=Start=
缘由:
本来之前想自己总结一下这些年看到的安全行业年度报告的,方便参考和查阅,但是今天在逛SecWiki的时候发现他们在2018年1月份的时候就整理了一个,挺全的,我也偷个懒,直接摘录过来~~
正文:
参考解答:
2017年安全行业年度报告,欢迎大家补充汇总。
- 2017年安全行业年度报告汇总 [SecWiki]
- 2017年度安全报告––IoT安全威胁 [360]
- 2017 年度安全报告——Office [360]
- 2017 年度安全报告——数据泄密 [360]
- 2017 年度安全报告——勒索软件威胁 [360]
- 2017年数字加密货币安全报告 [腾讯]
- 2017年度互联网安全报告 [腾讯]
- 2017年反序列化漏洞年度报告 [绿盟]
- 2017中国网站安全形势分析报告 [360]
- 2017年度网络黑产威胁源研究报告 [腾讯]
- 2017全球僵尸网络DDoS攻击威胁态势报告 [安天&电信云堤]
- HackerOne:2018年黑客调查报告 [HackerOne]
- 2017 物联网安全研究报告 [绿盟]
- 2017我国移动端传销诈骗类威胁态势分析报告 [安天]
- 苹果平台2017年漏洞情况统计报告 [苹果]
- Malwarebytes Labs 2017恶意软件状况报告 [malwarebytes]
- 2017年安全威胁分析报告—网络安全篇 [深信服]
- 2017年度安全报告––供应链 [360]
- 2017年中国网络安全报告 [瑞星]
- 中国信息安全从业人员现状调研报告(2017年度)[中国信息安全测评中心]
- 2017年度中国互联网黑产报告 [威胁猎人]
- 2017年Android恶意软件专题报告 [360]
- 2017中国高级持续性威胁(APT)研究报告 [360]
- 思科2018年度安全报告 [思科]
参考链接:
=END=
《 “[collect] 2017年安全行业年度报告汇总” 》 有 23 条评论
360CERT: 2017年度安全报告–平台漏洞
http://mp.weixin.qq.com/s/_Fv3yxa9qFdh-GJSWUVPRA
360CERT: 2017年度安全报告–系统漏洞
http://mp.weixin.qq.com/s/CDtYC5c6BE0W9jshk5CMPg
360CERT: 2017年度安全报告–应用漏洞
http://mp.weixin.qq.com/s/aVCFP2WFSQNMfBidsstKXg
360CERT: 2017年度安全报告–供应链攻击
http://mp.weixin.qq.com/s/jbFE8uKVByj4AoqllYsDRg
360CERT: 2017年度安全报告–IoT安全威胁
http://mp.weixin.qq.com/s/g2xMGkzfQ5h3jyDKTTNgLQ
2017金融科技安全分析报告
http://www.freebuf.com/articles/paper/167847.html
近年来APT组织使用的10大(类)安全漏洞
https://mp.weixin.qq.com/s/9vmyFql871eJlYzezZjEsg
云环境下的安全挑战
https://adsecurity.org/wp-content/uploads/2018/02/2018-HackCon-WhenWorldsCollide-SecurityInaCloudEnabledEnvironment-Metcalf.pdf
历年针对 PC 端和服务器攻击技术相关的 Paper 收集整理
https://timeglider.com/timeline/5ca2daa6078caaf4
论高级威胁的本质和攻击力量化研究
http://www.vxjump.net/files/aptr/aptr.txt
`
[0x01].关于一些表象问题
[0x02].真正问题的内涵
[0x03].有效方法的提出
[0x04].解决细节问题
[0x05].最后的问题
[0x06].APT十问
[0x07].附录
[0x08].后记
`
腾讯安全2018上半年互联网黑产研究报告
http://www.freebuf.com/articles/paper/179308.html
2018年上半年中国互联网安全报告
http://www.freebuf.com/articles/paper/179295.html
2018上半年区块链安全报告
https://guanjia.qq.com/news/n1/2387.html
全球高级持续性威胁(APT)2018年中报告
http://www.freebuf.com/articles/system/179460.html
GraphQL安全指北
https://mp.weixin.qq.com/s/8dvMfkeoMFiM7VOWhtGFlA
Android 企业安全白皮书
https://source.android.com/security/reports/Google_Android_Enterprise_Security_Whitepaper_2018.pdf
腾讯安全2018年高级持续性威胁(APT)研究报告
https://mp.weixin.qq.com/s/F5hBw_pVithLlY6ixE0q-g
APT IOCs 收集整理
https://github.com/sapphirex00/Threat-Hunting
软件供应链安全威胁:从“奥创纪元”到“无限战争”
https://www.freebuf.com/articles/network/197574.html
软件供应链安全大赛,C源代码赛季总结
https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652987210&idx=1&sn=c26fc55f8bbe108c2f0a0cafbc8f7b8b
阿里软件供应链安全大赛到底在比什么?C源代码赛季官方赛题精选出炉!
