2022十大网安事件盘点（上）丨大东话安全

　　小白：转眼间2022年进入倒计时，时间过得也太快了吧！
　　大东：是呢，这个时候也是梳理2022年度工作、学习、生活各个方面的好时候。
　　小白：东哥你说得没错，我这两天还梳理了2022的内容，2022年围绕网络安全，我们提出了＂八个打＂、＂七宗罪＂、＂六个看＂、＂五个能＂、＂四个学＂。
　　大东：通过总结网络安全的特点，分析网络安全的方式方法，增强网络安全的保障能力。
　　小白：在2022年我们推出了哪些精彩内容呢，一起来了解下吧！
　　NO.10 网络安全六个看
　　1. 事件穿越
　　大东：在酒香也怕巷子深的当今经济社会中，拥有一双慧眼，能有效地对特定行业欣赏、观测、发现、甄别、洞察，就如同拥有了神兵利器，将浩如烟海的产业情报化整为零、去粗取精，实现精准的信息遴选，进而快人一步、棋高一着，占尽行业、产业先机；在网络安全行业中，亦复如是。
　　小白：道理是这个道理不假，但是东哥，这方面有没有一种类似于＂观影指南＂的使用手册？
　　2. 六个看精彩片段
　　看热闹
　　大东：所谓外行看热闹，内行看门道，无论是内行还是外行，都必须＂懂行＂，才能准确把握行业发展趋势，在激烈的市场竞争中立于不败之地。
　　小白：对啊，看热闹虽然简单，也是有学问的呢。
　　大东：所以啊，普罗大众如何实现对网络安全行业从初窥门径＂看热闹＂，到如数家珍＂看门道＂的视野跃迁，就要经历下面的＂六个看＂的过程。这六个看，就体现了如同博弈中段位逐步提高的过程。
　　小白：原来这就是普罗大众观测网络空间安全领域的＂观影指南＂啦。
　　看火候
　　大东：看懂方法的同时，还要在方法落实的维度实施＂微操＂，这就是＂看火候＂。要学会量体裁衣，比如针对网络安全的资产、设施、设备，具体如何开展审计、渗透测试、压力测试等技术管理手段。
　　小白：这就不能依赖于单纯的方法，更需要＂看火候＂，上手段了。
　　看长远
　　大东：看完了过程、效果、方法、火候和价值，基本上已经可以说对网安行业有了一定程度的了解，但是别忘了，看待任何事物都要坚持与时俱进的发展眼光，而非固步自封地静止看待。
　　小白：确实，尤其是网络空间安全这类方兴未艾的高新技术学科领域。
　　大东：目前，我们提出了＂网安对抗棋谱＂的新安全理念，就是以层出不穷的安全事件作为长期分析对象，针对网络安全的本质即攻防做聚焦性研究，以国计民生的需求凝练为科学问题，不断积累迭代形成＂网安对抗棋谱＂。
　　小白：如果想看自己的网安能力，在不同的级别阶段看对应的网安对抗棋谱就好了。
　　看门道
　　大东：回到＂看热闹＂引子里的看电影场景，当我们不再惊叹于编剧思维的天马行空，剧情的一波三折、环环相扣；不再震撼于制作场面的视野宏大，卷帙浩繁的时候，电影鉴赏水平就自然而然地提升了，我们会更加倾向于关注电影的分类、拍摄手法、音轨的设计、长短镜头交替、特写等更加专业的审美细节问题。
　　3. 小白内心戏
　　小白：俗话说得好，懂行最重要。现在的产业分工更加精细，更多的是要找懂行的人提高我们的鉴别能力。听完东哥讲了＂六个看＂还是有点晕晕的，我都拿小本本记下啦。看来无论是想成为网安专家还是找网安专家咨询，都离不开中科院啊。
　　N0.9 新年虫漏洞
　　1. 事件穿越
　　大东：跨年夜大家都会发信息给亲朋好友送祝福，有的人会倾向使用即时性通讯软件，有的人会倾向使用email方式。很多使用微软Exchange 的用户发现，自己写好的新年祝福等邮件突然无法发出，并且都会收到一条错误提醒。
　　小白：那这个bug到底是因为什么原因造成的呢？
