本 | 期 | 看 | 点

P04 云中我寄锦书来——“云等保”解读

P22 浅谈网络欺骗防御技术在网络安全领域的应用（上）

目录

P04 云中我寄锦书来——“云等保”解读

家观点专

P14 证券业金融企业网络安全建设进阶——运用攻击者视角搭建

企业防御框架

P22 浅谈网络欺骗防御技术在网络安全领域的应用（上）

P25 浅谈云计算安全风险及防护

P29 瑞士BPC的银行支付系统SmartVista存在SQL注入漏洞

P31 社会工程师劫掠银行 14.2 万美元终被抓

P33 台银行遭黑客入侵被盗六千万美元赃款已大部追回

P35 小而强大的恶意软件 ATMii，能让Win7 和 Vista 系统的

ATM机疯狂吐钞

P37 这款银行木马被发现使用了NSA“永恒之蓝”EXP

业研究行

P40 BadRabbit 样本技术分析与防护方案

P48 AdobeFlashPlayer 远程代码执行漏洞 CVE-2017-11292

安全通告

P51 ApacheTomcat远程代码执行漏洞CVE-2017-12617 威胁

预警通告

P52 WordPress存储型 XSS漏洞威胁预警通告

洞聚焦漏

P54 绿盟科技产品更新提示

P56 绿盟 IPS/IDS 新功能

品动态产

绿盟科技金融事业部

安全月刊2017年第11期

S

CONTENTS

绿盟科技官方微信

绿盟科技金融事业部

安全月刊在线阅读

　家观点专 SS

安全月刊 / 2017.114

专家观点

一种服务提供模型，通过这种模型可以随时、随

地、按需地通过网络访问共享资源池的资源，这个资源

池的内容包括计算资源、网络资源、存储资源等，这些

资源能够被动态地分配和调整，在不同用户之间灵活地

划分。没错，上面描述的正式被认为是继个人电脑、互

联网后的又一个革命性技术—云计算。凡是符合这些特

征的IT服务都可以称为云计算服务，今时今日，云计算

的影响力已经席卷了世界的各个角落，知名市场研究公

司Gartner近期发布报告称，到2020年时，全球云计算市

场的规模将达到4110亿美元。

经过这几年的努力，云计算已经逐步从云端开始落

云中我寄锦书来 ——“云等保”解读金融事业部　王志辉

地，越来越多地开始在实际应用场景中得到使用，随着

应用在云计算环境上的部署与使用，其应用系统和数据

向云计算集中，开始显现发挥集中资源、提高效率、降

低成本并提供全面个性化的服务的优势。但系统和数据

的集中也意味着风险的集中，并给网络安全的保障带来

了更大地挑战。云计算环境下的应用系统和数据安全问

题始终是影响云计算大范围应用和推广的根本原因，安

全问题也必定是系统与数据的所有者、云计算建设的管

理者、服务提供商、设备提供商等IT各方关注的重点。

如果网络安全问题得不到解决，必将极大地制约云计算

的应用和普及。

2017.11 / 安全月刊 5

专家观点

依据第三方安全机构Forrester Research的云安全需

求分布图可以得知，在前十大云安全需求中，排名第一

位就是合规，无论国内国外，公有云、私有云还是专有

本文重点针对已发布的适用面比较广的公安部行标

（GA/T 1390.2—2017）进行解读。希望通过解读内容，

为各行各业上云用户如何满足云等保合规要求提供参

考。

GA/T 1390.2—2017中规定，在云计算环境中，应将

云服务方侧的云计算平台单独作为定级对象定级，云租

户侧的等级保护对象 也应作为单独的定级对象定级。对

于大型云计算平台，应将云计算基础设施和有关辅助服

务系统划分为不同的定级对象。作为等级保护的云扩展

标准，云服务方和云租户等保合规需要在满足《信息安

全技术 信息系统等级保护基本要求》（ GB/T 22239—

2008）基础上，同时满足此要求。

下文重点针对第三级安全要求中的技术要求进行解

读。

云，无一例外的把合规需求排在了云安全的第一位。云

安全合规成为云计算建设的第一驱动力。截止目前，国

内关于云安全合规的要求如下：

规范标准名称 适用对象 内容

关于加强党政部门云计算服务网络安全管理的意见

（中网办发文〔2014〕14 号）党政部门

加强党政部门云计算服务网络安全管理，维护国

家网络安全

《信息安全技术云计算服务安全指南》

（GB/T 31167-2014）政府部门 使用云计算服务时的信息安全管理和技术要求

《信息安全技术云计算服务安全能力要求》

（GB/T 31168-2014）云服务商

为政府部门提供服务时应该具备的信息安全能力

要求

《网络安全等级保护基本要求云计算安全扩展要求》

（征求意见稿）泛等保行业

指导分等级的非涉密云计算系统的安全建设和监

督管理

《国家电子政务外网标准政务云安全要求》

（GW0013—2017）

政务部门

云服务商

规定了云服务客户及政务云服务方应满足的安全

基本要求

《网络安全等级保护基本要求第 2 部分 : 云计算安全

扩展要求》

（GA/T 1390.2—2017）

泛等保行业

公安部行标，规定了不同安全保护等级云计算平

台及云租户业务应用系统的安全保护要求。 适用

于指导分等级的非涉密云计算平台及云租户业务

应用系统的安全建设和监督管理

安全月刊 / 2017.116

专家观点

物理和环境安全

序号 层面 控制点 要求项 安全防护措施

1物理和环

境安全

物理和环

境安全

应确保云计算

基础设施位于

中国境内。

云服务方若在中国境内提供云服务时，必须确保其云计算基础设施位

于中国境内。另外，为党政部门提供云服务的云计算服务平台、数据

中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。

网络和通信安全

序号 层面 控制点 要求项 安全防护措施

1

网络和

通信安全网络架构

a) 确保云计算平台不承载高于其安全

保护等级的业务应用系统 ;

按照“就高不就低”的原则，云计算平台的等

级大于等于其承载的业务应用系统的等级；

2

b) 绘制与当前运行情况相符的虚拟化

网络拓扑结构图，并能对虚拟化网络

资源、网络拓扑进行实时更新和集中

监控 ;

云计算管理平台应支持虚拟化网络拓扑结构的

展现，且应能在发生虚拟化网络资源变更时（新

建虚拟机、虚拟机网络接口变化、虚拟机迁移等）

提供实时更新和集中监控；

3c) 实现不同云租户虚拟网络之间的隔

离 ;

不同云租户的虚拟网络之间应使用隔离技术（例

如、vFW、VPC 等）；

4d) 保证虚拟机只能接收到目的地址包

括自己地址的报文 ;

为保证报文转发的正确性，云计算管理平台应

保证虚拟机只接收目的地址包括自己地址的报

文，避免发生报文转发错误，造成信息泄漏；

5e) 保证云计算平台管理流量与云租户

业务流量分离 ;

这里可以通过使用不同的物理交换机来保证云

平台管理流量与租户业务流量的分离；同时应

能实现宿主机上业务口和管理口的分离；

6f) 能识别、监控虚拟机之间、虚拟机

与物理机之间的流量 ;

虚拟化技术带来的问题之一就是流量不可视，

这里要求能识别和监控虚拟机之间、虚拟机与

物理机间的流量，也只有识别了流量，才可以

进行更深层的防护，尤其是同一台宿主机上多

个虚拟机间通信时，通信流量是不出物理机的，

无法进行监控，为了实现识别和监控，一种比

较好的做法就是将流量从宿主机中引出到外部

网络中来实现；

2017.11 / 安全月刊 7

专家观点

序号 层面 控制点 要求项 安全防护措施

7

网络和

通信安全

网络架构

g) 提供开放接口或开放性安全服务，

允许云租户接入第三方安全产品或在

云平台选择第三方安全服务 ;

应保证云服务方提供的云计算平台是开放的（例

如主流的 Openstack+KVM），应可以通过开

放接口接入第三方安全产品，实现租户安全服

务的多样化，避免租户被绑定；

8

h) 根据云租户业务需求自主设置安全

策略集，包括定义访问路径、选择安

全组件、配置安全策略 ;

云服务方只需提供安全服务，而安全策略集的

设置是由云租户根据自身业务需求进行自主操

作，云服务方提供的安全服务应可以实现云租

户安全的自服务；另外安全服务应该可编排，

从而实现定义访问路径、选择安全组件、配置

安全策略；

9

访问控制

a) 禁止云租户虚拟机访问宿主机 ;为防止“虚拟机逃逸”，云计算管理平台应禁

止云租户虚拟机访问宿主机；

10b) 在虚拟化网络边界部署访问控制机

制，并设置访问控制规则 ;

在云计算环境中，识别虚拟化网络边界，部署

访问控制设备（vFW），并配置 ACL；

11c) 保证当虚拟机迁移时，访问控制策

略随其迁移 ;

虚拟机迁移在云环境中非常常见，为保证迁移

前后访问控制策略的一致，就需要一套集中的

策略管控平台来保障；

12d) 允许云租户设置不同虚拟机之间的

访问控制策略 ;

这一要求与网络架构 h) 中，云租户自主设置安

全策略要求一致

13e) 在不同等级的网络区域边界部署访

问控制机制，设置访问控制规则。

不同安全等级业务系统建议使用不同的物理服

务器来承载，同时其网络区域边界应部署访问

控制设备（FW）

14

入侵防范

a) 能监测到云租户的网络攻击行为，

并能记录攻击类型、攻击时间、攻击

流量等 ;