https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652987217&idx=1&sn=288a5ad8f2d9f63440df008ea104aeba
『功守道』软件供应链安全大赛·PE二进制赛季启示录:上篇
https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652987317&idx=1&sn=e2de6c0da34121826c430aa999b856de
『功守道』软件供应链安全大赛·PE二进制赛季启示录:下篇
https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652987333&idx=1&sn=025385c453bd093ee2c5aa46177eb243
『功守道』软件供应链安全大赛·Java赛季总结
https://mp.weixin.qq.com/s?__biz=MzIxMjEwNTc4NA==&mid=2652987406&idx=1&sn=02426f66afe1340ff68f9bc7d89d6ad0
# 安天的安全响应
“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告 (包含「NSA/CSS技术网空威胁框架」中文图)
https://www.antiy.com/response/20190601.html
https://www.secpulse.com/archives/106857.html
委内瑞拉大规模停电事件的初步分析与思考启示
https://www.antiy.com/response/20190316.html
https://www.ics-cert.org.cn/portal/page/121/5688d942c17340bd9ab677f9614de06d.html
[Malware, Tools] Malware Trends Tracker:
https://any.run/malware-trends/
一个监控热门恶意软件流行趋势的网站 – Jett
RSAC-2020随笔 — 供应链安全
https://www.anquanke.com/post/id/201485
`
疫情下的盛会
供应链安全
* 首先,聊下Mark说的开源安全。
* 第二个议题,韩国CERT对于供应链攻击的回顾。
* 第三个议题,《Supply Chain Security in the Software Era》
`
https://published-prd.lanyonevents.com/published/rsaus20/sessionsFiles/18108/2020_USA20_SBX1-R1_01_Industry-Standards-to-Support-Supply-Chain-Risk-Management-for-Firmware.pdf
https://go.crowdstrike.com/rs/281-OBQ-266/images/Report2020CrowdStrikeGlobalThreatReport.pdf
APT供应链攻击防护应对分析及意义
https://mp.weixin.qq.com/s/qGMRjCeIyHSHk_aXI8Fxbg
`
摘要:随着数字化的高速发展,各项关键信息基础设施和重要资源对供应链越来越依赖,网络罪犯和黑客也已发现供应链里充满了可供利用的漏洞,不少国家政府已经表示对供应链的完整性和脆弱性越来越担忧。本文从APT供应链攻击的原理和检测难点进行分析,并借鉴各国政府、国外企业采取的措施着手,从政策、技术、安全意识培养等方面对我国APT供应链攻击防护和应对提出相关建议。
2 APT供应链攻击原理和检测难点
2.1 APT供应链攻击原理
2.2 供应链攻击检测难点
3 供应链攻击防护和应对实践
3.1 政府强化政策支持,制定供应链安全框架
3.2 企业缩小自身攻击面,自下向上实施抵御入侵
4 针对供应链攻击和防护的启示
(1)制定专门的供应链安全框架,明确各方在供应链攻击防护中需要承担的责任和义务。在制定专门政策或标准时,借鉴美国、英国、欧盟等国家和地区增加对供应链安全管理的政策条款,通过对进出口许可管理、不可靠实体清单、负面清单等一系列制度的协调统筹,将国际认可的行业标准、操作指南及覆盖面更广的NIST网络安全框架(CSF)覆盖供应链管理的上下游,以此来尽可能保证供应链安全,帮助制造商评估和缓解其在信息及操作系统所面临的安全风险。
(2)将零信任等网络安全新理念列入需要“着力突破的网络安全关键技术”,打造无边界网络访问安全系统。在应对供应链攻击上,企业可以遵循“默认不信任,总是验证和授予最少权限”的原则,尽可能地缩小供应链的攻击面;在解决云时代边界防护问题上,为了让应用程序所有者能够对持有的公共云、私有云和内部数据进行保护,可将可信代理调解应用与用户进行连接,以此来保护供应链的安全性和完整性。