　　大东：是一个由于＂2022年＂的到来而导致的bug。微软的邮件过滤管理系统存储日期的格式，这个格式其实也是编程程序员比较常见的格式——＂yymmddHHMM＂，并使用有符号变量（Int32，也就是long）实现。
　　小白：有符号的Int32最多只能存储-2147483647到+2147483647的数据，这样的话，从22年开始，就变成了22XXXXXXXX，从2022年1月1日0时开始，就超过了Int32所能存储的数据最大范围。
　　大东：所以这个漏洞也被网友称为＂2022版千年虫＂，也被一些Exchange管理员命名为Y2K22。
　　2. 事件影响
　　小白：这次应该波及挺大的吧，估计有好多邮件都滞留邮箱了。
　　大东：是的，你想，设置在2022年新年发送的邮件会在许多公司的邮箱服务器内滞留，据了解，有的公司邮箱服务器中滞留的邮件甚至已经达到数十万封。
　　小白：微软有没有说有什么临时解决的办法？
　　大东：它们紧急发布了一个临时修复程序——＂Reset-ScanEngineVersion.ps1＂。
　　3. 小白内心说
　　小白：那我们要怎么操作这个临时修复程序呢？直接执行PowerShell脚本就可以了吗？
　　大东：是的。＂Reset-ScanEngineVersion.ps1＂脚本执行时，Microsoft过滤管理和Microsoft Exchange传输服务都会被停止，随后会删除旧的防病毒引擎文件，并下载新的防病毒引擎，最后再次启动这些服务。
　　小白：欸，感觉变量这件事看起来微不足道，实际上出问题之后影响还是蛮大的。写程序的时候一定要多多考虑啊！
　　N0.8 ＂热门＂卫星通信存风险
　　1. 事件穿越
　　大东：2022年3月，某富豪警告称，该公司的卫星宽带服务很有可能在热点地区成为＂被针对的目标＂。
　　小白：那该怎么办啊？
　　大东：他要求用户＂只在需要时打开，并将天线放在距离人群尽可能远的地方...对天线进行轻度伪装，以免被发现。＂
　　2. 事件影响
　　小白：大东你能介绍一下该公司的卫星通信系统吗？
　　大东：这个系统是一家美国公司的一个项目，该公司计划在2019年至2024年间在太空搭建提供互联网服务的由约1.2万颗卫星组成的网络，该网络中的1584颗将会部署在地球上空550千米处的近地轨道，并从2020年开始工作。
　　小白：这个系统会提供互联网服务吗？
　　大东：系统通过低轨道通信卫星提供高速互联网服务。如果一切顺利，可以在全球范围内提供低成本的互联网连接服务。
　　3. 小白内心说
　　小白：在太空互联网计划如火如荼的今天，我们应该如何保护互联网安全呢？
　　大东：技术的进步是永无止境的，防御手段在升级，可攻击手段也在升级。因此，或许要在安全领域做出一个宏观的布局，才能更好地应对可能的安全威胁。
　　小白：这让我想到2021年世界互联网大会乌镇峰会上展示的＂天蛛＂。＂天蛛＂的目标是实现我国卫星互联网体系的安全基因内置，围绕星网的原生安全能力验证以及未来承载的互联网应用开展相应的科学实验验证，从源头上确保安全。
　　大东：是的，＂天蛛＂的第一步是建设卫星互联网攻防仿真验证平台，建立卫星互联网全仿真模拟环境和面向卫星互联网的攻防环境，实现卫星互联网场景攻防演练，并建立外部真实环境与业务接入机制。
　　小白：明白了，这就是要模拟攻防场景，提前发现问题，在攻防环境的基础上推动安全研究发展。
　　N0.7 社交平台cookie出卖了你——木马FFdroider欲窃取你的账户信息
　　1. 事件穿越
