大東話安全之路邊的野花不要采

編者按：網路空間安全近年來日漸成為公眾關注的焦點，中科院之聲特意邀請業內專家「大東」開設「大東話安全」專欄，以《安天威脅通緝令2016撲克牌》為線索，一張撲克牌對應一個網路病毒，講述54個不同的網路病毒和網路安全故事，以及如何進行針對性防禦的建議。

一、讖曰

李白：清水出芙蓉，天然去雕飾。

大東：此蓮花非彼蓮花，水中隱藏的食人花者也~

小白：路邊的野花你不要采呀~~

二、病毒通緝令

小白：這張牌上的骷髏，頭頂瞄準器，胸前扛大炮，肩上還掛著計時器，是目前為止裝備最全的怪物了吧，嗯哼~它一定很有錢~~

大東：你說對了一半，它不僅有錢，還有權。

小白：噢喲~看來有聽頭~

大東：今天講的是海蓮花（Ocean Lotus），它是一個受外國政府資助的境外黑客組織，自2012年4月起，該組織針對中國展開攻擊。惡意代碼通過命令調用 powershell.exe，將一段加密的 Shellcode 載入到內存中執行，該 Shellcode 由 Cobalt Strike 所生成。

小白：太可惡了！

大東：所以，這是個典型的 APT 行動，研發組織有政府的支持，目標也是國家級的組織、機構。

小白：快快，大東東快仔細講講！

三、初識海蓮花

大東：海蓮花是國內360互聯網安全公司旗下「天眼實驗室」發現的。360天眼利用「大數據安全分析」，從多個維度把從互聯網得到的海量攻擊、防護數據進行分析，從而發現了這個有組織、有計劃、有針對性的長時間不間斷攻擊者。

天眼實驗室報告封面

小白：那海蓮花是如何發動攻擊的呢？

大東：這個問題問得好！海蓮花主要通過魚叉攻擊和水坑攻擊等方法，向我國特定目標人群，傳播特種木馬程序，達到控制電腦系統，竊取相關機密資料的目的。

小白：等等，什麼是魚叉，什麼是水坑？為什麼我想到了烤魚？？

大東：就讓我好好跟你解釋解釋吧！

所謂魚叉攻擊：其實就是將木馬程序作為電子郵件的附件，配上吸人眼球的名稱，誘使受害者打開附件，從而感染木馬。

舉個例子，在期末考試前，小白你肯定對考試內容感興趣吧，黑客們就會利用你的這個興趣點，把郵件名設為「期末考試試卷預測」，那你小白可能就受不住誘惑，打開郵件，下載了帶有病毒的附件咯。

小白：遇到陌生人的郵件，一定要慎重下載！

大東：沒錯。而水坑攻擊，其發動者則會先入侵目標組織的官方網站，將惡意代碼植入進去，當用戶訪問受到感染的網站後，惡意代碼就通過命令調用，將一段加密的命令載入到內存中執行。這相當於在你的必經之路上設置陷阱，讓你不得不「中招」。

小白：怎麼個中招法？

大東：它可以獲取計算機許可權，把數據發送給受攻擊伺服器，是溢出程序和蠕蟲病毒的核心。

小白：為了破壞網路安全，海蓮花的套路好深啊，技術好「高大上」啊！

大東：這就是海蓮花的可恨之處啦！看看下面一副圖片，讓大家更加直觀了解海蓮花的攻擊方式：

海蓮花攻擊方式示意圖

小白：哇~大東知道的真多~~

大東：低調~

肆虐的海蓮花

大東：海蓮花利用這些方法，可幹了不少傷天害理的事。

2012年4月，首次發現與該組織相關的木馬。海蓮花組織的滲透攻擊就此開始。但在此後的兩年左右時間裡，海蓮花並不活躍。

2014年2月，海蓮花開始通過魚叉攻擊的方法對我們國內目標發起定向攻擊，海蓮花進入活躍期，並在此後的14個月內對我國多個目標發動了不間斷的持續攻擊。

2014年5月，海蓮花對國內某權威海洋研究機構發動大規模魚叉攻擊，並形成了過去14個月中魚叉攻擊的最高峰。

同樣是在2014年5月，海蓮花還對國內某海洋建設機構的官方網站進行了篡改和掛馬，形成了第一輪規模較大的水坑攻擊。

2014年6月，海蓮花開始大量向中國漁業資源相關機構團體發魚叉攻擊。

2014年9月，海蓮花針對於中國海域建設相關行業發起水坑攻擊，形成了第二輪大規模水坑攻擊。

2014年11月，海蓮花開始將原有特種木馬大規模的更換為一種更具攻擊性和隱蔽性的雲控木馬，並繼續對我國境內目標發動攻擊。

2015年1月19日，海蓮花針對中國政府某海事機構網站進行掛馬攻擊，第三輪大規模水坑攻擊形成。

2015年3月至今，海蓮花針對更多中國政府直屬機構發起攻擊。

海蓮花攻擊時間軸

小白：真可惡！

大東：海蓮花初期特種木馬技術並不複雜，還比較容易發現和查殺。但是2014年以後，它開始給自己戴面具，加特效，duang~文件偽裝、隨機加密、自我銷毀都會了，後來甚至使用雲控技術，大大增強了攻擊的危險性、不確定性和木馬識別查殺的難度。