(3)持续提升开发人员或供应商的安全意识,为供应链安全态势带来积极影响。通过对开发人员或供应商进行安全培训,改善供应链中每一个环节的安全状况,包括提升供应链涉及人员的整体安全意识,并把安全性评估作为评审项中的必要过程覆盖在整个开发环节中,及时解决发现的最新问题。
`
十年百余起事件,软件供应链面临安全危机
https://mp.weixin.qq.com/s/zWp0j805H62nUbl9KTOohw
`
数字化时代,软件已经成为人们生产生活不可或缺的必需品,而软件的获取(下载、更新、打补丁等)不可避免地要依赖软件的供应链。
现有的网络安全解决方案日益完善,可以对网络进行全方位的防护,攻击者不得不尝试其他方式对企业和机构进行渗透。软件供应链攻击成为当下普遍和流行的攻击方式。
当攻击者访问并修改复杂软件开发供应链中的软件,通过插入恶意代码来危害更深层目标时,就会发生软件供应链攻击。侵入软件供应链,可以使攻击者伪装成受信任程序来传递恶意代码。软件供应链攻击是一种非常有效的攻击方式,可以针对安全防护水平较高的系统进行广泛的攻击。
对于国家安全机构而言,软件攻击链的风险尤为严重,他们查看大量监视数据、运行复杂武器系统以及支持现代物流系统的能力取决于软件,其中大多数软件是在政府外部开发的。
在过去10年的软件供应链攻击呈现下面5个趋势:
(1)国家级组织利用供应链攻击造成深远影响:国家级攻击组织利用软件供应链攻击取得巨大效果。通过劫持软件更新,国家级攻击发起后果严重的攻击。这些并非新颖的威胁。2012年Stuxnet和其他攻击事件就对物理世界造成了影响。2017年,NotPetya攻击和Equifax数据泄露影响了数百万用户,这些事件展示了软件供应链攻击的巨大潜在规模,及其对国家级攻击者的战略价值。
攻击实例包括:CCleaner、NotPetya、Kingslayer、SimDisk和 ShadowPad。
(2)绕过代码签名: 代码签名作为公钥加密和证书系统应用,确保软件更新完整性及来源身份。突破防护措施则是供应链攻击中的关键一步,从而可以实现从简单的开源代码篡改到复杂的国家级窃密行动。
攻击实例包括:ShadowHammer、Naid / McRAT和 BlackEnergy 3。
(3)开源威胁:这类安全事件中,攻击者通过获得帐户访问权限,实现开源代码篡改,或发布与常用软件包名字相似的恶意软件包。所传播的恶意代码通常会窃取受害者数据,有时也针对支付信息。攻击者通常是罪犯分子,通常很快会被发现。
攻击实例包括:Cdorked / Darkleech、RubyGems后门、HackTask、 Colourama、JavaScript 2018后门和 PyPI存储库攻击。
(4)劫持更新:这类攻击通常是由国家级组织或能力强大的攻击者发起。利用被窃取或伪造证书签名的软件更新,将恶意软件带进攻击目标。高级恶意软件通常可以从受感染的计算机通过网络或在硬件进一步传播。这类攻击更有可能加密数据,攻击物理系统或提取信息,通常比应用商店复杂得多。
攻击实例包括:Flame、Stuxnet、CCleaner 1和2、NotPetya、Adobe pwdum7v71、Webmin和PlugX。
(5)应用商店攻击:这类攻击使用谷歌 Play Store,苹果App Store和其他第三方应用软件分发工具,将恶意软件传播到移动设备。通常,攻击者设计的这些应用程序看起来都是合法的,尽管有些确实是被侵入的合法应用软件。这些恶意应用通常会运行广告软件,窃取支付信息,提取数据,发送到攻击者操作的服务器。大多数攻击者是罪犯分子,也发生了一些国家支持的攻击。
攻击实例包括:Sandworm安卓攻击、ExpensiveWall、BankBot、Gooligan和 XcodeGhost。
企业和机构在软件供应链问题上面临的安全风险在持续增长。
首先,物理设备出厂之后很少修改,而软件需要通过更新和补丁进行持续的修订,容易出现大量无意和恶意的缺陷和漏洞。
其次,越来越多功能丰富的软件正在进入越广泛的消费产品和企业服务领域,扩大了潜在的攻击面。
第三,企业和组织将IT管理和服务外包给云计算和管理服务提供商(MSP),增加了企业和组织受到针对这些提供商之一的攻击的可能性。
第四,企业和组织在场地开发复杂任务的软件系统也可能需要从第三方购买预先构建的软件组件,这些第三方构建的组件同样存在着安全漏洞。
`
国家级APT组织利用SolarWinds软件大范围供应链攻击预警
https://mp.weixin.qq.com/s/KS9iw8EosGVI_1Lhsq2g3w
`
# 背景
美国时间2020年12月13日,据路透社报道,知情人士表示,有外国政府支持的黑客一直在监控美国财政部以及一个负责互联网和电信政策机构的内部电子邮件往来。
据三位知情人士透露,美国情报界担心,针对财政部和商务部下属的国家电信和信息管理局的黑客还使用了类似的方法,侵入了美国其它一些政府机构。但该人士没有透露其他机构具体指哪些。
