2018年信息安全相關(guān)大事件層出不窮 導致網(wǎng)絡(luò)安全問題不斷

縱觀2018年網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)犯罪分子攻擊手段變幻莫測，除了零日漏洞的利用外，勒索軟件、惡意挖礦大行其道，區(qū)塊鏈領(lǐng)域險象環(huán)生，暗網(wǎng)數(shù)據(jù)泄露更是層出不窮，而且攻擊渠道日益變幻，IoT設(shè)備、工業(yè)網(wǎng)亦成為不法黑客的攻擊重點，以上這些皆都為整個網(wǎng)絡(luò)空間安全環(huán)境帶來全新挑戰(zhàn)。

知道創(chuàng)宇404實驗室通過監(jiān)控、分析全球威脅活動信息，積極參與各類安全事件應(yīng)急響應(yīng)，并結(jié)合2018年全年國內(nèi)外各個安全研究機構(gòu)、安全廠商披露的重大網(wǎng)絡(luò)攻擊事件，基于這些重大攻擊事件的攻擊技術(shù)、危害程度等，評選出2018年信息安全相關(guān)大事件。

國際篇

1. Memcache DDoS攻擊

2018年3月1日，Github遭受遭 1.35TB 大小的DDoS攻擊，隨后的幾天，NETSCOUT Arbor 再次確認了一起由 Memcache DDoS 造成的高達 1.7 Tbps 的反射放大DDoS 攻擊。在2018年上半年虛擬貨幣價值飆升、黑灰產(chǎn)轉(zhuǎn)向至挖礦領(lǐng)域、反射放大攻擊持續(xù)下降的情況下，利用Memcache DDoS 造成如此大流量的攻擊，其威力可見一斑。

2. Cisco路由器被攻擊事件

2018年1月，Cisco官方發(fā)布了一個有關(guān)Cisco ASA防火墻webvpn遠程代碼執(zhí)行漏洞的公告。2018年3月，Cisco官方發(fā)布了Cisco Smart Install遠程命令執(zhí)行漏洞的安全公告。這兩個漏洞都是未授權(quán)的遠程命令執(zhí)行漏洞，攻擊者無需登錄憑證等信息即可成功實施攻擊。2018年4月6日，一個名為“JHT”的黑客組織攻擊了包括俄羅斯和伊朗在內(nèi)的多個國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施，遭受攻擊的Cisco設(shè)備的配置文件會顯示為美國國旗，所以該事件又被稱為“美國國旗”事件。

3. 供應(yīng)鏈攻擊

供應(yīng)鏈攻擊一直以隱蔽、高效著稱。2018年供應(yīng)鏈攻擊在不同層面都有發(fā)生、發(fā)生原因也不盡相同。有火絨安全最先曝光的針對驅(qū)動人生公司進行的攻擊，有由于NodeJS庫作者隨意給相關(guān)庫權(quán)限導致被攻擊者植入后門的攻擊，也有感染易語言模塊并使用“微信支付”進行勒索的勒索病毒。供應(yīng)鏈中任何薄弱的地方都有可能導致供應(yīng)鏈攻擊的發(fā)生。

4. GPON遠程命令執(zhí)行漏洞

2018年4月30日，vpnMentor公布了GPON路由器的兩個高危漏洞，繞過驗證漏洞（CVE-2018-10561）和命令注入漏洞（CVE-2018-10562）。結(jié)合這兩個漏洞，只需要發(fā)送一次請求就可以在GPON路由器上執(zhí)行任意命令。在該漏洞披露后的十天內(nèi)，該漏洞就已經(jīng)被多個僵尸網(wǎng)絡(luò)家族整合、利用、在公網(wǎng)上以蠕蟲的方式傳播。

5. Java反序列化漏洞

2018年的Java反序列化漏洞還在持續(xù)爆發(fā)，在知道創(chuàng)宇404實驗室2018年應(yīng)急的漏洞中，受此影響最嚴重的是WebLogic，該軟件是美國Oracle公司出品的一個Application Server。2018年知道創(chuàng)宇404實驗室應(yīng)急了5個WebLogic的反序列化漏洞。由于Java反序列化漏洞可以實現(xiàn)執(zhí)行任意命令的攻擊效果，是黑客用來傳播病毒，挖礦程序等惡意軟件的攻擊方法之一。