在云租户的网络边界部署入侵检测系统（IPS/

IDS 或 NGFW），实现网络攻击的监测、告警

和记录，同时应保证入侵检测设备的特征库及

时更新

15b) 能检测到虚拟机与宿主机之间的异

常流量，并进行告警 ;

通过 vIDS 检测虚拟机到宿主机之间的异常流

量，并进行告警

安全月刊 / 2017.118

专家观点

序号 层面 控制点 要求项 安全防护措施

16

网络和

通信安全

入侵防范

c) 向云租户提供互联网发布内容监测

功能，便于云租户对其发布内容中的

有害信息进行实时监测和告警。

云服务方应提供 7*24 小时的网站监测服务

（websafe），全天候针对云租户互联网发布

内容实时监测，发现违规有害信息及时通过短

信、邮件等方式告知云租户

17

安全审计

a) 对云服务方和云租户远程管理时执

行特权命令进行审计，至少包括虚拟

机删除、虚拟机重启 ;

云计算管理平台应提供权限设置功能，在保证

安全的远程管理前提下，通过安全审计设备对

远程用户的操作命令实时审计；

18b) 根据云服务方和云租户的职责划

分，收集各自控制部分的审计数据 ;

根据职责划分，云服务方和云租户收集各自控

制部分的审计数据，相互之间不可交叉访问，

建议使用各自的审计设备；

19

安全审计

c) 为安全审计数据的汇集提供接口，

并可供第三方审计 ;

云计算管理平台应提供审计接口，将安全审计

数据进行汇集，同时也应能通过标准接口将审

计数据提供给第三方进行审计；

20d) 根据云服务方和云租户的职责划

分，实现各自控制部分的集中审计。

云服务方和云租户各自的审计系统应支持将各

自的审计数据进行集中审计；

设备和计算安全

序号 层面 控制点 要求项 安全防护措施

1

设备和

计算安全身份鉴别

a) 在网络策略控制器和网络设备 ( 或

设备代理 ) 之间建立双向验证机制 ;

网络策略控制器是云网络区别与传统网络的集

中管理系统（一般包括网络和安全控制器），

控制器端和被管设备端应支持双向身份验证机

制，即控制器端验证主动接入的被管设备端，

被管设备端在执行控制器端的策略时应先对其

进行身份验证，目的都是防止恶意接入云网络；

2

b) 当进行远程管理时，管理终端和云

计算平台边界设备之间建立双向身份

验证机制。

远程管理时应首先保证传输信道的加密安全，

建议使用 VPN 技术（针对重点行业，加密算法

应优先使用国密算法），同时远程管理终端和

VPN 服务端应建立双向身份验证机制；

2017.11 / 安全月刊 9

专家观点

序号 层面 控制点 要求项 安全防护措施

3

设备和

计算安全

访问控制

a) 确保只有在云租户授权下，云服务

方或第三方才具有云租户数据的管理

权限 ;

根据中网办发文【2014】14 号发文中“数据

归属关系不变”的原则，云租户提供给云服务

方或第三方的数据、设备等资源，以及在云计

算平台上云租户业务系统运行过程中收集、产

生、存储的数据和文档等资源属云租户所有，

未经云租户授权（建议通过合同等手段进行约

束），不得访问、修改、披露、利用、转让、

销毁云租户数据，在服务合同终止时，应按照

要求做好数据、文档等资源的移交和清楚工作；

4

b) 提供云计算平台管理用户权限分离

机制，为网络管理员、系统管理员建

立不同账户并分配相应的权限。

云计算管理平台应具备精细灵活的权限划分机

制，为不同的管理员分配不同不同账户并分配

相应的权限，应遵循“最小权限”划分原则；

5 安全审计

a) 根据云服务方和云租户的职责划

分，收集各自控制部分的审计数据并

实现集中审计 ;

该要求同“网络和通信安全”中的安全审计要

求一致

6

安全审计

b) 保证云服务方对云租户系统和数据

的操作可被云租户审计 ;

建议将云服务方对云租户系统和数据的操作审

计发送给第三方审计，云租户通过第三方审计

进行查看，防止云服务方的恶意删除；

7c) 为审计数据的汇集提供接口，并可

供第三方审计。

该要求同“网络和通信安全”中的安全审计要

求一致

8

入侵防范

a) 虚拟机之间的资源隔离失效，并进

行告警 ;

入侵防范系统若发现虚拟机之间的异常访问流

量，应进行告警

9b) 非授权新建虚拟机或者重新启用虚

拟机，并进行告警。

云管理平台应通过 API 将非授权新建虚拟机或

着重启虚拟机等记录发送给入侵防范系统，且

入侵防范系统发现问题及时告警；

10恶意代码

防范

应能够检测恶意代码感染及在虚拟机

间蔓延的情况，并提出告警。

云环境中应部署恶意代码防护措施（主机和网

络杀毒），对监测到的恶意行为进行清除和告警，

同时要保证病毒库的及时更新；

安全月刊 / 2017.1110

专家观点

序号 层面 控制点 要求项 安全防护措施

11

设备和

计算安全

资源控制

a) 屏蔽虚拟资源故障，某个虚拟机崩

溃后不影响虚拟机监视器及其他虚拟

机 ;

云计算平台应保证虚拟机之间、虚拟机鱼宿主

机之间的安全隔离，当某一下虚拟机故障，不

应影响虚拟机监视器和其他虚拟机；

12b) 对物理资源和虚拟资源按照策略做

统一管理调度与分配 ;

云计算管理平台应提供统一的资源调度管理功

能，并支持策略设置，将物理资源和虚拟资源

统一管理调度和分配

13

资源控制

c) 保证虚拟机仅能使用为其分配的计

算资源 ;

云计算平台应能做到单一虚拟机仅能使用为其

分配的计算资源，防止资源隔离实效，发生资

源蔓延；

14d) 保证虚拟机仅能迁移至相同安全等

级的资源池 ;

不同等级的虚拟机，安全防护能力不同，当虚

拟机发生迁移，迁移前后的资源池等级必须相

同，若虚拟机在不同等级的资源池间迁移，应

具备网络访问控制或隔离措施，禁止迁移；

15e) 确保云租户业务应用系统的虚拟机

使用独占的内存空间 ;

云计算管理平台应提供虚拟机内存独占模式，

防止发生内存泄漏

16f) 对虚拟机的网络接口的带宽进行设

置，并进行监控 ;

云计算管理平台应支持对虚拟机的虚拟网卡、

虚拟交换机的端口进行 QoS 设置，并应能将其

监控信息发送给独立的流量分析系统

17g) 为监控信息的汇集提供接口，并实

现集中监控。

云计算管理平台应提供接口将其监控信息上送

给专业的监控平台，实现集中监控（例如 SOC

平台）

18

镜像和

快照保护

a) 提供虚拟机镜像、快照完整性校验

功能，防止虚拟机镜像被恶意篡改 ;

在云环境中，虚拟机的部署一般都是通过虚拟

机镜像模板部署的，其安全性非常重要，为防

止虚拟机镜像被恶意篡改云计算平台应具备完

整性校验功能（例如文件 Hash）, 包括虚拟机

快照；

19

b) 采取加密或其他技术手段防止虚拟

机镜像、快照中可能存在的敏感资源

被非法访问 ;

针对虚拟机镜像和快照的访问，应至少设置密

码，防止非授权访问

2017.11 / 安全月刊 11

专家观点

序号 层面 控制点 要求项 安全防护措施

20设备和

计算安全

镜像和

快照保护

c) 针对重要业务系统提供加固的操作

系统镜像。

可通过操作系统加固服务，按照“最小化软件

部署 + 补丁最新 + 安全软件”的原则针对重要

业务系统的操作系统镜像加固；

应用和数据安全

序号 层面 控制点 要求项 安全防护措施

1

应用和

数据安全

安全审计

a) 根据云服务方和云租户的职责划

分，收集各自控制部分的审计数据

并实现集中审计 ;

该要求同“网络和通信安全”中的安全审计要求

一致

2b) 保证云服务方对云租户系统和数

据的操作可被云租户审计 ;

该要求同“设备和计算安全”中的安全审计要求

一致

3c) 为审计数据的汇集提供接口，并

可供第三方审计。

该要求同“网络和通信安全”中的安全审计要求

一致

4

资源控制

a) 能够对应用系统的运行状况进行

监测，并在发现异常时进行告警 ;

应部署监测平台（例如：态势感知平台），对应

用系统运行状态监测，发现异常及时告警；

5b) 保证不同云租户的应用系统及开

发平台之间的隔离。

不同云租户的应用系统及开发平台之间应部署访

问控制或隔离措施，保证资源隔离（互相不影响）、

网络隔离（VPC 网络）、主机隔离（不同计算

资源池）；

6 接口安全保证云计算服务对外接口的安全

性。

云服务方应通过安全技术评估服务，对云计算平

台提供的对外接口进行安全性评估；

7数据

完整性

确保虚拟机迁移过程中，重要数据

的完整性，并在检测到完整性受到

破坏时采取必要的恢复措施。

云计算平台应具备虚拟机迁移过程中数据完整性

的保障机制（内存拷贝、虚拟机快照、HA 等）

8数据

保密性

a) 确保云租户账户信息、鉴别信息、

系统信息存储于中国境内 ;

云租户敏感信息必须境内存储，未经批准不得在

境外传输、处理、存储。

安全月刊 / 2017.1112

专家观点

序号 层面 控制点 要求项 安全防护措施

9

应用和

数据安全

数据

保密性

b) 确保运维过程产生的配置数据、

日志信息等不出境 ;

