安全行动,只为中国(三)—— 重大事件分析研判与高危漏洞响应篇
时间 : 2024年10月05
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。
2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。
今天带来,安天应急处置与威胁分析工作轨迹的第三部分——重大事件分析研判与高危漏洞响应篇。
安天参与和支撑了2005年后多起重大的网络安全相关事件的验证、研判等工作,基于自身的分析能力与体系,为主管部门、战略客户提供决策参考,为公众提供客观、理性、真实的事件信息。
在威胁中,安天的最早分析工作入手点是围绕恶意代码样本/执行体展开的,漏洞分析本身并不是安天分析工作的主视角。在早期蠕虫分析过程中,仅对可蠕虫化(远程执行)的漏洞进行预警判断并作为蠕虫传播机理分析的一部分。在2008年后,随着更多严重漏洞被攻击者定向利用,而不是跟随蠕虫传播曝光,安天逐渐将严重漏洞的响应分析,从蠕虫分析的流程中解耦出来,形成一套主要围绕着漏洞分析->漏洞利用检测->漏洞缓解工作展开的工作方法。逐渐完善了包括漏洞情报收集、漏洞验证、影响范围评估、漏洞利用技术分析、修复建议制定和应急响应策略规划的流程,提升了安天引擎对漏洞利用载荷的检测能力和产品缓解和防护漏洞的能力。
我们将在上述工作中,摘取已经公开发布的部分,汇聚成为本篇索引。
重大事件分析研判与高危漏洞响应篇
2007年5月
事件:赛门铁克误杀微软 Windows XP 中文补丁导致系统蓝屏事件
贡献:通过深度对比多语言版本、补丁和原版本差异、相关杀毒软件报警原因分析,准确的判断了事件原因
更多信息参见:
《关于赛门铁克查杀中文XP系统文件问题的事件分析》
安天技术文章汇编(三)
2008年10月
漏洞:Windows SMB服务漏洞(MS08-067)
贡献:分析报告、原理及检测方法
更多信息参见:
《Windows SMB服务(MS08-067)(漏洞分析和响应)》
安天技术文章汇编(二)
2014年4月
漏洞:心脏出血(Heartbleed) CVE-2014-0160
贡献:深入机理分析、漏洞机理和缓解方法科普、提供网络检测方法
心脏出血漏洞形象图
更多信息参见:
CVE-2014-0160(TLS心跳读远程信息泄露)漏洞简述与网络侧检测建议
Heartbleed漏洞(CVE-2014-0160)FAQ
《安天技术文章汇编热点事件专题(第一分册)》
2014年9月
漏洞:“破壳”漏洞(CVE-2014-6271)
贡献:漏洞机理分析、恶意代码关联分析、历史演进分析
“破壳”漏洞(CVE-2014-6271)报告封面
更多信息参见:
Bash远程代码执行漏洞“破壳”(CVE-2014-6271)分析
“破壳”漏洞相关恶意代码样本分析报告 ——“破壳”相关分析之二
"破壳"漏洞的关联威胁进化与类UNIX系统的恶意代码现状 ——“破壳”相关分析之三
《安天技术文章汇编.热点事件卷(第二分册)》
2014年9月
漏洞:“沙虫”漏洞(CVE-2014-4114)
贡献:漏洞机理深入分析、细粒度漏洞配置环境分析、恶意代码关联分析、历史演进分析
“沙虫”漏洞(CVE-2014-4114)形象图
更多信息参见:
《安天技术文章汇编.热点事件卷(第二分册)》
2015年9月
事件:Xcode非官方供应链污染(XcodeGhost)
贡献:事件深度分析报告、事件影响范围细粒度排查
Xcode非官方版本恶意代码污染事件(XcodeGhost)报告封面
Xcode非官方供应链污染事件示意图
更多信息参见:
2016年1月
事件:乌克兰电力系统遭受攻击事件
贡献:从早期僵尸网络传播到最终攻击完整复盘、准确判断致效机理、提出处置建议
乌克兰电力系统遭受攻击事件报告封面
乌克兰电力系统遭受攻击事件可视化复现视频
更多信息参见:
2017年5月
事件:全球爆发大规模勒索攻击“魔窟”(WannaCry)MS17-010
贡献:首发完整分析、专杀、免疫工具、内存密钥提取(恢复)工具、溯源支撑
“魔窟”(WannaCry)MS17-010深度分析报告封面
更多内容参见:
2017年6月
事件:伪装勒索攻击的攻击金融等基础设施事件
贡献:第一时间猜测出是伪装为勒索病毒的毁瘫攻击、提出防范建议
Petya攻击某行业事件可视化复现
更多信息参见:
2018年1月
漏洞:Meltdown(熔毁)和Spectre(幽灵)
贡献:率先预警、漏洞分析、漏洞验证
Meltdown(熔毁)和 Spectre(幽灵)分析报告首页
更多信息参见:
处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告
处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)FAQ
安天热点事件专题(第五分册)
2020年3月
事件:美向俄电网植入恶意代码
贡献:事件总结、提出实战化威胁猎杀
安天威胁猎杀流程概览视图
更多信息参见:
2020年3月
漏洞:微软SMBv3(CVE-2020-0796)
贡献:漏洞原理分析、免疫工具
CVE-2020-0796 SMBv3漏洞免疫工具
更多信息参见:
2020年12月
事件:SolarWinds旗下软件被用于供应链攻击事件
贡献:分析报告
SolarWinds事件相关恶意代码预制+网管软件沦为RAT的威胁框架图谱叠
更多信息参见:
2021年5月
事件:美国最大成品油管道运营商Colonial Pipeline遭到网络攻击
贡献:分析报告、提供研判和建议
关于美燃油管道商遭勒索攻击事件相关报告封面
更多信息参见:
2023年12月
事件:波音遭遇勒索攻击事件
贡献:针对最活跃的LockBit勒索攻击组织,以其攻击波音活动为典型案例进行深入分析解析。总结了RaaS+定向勒索攻击规律,提出防范建议。
“LockBit组织”针对波音的勒索攻击事件可视化复现
更多信息参见:
2024年7月
事件:CrowdStrike导致大规模系统崩溃事件
贡献:完整机理分析、提供应急解决方案、临时处置工具
安天临时处置工具CrowdStrike_Crash_Fix
CrowdStrike导致大规模系统崩溃事件技术报告封面
更多信息参见:
2024年08月
漏洞:Windows Server RDL 远程执行漏(CVE-2024-38077)
贡献:应急工具缓急漏洞
CVE-2024-38077漏洞应急工具
2024年09月
事件:黎巴嫩寻呼机(BP机)事件研判分析
贡献:分析相关机理和触发过程、提供深度分析报告
黎巴嫩寻呼机(BP机)爆炸事件研判分析报告封面
更多信息参见:
早期安天历史分析报告和技术文献,刊载于《安天技术文章汇编》。历史全部十余卷,十余分册技术文章汇编电子版,均已在安天信息情报平台上线。安天信息情报平台,同时包括安天历史已公开分析报告PDF版本。有意成为安天情报平台用户的可联系iia_sales@antiy.cn。