Symantec 2010 @ BJ

1. 攻击趋势与攻击手法的剖析
Thomas Chuang, CISSP
赛门铁克台湾区资深技术顾问

2. 简报大纲
1 攻击趋势
2 攻击手法剖析
3 防护对策
4 总结
攻击趋势与攻击手法的剖析 Symantec Vision 2010

3. 庄添发 / Thomas Chuang
– 台湾赛门铁克资深技术顾问 & 发言人
– CISSP 认证
– 『WiFi Hacking! 无线网络黑客现形攻防
战』一书作者
– 美国卡内基美隆大学双硕士
•信息安全管理硕士
•计算机辅助工程硕士
– 杂志邀稿作者
– Foundstone Ultimate Hacking 讲师
•于 6 个国家 10 个城市开课 (2004~2006)
•Singapore, Bangkok, Beijing, Shanghai, SuZhou
•Hong Kong, Ho Chi Minh, Hanoi, Jakarta, Taipei
攻击趋势与攻击手法的剖析 Symantec Vision 2010

4. October 2007
以前 以后
Zeus
Malware Rogue AV
For
Fame Hydraq
Stuxnet
攻击趋势与攻击手法的剖析 Symantec Vision 2010

5. October 2007
以前 以后
攻击趋势与攻击手法的剖析 Symantec Vision 2010

6. 威胁态势 恶意代码
安全威胁的目标
   
资源 信息 诈骗 破坏
- 发送 Spam - 偷窃敏感性信息 - 社交工程 - 恐怖行动
- 进行 DDOS 例如: 银行账号 - 坐着等 $s 自动进来 - 网络战争
攻击 密码
Rustock Zeus Rogue AV Stuxnet
攻击趋势与攻击手法的剖析 Symantec Vision 2010

7. 网络威胁系统
网络钓鱼网站
地下经济体系
僵尸网络 (网络黑市)
受到危害的计算机
攻击趋势与攻击手法的剖析 Symantec Vision 2010

8. 企业的安全风险不断的演化
地下经济、黑市交易 前所未见的针对性攻击
活跃的 Botnet 活动 对外服务器仍是黑客的目标
3,500,000 2,895,802
3,000,000
Number of New Signatures
2,500,000
2,000,000 1,691,323
1,500,000
1,000,000 708,742
500,000
74,981 113,081 167,069
20,254 19,159
0
2002 2003 2004 2005 2006 2007 2008 2009
攻击趋势与攻击手法的剖析 Symantec Vision 2010

9. 地下经济、黑市交易
攻击趋势与攻击手法的剖析 Symantec Vision 2010

10. 地下经济–黑市交易
攻击趋势与攻击手法的剖析 Symantec Vision 2010

11. 地下经济–贩卖攻击工具
攻击趋势与攻击手法的剖析 Symantec Vision 2010

12. 地下经济–贩卖信用卡资料
攻击趋势与攻击手法的剖析 Symantec Vision 2010

13. 地下经济 - 重点总结
•「地下经济」会因地理位置而异，同时也展现为网络犯罪
者产生巨额收益的能力。
•这是一个自给自足的系统，可以从中购买用来诈骗与窃取
的工具，同时还可以在这个系统中销售由这些工具所取得窃
取的信息。
•据赛门铁克估计，在 2008 年报告期间内地下经济服务器
上的广告商品总值已超过 2亿7千6百万美元。
•地下经济服务器上顶尖卖家的潜在价值为 640 万美元。
•信用卡信息类别最热门! 占所有销售广告的 31%。
攻击趋势与攻击手法的剖析 Symantec Vision 2010
赛门铁克地下经济研究报告

14. 前所未见的针对性攻击
- Stuxnet 攻击事件
攻击趋势与攻击手法的剖析

15. Stuxnet
针对工业控制系统ICS - Industrial Control Systems
• 基础架构监控与硬件
控制
– Sensors
– Motors
– Relays
– Etc
• 实时控制系统
– PLC
• Programming 系统
– 一般的 Windows 桌机或
笔记本计算机
Courtesy: http://www.gasdetectorsusa.com
攻击趋势与攻击手法的剖析 Symantec Vision 2010

16. 攻击趋势与攻击手法的剖析 Symantec Vision 2010

17. Stuxnet
突破实体隔离的环境
• 攻击利用 U 盘散布
• 初始版本使用 Autrun.inf 来执行
• 后来版本使用 0-Day LNK 弱点 (CVE-2010-2568) 来隐藏档案不被看
到或自动执行
攻击趋势与攻击手法的剖析 Symantec Vision 2010