云计算平台运维过程中产生的数据（配置数据、

日志信息等）不得出境

10

c) 确保虚拟机迁移过程中，重要数

据的保密性，防止在迁移过程中的

重要数据泄露 ;

虚拟机迁移网络应使用专有通道（视情况启用加

密机制）保证迁移路径的安全

11

d) 支持云租户部署密钥管理解决方

案，确保云租户自行实现数据的加

解密过程 ;

为保障云租户云上的数据安全，云服务方应支持

云租户在其平台上部署密钥管理解决方案，实现

云租户自行针对其敏感数据进行加解密，同时建

议密钥本地备份存储；

12

e) 对网络策略控制器和网络设备

( 或设备代理 ) 之间网络通信进行加

密。

网络策略控制器与网络设备之间通信流量应使用

加密技术，例如 https 或 ssh 等协议传输，防止

被窃听和嗅探；

13

数据备份

恢复

a) 云租户应在本地保存其业务数据

的备份 ;

制定备份策略，云租户应将其云上的业务数据备

份一份到自己的本地数据中心，避免云上数据丢

失，造成损失；

14b) 提供查询云租户数据及备份存储

位置的方式 ;

云计算平台应提供查询云租户数据及备份存储位

置的方式，同时做好账户和权限的分配，防止非

授权访问；

15c) 保证不同云租户的审计数据隔离

存放 ;

不同云租户的审计数据建议存放于云租户自己的

VPC 内部

16

d) 为云租户将业务系统及数据迁移

到其他云计算平台和本地系统提供

技术手段，并协助完成迁移过程。

现实的云计算服务过程中，往往是“上云容易下

云难”，该项要求明确了云服务方在云租户退出

服务应提供协助，包括不限于迁出时云计算平台

的接口和方案，并按照合同约定，完成数据移交

和删除工作；

17剩余信息

保护

应保证虚拟机所使用的内存和存储

空间回收时得到完全清除。

存储介质重用前应进行介质清理，（特殊情况下，

云服务方应提供不可清理的介质物理销毁服务），

且云服务方应纪录介质清理过程接受过程监督；

　业研究行 SS

安全月刊 / 2017.1114

行业研究 行业方案

开展信息安全工作其中一个主要目标就是安全保障，防止信息安全事

件的发生。然而，部分企业在多年开展了网络安全建设工作后，还是会有信

息安全事件发生。Nuix公司《The Black Report》[1]中显示，81%的受访黑客

（白帽子）表示，12小时之内就能攻破一个目标（如一个站点），发现并窃

取重要数据。相对应的，64%的受访企业代表表示，企业明知道自己存在安全

问题，却不修复。企业在攻击发生后，只有四分之一的攻击事件采取了修复

措施，但也仅仅关注高危漏洞。

试问，企业网络安全现状如何？是好是坏。面对如此问题，很难准确回

答。我们先来了解2项定义（摘自《GB/Z 20986—2007 信息安全技术 信息安

全事件分类分级指南》）：

1.信息安全事件：由于自然或者人为以及软硬件本身缺陷或故障的原

因，对信息系统造成危害，或对社会造成负面影响的事件。

2.信息安全事件分类：信息安全事件分为有害程序事件、网络攻击事

件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他

信息安全事件等7个基本分类。

对于能否保证避免信息安全事件发生，业内企业安全团队通常是一片悲

证券业金融企业网络安全建设进阶 ——运用攻击者视角搭建企业防御框架金融事业部　俞琛

摘要：证券业拥有庞大的数据处理量，2016 年全国证券系统日均交易量达一万亿元，是中国金融市场中最活跃市场，因而其对于安全提出更高要求。本文介绍攻击链并列举攻击者的攻击动机，提供防守方应对方法，通过搭建企业防御框架，并拟定针对性的入侵防御方案，对目标进行重点防御。本文运用攻击者视角，在安全建设基础上提出信息对抗、技术对抗、运营对抗三方面的进阶，读者可以按需参考。

