政府受网络攻击案例实探

来源:办公信息化安全处 李栋 邱崚岭   时间:2016-06-20

随着互联网快速发展和信息化程度的不断提高,国家安全的边界已经超越地理空间的限制,开始拓展到信息网络,网络安全成为事关国家安全的重要问题。电子政务因其流转信息的敏感性特点,一直以来都是网络攻防领域的主战场。

近期,网安部在国家某政府部门成功处理一起特种木马攻击事件。攻击样本经取证分析,与“海莲花(OceanLotus)APT攻击样本吻合。初步判定,这是一起针对我国政府部门的APT攻击。攻击目标涉及多个重要机构,如不及时处理,恐将造成严重后果。

所谓APT,即高级持续性威胁,是指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。攻击者在发动攻击前,往往根据目标特点,制定针对性的攻击计划,以提高成功率。来自360天眼实验室的统计显示,“海莲花”近两年来活跃度日益提高,攻击范围和严重程度也日益增大。

        

1. “海莲花(OceanLotus)APT活跃统计

此次受攻击事件,攻击者采用的是“鱼叉式”攻击手法。所谓“鱼叉式”攻击,常见为攻击者将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马。本次事件中攻击者伪造了一封主题为“年终工作总结”的邮件,邮件内容经过精心构造,伪装性极强,诱使用户下载附件并点击阅读。用户点击附件后木马被释放,隐藏于后台运行并随用户开机自启动。该木马具有较强的对抗性和隐蔽性特点,可识别宿主环境是否为虚拟机以逃避安全人员检测。在感染目标主机后,木马会执行一系列复杂动作,将自身伪装成QQ程序,并注入系统合法进程以和国外主机隐蔽通讯。其伪装过程十分复杂,可谓被攻击者精心构造,如下图所示:

                    

2. 木马伪装过程剖析图

这次攻击事件给我们带来警示,办公人员在日常信息化办公过程中,要提高安全意识,谨防落入恶意分子的攻击陷阱。以下是应对钓鱼邮件攻击的几点提醒:

1.  谨慎查阅来源陌生的邮件

注意观察发信人昵称、主题、邮箱地址等文字是否符合日常的工作交流语义环境。

2.  谨慎下载并执行邮件附件

在执行附件之前,留意附件的文件类型是文档还是可执行程序,以本次事件为例,木马和正常文档的外观对比如下:



查看附件文件类型,还可以通过鼠标右键点击文件名,选择属性菜单,在弹出窗口中查看,如下图:


对于所下载的附件,一定要先检查其文件类型,对文件类型为应用程序(.exe)的文件要提高警惕,确认来源是否可靠,谨慎打开。

信息时代下,我国政府机构的网络攻防形势日益复杂,暗流涌动。我们将继续发挥部门在网络安全领域的技术和经验优势,为政府网络安全保卫工作尽自己一份力量。





主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919