• 黑客

中國(guó)加油！武漢加油！——求爾君

引

好久不見(jiàn)，先祝大家元宵快樂(lè)！

萬(wàn)萬(wàn)沒(méi)想到，庚子鼠年的第一篇更新，竟然是在老家的茶幾上敲完的。

記得1月中旬在和同事聊天時(shí)，對(duì)新冠病毒認(rèn)知尚淺，當(dāng)時(shí)不覺(jué)有甚，提前規(guī)劃好短暫假期里的各項(xiàng)活動(dòng)安排，誰(shuí)知不到一個(gè)月，所有計(jì)劃全部泡湯，以至于最近幾乎家家閉戶，自我隔離?；匚靼采习?，暫時(shí)成為奢望。

當(dāng)下，全國(guó)的醫(yī)療資源幾乎都向湖北傾斜，陜西也派出了累計(jì)七支醫(yī)療隊(duì)伍趕赴武漢，并與湖北十堰結(jié)成幫扶對(duì)子，一省包一市，患難見(jiàn)真情。

國(guó)際上，各國(guó)小伙伴也紛紛伸出了援助之手，其中來(lái)自日本的“山川異域 風(fēng)月同天”尤其令人動(dòng)容。

當(dāng)然，有君子就少不了小人。早幾日，我在抖音上刷到一則印度利用本次疫情關(guān)鍵詞對(duì)我國(guó)網(wǎng)絡(luò)進(jìn)行攻擊的消息，讓人憤懣。于是第一時(shí)間業(yè)內(nèi)知名網(wǎng)絡(luò)安全公司零時(shí)科技鄧總求證，鄧總證實(shí)了此消息的準(zhǔn)確性。

以下，為求爾君就此次攻擊事件采訪實(shí)錄。

問(wèn)題1：此次有不法組織借疫情進(jìn)行黑客攻擊是真的嗎？

就在全國(guó)人民萬(wàn)眾一心抗擊疫情之時(shí)，國(guó)內(nèi)安全研究機(jī)構(gòu)360安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔示例如：“武漢旅行信息收集申請(qǐng)表.xlsm”，攻擊者以郵件為投遞方式，并通過(guò)相關(guān)提示誘導(dǎo)受害者執(zhí)行系統(tǒng)指令代碼，對(duì)抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動(dòng)APT攻擊。

拓展：什么是APT攻擊？

APT(Advanced Persistent Threat)是指高級(jí)持續(xù)性威脅，本質(zhì)是針對(duì)性攻擊，利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的"惡意商業(yè)間諜威脅"。這種行為往往經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性，針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃性和組織性地竊取數(shù)據(jù)，偷竊資料。

簡(jiǎn)單說(shuō)，攻擊者其將關(guān)鍵信息數(shù)據(jù)存在表格的worksheet里，worksheet被加密，在誘導(dǎo)用戶點(diǎn)擊執(zhí)行的系統(tǒng)指令代碼里面使用秘鑰key去解密然后獲取明文信息數(shù)據(jù)。然而其用于解密數(shù)據(jù)的秘鑰Key為：nhc_gover，而nhc正是中華人民共和國(guó)國(guó)家衛(wèi)生健康委員會(huì)的英文縮寫(xiě)。

這里誘導(dǎo)用戶點(diǎn)擊執(zhí)行的系統(tǒng)指令代碼被執(zhí)行，攻擊者就能訪問(wèn)其控制的遠(yuǎn)程服務(wù)器并加載惡意腳本， 并使用特定黑客攻擊方法遠(yuǎn)程執(zhí)行這些惡意腳本文件，從而攻擊特定目標(biāo)。

