2018年國內外資訊保安相關大事件

縱觀2018年網路安全事件，網路犯罪分子攻擊手段變幻莫測，除了零日漏洞的利用外，勒索軟體、惡意挖礦大行其道，區塊鏈領域險象環生，暗網資料洩露更是層出不窮，而且攻擊渠道日益變幻，IoT裝置、工業網亦成為不法駭客的攻擊重點，以上這些皆都為整個網路空間安全環境帶來全新挑戰。知道創宇404實驗室透過監控、分析全球威脅活動資訊，積極參與各類安全事件應急響應，並結合2018年全年國內外各個安全研究機構、安全廠商披露的重大網路攻擊事件，基於這些重大攻擊事件的攻擊技術、危害程度等，評選出2018年資訊保安相關大事件。

——國際篇——

1. Memcache DDoS攻擊

2018年3月1日，Github遭受遭 1.35TB 大小的DDoS攻擊，隨後的幾天，NETSCOUT Arbor 再次確認了一起由 Memcache DDoS 造成的高達 1.7 Tbps 的反射放大DDoS 攻擊。在2018年上半年虛擬貨幣價值飆升、黑灰產轉向至挖礦領域、反射放大攻擊持續下降的情況下，利用Memcache DDoS 造成如此大流量的攻擊，其威力可見一斑。

2. Cisco路由器被攻擊事件

2018年1月，Cisco官方釋出了一個有關Cisco ASA防火牆webvpn遠端程式碼執行漏洞的公告。2018年3月，Cisco官方釋出了Cisco Smart Install遠端命令執行漏洞的安全公告。這兩個漏洞都是未授權的遠端命令執行漏洞，攻擊者無需登入憑證等資訊即可成功實施攻擊。2018年4月6日，一個名為"JHT"的駭客組織攻擊了包括俄羅斯和伊朗在內的多個國家網路基礎設施，遭受攻擊的Cisco裝置的配置檔案會顯示為美國國旗，所以該事件又被稱為"美國國旗"事件。

3. 供應鏈攻擊

供應鏈攻擊一直以隱蔽、高效著稱。2018年供應鏈攻擊在不同層面都有發生、發生原因也不盡相同。有火絨安全最先曝光的針對驅動人生公司進行的攻擊，有由於NodeJS庫作者隨意給相關庫許可權導致被攻擊者植入後門的攻擊，也有感染易語言模組並使用“微信支付”進行勒索的勒索病毒。供應鏈中任何薄弱的地方都有可能導致供應鏈攻擊的發生。

4. GPON遠端命令執行漏洞

2018年4月30日，vpnMentor公佈了GPON路由器的兩個高危漏洞，繞過驗證漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)。結合這兩個漏洞，只需要傳送一次請求就可以在GPON路由器上執行任意命令。在該漏洞披露後的十天內，該漏洞就已經被多個殭屍網路家族整合、利用、在公網上以蠕蟲的方式傳播。

5. Java反序列化漏洞

2018年的Java反序列化漏洞還在持續爆發，在知道創宇404實驗室2018年應急的漏洞中，受此影響最嚴重的是WebLogic，該軟體是美國Oracle公司出品的一個Application Server。2018年知道創宇404實驗室應急了5個WebLogic的反序列化漏洞。由於Java反序列化漏洞可以實現執行任意命令的攻擊效果，是駭客用來傳播病毒，挖礦程式等惡意軟體的攻擊方法之一。

6. Drupal遠端程式碼執行漏洞(Drupalgeddon2)

Drupal是使用PHP編寫的開源內容管理框架，Drupal社群是全球最大的開源社群之一，全球有100萬個網站正在使用Drupal，今年3月份，Drupal安全團隊披露了一個非常關鍵的(21/25 NIST等級)漏洞，被稱為Drupalgeddon 2(CVE-2018-7600)，此漏洞允許未經身份驗證的攻擊者進行遠端命令執行操作。

