火绒用户现在肯定有几千万,企业用户有几百万,这些用户的电脑和服务器都是火绒的蜜罐和情报来源地,因此火绒公司需要具备反APT的能力,不然这么多的情报不用实在是一种巨大的浪费,反APT一定程度也是这家公司的社会责任。
就像国内的安天/奇安信/360会日常发布APT相关的报告,腾讯拥有这么多的杀毒产品终端用户,很少发布,就是因为腾讯在海外有很多的C端用户,老是发布这种报告,很容易引起其他国家的安全部门的注意,导致无法进入该国市场,只能引而不发,投鼠忌器。
其实目前国内发布APT分析报告的公司不是太多,至少公开层面的不是太多,近期可能要看看国内哪些厂商平时有APT的分析报告或者年度报告,以及海外哪些厂商在发布这些报告,国外厂商可就多了。
1-什么是内核级病毒?
内核级病毒是指一类能够深入操作系统内核层面进行感染、潜伏、活动和传播的恶意软件。内核级恶意软件通常具有以下显著特征:
高权限访问: 内核级病毒能够获得操作系统最高级别的权限,即在CPU的特权级别中工作于Ring 0,这是与操作系统内核相同的执行级别。这种级别的访问权限使得病毒可以不受限制地访问和操控系统的任何资源,包括硬件、内存、进程和其他关键系统组件。
深度隐藏: 由于内核级病毒直接作用于系统的核心,它可以利用各种rootkit技术来深度隐藏自身,避免被普通安全软件检测到。这包括但不限于:修改系统内核数据结构、替换系统服务、隐藏文件、进程及网络连接等。这种隐蔽性极大地增加了病毒的生存能力和对抗反病毒软件的能力。
穿透防护机制: 内核级病毒有能力绕过或破坏常规的安全防护措施,如防火墙、反病毒软件、系统还原点、还原卡等。例如,它可以篡改系统安全设置,禁用或干扰安全软件的正常运行,甚至在系统还原后仍能保持活性。
系统级影响: 这类病毒能够直接影响操作系统的核心功能,导致系统稳定性下降、性能严重受损,甚至可能导致系统崩溃。它们可以篡改系统调用、操纵硬件驱动、劫持系统服务,从而对整个系统造成广泛而深远的影响。
难于清除: 由于内核级病毒深入系统核心,且具备强大的隐藏和自我保护能力,常规的反病毒扫描和清除方法往往难以彻底根除。清除此类病毒通常需要专业的系统诊断工具、专杀工具或在安全模式下进行操作,有时甚至需要重新安装操作系统。
远程控制与数据盗窃: 许多内核级病毒同时具备后门功能,允许攻击者远程控制受感染系统,窃取敏感数据、安装额外恶意软件或发起进一步的网络攻击。
2-什么是银狐病毒家族?
银狐病毒家族最早可以溯源到 2022 年底,2023 年开始活跃,呈现众多变种和传播形式。最常见的是,该病毒以国内企业的管理、财务、销售人员为主要目标,伪装成带有关键词的文件,诱骗用户点击运行。黑客则可以远程控制受害者的终端,监控电脑使用情况,并伺机盗取用户敏感数据及财产信息。
黑客通常利用钓鱼邮件、通讯软件、伪造软件官网等手段,将后门病毒植入目标系统,收集敏感信息并执行其他恶意模块,以对受害者电脑进行远程控制和横向渗透,随后发起 DDoS 攻击和勒索攻击等恶意行为,给用户造成财产损失。
银狐病毒家族是指一系列具有相似特性和行为模式的计算机恶意软件(malware),它们共同构成了一个特定的木马(trojan)分支。这些木马程序主要通过以下方式实施攻击和感染目标系统:
钓鱼攻击: 银狐病毒通常通过精心设计的钓鱼邮件或消息来诱骗受害者点击包含恶意链接或附件的内容。这些邮件或消息可能伪装成合法的业务通信、软件安装包(如WPS、MS Office、PDF阅读器等)或者热门应用(如“抖音小店”、“钉钉一键安装”等),利用社会工程学技巧骗取用户的信任。
伪装文件: 恶意文件被赋予看似无害的文件名,以增加其迷惑性,使得用户在不经意间下载并执行。这些文件通常为可执行文件(.exe)格式,一旦运行,便会植入银狐木马到受害者的计算机中。
针对特定群体: 银狐木马特别针对企事业单位中的管理人员、财务人员、销售人员以及电商卖家等具有较高价值目标的用户群体进行攻击,意图窃取敏感信息、实施金融欺诈或破坏企业网络。
快速变种与对抗性: 银狐家族展现出快速演变的能力,不断产生新变种以逃避安全软件的检测。这些新变种通常具有更强的对抗性和隐蔽性,使得传统的防病毒软件难以及时识别和清除。
通讯软件传播: 部分描述指出银狐病毒不仅通过钓鱼邮件传播,还可能利用即时通讯软件(如微信群聊)进行扩散,这进一步加剧了其在社交网络中的威胁。
后门功能: 银狐木马被确认为一种后门病毒,意味着一旦成功入侵,它能够在受害者的设备上建立隐蔽的远程访问通道,允许攻击者悄无声息地控制受感染系统、窃取数据或执行其他恶意操作。
3-感染型病毒,木马病毒,蠕虫病毒之间的区别是什么?