18. Stuxnet
穷尽利用各种感染方式
 Network
Shares

 Print
Spooler
(MS10-061)
 SMB
  (MS08-067)
Step7 WinCC SQL  P2P
(Updating only)
七种感染方式 – 大部份的攻击只有 1~2 种
攻击趋势与攻击手法的剖析 Symantec Vision 2010

19. Stuxnet
搜寻 ICS 系统
攻击者
http://<domain>/index.php?data=[DATA]
www.mypremierfutbol.com
www.todaysfutbol.com
• 受感染的机器回报系统信息
– OS version
– Computer name
– Domain
– IP addresses
– Configuration data
– Existence of ICS programming software (STEP7)
• 并且传送设计文档
攻击趋势与攻击手法的剖析 Symantec Vision 2010

20. Stuxnet
锁定目标
• Stuxnet 的目标是感染 Simatic PLC 设备
• PLC 设备是以 STL 或 SCL 代码语言写的数据及代码控制
• 编成的代码叫做 MC7
• 代码被 PLC 执行来控制工业流程
攻击趋势与攻击手法的剖析 Symantec Vision 2010

21. Stuxnet
Man-In-The-App 攻击
• 置换 Step 7/WinCC 的 s7otbxdx.dll 档案
• 监控 PLC 的读取及写入
• 插入代码感染 PLC
• 隐藏修改而程序设计师及操作者亳不知情
• 现在它能让工业控制系统做任何事而不会被查觉
攻击趋势与攻击手法的剖析 Symantec Vision 2010

22. Stuxnet
黑客主控台(C&C servers)
www.premierfutbol.com
www.todaysfutbol.com
攻击趋势与攻击手法的剖析 Symantec Vision 2010

23. Stuxnet
感染分布统计
70.00
60.00 58.31
50.00
Unique IPs Contact C&C Server (%)
40.00
30.00
17.83
20.00
9.96
10.00
5.15
3.40
1.40 1.16 0.89 0.71 0.61 0.57
0.00
IRAN INDONESIA INDIA AZERBAIJAN PAKISTAN MALAYSIA USA UZBEKISTAN RUSSIA GREAT OTHERS
BRITAIN
超过 40,000 受感染的外部 IPs, 超过 115 个国家
攻击趋势与攻击手法的剖析 Symantec Vision 2010

24. Stuxnet
含有 Siemens 软件的受感染系统统计
80.00
67.60
70.00
60.00
50.00
40.00
30.00
20.00 12.15
8.10
10.00 4.98 2.18 2.18 1.56 1.25
0.00
TAIWAN
IRAN
USA
SOUTH KOREA
OTHERS
INDIA
INDONESIA
GREAT BRITAIN
攻击趋势与攻击手法的剖析 Symantec Vision 2010

25. Stuxnet
重大特点
典型的恶意代码 Stuxnet
0-Day 弱点 无 4
鲜少人知的弱点 无 2
扩散方法 1或2种 7
不会, 下载更多恶
自我控制的攻击
意代码 Yes
使用失窃的 Digital
Signatures
没有. 或是假的或
过期的 Signature 2
攻击趋势与攻击手法的剖析 Symantec Vision 2010

26. Stuxnet
省思与观察
• 复杂的 Stuxnet 攻击至少需要六个人六个月的时间
– 谁是攻击者?
– 目的为何?
• 实体隔离环境的安全防护?
– 没有安装安全防护?
– 系统有上 Patch?
– USB 存储跨越隔离环境 !?
• 未来会有更多的 ICS 威胁?
攻击趋势与攻击手法的剖析 Symantec Vision 2010

27. 活跃的 Botnet 活动
Symantec Vision 2010

28. Botnet
生态系统
• 赛门铁克发现平均每天有 Botherders: The Black Market
46,541 部殭尸计算机在活
动，2009 年计有 Phishing Messages
6,798,338 部活跃的殭尸 Fraud Websites
计算机
• 相较于 2008 年的 15,197 Fraudsters
部，赛门铁克在 2009 年
侦测到 17,432 部全新的 Spam
Bot Command & Control
服务器，其中 31% 透过
IRC 管道， 69% 透过 HTTP
Spammers
• 2009 年所發送的垃圾郵 Adware &
件中，有 85% 透過殭屍網 Spyware
路執行
Keylogging Denial of
/ ID Theft Service
Distributors
攻击趋势与攻击手法的剖析 Symantec Vision 2010

