黑链暗链事件的爆发式增长

建议

勒索软件开始进入一个百花争艳的时期，不幸的是，正因为这样才造成了企业大规模的损失。一个潘多拉魔盒已经被打开，勒索软件及服务模式已经被广泛用于勒索病毒，勒索软件行业竞争越来越激烈，这也会导致未来勒索软件可能层出不穷，防不胜防。企业需要修补安全漏洞
，提高员工安全意识，才是减少风险的正确选择，尽可能的避免对自身带来损失。### 黑链暗链事件的爆发式增长
黑链暗链自始至终都是黑灰产业中重要的组成部分，多年以来，长盛不衰。最近几年，得利于互联网的高速发展、网民数量增加刺激传统线上黑产爆发增长、以及与互联相关新型经济的涌现（直播、付
费内容等），以赌博、色情、违法业务等为核心内容的黑灰产业得到了极大的发展，也使得挂黑链暗链的需求猛增，在我们日常应急事件处置中，遇到的与黑链暗链的事件数量也大幅增加、逐年上升。

现状

以赌博、色情等为主的非法网站，近些年规模不断扩大，公安部破获的相关重特大案件逐年增加。但随着国家相关部门对互联网
安全事件的重，曾经风靡网络的“挂马、挂链、卖链”产业链已经日趋减少，特别是 2009 年刑法明确“挂马”事件量刑标准之后，多个曾经猖狂一时的“挂马”集团相继落网。但是这条黑色产业链却未因此衰落，随着攻击手段的升级、利益渠道的多元化、不法网站利模式日新月异，以及博彩、色情类网站数量的剧增，对黑帽 SEO需求的加大，“挂黑链暗链”产业大有抬头之势，这也是近年来较为严重的问题。由于暗链的植入是一个通过漏洞利用、后门植入、维护暗链的过程，网站的安全程度与管理员
的维护情况直接相关，这些被攻击站点的沦陷也是由于安全能力与安全意识不到位引起。据不完全检测统计发现，国内有近 6 万站点已被植入暗链 / 黑链，其中普通企业由于体量巨大与安全能力较弱成为了重灾区，紧接着是党政机关、事业企业、医院学校网站，由于 gov 域名具有天然的高权重属性，也是攻击者最中意的高价值目标。例如我们今年跟踪的一起市级机关企业被植入暗链的事件：
图 2.16 某政府网站黑链
我们分析了最近三年与黑链暗链有关的应急响应事件的目标客户群体，做出统计如下：
党政机关 35%
其他 59%
医院与学校
图 2.17 黑链目标客户分布
黑链暗链的猖獗很大程度上是由上游黑产暴利行业的推动，根据我们的数据发现博彩已成为暗链的最大源头，其次为木马病毒、流量劫持，出现相对较少的还有：代孕、色情、私服游戏、开房记录查询这类无法公开宣传推广，需要通过暗链渠道提升搜索排行的黑灰产业：
其他 4%
劫持 19%
病毒木马博彩
图 2.18 黑链类型占比

利益链

黑链暗链利益链条上有很多节点，巨大的经济利益将非法从业者捆绑在上面，其中的每一个节点都有不同的分工和不同的利益分配。
黑客方，即生产者，对高价值域名、网站进行攻击，从而获取网站权限的人，他们将获取的权限卖
给收链的中介，从而获益。
中介，即中间商，从黑客手里买来网站的权限，将黑链暗链以广告位的形式出售或者出租给需求方。甚至向客户（买链方）提高高度定制化的服务，并获得高额的报酬。
买链方，即买家，也是对黑链暗链有需求的人，他们的需求往往比较简单，比如增加网站在搜索引擎上的排名、权重，以及网站日均流量，买链方往往为一些非法网站的拥有者（例如博彩网站主、开设多个色情网站的境外组织等等。
中介会对买链方需求有针对的提供套餐服务，例如下图为某中介提供的暗链级别和对应的价格：
图 2.19 黑链套餐价格
2.5.3 建议

事前的防范
对开发人员进行安全开发培训，提升代码的安全性；项目上线前，需请专业的安全测试人员对项目的安全性做代码审计、风险评估、做黑盒测试等，力求在正式上线前做到万无一失，杜绝高危漏洞。指定完整的应急响应预案，待入侵事件发生时能即时有效地处理。平时对网站内容做好备份。
事后排查与修复
当我们的网站出现暗链之后，要分析暗链的挂点，同时需要请专业的应急人员，对服务器环境进行整体排查，分析攻击的入侵路径，找出恶意文件，清理掉所有暗链黑链，用备份即时还原。并对漏洞处进行有针对性的修复，杜绝此类事件再次发生。