《华盛顿邮报》报道说,此次黑客攻击是由SolarWinds产品的缺陷制造的,攻击是由俄罗斯黑客组织APT29实施的。美国政府官员已经承认了这些事件,但没有提供进一步的细节。
# 事件概述
12月13日相关新闻报道后不久,Fireeye在官网发布了《Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor》报告,报告中披露了国家级APT组织针对SolarWinds产品供应链攻击的相关技术细节。
同时SolarWinds官方发布安全公告,SolarWinds Orion平台软件在2020年3月至6月之间发布的2019.4 – 2020.2.1版本,遭受了高度复杂的供应链攻击。建议客户建议尽快升级到Orion Platform版本2020.2.1 HF 1版本,以保证自己的安全。
`
Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
`
# Executive Summary
We have discovered a global intrusion campaign. We are tracking the actors behind this campaign as UNC2452.
FireEye discovered a supply chain attack trojanizing SolarWinds Orion business software updates in order to distribute malware we call SUNBURST.
The attacker’s post compromise activity leverages multiple techniques to evade detection and obscure their activity, but these efforts also offer some opportunities for detection.
The campaign is widespread, affecting public and private organizations around the world.
FireEye is releasing signatures to detect this threat actor and supply chain attack in the wild. These are found on our public GitHub page. FireEye products and services can help customers detect and block this attack.
`
https://github.com/fireeye/sunburst_countermeasures
APT组织分析公司火眼被APT组织入侵,红队工具被窃
https://mp.weixin.qq.com/s/tUi0_ZMXnVRCEiVK3YghRA
Unauthorized Access of FireEye Red Team Tools
https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
https://github.com/fireeye/red_team_tool_countermeasures
Global Intrusion Campaign Leverages Software Supply Chain Compromise
https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html
【安天】FireEye红队工具失窃事件跟进分析
https://mp.weixin.qq.com/s/X-bBV44nMQvDlnl6f4eX7Q
【安天】FireEye红队工具失窃事件分析和思考
https://mp.weixin.qq.com/s/fkH9TZKOcWb_Ttvl-VlA4w
以红队视角看FireEye网络攻击事件
https://mp.weixin.qq.com/s/_VfgHfGgAaHb4_hsBcV8nA
15个漏洞详情,FireEye被盗网络武器库分析
https://mp.weixin.qq.com/s/kuyicMFQtDiiKAHzL7GjlA
从FireEye的泄露看红队的差距
https://mp.weixin.qq.com/s/K2W-hgCUFOzgxrhF6U1s1A
`
1. 前言
一大早被领导拉起来分析火眼事件。朋友圈整个安全圈子也是沸腾不已,但随着分析的深入,发现有点“小题大做”了,没有想要的高尖精工具和技术方案,全是一堆已知攻击技术的红队模拟工具。但站在一个红队人员的角度,也是收获不少。
2. 红队服务真的有用“假想敌手段”么?