观情绪，认为防守方总是处于劣势。

因为防守方面对的是一个开放性的

安全防御难题，建设的防御体系往

往如同“马其诺防线”一样被攻击者

绕开。 但如果防御体系解决的是一

个明确的企业物理范围和业务系统范

围，即有清晰的防御目标，如明确业

务范围是证券业交易WEB平台和交

易APP，防御目标是避免客户信息和

交易记录泄露事件发生，且保障业务

系统在交易时段内可用性达到100%，

且达到分钟级安全控制风险（应急响

应）防护能力，那么我们的防御体系

是可以做到闭环。简单说，一个问题

不能犯两次，通过闭环运营让企业自

身安全能力不可逆地走向更好。

2017.11 / 安全月刊 15

行业研究行业方案

笔者上一篇稿件提出证券类金融企业网络安全建设思路，是首先优化

网络结构，减少网络安全高危漏洞或缺陷数量，通过部署抗拒绝服务攻击、

网络入侵防护和恶意程序防护措施提高基础安全水平，采取网络流量分析技

术、安全意识培训、监测与防护措施等，应对高级别攻击。为了持续提升安

全防护水平，满足业务发展需要和安全保障需求，在开展网络安全建设时，

需要不断调整防御目标，学习理解并运用攻击者视角，搭建防御框架，达到

防护能力能够囊括更多安全事件类型的进阶目的。

一、攻击者视角

为了保护低价值目标而投入过多资源是不经济的。防守方学习攻击链

（攻击过程），以攻击者思维换位思考攻击目的，识别攻击者眼中的高价值

目标，进而定义防御目标，才是有效应对之策。

1.1 攻击链

简单来说，攻击链就是攻击者常见攻击过程，包含信息收集、探测、渗

透攻击到实施恶意行为等步骤。通常，攻击链可以图x形式展示。不同攻击方

式的攻击过程可能不同，半数攻击者每一次都会改变具体攻击方法。

图1.1　攻击链

FireEye 在2017年3月发布的《Mandiant M-Trends 2017 Report》[2]中显

示，针对金融企业的攻击者采用钓鱼邮件攻击时，会运用社会工程学辅助。

为了绕过企业邮件安全网关防护，在发送含有恶意链接或恶意附件的邮件之

前，通过电话与内部员工联系，获取员工信任放行收到的钓鱼邮件，完成攻

击过程。这个示例攻击过程并不包含控制主机和战场清理。

安全月刊 / 2017.1116

行业研究 行业方案

1.2 攻击动机

了解你面对什么样的攻击者，可以让你理解他们的动机。

在2017年上半年，针对证券业的信息安全威胁主要由DDoS攻击、

WannaCry勒索事件、客户资料数据窃取等，需要关注事件背后的攻击动机。

如果有人用脚本小子(Script Kiddie)取得的工具来攻击你，这可能并非严重的

威胁。如果有人用新的漏洞和精心设计的恶意软件来攻击你，如绿盟公司在

2015年发现的证券幽灵攻击，潜伏最长十多年，默默窃取交易数据，那就要

重点关注了。他们的能力可能也反映了他们的意图。例如，故意破坏（如篡

改网站）比较可能是激进黑客，或许是政治目的攻击活动。但大多数攻击的

目标是窃取信息，有时可能是可以马上换钱的金融信息，如支付凭证。有时

可能是更加敏感的信息，如公司机密。《Mandiant M-Trends 2017 Report》中

显示，较之欧洲、美洲区域，亚洲金融行业是全世界黑客主要攻击目标，针

对金融企业的攻击复杂性逐步增加，攻击特点是不摧毁，更贪婪。

二、防御框架

理解和分析攻击链是关键，可以帮助企业在必要阶段部署适当的防御控

制。运用攻击者视角，搭建企业防御框架。笔者建议防御策略包含明确防御

目标、开展信息对抗、技术对抗、运营对抗三方面进阶建设。

明确防御目标，莫过于确认攻击者的动机，然后根据此动机判断入侵最

可能发生的节点以及攻击方式，并拟定针对性的入侵防御方案，对目标进行

重点防御。

图２.1　防御框架

2017.11 / 安全月刊 17

行业研究行业方案

源结果进入法律程序。

通常，为了方便使用，提高溯源和运营效率，IP信誉库信息以攻击类型

进行分类。

图2.2　IP信誉库分类表

2.1.2 漏洞库

Struts2依靠连续5个漏洞成为2017上半年的一个焦点。在S2-045爆发的一

周内，绿盟科技威胁情报中心监测到19,396次针对该漏洞的攻击尝试。针对

Struts2利用的攻击次数超过所有框架及应用漏洞攻击总次数的80%。当有关键

业务运行于Struts2框架之上时，24x7的漏洞监视机制、小时级的通报响应机制

变得尤其重要。

2.1.3 武器库

武器库提供攻击者攻击方式的有效信息。以XSS攻击为例，XSS是WEB

应用攻击威胁，又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是攻击者

往Web页面里插入恶意脚本代码，而程序对于用户输入内容未过滤，当用户

浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击

用户的特殊目的。跨站脚本攻击的危害通常是窃取cookie、放蠕虫、网站钓鱼

等。利用过程即攻击者找出站点内动态表单页面，如含有富文本编辑器（自

定义样式）的注册页面，通过插入特征文本、构造XSS代码、猜测过滤规则、

用等价代码替换实施攻击。之后，只要用户注册该平台会员账号，这个包括

恶意脚本的页面就被其本地浏览器执行，攻击者就可能获得该用户终端浏览

2.1 信息对抗

信息对抗，目的是知己知彼，

提供针对性设防的有效信息，并在

事件发生时持续监控，获取攻击者

攻击行为的信息。威胁情报就是有效

信息，还原已发生的攻击事件、预测

未发生的攻击威胁和提供应对建议，

通常包含IP信誉库、漏洞库、武器库

等，可为企业安全团队提供如何响应

威胁或危害的决策信息。信息对抗关

注信息的时效性和行业属性，如网络

游戏行业、政府、金融企业的攻击者

和攻击动机差异很大。

证券业对外服务的重要系统以

交易WEB平台和交易APP为主，通

过收集威胁情报，掌握国内外已发生

的特定信息安全事件所利用的已知漏

洞，是否与企业交易WEB平台存在

的漏洞，或交易APP某项业务流程缺

陷有关联，从而提出漏洞缺陷修补优

先级。威胁风险分析过程需要将信息

资产、存在漏洞信息、威胁信息综合

分析，得出风险高低结果。

目前，已有国内安全厂商可提

供威胁情报平台，支撑企业威胁风险

分析和决策。

2.1.1 IP信誉库

IP信誉库提供攻击源信息，通

过配合设备指纹、时间属性来锁定攻

击者的身份和物理位置。对于企业来

说，一旦攻击者实施了恶意行为，如

盗取第三方企业数据，就可以根据溯

安全月刊 / 2017.1118

行业研究 行业方案

器当下进程的注册信息（cookie）。整个过程未控制主机，仅是植入恶意脚

本，即实现数据窃取的恶意行为。图X是XSS攻击核心步骤展示。

图2.3　XSS攻击核心步骤

2.1.4 威胁处置效率

为了有效地应对挑战，需要快速适应信息安全管理理念的变革，那就是

将传统安全投入只注重防护”Prevent”，不断向检测、响应、预测和持续监

控转移，实现动态适应。只有化被动安全为主动安全，才能及时检测正在发

生的威胁，甚至预测即将发生的威胁，快速地响应将成为安全团队新的聚焦

点。

威胁处置效率，从被攻陷到处置的耗时，是衡量最高级别威胁处置效率

的指标。平均检测时间(MTTD)和平均响应时间(MTTR)作为两个衡量企业安

全能力的关键指标，已经被更多企业采纳。 MTTD是企业识别出影响公司的

威胁所需的平均时间。这些威胁表现出实际的风险，需要进一步的分析和响

应工作来验证。 MTTR是企业完全分析威胁并控制和解除威胁所需的平均时

间。MTTD可被计为企业信息环境中第一次证明(收集到的)的威胁到其真正被

安全团队发现的这段时间。 MTTR可被计为从威胁被检测确认到最终锁定存

在风险或解除风险的这段时间。根据2016年FireEye(火眼)公司发布的报告，企

业从被攻陷到发现的平均时间(MTTD)是146天。而平均MTTR是30天。

不难看出，降低MTTD和MTTR必须建立有效的威胁检测和响应生命周

期。 而在这个检测与响应的每个阶段，能够以威胁情报驱动，并不断优化每

个阶段的安全操作流程有效性的公司可以实现MTTD和MTTR的显着改进。

2.2 技术对抗

通过部署抗拒绝服务攻击、网

络入侵防护和恶意程序防护措施提高

基础安全水平。以信息安全经理思路

开展安全建设，可参考笔者编写的

《证券类金融企业网络安全建设方法

与思路》。结合证券业现状，我补充

对于证券业适用的漏洞管理问题、客

户资料泄露应对、互联网资产暴露检

查方法。

2.2.1 漏洞管理

通 常 ， 证 券 业 金 融 企 业 自 身

拥有互联网信息系统和内部信息系

统，防护对象重心是互联网侧系统。

WannaCry勒索事件，证明内网不是

绝对的安全。攻击者利用已知高危漏

洞，采用蠕虫传播恶意木马，对内部

信息系统（办公终端）发起攻击。

如何在种类繁杂数量众多的漏

洞中，明确修补加固优先级。笔者建

议，首先梳理资产，识别哪些是核心

系统。证券业的核心业务大致是开户

APP、交易APP、理财APP及门户网

站。之后，明确每个系统的责任人。

通常，系统的拥有者就是第一责任

人。然后，设定漏洞管理安全红线，

通过梳理历史漏洞，采用清单列表形

式将必须加固整改的漏洞列示出来。

漏洞整改清单，是将漏洞分为

三类：厂商补丁、配置管理、操作

类。厂商补丁修复方法可能为打厂商

补丁或升级软件版本，配置管理类修

2017.11 / 安全月刊 19

行业研究行业方案

复方法可能为修改配置文件，操作类漏洞修复方法可能为执行某操作。各系

统管理员对服务器的漏洞进行修复时，对清单中漏洞风险等级“高”，必须

修复，并明确修复时间计划。其中，对涉及打补丁、升级版本的修复方法，

首先按要求确认安全处是否发布补丁或版本，如未发布，可不修复；如已发

布，可在变更时间内修复该漏洞，并明确修复时间计划。漏洞检测和加固的

可选方式如下说明。

图2.4　漏洞整改清单示例

◆ 漏洞检测

在线检测，输入互联网应用URL，在线检测WEB应用漏洞

日常检测服务，由第三方安全厂商提供服务，如绿盟网站监测服务包

含漏洞扫描与验证服务

扫描器检测，采购或租用漏洞扫描工具，由企业自有团队开展定期漏

洞检测工作，可使用绿盟RSAS和WVSS对Web应用进行扫描

◆ 漏洞加固

补丁修复，下载官方补丁并安装

临时方法，如暂时无法升级Struts框架，可以采用禁用XML请求

纵深防御，互联网接入区部署入侵防御系统IPS

2.2.2 客户资料泄露应对

多数情况下企业仅凭依赖其IT部门来完成防护重点对象的确认，但实际

上重点防护对象不仅限于IT部门所管辖的IT资产。

应对数据泄露的安全防护方案是个大课题，本节介绍在明确系统范围和

特定数据（客户姓名、手机号码、交易账号）场景下的安全分析思路。基于

此，后续扩大范围覆盖，逐步提高数据防护能力。

证券业客户开户APP和在线交易APP，梳理APP重要数据流，找出相关系

安全月刊 / 2017.1120

行业研究 行业方案

统处理客户信息（手机号码、交易账号）的所有场景，包含数据生成、存储、传

输、使用、导出/下载、删除，评估结果是提交关注数据存在泄露风险点，并对

高危风险点提出整改建议。

2.2.3 互联网资产暴露检查

攻击者探测扫描攻击对象，暴露在互联网资产每天被上百次扫描司空见惯。

绿盟科技《2017上半年网络安全观察》中显示，全球和国内物联网相关设备暴露

情况，路由器、网络摄像头等设备的暴露数量统计。

图2.5　全球和国内物联网相关设备暴露情况

证券业广泛采用CDN技术在全国设置多个分节点，提供用户通过互联网连

接访问。新上线业务开通审批相对严格，但一段时间后，业务的使用状况、端口

开放情况就基本失控了。结合行业互联网资产在物理位置上的分散部署，更有必

要开展暴露资产检查。梳理企业自身所有互联网IP地址段和域名（如能提供尽可

能完整的二级域名信息会更好），通过工具检查可以发现企业安全团队未知的互

联网存活资产。绿盟NTI平台提供互联网资产稽查服务，在2017厦门金砖会议安

全保障期间广泛使用，评估结果对于重保和迎检很有价值，且传统的服务中较少

涉及，是比较独特的价值。

2.3 运营对抗

运营对抗是真正意义上的攻击者与防守方之间的综合比拼，与人、规范化、

自动化工具、有效度量和优化息息相关。这些方面的组合就是能力体现。笔者在

此简要列举三个安全运营能力供读者参考。

2017.11 / 安全月刊 21

行业研究行业方案

首先，企业监控预警能力高低，企业越早检测到攻击，就越可能阻止攻击。

其次，企业漏洞管理能力强壮与否，如足够健全，就能降低发生安全事件风险。

再次，通过对漏洞规则重新按照事件的攻击链划分，结合告警日志分析，利用智

能化的势态分析工具，准确还原出攻击的整个过程，就能对攻击做出响应，减少

攻击带来的损失和对业务运维的影响。

结语

何为网络安全建设进阶？笔者认为，证券业金融企业的信息安全经

理和安全团队构成了防守方，最初选择分阶段的安全建设思路，让企业

有一个最基础的安全保障。之后，运用攻击者视角，发现当下安全威胁

趋势，开展如漏洞管理、客户资料泄露应对、互联网资产暴露检查等工

作。伴随安全建设持续调整防御目标，逐步具备威胁情报管理、监控预

警、应急响应处置能力。此过程中，可以结合第三方安全能力，依托其

大规模的安全情报系统和专业、智能的大数据分析模块相互融合，协助

提升企业的综合安全运营能力。

参考文献

[1] Nuix公司《The Black Report》，在2016年召开的BlackHat黑帽美国大会

与DEF CON 24上，针对已知黑客人员（专业术语称为渗透测试人员）进行了一

番调查，旨在了解其使用的攻击方法、偏好选择的漏洞以及在实际操作中发现哪

些防御措施最具成效等问题。原报告地址：https://www.nuix.com/white-papers/

black-report

[2]《Mandiant M-Trends 2017 Report》，FireEye

安全月刊 / 2017.1122

行业研究 行业方案

近年来，网络安全形势日益严峻，信息泄露事件频

发，攻防博弈也趋于白热化，黑客的攻击呈现出目标明

确、手段多样、隐蔽性强等特点，企业安全管理者也逐

渐意识到单纯的依靠边界安全防护体系建设已无法满足

安全需求，开始寻求更为有效的安全防御手段。网络欺

骗防御技术就是目前受到广泛关注和讨论的一种安全防

御手段，区别于传统被动式安全防御手段，这是一种主

动式防御手段，本文将简要介绍网络欺骗防御技术和当

前市场上的相关产品。

“兵者,诡道也.”