感染型病毒依赖宿主文件进行复制传播,主要目标是扩大感染范围,且往往伴随破坏性行为。
木马病毒不复制自身,而是通过欺骗手段让用户主动执行,侧重于秘密监控和信息窃取,强调隐匿性。
蠕虫病毒具有高度自主性,能自我复制并通过网络漏洞等自动传播,主要目标是快速大规模扩散,常用于发起分布式攻击或消耗网络资源。
4-什么是代码混淆器病毒样本?
代码混淆器病毒样本指的是那些恶意软件作者使用代码混淆技术处理过的病毒程序实例。在这里,“代码混淆器”本身是一种合法的软件工具,其目的是通过改变程序的原始代码结构、重命名变量、函数和类,添加无关逻辑,甚至引入控制流变换等手段,使得代码变得难以阅读和理解,以达到保护知识产权、防止逆向工程和增加破解难度的目的。
当恶意软件开发者利用代码混淆器对病毒、木马、后门或其他形式的恶意代码进行混淆处理时,就形成了所谓的“代码混淆器病毒样本”。这些样本具有以下几个特点:
混淆后的恶意代码: 原本恶意的代码经过混淆器处理后,其内部逻辑变得复杂、混乱,变量名、函数名被替换为无意义的标识符,控制流可能被打乱,使得逆向工程师在分析代码时面临极大困难。
增强隐蔽性: 混淆有助于掩盖恶意代码的真实意图和具体实现细节,减少被反病毒软件静态分析时的特征匹配率,从而提高病毒样本逃避检测的概率。
对抗反病毒引擎: 混淆器生成的混淆代码可能包含大量的无效指令、冗余路径或假象功能,这些“噪音”可以干扰反病毒引擎的规则匹配和启发式检测,使得病毒样本能够在一些安全软件的扫描下暂时不被识别。
混淆与多态性结合: 某些高级的恶意软件可能结合混淆与多态性技术,每次生成不同的混淆版本,使得每个病毒样本在二进制层面都具有一定的独特性,进一步增加了反病毒软件的查杀难度。
混淆与打包技术结合: 恶意软件作者可能将混淆后的病毒代码与其他合法软件捆绑,或者使用加壳、加密等打包技术,形成多层防护,使得解密和解析混淆代码成为发现病毒的前置步骤。
5-什么是下载者木马?
下载者木马(Downloader Trojan)是一种特殊的计算机恶意软件,属于木马(Trojan)类别的一种。其主要特点和功能如下:
伪装与欺骗: 下载者木马通常会伪装成合法的软件、应用程序、更新补丁、文档附件、网页插件等,利用社会工程学手段诱使用户下载并执行。用户往往在不知情的情况下安装了这种木马。
低调执行: 一旦被用户误点击或误运行,下载者木马不会立即表现出明显的恶意行为,而是默默地在后台运行,避免引起用户的警觉。
远程连接: 下载者木马的核心功能是与远程服务器建立联系。它会连接到攻击者指定的URL或IP地址,接收进一步的指令或下载其他恶意软件。
下载并部署额外恶意软件: 连接成功后,下载者木马会按照远程指令从服务器下载真正的恶意负载,如勒索软件、键盘记录器、后门程序、广告软件、僵尸网络客户端等。这些额外的恶意软件可能具有更具体的攻击目标和功能,如窃取敏感信息、实施金融诈骗、占用系统资源进行挖矿、控制受感染设备组成僵尸网络等。
持久化与自我保护: 为了确保长期驻留在受害者的系统中,下载者木马可能会修改注册表、创建计划任务、注入到系统进程等,实现开机自启动。同时,它可能会尝试禁用或干扰安全软件,阻止其检测和清除恶意活动。
模块化与灵活性: 由于下载者木马仅负责下载和部署后续恶意软件,而不直接执行具体攻击行为,攻击者可以根据需要随时更改远程服务器上待下载的恶意负载,使其攻击手段更具灵活性和针对性。
6-CVE-2017-10271、CNVD-2021-30167、CVE-2007-1036、CVE-2019-2725都是什么漏洞?