以“假想敌”手段来评估企业安全,这里的手段往往被定义为APT手段。国内当前的红队服务使用的手段是APT手段么?什么是APT手段?红队是怎么模拟的?
在火眼给的防御策略中,明显看出APT开头的很多样本、工具、后门。火眼的安全人员把各项在APT活动中的技术方法做成了红队工具,用来评估企业对各种APT技术的防御能力,至少从工具层面火眼做到了“假想敌”的要求。而国内的红队怎么样呢?,大家自己体会,不多说。
什么是APT手段,国内大部分公司把APT追踪放在威胁情报部门,也出了一些分析报告,从技术手段来说,所谓的APT报告可能只能叫做样本分析报告吧。有没有对发现的技术进行工具化,提供给红队做红队评估,大家心里有数。
3. 如果火眼红队只有“这样的水平”,也不过如此
号称全球最懂APT的火眼,如果仅仅只有策略体现的水平,有点名不副实了。
从策略中分析,有60%左右的开源项目,35%左右的为开源项目二次开发,5%左右为已知技术的实现,所有的技术全部为已知且公开技术。没有前瞻性的技术方案,没有大型的工具平台,我想说“我不信”。
4. 从策略看国外红队工程化水准
毫不客气的说,是领先了国内很多的。其中大部分是C#开发,符合国外红队圈子的技术走向。GITHUB开源的红队工具大部分也是C#开发,我读过一些工具的代码,水准也是一般,这可能也是火眼进行了大量二次开发的原因吧!再回头看国内,武器化思路才起步,谈工程化就有点打脸。没有开源氛围,没有工程化能力,想开源的代码能力弱了点,代码能力强的敝帚自珍。工具的法律风险也是一大掣肘。“既不懂APT也不会写代码,你给我说你是做红队的”
5.作为技术人员还是要看点技术
大部分技术人员可能和我一样,看能不能捞点工具回来,FireEYE泄露的工具,至少比开源工具稳定性要好些。可是我通过md5上VT捞,结论是:没有!没有!没有!但是也给了一些不大不小的启示:
GORat火眼竟然在用,我可能需要去尝试下
其中有个D语言后门,多搞点小众语言减轻杀软对抗的痛苦
Dll劫持是不错的权限维持手段,策略里面含有大量dll劫持方案,但是都是公开的
各种Loader的制作还是对抗的前沿
还是要多造轮子,已有的轮子不一定都是好轮子
已知漏洞武器化还是很有必要,相信大部分人和我一样眼馋的是那份CVE武器化工具,潜意识认为火眼开发的利用一定还是不错的。
6. 我们的路还很长
红队的路还很长,认清楚差距,看明白方向。最后希望火眼披露攻击细节,希望看见黑客世界顶尖的样子。就目前的公开的我想说“我裤子都脱了,你给我看这个?”
`
FireEye RedTeam 被黑了
https://mp.weixin.qq.com/s/WupcVZATcNkKE93XcgJ4qg
`
# Part4. 启示
有几点感受:
1、直面问题的勇气。作为一家安全公司,而且是上市公司。自身被入侵是一件很“丢人”的事情,但 FireEye 并没有选择掩盖,而是公开曝光,难能可贵。前不久的大型攻防演习中,“安全产品不安全”的段子也是满天飞,各大安全公司也是互相拆台,SXF EDR更是被暴打,最后SXF选择对自家产品进行公开漏洞悬赏,直面问题,值得鼓励。
2、自备矛与盾。很多安全厂商,红队只负责攻击,并不负责编写检测规则。如果有漏洞挖掘团队,新挖出的漏洞和规则库往往是作为 PR 来为自家产品能力加成,但是,对于红队开展日常服务的一些工具,是否有检测规则呢?尤其是一些杀软绕过、HIDS绕过、提权工具,这里存疑。
3、安全共赢生态。FireEye 公布的策略中,有TI、网络、主机等层面的检测规则,跨越了不同厂家的产品,能供最大化帮助社会减轻问题影响。试想问题发生在国内会是怎样的场景?
– A家红队工具泄露了,发布了工具检测规则
– B家的 NTA 策略语法不一致,要花几天修改检测规则
– C家的 AV 不支持用户自定义规则,也需要等几天修改规则
– D家威胁情报说不支持这种格式,再花几天增加IoC
`