(quán)限管理。

9.部署外網(wǎng)和內(nèi)網(wǎng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)以及主機(jī)入侵檢測系統(tǒng)，及時關(guān)注網(wǎng)絡(luò)日志和系統(tǒng)日志，發(fā)現(xiàn) 異常行為第一時間處理。

10.安裝專業(yè)靠譜的有主動防御功能的殺毒軟件，并及時更新病毒庫?！吨腥A人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能 自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 。

問題5：疫情持續(xù)期間，只有印度對中國進(jìn)行攻擊嗎？

除了南亞的APT攻擊之外，在此次疫情期間，還有很多其他的網(wǎng)絡(luò)攻擊存在。

這是現(xiàn)階段普遍存在的三種攻擊情況：

1.以疫情關(guān)鍵字為誘導(dǎo)的病毒釣魚攻擊

2.以疫情為誘餌的信息泄露導(dǎo)致的詐騙攻擊

3.以疫情捐贈為由的攜善款跑路的詐騙攻擊

據(jù)鄧永凱介紹：零時安全團(tuán)隊(duì)在網(wǎng)絡(luò)上發(fā)現(xiàn)，近期，部分武漢歸鄉(xiāng)人員的登記信息表在各個微信群中流傳，表格中有姓 名、家庭住址、電話、身份證號碼、返回車次，甚至高考成績等敏感信息。

部分武漢歸鄉(xiāng)人員由于信息泄露，電話和微信受到陌生人的辱罵以及威脅：

不僅如此由于各社區(qū)，街道辦每日要對密切接觸者以及武漢歸鄉(xiāng)人員的身體狀況進(jìn)行收集，不法份子利用被泄露的信息對個人進(jìn)行定向的社會工程，釣魚以及推銷。

零時科技安全團(tuán)隊(duì)在這里提出幾條防范措施：

陌生電話未表明身份便要求提供個人信息時，應(yīng)驗(yàn)明對方身份后提供 不主動泄露個人及他人信息，不轉(zhuǎn)發(fā)個人及他人信息 提高防范意識，保持冷靜，保持最大程度的克制。

在這場疫情當(dāng)中，“新型冠狀病毒”是我們唯一的、共同的敵人。保護(hù)好自己、保護(hù)好戰(zhàn)友，凝聚抗疫合力，才能團(tuán)結(jié)一切力量戰(zhàn)勝病毒。該被嚴(yán)防死守的，是肆無忌憚傳播的病毒而不是武漢人。

問題6：對于此次攻擊，官方或民間組織有組織反擊嗎？效果如何？

問題7：疫情對互聯(lián)網(wǎng)安全行業(yè)帶來了哪些影響與改變，您個人有什么擔(dān)憂或者期待？

1.一旦被感染，全社會都放假，只有醫(yī)務(wù)工作者拼死奮斗在一線。一旦單位網(wǎng)絡(luò)被感染，所有人都停 止工作，只有信息中心和運(yùn)維人員在一線奮斗。

2.平時對醫(yī)務(wù)工作者沒有應(yīng)有的尊重和敬畏，殺醫(yī)辱醫(yī)事件層出不窮，出事了就成了救世主。平時對信息中心和安全運(yùn)維人員不重視，總認(rèn)為是一個花錢的部門，出了事才意識到安全的重要性。

本次疫情中出現(xiàn)很多針對醫(yī)療相關(guān)機(jī)構(gòu)以及受疫情影響的群眾進(jìn)行定向攻擊?？梢粤私獾较嚓P(guān)行業(yè)的安全建設(shè)情況，根據(jù)當(dāng)前現(xiàn)狀進(jìn)行查漏補(bǔ)缺，加強(qiáng)信息安全建設(shè)，對于受到影響的群眾，應(yīng)該增強(qiáng) 自身安全意識，總體對網(wǎng)絡(luò)安全的發(fā)展是有促進(jìn)作用的，俗話說得好，未知攻焉知防。

消極的影響當(dāng)然也是有的，很多準(zhǔn)備在2020年準(zhǔn)備開展的項(xiàng)目全部擱置或者取消，更有勝者，因?yàn)橘Y金不能及時到位導(dǎo)致團(tuán)隊(duì)裁員或者解散的，希望此次疫情早日結(jié)束。

采訪內(nèi)容有刪改，非常感謝零時科技創(chuàng)始人鄧永凱先生的大力支持！

附：零時科技區(qū)塊鏈安全建議30條（互聯(lián)網(wǎng)通用版）