防护方案Hacking Team数据泄露事件

磐实编程网在7月10日又接到了绿盟科技发来的计算机安全相关的原创文章，以下原文内容



7月5日晚，一家意大利远程控制软件厂商Hacking Team的内部数据被泄露出来，其影响力不亚于斯洛登事件及维基解密事件，绿盟科技威胁响应中心随即启动应急响应工作。

1 6日，威胁响应中心启动应急分析工作，绿盟TAC产品拦截到Flash 0Day漏洞攻击；

2 6日夜，相关信息及初步建议，第一时间告知客户关注；

3 7日，在官网网站发布紧急通告，建议广大用户关注事件进展。分析工作进展进展中；

4 9日，发布Hacking Team远程控制系统简要分析报告，同时发布防护方案；

原文地址:http://www.panshy.com/articles/201507/security-2504.html

本报告从此次事件中获取的样本入手，分析其包含的数据及影响，为用户思考下一步的应对方案，给出了防护思路及解决方案。

攻击：谁在攻击？

7月5日晚，一家意大利软件厂商 被攻击，其掌握的400GB数据泄露出来，由此可能引发的动荡，引起了业界一片哗然。截止发稿时止，有多个组织声称对此行为负责，包括Gamma Group Hacker 。虽然目前没有事实表明该声称确实可信，但由此让黑色产业链条中的一种“新”形态暴露出来，即从攻击最终用户演变为攻击中间链条乃至攻击者组织之间的互相厮杀，这种形态已经从黑产上升到供应商、政府机构之间的问题，这不得不说，对涉及中间链条的组织，敲响了警钟。

Hacking Team及Gamma Group

Hacking Team在意大利米兰注册了一家软件公司，主要向各国政府及法律机构销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通讯、解密用户的加密文件及电子邮件，记录Skype及其他VoIP通信，也可以远程激活用户的麦克风及摄像头。其总部在意大利，雇员40多人，并在安纳波利斯和新加坡拥有分支机构，其产品在几十个国家使用

无独有偶，这次声称对此次事件负责的组织，Gamma Group International 也曾经在2014年的8月被人入侵过，在那次的事件中，该组织被泄露了40GB的内部文档和恶意程序代码。这个组织无论从背景还是业务都与Hacking Team类似，但是一家英国的公司。

地下产业链各方的相互厮杀由此可见一斑，这里简单用一张图来简单展示一下其中的一个部分。值得关注的是，这次通过攻击供应商等中间链条获得攻击数据的动态。



泄露数据
此次事件中泄露的数据多达400GB，数据包中主要包含几个大的部分：
•
远程控制软件源码，也是其核心，暂且称之为 Hacking Team RCS（Remote
Control System）
•
反查杀分析工具及相关讨论文档
•
0Day、漏洞及相关入侵工具
•
入侵项目相关信息，包括账户密码、数据及音像资料
•
办公文档、邮件及图片
•
其他
影响程度
在这些数据中，绿色标注的3类比较引人关注，这3类数据将对各个不同的领域造成影响
•
更频繁：0Day、漏洞及相关入侵工具，从目前获取的信息来看
•
Flash 相关的应用及软件使用量非常庞大，Windows平台上几乎是所有的用户都会用到；
•
这些漏洞的流入黑色产业链，会让攻击更加快速和复杂化
•
门槛低：Hacking Team RCS，是该组织主要输出的软件，从目前获取的信息来看[1]
•
可以获取目标用户的电话、电脑的全部信息及影音资料；
•
涉及的桌面OS从Windows到MacOs X，手机OS基本覆盖了市场上流行的系统；
•
受该工具及其已经感染的客户端数量的影响，会让攻击门槛降低
•
影响大：入侵项目相关信息，这里面包含了各种入侵过程资料，甚至包含了已经成功获取的账户密码及相关资料，一旦被恶意攻击者获取并利用，将会在黑色产业链中进一步发酵。



