安全行动,只为中国(三)—— 重大事件分析研判与高危漏洞响应篇

安全行动,只为中国(三)—— 重大事件分析研判与高危漏洞响应篇

时间 :  2024年10月05


国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。

威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。

2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。

今天带来,安天应急处置与威胁分析工作轨迹的第三部分——重大事件分析研判与高危漏洞响应篇

安天参与和支撑了2005年后多起重大的网络安全相关事件的验证、研判等工作,基于自身的分析能力与体系,为主管部门、战略客户提供决策参考,为公众提供客观、理性、真实的事件信息。

在威胁中,安天的最早分析工作入手点是围绕恶意代码样本/执行体展开的,漏洞分析本身并不是安天分析工作的主视角。在早期蠕虫分析过程中,仅对可蠕虫化(远程执行)的漏洞进行预警判断并作为蠕虫传播机理分析的一部分。在2008年后,随着更多严重漏洞被攻击者定向利用,而不是跟随蠕虫传播曝光,安天逐渐将严重漏洞的响应分析,从蠕虫分析的流程中解耦出来,形成一套主要围绕着漏洞分析->漏洞利用检测->漏洞缓解工作展开的工作方法。逐渐完善了包括漏洞情报收集、漏洞验证、影响范围评估、漏洞利用技术分析、修复建议制定和应急响应策略规划的流程,提升了安天引擎对漏洞利用载荷的检测能力和产品缓解和防护漏洞的能力。

我们将在上述工作中,摘取已经公开发布的部分,汇聚成为本篇索引。

重大事件分析研判与高危漏洞响应篇

2007年5月

事件:赛门铁克误杀微软 Windows XP 中文补丁导致系统蓝屏事件

贡献:通过深度对比多语言版本、补丁和原版本差异、相关杀毒软件报警原因分析,准确的判断了事件原因

更多信息参见:

《关于赛门铁克查杀中文XP系统文件问题的事件分析》

安天技术文章汇编(三)

2008年10月

漏洞:Windows SMB服务漏洞(MS08-067)

贡献:分析报告、原理及检测方法

更多信息参见:

《Windows SMB服务(MS08-067)(漏洞分析和响应)》

安天技术文章汇编(二)

2013年7月

事件:斯诺登

贡献:斯诺登效应的前因解读

斯诺登事件相关信息关系图

更多信息参见:

斯诺登效应的前因解读(中国计算机学会通讯发表)

2014年4月

漏洞:心脏出血(Heartbleed) CVE-2014-0160

贡献:深入机理分析、漏洞机理和缓解方法科普、提供网络检测方法

心脏出血漏洞形象图

更多信息参见:

CVE-2014-0160(TLS心跳读远程信息泄露)漏洞简述与网络侧检测建议

Heartbleed漏洞(CVE-2014-0160)FAQ

《安天技术文章汇编热点事件专题(第一分册)》

事件:winXP停止服务

贡献:微软安全演进的启示、操作系统安全性思考

更多信息参见:

XP停服后对安全威胁版图的影响(YOCSEF特别论坛会议报告)

《安天技术文章汇编热点事件专题(第二分册)》

2014年9月

漏洞:“破壳”漏洞(CVE-2014-6271)

贡献:漏洞机理分析、恶意代码关联分析、历史演进分析

“破壳”漏洞(CVE-2014-6271)报告封面

更多信息参见:

Bash远程代码执行漏洞“破壳”(CVE-2014-6271)分析

“破壳”漏洞相关恶意代码样本分析报告 ——“破壳”相关分析之二

"破壳"漏洞的关联威胁进化与类UNIX系统的恶意代码现状 ——“破壳”相关分析之三

《安天技术文章汇编.热点事件卷(第二分册)》

2014年9月

漏洞:“沙虫”漏洞(CVE-2014-4114)

贡献:漏洞机理深入分析、细粒度漏洞配置环境分析、恶意代码关联分析、历史演进分析

“沙虫”漏洞(CVE-2014-4114)形象图

更多信息参见:

沙虫(CVE-2014-4114)相关威胁综合分析报告

《安天技术文章汇编.热点事件卷(第二分册)》

2015年9月

事件:Xcode非官方供应链污染(XcodeGhost)

贡献:事件深度分析报告、事件影响范围细粒度排查

Xcode非官方版本恶意代码污染事件(XcodeGhost)报告封面

Xcode非官方供应链污染事件示意图

更多信息参见:

Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述

2016年1月

事件:乌克兰电力系统遭受攻击事件

贡献:从早期僵尸网络传播到最终攻击完整复盘、准确判断致效机理、提出处置建议

乌克兰电力系统遭受攻击事件报告封面

乌克兰电力系统遭受攻击事件可视化复现视频

更多信息参见:

乌克兰电力系统遭受攻击事件综合分析报告

2017年5月

事件:全球爆发大规模勒索攻击“魔窟”(WannaCry)MS17-010

贡献:首发完整分析、专杀、免疫工具、内存密钥提取(恢复)工具、溯源支撑

“魔窟”(WannaCry)MS17-010深度分析报告封面

更多内容参见:

