黑客业务

       

201711月2周勒索病毒周报

1119月9日，在天津举行的第二届（2017）国际反病毒会议来到第二个议程，由政府主管部门指导，国内外知名信息安全专家学者，围绕反病毒技术、云安全、移动的信息安全企业APP治理、APT开始研究攻击、网络威胁治理等信息网络安全前沿技术和热点问题。            

   11月9第二届会议在天津举行（2017）国际反病毒大会来到第二个议程，由政府主管部门指导，国内外知名信息安全专家学者，围绕反病毒技术、云安全、移动等努力工作的信息安全企业APP治理、APT开始研究攻击、网络威胁治理等信息网络安全前沿技术和热点问题。    

   

   腾讯计算机管家平安专家、腾讯平安团结实验室反病毒实验室辛勤工作人员马金松出席了勒索软件威胁分论坛的会议，宣布了基于网络边界检测感知威胁的主题演讲，详细介绍了当前流行的网络攻击特征和趋势，并分享了如何通过边界安全检测感知威胁的简历。    

   

       

   

   

   

   (图为腾讯电脑管家平安专家、腾讯平安团结实验室反病毒实验室辛勤工作者马劲松在国际反病毒大会上发表演讲)    

   

   破绽攻击产业化    网络攻击有三种趋势    

   

   5月席卷全球WannaCry虽然勒索病毒已经消失了，但医院、大学、企业、政府和其他内部网络用户的麻烦仍然令人恐惧。事实上，网络攻击的危害远不止于此，腾讯计算机管家安全专家、腾讯安全团结实验室反病毒实验室辛勤工作人员马金松在会议上指出，随着信息安全技术的不断升级，网络攻击逐渐出现了三种趋势，每种攻击趋势都包含了各种模式的攻击    

   

   首先，犯罪分子对缺陷的行使越来越工业化和规模化。他们将大量行使公开缺陷触发代码(PoC)，及Angler、Nuclear Exploit kits等黑客工具。而详细到若何行使破绽完成攻击行为，马劲松先容了三种方式，主要有外部投递、横向移动以及辅助手段等方式，前段时间刚刚已往的WannaCry勒索病毒、Petya勒索病毒、XData新型勒索病毒采用上述三种攻击方法。    

世界第一：哈勃分析系统访问VirusTotal

   

   此外，犯罪分子还将利用社会工程学发送钓鱼邮件，组织钓鱼网站和网站，以达到攻击目的。马劲松前段时间联系了腾讯平安团结实验室反病毒实验室的一批影响200一万人的马的攻击首先容纳了当前网站的特点。他指出，犯罪分子将通过分析被攻击者的网络流动纪律，发现被攻击者经常接触网站的弱点，实施水坑攻击。具体方法包括入侵背景、广告中毒DNS勒索、推广自建网站等形式。还活跃的坏兔子勒索病毒是行使水坑攻击，伪造一个Adobe Flash Player用于引诱目的用户下载安装的安全更新假消息。    

   

   除了直接攻击用户外，犯罪分子还将提出供应链攻击，目的是指向官方正版软件，行使这些软件的大量用户基础，扩大传播限制。不久前，腾讯平安团结实验室反病毒实验室监控了主流远程终端软件Xshell和名清算软件CCleader恶意代码打包后，受害者将在电脑上植入后门，有被犯罪分子远程控制的风险。腾讯平安团结实验室反病毒实验室公布公布了这两起影响用户数量的安全问题《2017年Q3影响全球和平的七大事项是季度和平故事。    

   

       有效捕捉网络攻击痕迹    腾讯平安构建立体化防御体系    

   

   网络攻击在不断改变攻击技术的同时，始终保持稳定是其隐藏性，在不断监控网络攻击的过程中，腾讯安全团结实验室反病毒实验室已经测试了一套感知方法——基于威胁感知的边界检测，可以有效地捕捉网络攻击的痕迹。根据马劲松的说法，该方法通过敏感地址协议检测-缺陷检测——APT沙箱分析-平安大数据平台分析路径，可实现APT、DDoS、Botnet威胁感知和追溯分析等攻击。    

   

   其中，网络攻击中最难察觉的APT攻击，马劲松着重先容了上述方式中APT沙箱分析的过程，即在模拟虚拟用户环境的沙箱中，通过行为监控模块和环境防御模块分析静态信息、行为信息、控模块和环境防御模块分析文件，通过后续严酷的判断过程判断未知文件的是非属性和威胁情报，打破APT攻击的隐蔽性，切断APT攻击链。    

   

   依托腾讯平安团结实验室反病毒实验室的感知模式，腾讯聚集了各终端的优势，建立了三维防御系统防御网络攻击，即通过全面收集终端和网络日志、深入分析恶意过程、引入增长威胁情报和联动终端防御，通过轻量级大数据平台分析威胁四种能力可以实现统一的威胁控制、统一的数据分析和云访问SDK等功能。同时，腾讯平安团结实验室反病毒实验室还基于终端感知和新恶意样本形成的积极威胁情报，整合全球平安舆论，发布准确全面的威胁情况，进一步增强边界检测能力。    

   

   今年上半年发作的 WannaCry、Petya、Xdata、腾讯平安的立体防御系统在坏兔等勒索病毒中发挥了显著的防御作用。WannaCry以勒索病毒为例。腾讯平安团结实验室反病毒实验室在第一时间检测到其趋势后，迅速配合腾讯计算机管家发出报警，并推出了一套完整的处置措施，包括缺陷免疫工具、文件守护者工具、文件恢复工具、勒索病毒杀戮工具等，帮助用户抵御病毒入侵。同时，腾讯平安团结实验室反病毒实验室仍在解密WannaCry勒索病毒上取得重大突破。在国外偕行的研究基础上，全球首发针对XP经验证，该系统熏染用户的解密工具可以帮助用户件。    

   

   此外，鉴于勒索病毒的疯狂，腾讯计算机管家还升级并发布了文守护者2.0通过全网阻挡引擎，工具可以实现包罗WannaCry、Petya、XData，包括坏兔子430勒索病毒样本免疫；同时，它还可以提供阻挡未知勒索病毒的能力，并自动备份一般文件，帮助用户构建完善的预防手段。    

   马劲松示意，网络攻击手法不停发生变异的情况下，要求平安厂商需要以加倍努力的姿态面临，应用机械学习、大数据等前沿手艺提升威胁感知精度，提前感知隐蔽的攻击，进一步保障宽大用户的网络平安。

通过CHM文件传播的Torchwood远程控制木马分析