　　大东：在2022年4月初，可为云计算提供安全服务的美国某公司研究人员发现了一种新型恶意软件，即Win32.PWS.FFDroider的软件（简称FFDroider）。
　　小白：这款软件发动过攻击事件吗？
　　大东：据该安全研究团队称，FFDroider模仿了消息应用程序Telegram，而后者是被广泛使用的。为了执行攻击，FFDroider会首先访问用户的设备，如PC。之后，FFDroider会从包括Google Chrome、Mozilla Firefox、Internet Explorer 和 Microsoft Edge在内的浏览器窃取cookie和凭证等数据。
　　2. 事件影响
　　小白：窃取了cookie后，攻击者会执行哪些攻击呢？
　　大东：FFDroider利用盗来的cookie，帮助攻击者登录用户的社交媒体平台，对账户信息进行提取，之后利用这些信息窃取更多的敏感信息或个人信息，比如通过展示虚假广告，诱骗用户输入敏感信息，通过这种手段进行进一步的攻击。
　　小白：这款恶意软件主要会针对哪些平台发动攻击呢？
　　大东：该公司表示，这款恶意软件对某社交平台的攻击效果最为明显。另外，其他目标还包括电子商务平台如亚马逊、eBay和Etsy等的用户。一旦窃取了用户个人信息，犯罪分子就可以以此进行欺诈和盗取金钱等不法行为。
　　3. 小白内心说
　　小白：那对于这个恶意程序，我们应当采取哪些防御措施呢？
　　大东：为了避免类似事件发生，对于个人用户来说，我们需要提高自身安全意识，尽可能下载官方网站来源的软件，对下载的文件进行必要的安全检查。
　　小白：对于事业单位呢？
　　大东：为增强企事业单位内部的网络安全，首先应加强对员工的培训和教育，增强网络安全意识，其次，应把终端安全软件安装在每一台主机上，并限制单位员工个人使用非官网渠道下载安装程序，以保障内部网络的安全性。
　　N0.6 针对航空公司的＂污水＂攻击
　　1. 事件穿越
　　小白：东哥，我最近研究APT方面的知识，发现各种案例都有，竟然还有不法分子攻击航空公司的案例，真是骇人听闻！
　　大东：你这一说，我倒是想起来前一阵被公布的一则安全分析报告，这个报告与一家亚洲航空公司相关。该航空公司被分析出了潜在威胁，而且潜在攻击者疑似是一个伊朗APT组织。
　　小白：那这次针对亚洲航空公司的疑似APT组织是何方神圣呢？
　　大东：它是一个非常活跃的全球性黑客组织，名为ITG17，又称＂Muddy Water＂。＂污水＂（MuddyWater）APT组织这次攻击活动始于2019年，目标是一家亚洲航空公司，以窃取航班预订数据。
　　2. 事件影响
　　小白：原来是要从订单数据上做手脚，仔细想想航空订单数据泄露可不是小事啊！
　　大东：没错，一旦掌握了足够的订单信息，就可提取某些关键人物的近期航班动向，进而可对其活动区域进行定点监控，执行某些后续攻击。
　　3. 小白内心说
　　小白：东哥，面对此次针对亚洲航空公司的APT攻击，我们该采取怎样的防御措施将这种潜在攻击扼杀在摇篮中呢？
　　大东：从2017年被曝光以来，MuddyWater APT组织不但没有停止攻击，反而更加积极地改进攻击的武器。要做出防御就要从分析该组织的攻击技术入手。
　　小白：我们该如何应对呢？
　　大东：广大用户一定不要随便打开来历不明的邮件的附件，并且做好杀毒软件等安全软件的安装。目前已经有了专门的威胁检测系统可以防御这种攻击。
　　来源：中国科学院信息工程研究所
　　本账号稿件默认开启微信＂快捷转载＂
　　转载请注明出处
　　其他渠道转载请联系 weibo@cashq.ac.cn