——《孙子·计》

浅谈网络欺骗防御技术在 网络安全领域的应用（上）金融事业部　张龙飞

诡：是千变万化、出其不意的意思。道：方法与

计谋。在孙子兵法里，诡道是一切战略的核心和基础，

简单来说，诡道就是：使用千变万化的方法制造玄虚来

迷惑敌人，从而打乱敌人的战略思想和攻击意图。我国

古典名著《三国演义》中《草船借箭》的故事就是一个

经典案例，诸葛亮调用几条草船伪装成战船，在大雾天

气中若隐若现，并击鼓让敌军既不敢接近，又不能不防

备，引诱敌军对“战船”发起远程攻击，敌军无法分辨

真实状况，派出弓箭手乱箭迎敌，最终诸葛亮“借”足

了十万支箭。

《草船借箭》的故事就包含了网络欺骗防御技术的

草船借箭

2017.11 / 安全月刊 23

行业研究行业方案

核心思想，防御者伪造让攻击者有攻击价值的目标，引

诱攻击者发起攻击，从而让攻击者主动暴露攻击手段和

战略思想。而在网络安全领域，网络欺骗防御技术的定

义是：让入侵者相信信息系统存在有价值的、可利用的

安全弱点，并具有一些可攻击窃取的资源（当然这些资

源是伪造的或不重要的），并将入侵者引向这些错误的

资源。它能够显著地增加入侵者的工作量、入侵复杂度

以及不确定性，从而使入侵者不知道其进攻是否奏效或

成功。而且，它允许防护者跟踪入侵者的行为，在入侵

者之前修补系统可能存在的安全漏洞。

网络欺骗防御技术与黑客使用的木马攻击核心思

路类似，“特洛伊木马”的故事众所周知，而黑客常用

的 “木马”经常与钓鱼攻击相互结合，伪装成用户感兴

趣的文件或链接，引诱用户点击，一旦点击即中招。而

网络欺骗防御技术就是这种攻击思路应用在网络安全防

御领域，安全管理者在网络中部署伪装成黑客可能感兴

趣的业务主机或数据服务器，并设置大量诱饵，如密码

文件、有漏洞的服务等，引诱攻击者发起入侵，从而成

功捕获攻击者并研究攻击者的入侵手段，进一步加固真

正的网络重要资产。常见的网络欺骗防御技术有蜜罐技

术、分布式蜜罐技术、蜜网技术、空间欺骗技术以及网

络信息迷惑技术。

◆ 蜜罐技术Honey Pot

蜜罐技术（Honeypot）是一种对攻击方进行欺骗的

技术，通过布置一些作为诱饵的主机、网络服务或者信

息，诱使攻击方对它们实施攻击，从而可以对攻击行为

进行捕获和分析，了解攻击方所使用的工具与方法，推

测攻击意图和动机，能够让防御方清晰地了解他们所面

对的安全威胁，并通过技术和管理手段来增强实际系统

的安全防护能力。

特洛伊木马

安全月刊 / 2017.1124

行业研究 行业方案

◆ 分布式蜜罐技术

分布式蜜罐技术将欺骗（Honey Pot）散布在网络的

正常系统和资源中，利用闲置的服务端口来充当欺骗，

从而增大了入侵者遭遇欺骗的可能性。分布式Honey Pot

技术有两个直接的效果，首先是将欺骗分布到更广范围

的IP地址和端口空间中，其次是增大了欺骗在整个网络中

的百分比，使得欺骗比安全弱点被入侵者扫描器发现的

可能性增大。

◆ 蜜网技术

蜜网是在蜜罐技术上逐渐发展起来的一个新的概

念，又可成为诱捕网络。蜜罐技术实质上还是一类研究

型的高交互蜜罐技术。其主要目的是收集黑客的攻击信

息。但与传统的蜜罐技术的差异在于，蜜网构成了一个

黑客诱捕网络体系架构，在这个架构中，可以包含一个

或多个蜜罐，同时保证网络的高度可控性，以及提供多

种工具以方便对攻击信息的采集和分析。

◆ 空间欺骗技术

欺骗空间技术就是通过增加搜索空间来显著地增加

入侵者的工作量，从而达到安全防护的目的。利用计算

机系统的多宿主能力，在只有一块以太网卡的计算机上

就能实现具有众多IP地址的主机，而且每个IP地址还具有

它们自己的MAC地址。这项技术可用于建立填充一大段

地址空间的欺骗，且花费极低。

◆ 网络信息迷惑技术

网络动态配置和网络流量仿真。产生仿真流量的目

的是使流量分析不能检测到欺骗的存在。在欺骗系统中

产生仿真流量有两种方法。一种方法是采用实时方式或

重现方式复制真正的网络流量，这使得欺骗系统与真实

系统十分相似 ，因为所有的访问联接都被复制。第二种

方法是从远程产生伪造流量，使网络入侵者可以发现和

利用。面对网络入侵技术的不断提高，一种网络欺骗技

术肯定不能做到总是成功，必须不断地提高欺骗质量，

才能使网络入侵者难以将合法服务和欺骗服务进行区分。

从网络安全防护角度来看，网络欺骗防御技术作为

一种主动式安全防御手段,可以有效对抗网络攻击。网络

欺骗防御技术在检测、防护、响应方面均能起到作用，

能够实现发现攻击、延缓攻击以及抵御攻击的作用。

1. 发现网络攻击：通过在网络中部署大量诱饵，并

组合应用多种欺骗手段引诱攻击者，一旦攻击者触碰这

些诱饵，则表明系统正在受到攻击，防御者就可以迅速

响应，并定位溯源攻击者。

2. 延缓网络攻击：由于网络中存在大量诱饵，攻击

者将陷入真假难辨的网络世界，攻击者需要花费大量的

时间来分辨信息的真实性，从而延缓了攻击者的网络攻

击，给予防御者更多的响应时间，降低攻击者对真实系

统攻击的可能性。

3. 抵御网络攻击：网络欺骗防御技术使用了与真实

环境相同的网络环境，攻击者无法分辨真假，因此会对

诱饵目标发起攻击，采用大量攻击手段、工具和技巧，

而防御方可以记录攻击者的行为，从而为防御提供参

考。

参考文献

[1] 网络欺骗 https://baike.baidu.com/item/网络欺骗

[2] 网络欺骗方法及攻防实例https://yq.aliyun.com/

wenji/66478

[3] Gartner对网络欺骗技术的预测报告 https://www.

gartner.com/doc/3096017/emerging-technology-analysis-

deception-techniques

[ 4 ] 欺 骗 防 御 技 术 市 场 报 告 h t t p : / / w w w .

marketsandmarkets.com/Market-Reports/deception-

technology-market-129235449.html

（此文由于篇幅限制将分期刊登，后续我们将对网

络欺骗防御技术的相关产品和市场情况进行分享。）

2017.11 / 安全月刊 25

行业研究行业方案

浅谈云计算安全风险及防护金融事业部　顾猛

一、前言

随着互联网的迅猛发展，云计算、SDN、区块链等

新型互联网技术日益被人们所熟知并接收。其中，云计

算解决方案以其高可伸缩性、成本低廉、运维便利等优

点被越来越多的企业采纳。在云计算技术大规模普及的

互联网背景下，地下黑色产业链也随着互联网大潮不断

发展完善，因而云计算供应商的技术可靠性以及云计算

服务的安全性也成为了众多云计算供应商和企业IT管理

人员关注的重点。

根据CSA（Cloud Security Alliance，云安全联盟）报

告公布的《The Treacherous 12 – Cloud Computing Top

Threats in 2016》[1]显示数据泄露、凭证被盗、身份验证

不足等12个安全问题已经成为云计算服务面临最核心的

威胁。本文将针对云计算环境下目前面临的安全问题进

行分析和总结。

表1.1CSA-TheTreacherous12–CloudComputingTopThreatsin2016[1]

序号 威胁类型 威胁类型

1 Data Breaches 数据泄露

2 Insufficient Identity, Credential and Access Management 凭证被盗和身份验证不足

3 Insecure Interfaces and APIs 不安全接口和 API

4 System Vulnerabilities 系统漏洞利用

5 Account Hijacking 账户劫持

6 Malicious Insiders 恶意内部人士

7 Advanced Persistent Threats 高级持续性威胁

8 Data Loss 永久的数据丢失

9 Insufficient Due Diligence 调查不足

安全月刊 / 2017.1126

行业研究 行业方案

序号 威胁类型 威胁类型

10 Abuse and Nefarious Use of Cloud Services 云服务滥用

11 Denial of Service 拒绝服务攻击

12 Shared Technology Vulnerabilities 共享技术产生的危险

二、云计算安全威胁分析

2.1 传统威胁不容忽视

虽然云计算给用户提供了一种新型的计算、网络、

存储环境，但是在系统和应用与传统部署方式在提供

的服务等方面却并未发生革命性的改变。在云计算平台

上，认证和授权类、逻辑攻击类、客户端攻击类、命令

执行类、信息泄露类威胁仍然是不可忽视的，需要云计

算供应商和企业IT管理人员引起足够重视并及时加固。

图2.1云计算服务与传统威胁

2.2 云上新的挑战

相对于传统服务器架构，云计算技术引入了虚拟

化、多租户等概念，这些都在一定程度上给信息系统带

来了相关的风险点。

2.2.1 虚拟化安全威胁

虚拟化是目前云计算供应商使用最广泛的技术之

一，服务器、存储、网络等虚拟化技术为云计算服务提

供了基础技术支持，解决了资源利用率、资源提供的自

动扩展等问题，其中服务器的虚拟化技术支持将单台物

理服务器虚拟为多台虚拟服务器，进而大幅提高有限计

算资源的利用率。虚拟化技术在提供便利的同时也带来

了大量安全风险，比如虚拟化自身的安全漏洞、虚拟机

间流量交换等问题。

◆ 虚拟化自身的安全漏洞风险

目前，在主流虚拟化技术(KVM、Xen、VMware等)