之后，在進(jìn)一步追蹤溯源中，最后發(fā)現(xiàn)這起APT組織隸屬于南亞地區(qū)的黑客組織。

問(wèn)題2.如何確定是印度（南亞地區(qū)）發(fā)起的攻擊？

2019 年間，南亞地區(qū)的APT組織處在一個(gè)十分活躍的狀態(tài)，同時(shí)，它還呈現(xiàn)出強(qiáng)烈的地緣政治傾向、明顯的網(wǎng)絡(luò)諜報(bào)特征、有計(jì)劃有預(yù)謀的全鏈條攻擊。軍工軍貿(mào)、政府機(jī)關(guān)、外交機(jī)構(gòu)、基礎(chǔ)設(shè)施企業(yè)， 這等重磅級(jí)單位企業(yè)成其火力全開(kāi)地攻擊目標(biāo)，而目目標(biāo)所屬國(guó)度是：中國(guó)、巴基斯坦、孟加拉國(guó)和斯 里蘭卡等。

通過(guò)網(wǎng)絡(luò)安全團(tuán)隊(duì)及研究組織分析溯源，南亞APT組織逐步被披露，蔓靈花（BITTER）、摩訶草 （HangOver）、響尾蛇（SideWinder）、DoNot（肚腦蟲(chóng)）等都是較有名的南亞APT組織。

其中一個(gè)APT組織：摩訶草，一個(gè)至今已活躍9年有余的APT組織，持續(xù)的曝光并沒(méi)有停止它攻擊的步伐，反而令其愈發(fā)的猖狂，可謂“野火燒不盡”。

該印度APT組織的攻擊目標(biāo)主要為：在中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，其中以竊取敏感信息為主。而且在對(duì)中國(guó)地區(qū)的攻擊中，主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊，尤其以科研教育領(lǐng)域?yàn)橹鳌?/p>

摩訶草在2019年的幾次攻擊活動(dòng)中，使用 了一款新后門(mén)程序，并直接引用該后門(mén)的pdb文件為其命名為cnc_client。

然而，此次攻擊所使用的惡意后門(mén)程序與之前已披露的南亞地區(qū)APT活動(dòng)總結(jié)中印度組織專屬后門(mén)cnc_client相似，通過(guò)進(jìn)一步對(duì)二進(jìn)制代碼進(jìn)行對(duì)比分析，其通訊格式功能等與cnc_client后門(mén)完全一致?？梢源_定，攻擊者來(lái)源于印度的APT組織！

問(wèn)題3.您如何評(píng)價(jià)此次攻擊？

作為網(wǎng)絡(luò)攻擊的“黃金御用”手段，APT紅熱高發(fā)區(qū)也正是全球地緣政治沖突的敏感帶，而且時(shí)刻都在發(fā)生。

針對(duì)本次攻擊，攻擊者精心利用新冠肺炎疫情相關(guān)題材作為誘餌文檔，進(jìn)行魚(yú)叉式攻擊時(shí)，醫(yī)療機(jī)構(gòu)、醫(yī)療工作領(lǐng)域無(wú)疑成為此次攻擊的最大受害者。

印度APT組織如此喪盡天良的對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)動(dòng)定向攻擊的原因，我們不妨可以大膽猜測(cè)：它們?yōu)榱双@取最新最前沿的醫(yī)療新技術(shù)；它們?yōu)榱诉M(jìn)一步截取醫(yī)療設(shè)備數(shù)據(jù)；擾亂中國(guó)的穩(wěn)定，制造更多的恐怖。

別有用心的國(guó)家級(jí)APT組織的攪局，讓這場(chǎng)本就步履維艱的疫情之戰(zhàn)，更加艱難。一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個(gè)人乃至企業(yè)政府等各機(jī)構(gòu)的網(wǎng)路安全。尤其面對(duì)這等有著國(guó)家級(jí)背景的APT組織的攻擊，后果簡(jiǎn)直不堪設(shè)想。