防护思路
威胁响应中心在长年对黑客组织事件的追踪及分析中，获得了丰富的经验积累，借鉴及建立了一些模型去理解它们，试图从中找到规律，以便为应对未来的未知威胁提供经验借鉴。针对此次事件，这里使用Intrusion Kill Chain模型跟大家进行探讨，虽然不一定适合所有业务环境，但希望可以帮助大家找到指定自身防护方案的一点灵感。
Intrusion Kill Chain模型精髓在于明确提出网络攻防过程中攻防双方互有优势，防守方若能阻断/瓦解攻击方的进攻组织环节，即是成功地挫败对手的攻击企图。模型是将攻击者的攻击过程分解为如下七个步骤:
Reconnaissance（踩点）、Weaponization（组装）、Delivery（投送）、Exploitation（攻击）、Installation（植入）、C2（控制）、Actions
on Objectives（收割），如下图：



通过目前对Hacking Team RCS软件的分析情况来看，主要通过如下三种方式入侵目标：
感染移动介质
与很多木马、病毒及流氓软件的传播方式一样，该软件首先还是采取这种低成本的方式进行，感染一些能够接触目标的移动媒体，比如CD-ROM、USB等，即便是OS
或者BIOS

•
设置了密码也一样可以感染，从而获取一些环境数据，比如电脑是否可以上网等，为后续的动作提供参考依据。
•
代理攻击
采用软件或硬件的系统，能够在网络会话过程中修改和注入数据，在某些情况下，可以注入到系统并难以被检测到。同时，也能够感染Windows平台上的可执行文件，如果目标电脑从网站上下载并执行这些可执行文件时，Agent将在后台自动安装，用户不会知晓。
•
APT
如上两种方式都无法奏效的时候，就会采用多种形式组合入侵，采用相关的漏洞、入侵工具及更多利用手段。

针对这些入侵方式，下面来分阶段讨论防护思路。

Detect
在这个阶段，建议您将当前IT环境中的漏洞扫描系统升级到最新版本后，尽快开始对业务系统进行扫描，尤其是受此次Flash 0Day漏洞影响的业务系统平台进行一次完整的漏洞扫描。
此次事件中，绿盟威胁分析系统[1]（NSFOCUS
Threat Analyze Center，TAC）即体现出优越性，即通过独创的静态检测和动态检测引擎，能够不依赖于攻击特征识别恶意软件及其危害程度，率先侦测到Flash 0Day漏洞。
绿盟TAC可有效检测通过网页、电子邮件或其他在线文件共享方式进入网络的已知和未知恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭利用0day漏洞等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。



绿盟TAC能够在如下两个阶段对此次事件所带来的可能攻击进行检测
•
Delivery阶段：发现（detect）试图传输到内网的恶意软件（文件），包括已知和未知的高级恶意软件；
•
Installation阶段：发现高级恶意软件成功利用后，试图从控制端下载更多恶意程序。

Deny
如果您已经部署了绿盟网络入侵防护系统（Network Intrusion Prevention System，简称NIPS[1]），在升级最新的升级包后，即可阻断Flash
0Day漏洞所带来的攻击，并持续获得敏感数据保护、客户端防护、服务器非法外联防护、僵尸网络防护等多项防护。



请所有使用绿盟产品的用户尽快升级。绿盟科技已在软件升级公告中提供规则升级包，规则可以通过产品界面的在线升级进行。如果您的业务系统暂时还无法升级规则包，那么可以在软件升级页面中，找到对应的产品，通过下载升级包，以离线方式进行升级。
相关信息请访问产品升级公告 http://update.nsfocus.com/

另外，用户如果已部署绿盟NIPS产品，可以通过增加TAC防护组件的方式，使企业本地网络具备未知威胁发现能力，并与绿盟NIPS形成联动，在第一时间做到未知威胁检测、拦截。

Patch
在这个阶段，建议您尽快的安装就此次泄露出来的资料库中所包含的Flash 0Day漏洞，Adobe官方已经修复了漏洞，并提供了升级版本，请广大用户尽快升级到最新版本。FLASH更新步骤如下：
•
打开https://get.adobe.com/flashplayer/?loc=cn