7. 資料洩漏事件

2018年多起大型資料洩漏事件被曝光，2018年6月12日，知道創宇暗網雷達監控到國內某影片網站資料庫在暗網出售。2018年8月28日，暗網雷達再次監控到國內某酒店開房資料在暗網出售。2018年11月30日，某公司釋出公告稱，旗下某酒店資料庫遭入侵，最多約5億客人資訊被洩漏。2018年12月，一推特使用者發文稱國內超2億使用者的簡歷資訊遭到洩漏。除此之外，facebook向第三方機構洩漏個人資訊資料也引起了極大的關注。隨著暗網使用者的增多，黑市及加密數字貨幣的發展，暗網威脅必定會持續增長，知道創宇404安全研究團隊會持續透過技術手段來測繪暗網，提供威脅情報，追蹤和對抗來自暗網的威脅。

8. EOS平臺遠端命令執行漏洞

2018年5月末，360公司Vulcan(伏爾甘)團隊發現EOS平臺的一系列高危漏洞，部分漏洞可以在EOS節點上遠端執行任意程式碼。這也就意味著攻擊者可以利用這個漏洞直接控制和接管EOS上執行的所有節點。從漏洞危害等方面來說，稱該漏洞為“史詩級”名副其實。

9. 多個區塊鏈專案RPC介面安全問題

2018年3月20日，慢霧區和BLOCKCHAIN SECURITY LAB揭秘了以太坊黑色情人節事件(以太坊偷渡漏洞)相關攻擊細節。2018年8月1日，知道創宇404實驗室在前者的基礎上結合蜜罐資料，補充了後偷渡時代多種利用以太坊RPC介面盜幣的利用方式：離線攻擊、重放攻擊和爆破攻擊。2018年08月20日，知道創宇404實驗室再次補充了一種攻擊形式：“拾荒攻擊”。RPC介面並非以太坊獨創，其在區塊鏈專案中多有應用。2018年12月1日，騰訊安全聯合實驗室對NEO RPC介面安全問題提出預警。區塊鏈專案RPC介面在方便交易的同時，也帶來了極大的安全隱患。

10. 區塊鏈智慧合約相關漏洞

區塊鏈安全漏洞很多都出現在智慧合約上。昊天塔(HaoTian)”是知道創宇404區塊鏈安全研究團隊獨立開發的用於監控、掃描、分析、審計區塊鏈智慧合約安全自動化平臺。將智慧合約各種審計過程中遇到的問題總結成漏洞模型，並彙總為《知道創宇以太坊合約審計CheckList》。涵蓋了超過29種會在以太坊審計過程中會遇到的問題，其中部分問題更是會影響到 74.49% 已公開原始碼的合約。、

隨著2017年年末的一款名為CryptoKitties(以太貓)的區塊鏈遊戲爆火，智慧合約DApp成了2018年區塊鏈發展的主旋律。2018年4月22日，攻擊者利用BEC智慧合約轉賬函式中的一處乘法溢位漏洞，清空了BEC的所有合約代幣。2018年7月24日，外國的一位安全研究者利用Fomo3D的Airdrop特性加上隨機數漏洞，讓Fomo3D損失了空投池中所有的代幣。2018年8月22日，Fomo3D第一輪大獎被開出，攻擊者利用以太坊底層的交易順序問題獲得了超過10000枚以太幣，這個漏洞的曝光也標誌著對交易順序依賴的智慧合約正式的死亡。包括以太坊DApp和EOS DApp在內，從實際的安全漏洞到業務安全問題，智慧合約安全漏洞直接威脅著代幣安全，這也標誌著智慧合約會經受著更大挑戰。

——國內篇——

1. 驅動人生供應鏈事件

2018年12月14日下午，一款透過“驅動人生”升級通道進行傳播的木馬突然爆發，在短短兩個小時的時間內就感染了十萬臺電腦。透過後續調查發現，這是一起精心策劃的供應鏈入侵事件。

2. 資料洩漏事件

2018年6月12日，知道創宇暗網雷達監控到國內某影片網站資料庫在暗網出售。2018年8月28日，暗網雷達再次監控到國內某酒店開房資料在暗網出售。2018年12月，一推特使用者發文稱國內超2億使用者的簡歷資訊遭到洩漏。除此之外，facebook向第三方機構洩漏個人資訊資料也引起了極大的關注。隨著暗網使用者的增多，黑市及加密數字貨幣的發展，暗網威脅必定會持續增長，知道創宇404安全研究團隊會持續透過技術手段來測繪暗網，提供威脅情報，追蹤和對抗來自暗網的威脅。