問(wèn)題4.黑客是怎么進(jìn)行攻擊的個(gè)人或企業(yè)如何進(jìn)行防護(hù)？

此次攻擊主要利用肺炎疫情相關(guān)題材作為惡意的誘餌病毒文檔，利用郵件投遞的方式進(jìn)行釣魚(yú)攻擊，誘惑受害者執(zhí)行，針對(duì)類似攻擊基層機(jī)構(gòu)應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全防御，加固信息系統(tǒng)；普通人最 重要的是提高網(wǎng)絡(luò)安全意識(shí)。

計(jì)算機(jī)病毒只是一個(gè)程序或者代碼，之所以叫他病毒，就是因?yàn)樗哂型t(yī)學(xué)病毒相似的屬性。對(duì)于病毒的概念，準(zhǔn)確說(shuō)應(yīng)該叫惡意代碼，是指能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)，影響計(jì)算機(jī)系統(tǒng)的正常使用的程序、代碼、指令。

生物病毒具有破壞性、潛伏性、傳染性、隱蔽性、非授權(quán)性、不可預(yù)知性。計(jì)算機(jī)病毒同理，在入侵計(jì)算機(jī)后，也會(huì)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行破壞、會(huì)隱藏系統(tǒng)中不會(huì)馬上發(fā)作、并且具備自我復(fù)制傳播或者通過(guò)其他途徑進(jìn)行傳播的能力、無(wú)需系統(tǒng)管理者授權(quán)對(duì)計(jì)算機(jī)進(jìn)行無(wú)感知的破壞。

下面是生物病毒與計(jì)算機(jī)病毒在特點(diǎn)、防范方式等方面的共同點(diǎn)。

不管是什么病毒什么變種，他的感染和傳播途徑無(wú)外乎以上幾種方法，所以，不管是什么病毒，預(yù)防的方法都是一樣的：

1.增強(qiáng)安全意識(shí)，使用強(qiáng)口令。避免社工攻擊和口令爆破。

2.經(jīng)常關(guān)注最新的漏洞，及時(shí)給系統(tǒng)打補(bǔ)丁，避免通過(guò)漏洞滲透。

3.加強(qiáng)對(duì)U盤(pán)等移動(dòng)介質(zhì)的管理，避免通過(guò)病毒U盤(pán)傳播。

4.對(duì)于下載的文件、郵件附件等下載后先掃描再打開(kāi)。

5.加強(qiáng)對(duì)于互聯(lián)網(wǎng)的管理，防止通過(guò)網(wǎng)頁(yè)、電子郵件、實(shí)時(shí)通訊工具、網(wǎng)絡(luò)下載等方式感染和傳播病毒。

6.部署網(wǎng)絡(luò)防火墻和主機(jī)防火墻。關(guān)閉常用的危險(xiǎn)端口。

7.加強(qiáng)對(duì)應(yīng)用程序的安裝和啟動(dòng)的管理，禁止未經(jīng)授權(quán)的程序啟動(dòng)和運(yùn)行。

8.加強(qiáng)對(duì)于共享文件夾的權(quán)限管理。

9.部署外網(wǎng)和內(nèi)網(wǎng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)以及主機(jī)入侵檢測(cè)系統(tǒng)，及時(shí)關(guān)注網(wǎng)絡(luò)日志和系統(tǒng)日志，發(fā)現(xiàn) 異常行為第一時(shí)間處理。

10.安裝專業(yè)靠譜的有主動(dòng)防御功能的殺毒軟件，并及時(shí)更新病毒庫(kù)?！吨腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能 自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼 。

問(wèn)題5：疫情持續(xù)期間，只有印度對(duì)中國(guó)進(jìn)行攻擊嗎？

除了南亞的APT攻擊之外，在此次疫情期間，還有很多其他的網(wǎng)絡(luò)攻擊存在。

這是現(xiàn)階段普遍存在的三種攻擊情況：

1.以疫情關(guān)鍵字為誘導(dǎo)的病毒釣魚(yú)攻擊

2.以疫情為誘餌的信息泄露導(dǎo)致的詐騙攻擊

3.以疫情捐贈(zèng)為由的攜善款跑路的詐騙攻擊

據(jù)鄧永凱介紹：零時(shí)安全團(tuán)隊(duì)在網(wǎng)絡(luò)上發(fā)現(xiàn)，近期，部分武漢歸鄉(xiāng)人員的登記信息表在各個(gè)微信群中流傳，表格中有姓 名、家庭住址、電話、身份證號(hào)碼、返回車次，甚至高考成績(jī)等敏感信息。