•
点击立即安装，保存安装包，下载完成后执行安装文件

0Day漏洞一旦被公开，往往也是被攻击者利用最为猖狂的时候。在此,
安全专家建议:
•
安装反病毒软件进行全盘查杀,
并第一时间更新系统和Flash补丁
•
推荐使用安全级别更高的猎豹, FireFox浏览器
•
Chrome用户请升级至最新版本(>=43)
•
IE, Chrome用户请手动升级Flash至最新版本
•
养成良好的上网习惯和安全意识,

•
提高内部员工的安全意识和建立完备的监控体系是防范APT的重要手段。
•
建议对内部员工开展广泛的安全意识培训，避免出现使用弱口令、点击不明来历邮件附件、访问恶意网站等危险行为。不随意打开陌生人通过QQ等发送的网页链接,
不随意打开垃圾邮件

解决方案
绿盟下一代威胁解决方案（NGTP解决解决方案），是针对APT威胁进行检测和防御的解决方案。NGTP解决方案聚焦APT攻击链条，检测和防御APT攻击链中攻击，潜伏和盗取三个主要环节。重点检测和防御在攻击尝试阶段，进入后的潜伏和扩展攻击阶段，以及最终盗取数据目的阶段。

NGTP解决方案以全球威胁情报云为纽带，以未知威胁检测为核心，通过与传统终端、网关设备联动，实现跨厂商的威胁情报的共享，以及企业威胁态势可视化，最终达到提升企业APT威胁防护的能力的目标。



应对0Day
NGTP针对0Day漏洞攻击的解决方案，由本地沙箱TAC，威胁防御模块IPS，绿盟安全信誉和ESPC管理等系统构成。NGTP方案防御0Day漏洞攻击的流程：

•
第一步：要经过本地沙箱系统TAC的检测，TAC提供静态检测引擎和虚拟执行引擎，对恶意软件进行Shellcode静态分析，然后再进行虚拟执行。通过这两步分析，从Hacking
Team组织泄露的0Day攻击软件被识别出来；

•
第二步：TAC检测出恶意软件的来源，生成信誉信息，包括文件的信誉和攻击源IP等信息，同步到本地的安全管理中心ESPC，形成本地的信誉库；

•
第三步：NIPS从本地信誉库接收到恶意软件的信誉信息，对发起攻击的源IP实现阻断，并生成告警日志。



方案优势
•
APT威胁检测和防御的全面性
绿盟下一代威胁解决方案，能够全面的对APT威胁检测和防御。无论是网络，Web还是邮件，终端众多通道，都是APT威胁可能利用的通道，NGTP解决方案，不仅在网络边界进检测和防御，还在企业内网，邮件服务器，终端等多个层面进行检测和防御。既能够实时进行检测和阻断，还利用大数据分析平台，进行事后的分析和调查。
•
APT检测的准确性
绿盟下一代威胁解决方案，利用本地沙箱和云端安全信誉，准确地对APT威胁检测和防御。本地沙箱提供了恶意软件静态检测和虚拟执行手段，检查恶意软件Shellcode，并且模拟真实的PC环境进行验证，极大提高恶意软件的准确性；同时，云端信誉提供最新的威胁情报信息，进一步提供NGTP方案对APT威胁检测的准确性。
•
解决方案技术领先
组成NGTP解决方案的各个模块技术先进。TAC产品，是国内最早推向市场的APT检测设备，经过几年的不断优化，功能和性能得到极大提高，尤其是获得专利技术的静态Shellcode检测技术和虚拟执行检测技术，更是为APT威胁检测的准确性提供强力支撑。绿盟NIPS产品也是久负盛誉，不仅在国内市场上遥遥领先，还多次于国际权威检测机构得到认可。绿盟安全威胁信誉系统，提供最新最全的安全信誉，让NGTP方案发挥最大效能。

从目前此次攻击及各方面应对情况来看，对于一些高级攻击形式，关键在于尽可能快的了解到相关的情报，以便尽可能快的启动应急响应机制。这无论对于解决木马或者APT攻击来说都是重要的手段之一，威胁情报的获取及响应都体现了防御能力的建设程度，威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面，涉及研究、产品、服务、运营及营销的各个环节，绿盟科技通过研究、云端、产品、服务等立体的应急响应体系，向企业和组织及时提供威胁情报，并持续对对匿名者攻击事件进行关注，保障客户业务的顺畅运行。