3. 勒索病毒繼續在內網肆虐

2018年勒索病毒在永恆之藍漏洞的助力下繼續在內網肆虐。2018年11月，知道創宇404實驗室捕獲到一款名為 Lucky 的勒索病毒。在對病毒加密演算法進行分析後，知道創宇404安全研究團隊釋出了該勒索病毒的解密工具()。

4. 虛擬貨幣交易所被攻擊等事件

2018年上半年是區塊鏈行業飛速發展的時期。區塊鏈行業發展速度與安全建設速度的不對等造成安全事件頻發。除區塊鏈本身的問題外，虛擬貨幣交易所等也是駭客攻擊的主要目標之一。入侵交易所、透過交易所漏洞間接影響幣價等攻擊方式都是駭客常用的攻擊手法。在這些攻擊背後，往往都會造成巨大的損失。

5. Weblogic元件多個遠端命令執行漏洞

2018年知道創宇404實驗室應急了5個WebLogic的反序列化漏洞(CVE-2018-2628/2893/3245/3191/3252)。由於Java反序列化漏洞可以實現執行任意命令的攻擊效果，這些漏洞都成為了駭客傳播病毒，挖礦程式等惡意軟體的攻擊方法之一。

6. “應用克隆”攻擊

2018年1月9日，騰訊安全玄武實驗室和知道創宇404實驗室聯合披露攻擊威脅模型“應用克隆”。值得一提的是，幾乎所有的移動應用都適用該攻擊威脅模型。在該攻擊威脅模型下，攻擊者可以“克隆”使用者賬戶，實現竊取隱私資訊、盜取賬號和資金等操作。

7. ZipperDown 通用漏洞

2018年5月，盤古實驗室在對IOS應用安全審計過程中發現了一類通用安全漏洞，可能影響10%的IOS應用。該漏洞被取名為 ZipperDown。根據盤古實驗室披露的資訊，微博、陌陌、網易雲音樂、QQ 音樂、快手等流行應用受影響。

8. 智慧門鎖安全需要被重視

隨著物聯網的發展，智慧門鎖應運而生，智慧門鎖的安全性卻一直頗受爭議。2018年5月26日，第九屆中國(永康)國際門業博覽會上王海麗女士就透過特斯拉線圈開啟了八家品牌商的智慧門鎖。除此之外，透過手機/指紋等方式開鎖也引入了新的攻擊面，重放等方式的攻擊大放異彩。智慧門鎖廠家對智慧門鎖本身安全的不重視也讓智慧門鎖漏洞被曝光後不修復或未完全修復成為了常態。

9. WEB應用程式0day攻擊事件

2018年6月13日，知道創宇404積極防禦團隊透過知道創宇旗下雲防禦產品“創宇盾”防禦攔截並捕獲到一個針對某著名區塊鏈交易所網站的攻擊，透過分析，發現攻擊者利用的正式ECShop 2.x版本的0day漏洞攻擊。於2018年6月14日，提交到知道創宇Seebug漏洞平臺並收錄。

2018年12月10日，ThinkPHP官方釋出《ThinkPHP 5.\*版本安全更新》，修復了一個遠端程式碼執行漏洞。經過知道創宇404實驗室積極防禦團隊排查相關日誌，該漏洞尚處於0day階段時就已經被用於攻擊多個虛擬貨幣類、金融類網站。在漏洞詳情披露後的一週時間內，該漏洞就已經被殭屍網路整合到惡意樣本並透過蠕蟲的方式在網路空間傳播。

在2018年區塊鏈虛擬貨幣價格高漲的刺激下 網路黑產利用0day攻擊虛擬貨幣/金融類網站日益增多。

10. xiongmai攝像頭漏洞影響數百萬攝像頭

2018年多個廠商/型號的攝像頭被披露出多個漏洞。在知道創宇404實驗室應急的漏洞中，影響裝置數量最多的要屬Xiongmai IP攝像頭。透過ZoomEye搜尋引擎能得到200萬的Xiongmai裝置暴露在公網上，但是透過列舉Cloud ID，能訪問到約900萬Xiongmai裝置。並且該裝置還存在著硬編碼憑證和遠端程式碼執行漏洞，如果這些裝置被用來傳播殭屍網路，將會給網路空間造成巨大的危害。