6. Drupal遠程代碼執(zhí)行漏洞（Drupalgeddon2）

Drupal是使用PHP編寫的開源內(nèi)容管理框架，Drupal社區(qū)是全球最大的開源社區(qū)之一，全球有100萬個網(wǎng)站正在使用Drupal，今年3月份，Drupal安全團隊披露了一個非常關(guān)鍵的（21/25 NIST等級）漏洞，被稱為Drupalgeddon 2（CVE-2018-7600），此漏洞允許未經(jīng)身份驗證的攻擊者進行遠程命令執(zhí)行操作。

7. 數(shù)據(jù)泄漏事件

2018年多起大型數(shù)據(jù)泄漏事件被曝光，2018年6月12日，知道創(chuàng)宇暗網(wǎng)雷達監(jiān)控到國內(nèi)某視頻網(wǎng)站數(shù)據(jù)庫在暗網(wǎng)出售。2018年8月28日，暗網(wǎng)雷達再次監(jiān)控到國內(nèi)某酒店開房數(shù)據(jù)在暗網(wǎng)出售。2018年11月30日，某公司發(fā)布公告稱，旗下某酒店數(shù)據(jù)庫遭入侵，最多約5億客人信息被泄漏。2018年12月，一推特用戶發(fā)文稱國內(nèi)超2億用戶的簡歷信息遭到泄漏。除此之外，facebook向第三方機構(gòu)泄漏個人信息數(shù)據(jù)也引起了極大的關(guān)注。隨著暗網(wǎng)用戶的增多，黑市及加密數(shù)字貨幣的發(fā)展，暗網(wǎng)威脅必定會持續(xù)增長，知道創(chuàng)宇404安全研究團隊會持續(xù)通過技術(shù)手段來測繪暗網(wǎng)，提供威脅情報，追蹤和對抗來自暗網(wǎng)的威脅。

8. EOS平臺遠程命令執(zhí)行漏洞

2018年5月末，360公司Vulcan（伏爾甘）團隊發(fā)現(xiàn)EOS平臺的一系列高危漏洞，部分漏洞可以在EOS節(jié)點上遠程執(zhí)行任意代碼。這也就意味著攻擊者可以利用這個漏洞直接控制和接管EOS上運行的所有節(jié)點。從漏洞危害等方面來說，稱該漏洞為“史詩級”名副其實。

9. 多個區(qū)塊鏈項目RPC接口安全問題

2018年3月20日，慢霧區(qū)和BLOCKCHAIN SECURITY LAB揭秘了以太坊黑色情人節(jié)事件（以太坊偷渡漏洞）相關(guān)攻擊細節(jié)。2018年8月1日，知道創(chuàng)宇404實驗室在前者的基礎(chǔ)上結(jié)合蜜罐數(shù)據(jù)，補充了后偷渡時代多種利用以太坊RPC接口盜幣的利用方式：離線攻擊、重放攻擊和爆破攻擊。2018年08月20日，知道創(chuàng)宇404實驗室再次補充了一種攻擊形式：“拾荒攻擊”。RPC接口并非以太坊獨創(chuàng)，其在區(qū)塊鏈項目中多有應(yīng)用。2018年12月1日，騰訊安全聯(lián)合實驗室對NEO RPC接口安全問題提出預警。區(qū)塊鏈項目RPC接口在方便交易的同時，也帶來了極大的安全隱患。

10. 區(qū)塊鏈智能合約相關(guān)漏洞

區(qū)塊鏈安全漏洞很多都出現(xiàn)在智能合約上。昊天塔（HaoTian）”是知道創(chuàng)宇404區(qū)塊鏈安全研究團隊獨立開發(fā)的用于監(jiān)控、掃描、分析、審計區(qū)塊鏈智能合約安全自動化平臺。將智能合約各種審計過程中遇到的問題總結(jié)成漏洞模型，并匯總為《知道創(chuàng)宇以太坊合約審計CheckList》。涵蓋了超過29種會在以太坊審計過程中會遇到的問題，其中部分問題更是會影響到 74.49% 已公開源碼的合約。、