CVE-2017-10271
Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。
Oracle Fusion Middleware中的Oracle WebLogic Server组件的WebLogic WLS组件子组件存在远程命令执行漏洞。攻击者可利用该漏洞控制组件,影响数据的可用性、保密性和完整性。
未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。 受影响WebLogic版本:10.3.6.0.0,12.1.3.0.0,12.2.1.1.0,12.2.1.2.0。
CNVD-2021-30167
用友NC是一款大型erp企业管理系统与电子商务平台。
用友NC BeanShell存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
CVE-2007-1036
JBoss 是一个基于J2EE的开放源代码的应用服务器。 由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进入到jmx控制台,并在其中执行任何功能。
CVE-2019-2725
CVE(CAN) ID:CVE-2019-2725Oracle Fusion Middleware(Oracle融合中间件)是美国甲骨文(Oracle)公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。WebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。Oracle Fusion Middleware的Oracle WebLogic Server 10.3.6.0.0和12.1.3.0.0(子组件:Web服务)版本存在一个漏洞,允许通过HTTP进行网络访问的、未经身份验证的攻击者破坏Oracle WebLogic Server。成功利用此漏洞可能导致Oracle WebLogic Server的接管。
7-CVE-2020-14882/CVE-2021-44228/CVE-2022-26134/CVE-2017-12149都是什么漏洞?
CVE-2020-14882
Oracle WebLogic Server是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。
Oracle Fusion Middleware的Oracle WebLogic Server 10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0版本的Console组件存在远程代码执行漏洞。未经身份认证的攻击者可利用该漏洞通过HTTP访问网络而破坏Oracle WebLogic Server并对其进行接管。
CVE-2021-44228
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过 2021年12月15日,Apache 官方发布Log4j 2.16.0 以及 2.12.2 版本,修复 CVE-2021-45046 Apache Log4j 拒绝服务漏洞 2021年12月17日,Apache 官方将 CVE-2021-45046 漏洞 CVSS 评分从 3.7 分上调到 9.0 分
CVE-2022-26134
2022年6月3日,Atlassian官方发布官方公告,披露存在CVE-2022-26134 Confluence 远程代码执行漏洞在野攻击漏洞事件。漏洞利用无需身份认证,可直接前台远程执行任意代码。
CVE-2017-12149
Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。
Red Hat Jboss EAP 5.0版本中存在远程代码执行漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码或造成拒绝服务。
8-Exploit/Tplus.Upload.A,Exploit/Apache.DeserRCE.A是什么漏洞?
Exploit/Apache.DeserRCE.A对应CVE-2017-12149,Exploit/Tplus.Upload.A对应畅捷通T+软件任意文件上传漏洞。
CVE-2017-12149
Red Hat JBoss Enterprise Application Platform(EAP)是美国红帽(Red Hat)公司的一套开源、基于J2EE的中间件平台。该平台主要用于构建、部署和托管Java应用程序与服务。
Red Hat Jboss EAP 5.0版本中存在远程代码执行漏洞。远程攻击者可利用该漏洞在受影响应用程序上下文中执行任意代码或造成拒绝服务。
9-TellYouThePass、 Phobos、Mallox三大勒索病毒家族是什么?
TellYouThePass 勒索软件家族在国内出现于 2020 年,通过软件漏洞进行攻击,并且可在短时间内对大量设备进行加密,针对包括政府机构在内的全行业。
Phobos 勒索软件家族从 2019 年初期开始在全球流行,通过 RDP 暴力破解和钓鱼邮件等方式扩散到企业与个人用户中,并持续更新和演变,成为勒索软件家族中新兴的一个大家族。
Mallox 勒索软件家族首次出现于 2021 年,专注于 MS-SQL 和暴力攻击,会定期公开被入侵的组织和盗取的数据,利用地下论坛宣传其服务并招募生态组织。
勒索攻击作为成熟的攻击手段,拥有完整的商业模式(RaaS),RaaS 运营商通常提供易于使用的攻击工具和界面,这些工具涵盖各种功能,如暴力破解、端口扫描、漏洞扫描、加密文件、生成勒索信息、管理支付渠道等。