29. Botnet 之王 - Zeus
攻击趋势与攻击手法的剖析 Symantec Vision 2010

30. http://Your Bank
Your Bank
View Your Account
Name:
Your B
Password:
IND 104 Security Trends Symantec Vision 2010 30

31. http://Your Bank
Your Bank
View Your Account
Name:
Your B
Password:
ATM Pin Number:
IND 104 Security Trends Symantec Vision 2010 31

32. Zeus Toolkit…
•最受欢迎的攻击工具组
•150,000 受感染计算机
•70,000+ 变种
Symantec Vision 2010

33. 对外服务器仍是黑客的目标
攻击趋势与攻击手法的剖析 Symantec Vision 2010

34. 黑客攻击服务器的步骤
网络攻击 主机攻击
图片来源: WiFi Hacking 无线网络黑客现形攻防战
攻击趋势与攻击手法的剖析 Symantec Vision 2010

35. 入侵攻击方法
• 认证机制攻击
– Ex: 猜测远程桌面密码 (3389), VNC (5800)
• 系统漏洞攻击
– Ex: Microsoft RPC接口远程任意代码可执
行漏洞
• 服务攻击
– Ex: Apache mod_jk 1.2.19 远程缓冲区溢位
攻击 (win32)
• 网页应用程序攻击
– Ex: SQL Injection (资料隐码攻击)
• 木马攻击
– Ex: 利用 USB 散播木马程序
攻击趋势与攻击手法的剖析 Symantec Vision 2010

36. 一句话木马
攻击趋势与攻击手法的剖析 Symantec Vision 2010

37. 一句话木马客户端程序
攻击趋势与攻击手法的剖析 Symantec Vision 2010

38. Webshell透过 Web 远程控制服务器
攻击趋势与攻击手法的剖析 Symantec Vision 2010

39. 服务器防护方法
网络攻击 主机攻击
网络型入侵防护系统
主机型入侵防护系统
图片来源: WiFi Hacking 无线网络黑客现形攻防战
攻击趋势与攻击手法的剖析 Symantec Vision 2010

40. 防护对策
攻击趋势与攻击手法的剖析 Symantec Vision 2010

41. 1/10
?
端点上的纵深防御
Internet
Server
X
Network
网络 信誉 档案 行为
 网络入侵预防  信誉评级防御  档案扫描防御  行为分析防御
阻挡网络攻击, 不使其 利用超过一亿人的评 搜寻病毒特征, 以病 监控执行进程的可疑
有机会将恶意程序带 级信息来阻挡恶意档 毒阻挡恶意档案 行为, 以阻挡恶意代
进系统里 案及网站的存取 码
Protocol-aware IPS Domain Reputation Antivirus Engine  SONAR
Browser Protection File Reputation Auto Protect Behavioral Signatures
Malheur
攻击趋势与攻击手法的剖析 Symantec Vision 2010 41

42. 企业基础架构纵深防御
Symantec Protection Center
Mail Servers
C&C Server
Servers
Trusted Webserver
Web & Messaging Gateway
Desktops
Laptops
GET www.phishbank.com
Malicious Webserver Mobile Devices
Symantec Protection Suite
Bot
攻击趋势与攻击手法的剖析 SYMANTEC VISION 2010

43. 赛门铁克提供完整的纵深防御解决方案
Manage security
完整的端点安全 Secure mission
进阶的服务器安全 Secure business
邮件及网页安全
infrastructure critical servers communications
Detect
资料外泄防护 Best-of-breed Protect
资料外泄防护
confidential data 安全稽核
protection confidential data
Integrate manual
资产及修补管理 Virtual, physical,
弱点管理 Manage
网络存取控管
IT processes and multi-OS infrastructure access
端点 服务器 网关
Symantec™ Protection Center
Centralized Control
政策管理 Actionable Information
资安管理平台 Operational Efficiency
流程自动化
企业基础架构
攻击趋势与攻击手法的剖析 Symantec Vision 2010 43

44. Thank you!
庄添发, CISSP
Thomas_Chuang@symantec.com
+886 2 8761 5800
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
攻击趋势与攻击手法的剖析