中虚拟化漏洞广泛存在。Hypervisor（虚拟化管理软件）

作为虚拟机的底层，一旦存在漏洞，将危及运行其上的

所有虚拟机本身，甚至将影响虚拟化以下的宿主机本身

的安全。攻击者主要从三个方面利用虚拟化漏洞：

1. 对宿主机进行破坏，导致宿主机以上的所有虚拟

机崩溃、业务中断；

2. 虚拟机逃逸，在获取宿主机控制权后，利用宿主

机对云计算平台进行深入渗透；

3. 利用宿主机控制权对同一宿主机下其他虚拟机的

2017.11 / 安全月刊 27

行业研究行业方案

敏感信息进行获取。

同时，在云计算环境中，有多种不同的虚拟化管理

组件，比如虚拟机监视器、网络策略控制器，存储控制

器等等，这些都是实现多租户共享硬件并隔离业务和数

据的核心组件，一旦这些虚拟化管理软件类的漏洞被恶

意人员所利用，那么租户的安全就无法得到有效保障。

◆ 虚拟机流量交换的安全风险

在虚拟化环境下，单台物理服务器上的各虚拟机之

间可能存在二层流量交换，而这部分流量对于管理员来

说是不可见的。在这种情况下，管理员需要判断虚拟机

之间的访问是否符合预定的安全策略，或者需要考虑如

何设置策略以便实现对虚拟机之间流量的访问控制。

2.2.2 多租户安全威胁

云 计 算 中 的 多 租 户 架 构 （ M u l t i - T e n a n c y

Technology）通过共享系统或电脑运算资源的方式提升了

资源利用率，同时云计算供应商根据租户对于共享资源

使用量来进行计费。多租户架构结合虚拟化技术形成了

云计算的基础。

在多租户的云计算环境里，由于云计算平台的开放

性，平台上租户繁杂，不能排除一些心怀不轨的恶意租

户，租户间也可能存在一定的利益竞争关系，让云计算

资源滥用、租户间的攻击等成为可能，传统安全防护措

施在应付这些来自云环境内部的安全挑战时显得捉襟见

肘。

◆ 云服务滥用

云计算服务由于租用成本低廉，租户可利用云计算

供应商提供的计算、网络、存储资源，目前由于供应商

管控不严导致的服务滥用现象屡见不鲜。如果供应商不

对使用者的目的进行审核，很可能导致被攻击者利用进

行破解密钥、发起分布式拒绝服务(DDoS)攻击、发送垃

圾邮件和钓鱼邮件、托管恶意内容等。

◆ 租户未得到有效隔离

目前在多租户隔离的技术上，各云计算供应商已经

提供了完善的VPC（Virtual Private Cloud）多租户虚拟化

网络解决方案。就在17年初, 阿里云多租户隔离问题在

网上引起了激烈讨论[3]。虽然目前VPC解决方案相对完

善，但并不能排查在云计算技术发展过程中被攻击者寻

找到可被利用的漏洞进而跨越通过VPC技术实现的租户

隔离。租户间若因为未得到有效隔离而造成租户间的攻

击将极大影响云计算服务用户的使用体验，同时也极大

的增加了信息系统被渗透的可能性。

◆ 数据残留

在云环境下，存储介质由云计算供应商拥有，租户

无法对存储介质进行直接操作。当租户退出云计算服务

时，云计算供应商按照《网络安全等级保护基本要求 云

计算安全扩展要求》中“剩余信息保护”要求：应保证

虚拟机所使用的内存和存储空间回收时得到完全清除。

云计算供应商应该完全删除租户的数据，包括备份数据

和运行过程中产生的租户数据。

目前，国内针对云计算供应商还缺乏有效的审核

机制和工具对“剩余信息保护”要求的落实情况进行验

证。租户在退出平台后，数据仍然有可能残留在云计算

平台的存储设备中。

三、小结

根据以上云计算安全的威胁分析，我们不难发现云

计算环境下的安全形势非常严峻，攻击者可以从云计算

平台本身、租户租用的资源等各个方面实施攻击渗透。

无论公有云还是私有云环境下，用户有必要选择合适的

云计算供应商，并针对云计算平台和业务系统做出合理

的安全防护。

安全月刊 / 2017.1128

行业研究 行业方案

◆ 在公有云的环境下，租户可通过选配云计算供应

商在平台中集成的安全模块来对租户拥有的各虚拟机进

行传统安全防护。

GB/T XXXX:XXXX 信息安全技术 云计算服务安全

能力评估方法(草案）

GB/T XXXX:XXXX 信息安全技术 云计算安全参考

架构（草案）

GB/T XXXX:XXXX 信息系统安全等级保护云计算

安全要求（草案）

GB/T 22239.2 信息系统安全等级保护 云计算安全扩

展要求（草案）

GB/T XXXX:XXXX 信息系统安全等级保护 云计算

安全扩展测评要求（草案）

工信部 YD/T 3157-2016 公有云服务安全防护要求

工信部 YD/T 3158-2016 公有云服务安全防护检测

要求

参考资料

[1]http://netsecurity.51cto.com/art/201603/507516.

htm《云安全联盟：2016年的十二大云安全威胁》

[2]《多租户模式下的信息系统安全问题研究》西安

电子科技大学 李凯丰

[3] https://www.zhihu.com/question/56524172/

answer/149475760

附录A 云安全相关规范

GB/T 31167:2014 信息安全技术 云计算服务安全

指南

GB/T 31168:2014 信息安全技术 云计算服务能力

要求

图3.1绿盟安全资源池

◆ 在私有云的环境下，企业IT管理者可通过购置专

业信息安全厂商提供的云安全平台来对私有云平台进行

传统安全防护。

2017.11 / 安全月刊 29

行业研究安全事件

瑞士 BPC 的银行支付系统 SmartVista 存在 SQL 注入漏洞

美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示，

宣称由于该攻击活动只能通过经身份验证的前端用户触发，因此攻击者可以通过

该漏洞后入侵系统、窃取重要信息。

Rapid7 专家发现，对于访问 Transaction 接口的平台需要用户提供卡号、帐

号，以及交易日期三个字段。然而，由于 SmartVista 前端缺乏输入验证，因此不

会对交易模块中输入的卡号或帐号进行检测。不过，卡号仅接受确切的字段以

便提供输出。如果事先并不知道卡号，攻击者也可通过该字段启动 布尔型 SQL

注入。但倘若提供了正确的注入语句（如’或’1’=’1）时，数据库将延迟五

HackerNews.cc10 月 12 日消息，安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基

础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞，允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏

感信息，其中包括用户账号与密码。不过，由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应，因此

他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。

安全月刊 / 2017.1130

行业研究 行业方案

总的来说，防治SQL注入式攻击可以采用两种方法，一是加强对用

户输入内容的检查与验证;二是强迫使用参数化语句来传递用户输入的内

容。在SQLServer数据库中，有比较多的用户输入内容验证工具，可以

帮助我们来对付SQL注入式攻击：比如测试字符串变量的内容只接受所

需的值；拒绝包含二进制数据、转义序列和注释字符的输入内容；测试

用户输入内容的大小和数据类型，强制执行适当的限制与转换等等。所

以，始终通过测试类型、长度、格式和范围来验证用户输入，过滤用户

输入的内容等手段能够降低我们的信息系统被注入的可能。同时，使用

专业的漏洞扫描工具对系统定期进行扫描，多使用SQL Server数据库

自带的安全参数，能够更加有效发现漏洞并预防攻击。

专家建议

秒，从而产生一个基于时间的 SQL 注入向量。此外，攻击者还可利用该漏洞

强制查询数据库，从而导致访问信息在线暴露。

目前，Rapid7 安全专家建议使用 SmartVista 的企业安全更新系统至最新

版本，同时采用 Web 应用程序防火墙，以便保护平台免受 SQL 注入攻击。

原作者：Pierluigi Paganini，译者：青楚

本文由 HackerNews.cc 翻译整理，原文链接: http://hackernews.cc/

archives/15751.