隨著2017年年末的一款名為CryptoKitties（以太貓）的區(qū)塊鏈游戲爆火，智能合約DApp成了2018年區(qū)塊鏈發(fā)展的主旋律。2018年4月22日，攻擊者利用BEC智能合約轉(zhuǎn)賬函數(shù)中的一處乘法溢出漏洞，清空了BEC的所有合約代幣。2018年7月24日，外國的一位安全研究者利用Fomo3D的Airdrop特性加上隨機數(shù)漏洞，讓Fomo3D損失了空投池中所有的代幣。2018年8月22日，F(xiàn)omo3D第一輪大獎被開出，攻擊者利用以太坊底層的交易順序問題獲得了超過10000枚以太幣，這個漏洞的曝光也標志著對交易順序依賴的智能合約正式的死亡。包括以太坊DApp和EOS DApp在內(nèi)，從實際的安全漏洞到業(yè)務(wù)安全問題，智能合約安全漏洞直接威脅著代幣安全，這也標志著智能合約會經(jīng)受著更大挑戰(zhàn)。

國內(nèi)篇

1. 驅(qū)動人生供應(yīng)鏈事件

2018年12月14日下午，一款通過“驅(qū)動人生”升級通道進行傳播的木馬突然爆發(fā)，在短短兩個小時的時間內(nèi)就感染了十萬臺電腦。通過后續(xù)調(diào)查發(fā)現(xiàn)，這是一起精心策劃的供應(yīng)鏈入侵事件。

2. 數(shù)據(jù)泄漏事件

2018年6月12日，知道創(chuàng)宇暗網(wǎng)雷達監(jiān)控到國內(nèi)某視頻網(wǎng)站數(shù)據(jù)庫在暗網(wǎng)出售。2018年8月28日，暗網(wǎng)雷達再次監(jiān)控到國內(nèi)某酒店開房數(shù)據(jù)在暗網(wǎng)出售。2018年12月，一推特用戶發(fā)文稱國內(nèi)超2億用戶的簡歷信息遭到泄漏。除此之外，facebook向第三方機構(gòu)泄漏個人信息數(shù)據(jù)也引起了極大的關(guān)注。隨著暗網(wǎng)用戶的增多，黑市及加密數(shù)字貨幣的發(fā)展，暗網(wǎng)威脅必定會持續(xù)增長，知道創(chuàng)宇404安全研究團隊會持續(xù)通過技術(shù)手段來測繪暗網(wǎng)，提供威脅情報，追蹤和對抗來自暗網(wǎng)的威脅。

3. 勒索病毒繼續(xù)在內(nèi)網(wǎng)肆虐

2018年勒索病毒在永恒之藍漏洞的助力下繼續(xù)在內(nèi)網(wǎng)肆虐。2018年11月，知道創(chuàng)宇404實驗室捕獲到一款名為 Lucky 的勒索病毒。在對病毒加密算法進行分析后，知道創(chuàng)宇404安全研究團隊發(fā)布了該勒索病毒的解密工具（https://github.com/knownsec/Decrypt-ransomware）。

4. 虛擬貨幣交易所被攻擊等事件

2018年上半年是區(qū)塊鏈行業(yè)飛速發(fā)展的時期。區(qū)塊鏈行業(yè)發(fā)展速度與安全建設(shè)速度的不對等造成安全事件頻發(fā)。除區(qū)塊鏈本身的問題外，虛擬貨幣交易所等也是黑客攻擊的主要目標之一。入侵交易所、通過交易所漏洞間接影響幣價等攻擊方式都是黑客常用的攻擊手法。在這些攻擊背后，往往都會造成巨大的損失。