小白：真是無所不用其極！受害者也變多了吧！

大東：下面這張海蓮花感染感染者地域分布圖，你就能看清它的厲害了。

海蓮花感染者地域分布圖

野花不要采

小白：嚇死寶寶了！那有沒有什麼預防措施呢？

大東：那必須有！對於部門、機構、企業嘛，預防可以通過以下三點：

設置防嗅探網路，多使用交換機和路由器；給會話加密；使用靜態 IP-MAC地址表；部署防火牆。

防範社會工程學攻擊，增強網路安全意識，不在微信微博上透露工作內容，不訪問來歷不明的電子郵件、不向未經確認的個人或組織發送內部資料等。同時提高網路安全技術，經常更新系統、應用程序、殺毒軟體等漏洞補丁，開啟防火牆，設置隔離沙箱，小心運行可執行文件。

網路異常行為檢測，謹慎給他人授予許可權，防止內部的非授權訪問、非法外聯。禁止在網路上使用未經授權的設備、禁止將敏感數據複製到可移動媒體上。

小白：及時發現內部威脅，將其扼殺在搖籃里！那咱們這種無業游民有沒啥辦法呢~

大東：怎麼會沒有呢？

小白：快說說！

大東：這個說起來就非常細緻了，秉著「字多不看」的原則，我待會兒在「漲姿勢」里慢慢給你細說吧。

小白：沒問題！說得越細越好~~

四、漫話英雄

小白：今天大東東要在漫威上侃啥捏~

大東：今天這張牌讓我想起了銀影俠。他原本是外星 Zenn-La 的年輕天文學家，為了拯救其星球避免被行星吞噬者 Galactus 吞食，而自願永遠成為他的部下。行星吞噬者給予他宇宙能量 Cosmic Power 將他的身體變成銀色，以駕馭宇宙能量。

小白：銀色的身體！cool~

大東：還有更 cool 的，銀影俠的身體由宇宙中最堅硬的物質組成，他的滑浪板也是。

小白：堅不可摧！

大東：身為銀河王使者，他的使命是要在宇宙中尋找星球讓其主人行星侵吞者進食，但銀影俠的目標通常都是一些無人星球。

小白：他這麼厲害，有點兒大材小用呀。

大東：銀影俠屈服於行星吞噬者是為了保護自己的母星，在屈服中也儘力不傷害他人。而海蓮花黑客組織，卻為了自己的私利，受雇於一個外國政府。自2012年4月起，海蓮花就展開了一系列針對中國的攻擊。

小白：太可惡！這兩者初衷不同，完全是正邪兩派的代表！

五、漲姿勢

個人計算機如何預防「海蓮花」

1、關閉「文件和列印共享」，修改註冊表，用滑鼠右擊「網路鄰居」，選擇「屬性」，然後單擊「文件和列印共享」按鈕，將彈出的「文件和列印共享」對話框中的兩個複選框中的鉤去掉即可。

2、禁用 Guest 賬號。用滑鼠右鍵點擊桌面的「計算機」圖標，然後選擇「管理」。 在彈出的「計算機管理」窗口中依次展開「計算機管理本地用戶和組用戶」。雙擊該「guest 賬戶」。 在彈出的「Guest 屬性」窗口中選項「常規」選項卡，然後取消勾選的「賬戶已禁用」選項。分別點擊「確定」和「應用」按鈕。

3、禁止建立空連接。在默認的情況下，任何用戶都可以通過空連接連上伺服器，枚舉賬號並猜測密碼。因此，我們必須禁止建立空連接。方法是修改註冊表：打開「開始」菜單中的「運行」，在彈出的「運行」對話框中輸入Regedit.exe。打開註冊表「HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA」，將DWORD值「RestrictAnonymous」的鍵值改為「1」即可。

4、安裝必要的安全軟體。我們還應在電腦中安裝並使用必要的防黑軟體，殺毒軟體和防火牆都是必備的。在上網時打開它們，這樣即便有黑客進攻我們的安全也是有保證的。

5、不要訪問、下載陌生人的郵件及鏈接。

6、做好 IE 的安全設置。打開「開始」菜單中的「運行」，在彈出的「運行」對話框中輸入Regedit.exe。打開註冊表編輯器，點擊前面的「+」號順次展開到：HKEY_CURRE-NT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingsones，在右邊窗口中找到DWORD值「Flags」，默認鍵值為十六進位的21(十進位33)，雙擊「Flags」，在彈出的對話框中將它的鍵值改為「1」即可，關閉註冊表編輯器。無需重新啟動電腦，重新打開IE，再次點擊「工具Internet選項安全」標籤，你就會看到多了一個「我的電腦」圖標，在這裡你可以設定它的安全等級。將它的安全等級設定高些，這樣的防範更嚴密。

7、安裝系統補丁

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！