2017.11 / 安全月刊 31

行业研究安全事件

社会工程师劫掠银行 14.2 万美元终被抓

在一系列盗窃案中以社会工程作为主要武器的某马

来西亚银行劫匪，最近在其位于马六甲巴都伯伦丹的家

中被抓，被捕时间距离他冒充消防设施维护员成功盗走

14.2万美元的“壮举”仅3个星期。

犯罪嫌疑人的姓名并未被透露。他在9月8号伪装成

一名消防设施维护技工，堂而皇之地走进了吉隆坡郊区

白沙罗岭的一家银行。

他穿着休闲T恤、短裤，脚蹬大拖鞋，背着背包，手

拿一份据说是该银行大楼平面图的东西就走进去了。

当地报告和监控录像显示，嫌疑人向银行经理出示

了那张纸，要求对大楼进行检查。但他没能出示其他任

何身份证明，于是经理拒绝了他的检查请求，去吃午饭

了。

经理外出就餐期间，嫌疑人依然留在原地，假装在

检查消防栓，而正在帮助客户的银行职员丝毫没注意到

他的存在。最终，他成功接近了保险室，等待总出纳来

提钱。

他用一块磁铁阻止了保险室大门完全锁上，等周围

没人时进入了保险室，然后背着满满一背包的现金溜走

了。通过安保时，还对保安解释说是去取其他工具来辅

助检查。

他在银行里总共待了不到20分钟，拿走了价值约

14.2万美元的现金。银行经理在90分钟后回来时，询问了

雇员那个所谓消防栓技术人员的动向。在被告知此人已

离开后，经理的怀疑大增，随即检查了保险室，发现了

现金被盗。

警方调查过程中，发现该名嫌犯还曾试图冒充某已

外出公干的空调技师，想进行类似的劫掠，但失败了。

当地媒体的额外调查发现了另一起盗窃，虽然规模

比较小（就是掉了几副耳机）。这起小盗窃案中，该名

嫌犯伪装成进行管道维修的水管工。

警方公开了该案细节后，大量类似诈骗和盗窃案报

案蜂拥而至。

警方透露，涉案嫌犯还对该地区很多零售商店和公

司大楼下过手，冒充计算机维修技师、水管工、暖通空

调维修工或楼宇维护人员。这次银行劫案是金额最大的

一起，之前他还盗窃过手机、箱包和笔记本电脑。

一些消息让司法部门获悉了他的住址，随后将其指

认并逮捕。本月初，他被带回吉隆坡待审。

该案是为数不多的几次在媒体中公开提到此类案

件。

2015年，CSO网站采访了惯用社会工程方法的著名

黑客杰森·斯特里特。

当时，CSO分析了斯特里特在某银行的所作所为。

他就装成去银行检查USB端口的技师，直接走进去，在各

种各样的系统上插入U盘。

如果他真的是罪犯，那家银行就会在120秒内被他完

全侵入。被问及他为什么可以做到时，斯特里特说，人

安全月刊 / 2017.1132

行业研究 安全事件

们通常不愿意设想负面的事情发生在自己身上，这种想

法是违反人类本能的。

只要我能给出说得过去的理由，就算有听起来不太

好的负面事情，他们也会选择相信正面的那些。他们会

用自己的方式去相信积极的一面，因为若非如此，他们

就不得不去想有什么坏事要发生到自己头上，这可不是

人类乐于接受的东西。

斯特里特的示例告诉我们，任何看起来或感觉不太

合适的东西，都要加以质疑。

不仅仅是小孩子要提防陌生人。我们每个人都不能

丧失这警惕性。安全区内的陌生人威胁，就好比你是操

场上的小孩，或者你工作间里的雇员。如果你不知道这

个人的身份，最好查清楚先。

在信息安全形势严峻的当下，防守方的防护

措施集中部署在行业发展的攻击面或攻击热点，容

易忽略人直接的“肉身”入侵行为。这个事件中的

攻击者没有黑客技术或高新工具，只是招摇撞骗走

空门。如果经理发现可疑行为后，及时要求安保人

员将攻击者驱离，就能避免事件发生。为了应对潜

在的攻击破坏或财物窃取，防守方需要建立自有的

检测、处置和监测措施，覆盖基层营业厅、办公室

等物理场所，同时通过开展培训加强人员的安全意

识，发现系统入侵或物理入侵行为进而及时处置。

专家点评

转自：安全牛，文章作者：nana

原 文 链 接 ： h t t p : / / w w w . a q n i u . c o m / n e w s -

views/28664.html.

2017.11 / 安全月刊 33

行业研究安全事件

台银行遭黑客入侵被盗六千万美元 赃款已大部追回

大公报10月8日讯 台湾远东国际商业银行（远东银

行）日前遭黑客入侵，植入病毒程式盗转帐款，一度遭

盗领6000万美元（折合约4.69亿港元），并被汇到斯里兰

卡、柬埔寨及美国，警方获报后介入侦办追查，并透过

国际刑警组织通报，成功冻结相关款项并追回大部分赃

款，预估远东银行损失在50万美元以下（折合约391万港

元）。

据中通社、中国时报、联合报报道：远东银行3日

发现SWIFT（Society for Worldwide Interbank Financial

Telecommunication，环球银行间金融电讯网络）系统异

常，事后发现银行SWIFT系统遭黑客植入恶意程式，并

进行远端转帐，5日向台刑事警察局（刑事局）报案。据

了解，遭黑的金额约6000万美元，被汇到斯里兰卡、柬

埔寨及美国。

图：台湾远东国际商业银行日前遭黑客入侵，一度遭盗领六千万美元，警方追查后成功追回大部分款项\资料图片

安全月刊 / 2017.1134

行业研究 安全事件

感染新病毒 来源未明

台刑事局7日召开记者会说明侦办过程，远东银行执

行副总经理林建忠和作业暨资讯服务中心副总经理刘龙

光出席记者会。刘龙光说，目前确定应是外部病毒，来

源还无法确定，但确认是过去未见过的电脑病毒。林建

忠说，案发后透过和当地银行合作，陆续追回4600万元

美元并冻结有问题帐户，预估最大损失可在50万元美元

以下。

林建忠表示，黑客把约6000万元美元分别汇往斯里

兰卡、柬埔寨、美国当地银行，金额为210万元美元、

5700万元美元、100万元美元，但若无受益人，帐款不会

进到当地银行户口。

林建忠指，遭黑客入侵后，客户端相关资料完全

未受影响，赃款并非从客户户头汇出。远东银行也针对

SWIFT系统全面扫毒，目前已恢復正常，后续会跟检警

合作，希望不要再发生同样的状况。

客户款项资料未受影响

台刑事局专责查缉网络犯罪的侦九大队大队长邱绍

洲介绍，5日获报后即透过国际刑警组织通报，并向美

国、斯里兰卡、柬埔寨相关单位要求协助冻结当地银行

款项并协助侦办，后续已追回部分赃款，预估远东银行

损失在50万元美元以下。

对于远东银行这起黑客入侵案，邱绍洲指台湾并非

首件，越南及孟加拉当地银行在2015年、2016年也发生过

类似案件。至于是否为同一犯罪集团所为，邱说，目前

已着手进行数字鑑识比对工作，追查犯案手法，才可釐

清追查入侵远东银行系统的黑客集团。

台当局金管会主委顾立雄7日称，金管会除要求远东

银行下周交书面报告，并立即要求各银行注意资安外，

正筹设金融业资安联防体系，预计今年底前完成。

转自：大公网，原文链接：http://news.takungpao.

com/taiwan/shehui/2017-10/3501108.html.

又是一起针对SWIFT系统的新型安全攻击事

件，为保障内部系统安全可靠的运行，绿盟科技建

议金融用户针对以下几点加强安全防范：

A 定期对现有信息系统及网络进行安全检查及

加固工作，提升整体网络安全防护能力；

B 搭建未知威胁分析平台，针对新型恶意程序

及攻击手段进行监测及分析，实时掌握内部网络安

全动态；

C 建立健全业务系统管理、安全运维等工作的

管理制度，定期对业务处理及系统运维进行审计分

析。

专家点评

2017.11 / 安全月刊 35

行业研究安全事件

小而强大的恶意软件 ATMii， 能让 Win 7 和 Vista 系统的 ATM 机疯狂吐钞

近期，安全研究人员发现了一种名

叫ATMii的新型ATM恶意软件，这种恶意

软件主要针对的是安装了Windows 7以及

Windows Vista的ATM取款机。

这种恶意软件的攻击机制非常的特别，因

为目前绝大多数的ATM机运行的都是简版的

Windows XP，这就意味着ATMii并不能对目前

大多数的ATM机实施攻击。但这同时也意味

着，ATMii的开发者是故意这样设计的，而他

的目标很可能是想针对某个特定的ATM机网络

实施攻击，只有这样才能解释他为何要开发出

这样一款使用场景如此受限的恶意软件。

安全月刊 / 2017.1136

行业研究 安全事件

ATMii发现于2017年4月份

ATMii在今年的4月份被安全研究人员所发现，当时

某家受感染的银行向卡巴斯基实验室提交了一份恶意软

件样本，而卡巴斯基在对该恶意软件的功能进行了深入

分析后也发布了详细的技术分析报告【ATMii详细分析报

告】。

根据卡巴斯基实验室高级研究人员Konstantin Zykov

的介绍，这款恶意软件的复杂程度其实并不高，整个

ATMii恶意软件仅由两个文件组成：exe.exe和dll.dll。为

了在目标ATM机系统中安装ATMii，犯罪分子必须通过

网络或者USB接口来访问目标设备。如果能够实现其中一

种情况的话，攻击者将需要向目标ATM机的存储驱动器

中拷贝这两份文件，然后运行exe.exe。这个文件会搜索

标准atmapp.exe进程，然后向其注入恶意dll.dll文件。而这

个DLL文件将允许攻击者与合法的atmapp.exe进行交互，

并完全控制目标ATM机。

该恶意软件支持三种命令，但这已经足够了

在受感染的ATM机上，攻击者可以进行三种恶意操

作。首先，他们可以扫描ATM机的现金盒，并实时记录

ATM机的准确交易记录。其次，他们还可以控制ATM机

的吐钞数量。第三，他们可以通过删除本地配置文件来

实现ATMii的自毁。

Zykov建议称，各大银行应该采取一定的措施来限制

ATM机端口的网络以及物理访问，这样可以帮助ATM机

系统抵御绝大多数的ATM恶意软件。

除了ATMii之外，近几年还曾出现过还能多类似

ATMitch、GreenDispenser、Alice、Ploutus、RIPPER、

Skimer和SUCEFUL等针对ATM机的恶意软件。由此看

来，银行ATM机所面临的网络安全风险也不容小觑。

参考来源：bleepingcomputer， FB小编Alpha_h4ck编

译，转载请注明来自FreeBuf.COM，原文链接：http://

www.freebuf.com/news/150561.html.