恶意程序隐藏技术在革新发展

从今年应急事件来看，恶意程序隐藏技术在新发展，并且多开始采用脚本文件方式，虽然“永恒之蓝”仍为主要入侵方式，但“无文件落地”方案逐渐成为趋势。
使用脚本程序对恶意程序进行二次开发门槛较低，甚至可以升级为“无文件”攻击方式。但是也存在很明显的缺点，即代码保护问题。使用脚本语言开发会导致代码泄露，恶意程序的代码泄露会直接降低安全分析人员的工作难度，分析人员可以根据源代码快速的制订防护方案，确定 IOC等等，使得只要样本被捕获就会在短时间失效。
为了解决脚本语言的缺陷，会在投放脚本程序时进行一定的安全防护措施，主要为代码混淆，生成可执行文件（exe，msi 等）两种方式。
PowerGhost 可以看作是 WannaMine 的 Powershell 版，内嵌 mimikatz 工具，运行之后会在受害机器进行挖矿，导致 CPU 占用率高，系统卡顿。PowerGhost 使用的防护方式就是代码混淆，代码混淆对于脚本语言来说是一种成本较低，比较成熟的防护方案。
DriverMine 采用的方式就是生成可执行文件。该样本最开始采用驱动人生升级通道进行传播，在 2019 年 3 月进行了频繁的更新。DriverMine采用 python 进行开发，篡改文件头导致不能被简单反编译，之后甚至对 exe 程序进行数据签名，来实现免杀。
捕获样本数
图 2.20 恶意代码类型 TOP15
在一些应急响应事件中，会出现主机有异常行为，但是无法在本地定位可疑程序的情况，这时攻击者很有可能使用的就是无文件落地方案。传统安全防护软件都采用基于落地文件来进行恶意程序识别，这种无文件落地方式可以在一定程度上绕过检测，并且具备更强的隐蔽性。Google Trends 对于 fileless malware( 无文件攻击 ) 的热度变化。
图 2.21 fileless malware 关键字热度变化
采用“无文件”攻击方式的最典型恶意程序就是 MyKings，一个大规模多重僵尸网络。MyKings 自身采用模块化，功能及其繁杂。多采用 bash 脚本语言下载模块的方式运行，模块运行之后再将自身从本地磁盘删除。这时即体现脚本语言的一个优点，即不存在进程占用，可以简单的对脚本文件进行删除。
2019 年 4 月 PowerGhost 进行了一次更新，改进了挖矿木马运行方式，采用在 Powershell 中加载 PE 文件执行的方式，这次在进程管理器中只能看到 Powershell 进程产生恶意行为，实现“无文件落地” 攻击。

入侵事件平均潜伏时间高达天

对 2019 年入侵事件的统计发现，从事件可回溯的首次入侵时间到事件被用户报告或被告知的时间，入侵事件平均潜伏时间高达 359 天，由此可见已发现处理安全事件只是众多安全事件的冰山一角。在事件应急过程中甚至会发现 2012 年潜伏的后门。
一周内一年以上
一个月内一年以内 20% 25%
图 2.22 事件潜伏周期分布
攻击者利用了许多高超的技术来隐藏自身的恶意行为，越来越多的黑客组件偏向于使用系统自带的应用程序和运行环境来伪装自身和对抗反病毒软件。
图 2.23 某远控软件自带反病毒检测功能
同时，利用各种不同的混淆和加密技术加密木马样本和通信流量，加大了安全人员的分析难度，热衷于通过反向后门的方式绕过内部防火墙。并且在成功获取进入内部的权限以后，利用各种持久化技术，长久驻扎在目标的内部网络。然而对于内部的运维人员而言，运维人员的应急响应能力偏弱，并不能马上通过攻击者留下的蛛丝马迹找到攻击来源，阻断后续的攻击。而由于运维人员的安全意识薄弱，给了攻击者在内部网络中快速横向移动的机会。攻击者便会在内部网络中持续监控和潜伏，窃取敏感文件和口令信息。
图 2.24 利用 WMI持久化
随着各个机构和国家对网络安全的重，越来越多的类似攻击事件被上级部门举行的安全演练暴露了出来。有的机构甚至直到接到上级部门的通报以前都并不知晓自身已经被入侵。溯源的时候才发现已经被入侵了很长时间。
运维发现
15% 上级通报
业务异常
51% 演练、渗透测试发现
客户投诉
渗透测试
图 2.25 入侵事件发现原因分布
尽管已经有非常多的入侵事件被披露，但是依旧还有很多未被发现的攻击行为，大多数攻击行为可以明显的看出是为了金钱利益，还有的攻击事件带着明显的政治色彩。并且往往防守都是滞后于攻击，防守的难度远远大于攻击。现有的安全解决方案没有一劳永逸的做法。所以现在的网络安全形势不容乐观。这些攻击行为常常会给目标造成巨大的损失。严重威胁到我国的网络安全建设。
安全防护总是落后一步，所以我们需要做到防患于未然。制订详尽的应急计划，通过定期举行安全
演练可以发现系统的薄弱之处，找出潜在的隐患并及时修复。在日常的运维工作中，关注漏洞预警，及时给系统安装补丁。通过部署防火墙设备及时阻断外部威胁。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 36630.4-2018 信息安全技术信息技术产品安全可控评价指标第4部分：办公套件