5. Weblogic組件多個遠程命令執(zhí)行漏洞

2018年知道創(chuàng)宇404實驗室應(yīng)急了5個WebLogic的反序列化漏洞（CVE-2018-2628/2893/3245/3191/3252）。由于Java反序列化漏洞可以實現(xiàn)執(zhí)行任意命令的攻擊效果，這些漏洞都成為了黑客傳播病毒，挖礦程序等惡意軟件的攻擊方法之一。

6. “應(yīng)用克隆”攻擊

2018年1月9日，騰訊安全玄武實驗室和知道創(chuàng)宇404實驗室聯(lián)合披露攻擊威脅模型“應(yīng)用克隆”。值得一提的是，幾乎所有的移動應(yīng)用都適用該攻擊威脅模型。在該攻擊威脅模型下，攻擊者可以“克隆”用戶賬戶，實現(xiàn)竊取隱私信息、盜取賬號和資金等操作。

7. ZipperDown 通用漏洞

2018年5月，盤古實驗室在對IOS應(yīng)用安全審計過程中發(fā)現(xiàn)了一類通用安全漏洞，可能影響10%的IOS應(yīng)用。該漏洞被取名為 ZipperDown。根據(jù)盤古實驗室披露的信息，微博、陌陌、網(wǎng)易云音樂、QQ 音樂、快手等流行應(yīng)用受影響。

8. 智能門鎖安全需要被重視

隨著物聯(lián)網(wǎng)的發(fā)展，智能門鎖應(yīng)運而生，智能門鎖的安全性卻一直頗受爭議。2018年5月26日，第九屆中國（永康）國際門業(yè)博覽會上王海麗女士就通過特斯拉線圈打開了八家品牌商的智能門鎖。除此之外，通過手機/指紋等方式開鎖也引入了新的攻擊面，重放等方式的攻擊大放異彩。智能門鎖廠家對智能門鎖本身安全的不重視也讓智能門鎖漏洞被曝光后不修復或未完全修復成為了常態(tài)。

9. WEB應(yīng)用程序0day攻擊事件

2018年6月13日，知道創(chuàng)宇404積極防御團隊通過知道創(chuàng)宇旗下云防御產(chǎn)品“創(chuàng)宇盾”防御攔截并捕獲到一個針對某著名區(qū)塊鏈交易所網(wǎng)站的攻擊，通過分析，發(fā)現(xiàn)攻擊者利用的正式ECShop 2.x版本的0day漏洞攻擊。于2018年6月14日，提交到知道創(chuàng)宇Seebug漏洞平臺并收錄。

2018年12月10日，ThinkPHP官方發(fā)布《ThinkPHP 5.\*版本安全更新》，修復了一個遠程代碼執(zhí)行漏洞。經(jīng)過知道創(chuàng)宇404實驗室積極防御團隊排查相關(guān)日志，該漏洞尚處于0day階段時就已經(jīng)被用于攻擊多個虛擬貨幣類、金融類網(wǎng)站。在漏洞詳情披露后的一周時間內(nèi)，該漏洞就已經(jīng)被僵尸網(wǎng)絡(luò)整合到惡意樣本并通過蠕蟲的方式在網(wǎng)絡(luò)空間傳播。

在2018年區(qū)塊鏈虛擬貨幣價格高漲的刺激下 網(wǎng)絡(luò)黑產(chǎn)利用0day攻擊虛擬貨幣/金融類網(wǎng)站日益增多。

10. xiongmai攝像頭漏洞影響數(shù)百萬攝像頭

2018年多個廠商/型號的攝像頭被披露出多個漏洞。在知道創(chuàng)宇404實驗室應(yīng)急的漏洞中，影響設(shè)備數(shù)量最多的要屬Xiongmai IP攝像頭。通過ZoomEye搜索引擎能得到200萬的Xiongmai設(shè)備暴露在公網(wǎng)上，但是通過枚舉Cloud ID，能訪問到約900萬Xiongmai設(shè)備。并且該設(shè)備還存在著硬編碼憑證和遠程代碼執(zhí)行漏洞，如果這些設(shè)備被用來傳播僵尸網(wǎng)絡(luò)，將會給網(wǎng)絡(luò)空間造成巨大的危害。