安天针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告

安天应对勒索软件“WannaCry”防护手册

安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析

安天蠕虫式勒索软件WannaCry免疫工具FAQ 4

应对勒索软件“WannaCry”,安天发布开机指南

2017年6月

事件:伪装勒索攻击的攻击金融等基础设施事件

贡献:第一时间猜测出是伪装为勒索病毒的毁瘫攻击、提出防范建议

Petya攻击某行业事件可视化复现

更多信息参见:

针对攻击乌克兰等国的“必加”(PETYA)病毒分析与应对

2017年9月

漏洞:蓝牙协议漏洞

贡献:发布报告、攻击验证

安天针对外设、短距通信等相关领域安全的研究

更多信息参见:

安天基于蓝牙协议漏洞的BlueBorne攻击综合分析报告

2018年1月

漏洞:Meltdown(熔毁)和Spectre(幽灵)

贡献:率先预警、漏洞分析、漏洞验证

Meltdown(熔毁)和 Spectre(幽灵)分析报告首页

更多信息参见:

处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告

Meltdown攻击与CPU体系结构的简明FAQ

处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)FAQ

安天热点事件专题(第五分册)

2019年3月

事件:委内瑞拉大规模停电事件

贡献:联合广东省电力系统发布报告

委内瑞拉大规模停电事件报告封面

更多信息参见:

委内瑞拉大规模停电事件的初步分析与思考启示

2020年3月

事件:美向俄电网植入恶意代码

贡献:事件总结、提出实战化威胁猎杀

安天威胁猎杀流程概览视图

更多信息参见:

实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示

2020年3月

漏洞:微软SMBv3(CVE-2020-0796)

贡献:漏洞原理分析、免疫工具

CVE-2020-0796 SMBv3漏洞免疫工具

更多信息参见:

安天剖析微软SMBv3高风险漏洞并发布免疫工具

2020年12月

事件:FireEye红队工具失窃

贡献:分析报告、排查方法和思考

更多信息参见:

FireEye红队工具失窃事件分析和思考

FireEye红队工具失窃事件跟进分析

2020年12月

事件:SolarWinds旗下软件被用于供应链攻击事件

贡献:分析报告

SolarWinds事件相关恶意代码预制+网管软件沦为RAT的威胁框架图谱叠

更多信息参见:

SolarWinds旗下软件被用于供应链攻击事件分析

2021年5月

事件:美国最大成品油管道运营商Colonial Pipeline遭到网络攻击

贡献:分析报告、提供研判和建议

关于美燃油管道商遭勒索攻击事件相关报告封面

更多信息参见:

关于美燃油管道商遭勒索攻击关停事件的初步研判和建议

关于美燃油管道商遭勒索攻击事件样本与跟进分析

针对美燃油管道商遭勒索攻击关停事件总结

2021年12月

漏洞:Apache Log4j 2远程代码执行

贡献:提供排查方法、处置建议、解决方案

更多信息参见:

Apache Log4j 2远程代码执行漏洞的排查与处置建议

Log4j安全漏洞的云主机场景响应实践

Log4j漏洞何时休 安天RASP来解忧

2023年10月

漏洞:Curl高危漏洞(CVE-2023-38545)

贡献:分析跟进、多种检测方法、加固方法

更多信息参见:

Curl高危漏洞(CVE-2023-38545)分析报告及建议

2023年12月

事件:波音遭遇勒索攻击事件

贡献:针对最活跃的LockBit勒索攻击组织,以其攻击波音活动为典型案例进行深入分析解析。总结了RaaS+定向勒索攻击规律,提出防范建议。

“LockBit组织”针对波音的勒索攻击事件可视化复现

更多信息参见:

波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考

2024年7月

事件:CrowdStrike导致大规模系统崩溃事件

贡献:完整机理分析、提供应急解决方案、临时处置工具

安天临时处置工具CrowdStrike_Crash_Fix

CrowdStrike导致大规模系统崩溃事件技术报告封面

更多信息参见:

CrowdStrike导致大规模系统崩溃事件的技术分析 ———— 暨对“猎鹰折羽”的沉思

CrowdStrike的库加载和快速升级机制的分析笔记

伪装成CrowdStrike修复文件的攻击活动分析

2024年08月

漏洞:Windows Server RDL 远程执行漏(CVE-2024-38077)

贡献:应急工具缓急漏洞

CVE-2024-38077漏洞应急工具

2024年09月

事件:黎巴嫩寻呼机(BP机)事件研判分析

贡献:分析相关机理和触发过程、提供深度分析报告

黎巴嫩寻呼机(BP机)爆炸事件研判分析报告封面

更多信息参见:

黎巴嫩寻呼机(BP机)爆炸事件研判分析

早期安天历史分析报告和技术文献,刊载于《安天技术文章汇编》。历史全部十余卷,十余分册技术文章汇编电子版,均已在安天信息情报平台上线。安天信息情报平台,同时包括安天历史已公开分析报告PDF版本。有意成为安天情报平台用户的可联系iia_sales@antiy.cn。