部分武漢歸鄉(xiāng)人員由于信息泄露，電話和微信受到陌生人的辱罵以及威脅：

不僅如此由于各社區(qū)，街道辦每日要對(duì)密切接觸者以及武漢歸鄉(xiāng)人員的身體狀況進(jìn)行收集，不法份子利用被泄露的信息對(duì)個(gè)人進(jìn)行定向的社會(huì)工程，釣魚(yú)以及推銷。

零時(shí)科技安全團(tuán)隊(duì)在這里提出幾條防范措施：

陌生電話未表明身份便要求提供個(gè)人信息時(shí)，應(yīng)驗(yàn)明對(duì)方身份后提供 不主動(dòng)泄露個(gè)人及他人信息，不轉(zhuǎn)發(fā)個(gè)人及他人信息 提高防范意識(shí)，保持冷靜，保持最大程度的克制。

在這場(chǎng)疫情當(dāng)中，“新型冠狀病毒”是我們唯一的、共同的敵人。保護(hù)好自己、保護(hù)好戰(zhàn)友，凝聚抗疫合力，才能團(tuán)結(jié)一切力量戰(zhàn)勝病毒。該被嚴(yán)防死守的，是肆無(wú)忌憚傳播的病毒而不是武漢人。

問(wèn)題6：對(duì)于此次攻擊，官方或民間組織有組織反擊嗎？效果如何？

問(wèn)題7：疫情對(duì)互聯(lián)網(wǎng)安全行業(yè)帶來(lái)了哪些影響與改變，您個(gè)人有什么擔(dān)憂或者期待？

1.一旦被感染，全社會(huì)都放假，只有醫(yī)務(wù)工作者拼死奮斗在一線。一旦單位網(wǎng)絡(luò)被感染，所有人都停 止工作，只有信息中心和運(yùn)維人員在一線奮斗。

2.平時(shí)對(duì)醫(yī)務(wù)工作者沒(méi)有應(yīng)有的尊重和敬畏，殺醫(yī)辱醫(yī)事件層出不窮，出事了就成了救世主。平時(shí)對(duì)信息中心和安全運(yùn)維人員不重視，總認(rèn)為是一個(gè)花錢(qián)的部門(mén)，出了事才意識(shí)到安全的重要性。

本次疫情中出現(xiàn)很多針對(duì)醫(yī)療相關(guān)機(jī)構(gòu)以及受疫情影響的群眾進(jìn)行定向攻擊?？梢粤私獾较嚓P(guān)行業(yè)的安全建設(shè)情況，根據(jù)當(dāng)前現(xiàn)狀進(jìn)行查漏補(bǔ)缺，加強(qiáng)信息安全建設(shè)，對(duì)于受到影響的群眾，應(yīng)該增強(qiáng) 自身安全意識(shí)，總體對(duì)網(wǎng)絡(luò)安全的發(fā)展是有促進(jìn)作用的，俗話說(shuō)得好，未知攻焉知防。

消極的影響當(dāng)然也是有的，很多準(zhǔn)備在2020年準(zhǔn)備開(kāi)展的項(xiàng)目全部擱置或者取消，更有勝者，因?yàn)橘Y金不能及時(shí)到位導(dǎo)致團(tuán)隊(duì)裁員或者解散的，希望此次疫情早日結(jié)束。

采訪內(nèi)容有刪改，非常感謝零時(shí)科技創(chuàng)始人鄧永凱先生的大力支持！

附：零時(shí)科技區(qū)塊鏈安全建議30條（互聯(lián)網(wǎng)通用版）