银行业机构一般将安全防护的重点放在了内外

业务系统上，终端机通常是被忽略的一个接入点，

它暴露在办公区域的外网，且时常接入内网。如果

攻击者控制了终端机，可以以此为跳板向内网发起

攻击。针对终端机安全，提几点建议：

A 加强内部网络异常行为的监控；

B 系统终端管理系统设置进程黑白名单；

C 管理操作ATM必须停止对外服务；

D 现金类ATM与非现金类ATM尽量不要处于

同一个网络；

E 对ATM机器外壳进行加固，防止恶意人员

轻易进行拆装；

F ATM机器禁用USB接口。

终端机是安全木桶中的短板，它让封闭安全的

网络打开了一个缺口。由于绕过终端机的技术难度

不高，使得任何了解终端机缺陷的攻击者都有可能

通过它去渗透内网。所以，终端机的安全问题也不

容小觑，银行业机构需要重视这一块的安全防护。

专家点评

2017.11 / 安全月刊 37

行业研究安全事件

这款银行木马被发现使用了 NSA “永恒之蓝”EXP

来自Proofpoint安全的研究人员发现了一款名为

Retefe的银行木马，这款木马使用了与美国国家安全

局相关的永恒之蓝exp。

跟之前使用永恒之蓝的病毒不同，这个银行木马没

有用exp进行循环传播。事实上，病毒是通过垃圾邮件传

播的，而通过永恒之蓝漏洞传播的病毒版本没有exp。

永恒之蓝是一款跟NSA有关的exp，今年三月，微软

发布了针对漏洞的补丁，一个月后，shadowbrokers公布了

exp。这个漏洞利用Windows服务器消息(SMB)中的漏洞，

使用445端口自动传播恶意程序。

而在今年5月的WannaCry勒索事件中，病毒作者也

是使用了这款exp使得传统的勒索病毒具备蠕虫特性，因

此造成了病毒广泛传播。

最近一次针对瑞士用户的攻击中，Proofpoint从收集

到的部分Retefe样本中发现它也使用了永恒之蓝进行横向

传播。

Retefe银行木马自2013年开始活跃，主要的攻击目标

是澳大利亚、瑞士、瑞典和日本的用户。恶意软件会把

银行的流量引导到代理服务器，代理服务器往往架设在

Tor网络中。

工作原理

最近，病毒往往通过垃圾邮件传播，邮件附件是一

个微软office文档。利用社会工程学，攻击者会让用户下

载恶意payload。

最近的攻击中，下载的payload是一个自解压的zip文

安全月刊 / 2017.1138

行业研究 安全事件

件，文件里面是一个经过多重混淆的Javascript安

装器。研究代码后研究人员发现，最近的样本中

包含一个新的参数，用来调用永恒之蓝exp。

这些代码参考了github上的一段poc代码，

但是代码中还包含安装记录和配置细节。上周，

参数被调整，只剩下了记录功能。

“ 永 恒 之 蓝 e x p 会 从 远 程 服 务 器 下 载

PowerShell脚本，该服务器本身包含一个安装

Retefe的嵌入式可执行文件。Proofpoint表示，这

种安装方式没有能让EternalBlue进一步横向传播

的模块，因此没有进行循环传播。”

研究人员还发现，今年6月和8月的病毒版

本还兼容了MacOS。

Proofpoint还指出，“虽然Retefe的传播远

远不如Dridex或The Trick这样的其他银行木马，

但以瑞士银行为重点，Retefe有很多高级目标。

此外，我们正在观察到病毒的针对性攻击愈发增

加，随着永恒之蓝exp的加入，一旦有目标主机

被入侵，就可能在网络中进一步传播。”

参考来源：Secur i tyWeek，本文作者：

Sphinx，转自FreeBuf.COM

原文链接：ht tp : //www. f r e ebu f . com/

news/149174.html.

可以看出，无论是Retefe银行木马，还是勒索病毒，

其实都是几年前就开始活跃的攻击方式，现在却利用新的

exp形成了新的变种，具备了蠕虫病毒的特性，再次造成病

毒的广泛传播，给我们带来了新的风险和威胁。同时，新变

种的木马病毒攻击也越来越有针对性，这也体现了目前流行

APT攻击的主要特点。那么这种原始的蠕虫病毒攻击方式，

为什么可以在今天再次给我们带来威胁呢？主要原因有以下

几点：

A 企业或个人对操作系统漏洞的关注不够，系统漏洞

得不到及时修补，使新的漏洞利用得以成功；

B 个人的信息安全意识薄弱，侥幸心理严重，没有钓

鱼攻击的防范意识，随意打开来路不明的邮件附件或网站链

接，给木马的传播造成可乘之机；

C 企业的信息安全管理不健全，业务应用的共享服务

端口对外开放而不知情等等，使企业信息安全面临高风险。

基于以上企业或个人原因带来的风险，建议采取以下措

施：

A 及时关注最新的漏洞通报，及操作系统升级补丁，

及时修复系统漏洞；作为企业应定期进行安全评估，建立完

善的漏洞闭环管理策略；

B 提高个人信息安全意识，重视信息安全的重要性，

不打开可疑的邮件附件或链接，PC机上安装杀毒软件，定

期执行全盘扫描及升级病毒库；企业应定期为员工进行安全

意识培训，完善信息安全管理制度，并落实到位，企业办公

网络中应部署IPS、IDS、威胁分析系统及邮件网关等检测

防护设备；

C 针对漏洞利用攻击，大多是利用对外开放的服务端

口或协议实施的攻击行为，建议企业应定期对面向互联网开

放的资产进行核查，及时发现并关闭业务系统不需要开放的

资产IP或服务端口，保证企业的互联网业务安全。

专家点评

　洞聚焦漏 SS

安全月刊 / 2017.1140

漏洞聚焦

BadRabbit 样本 技术分析与 防护方案 发布时间：2017 年 10 月 27 日

综述

距离臭名卓著的“Petya”和“WannaCry”勒索软件大规模爆发还不到

半年，又一个新的勒索软件于10月24日出现。这个命名为“坏兔子”（Bad

Rabbit）的新型的勒索软件已经在欧洲多个国家进行传播，其中包括俄罗斯、乌

克兰、保加利亚、土耳其和德国，并且已经扩散到美国。

目前“坏兔子”主要通过水坑站点传播，并没有利用之前的“永恒之蓝”

的漏洞，因此，预计传播规模要小于之前的“Petya”与“WannaCry”。尽管如

此，我们也要提醒客户，提高警惕。

事件背景

2017年10月24日，一个名为BadRabbit的勒索软件正在东欧和俄罗斯地区广

泛传播，受害者就会被引诱安装一个伪装的flash_player安装程序，如果选择安

装，则会被感染，加密文件，遭到勒索。

影响目标

BadRabbit勒索软件主要在在东欧和俄罗斯地区泛滥，同时也影响了保加利

亚和土耳其。

2017.11 / 安全月刊 41

漏洞聚焦

攻击流程

传播与感染

样本投递

样本通过‘水坑攻击’的方式进行伪装投递。当正常网络用户访问被攻击者

植入恶意代码的‘水坑网站’时，会被提示安装flashplayer插件，如果用户允许，

则会从攻击者架设的恶意地址下载（h**p://1dnscontrol[.]com/flash_install[.]php）

假冒伪装的flash_player安装文件，如果用户执行下载文件，则会被感染。

"水坑攻击",黑客攻击方式之一，是在受害者必经之路设置了一个‘水坑’。

最常见的做法是：黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的

网站的弱点，先将此网站‘攻破’并植入攻击代码，即为‘挂马’。一旦攻击目

标访问该网站就会被感染。

传播感染

样本使用暴力枚举 SMB 服务帐号和密码，同时利用 EternalRomance

（MS17-010）漏洞进行传播。

安全月刊 / 2017.1142

漏洞聚焦

机器分析（动态行为检测）

绿盟科技威胁分析系统TAC捕捉到这款恶意样本，安全风险为高危，沙箱也

检测到释放样本、创建计划任务、扫描网络上的139和445端口，尝试感染。

文件操作

沙箱检测到样本运行后，在C盘下释放和创建多个恶意文件以及计划任务实

现各个功能。

网络操作

沙箱检测到样本运行后，会扫描网络上的139和445端口，以便实现传播和感

染。

2017.11 / 安全月刊 43

漏洞聚焦

进程控制

沙箱检测到样本运行后，通过释放

文件创建进程的方式来启动各个恶意的

功能模块。

安全月刊 / 2017.1144

漏洞聚焦

攻击定位

下载站点

通过对恶意样本下载站点（h**p://1dnscontrol [.]com/flash_install[.]php）的查

询信息如下。

IP定位

解析到该站点的ip为：5.61.37.209

IP 地址：5.61.37.209

国家代码：DEU / DE Germany

国家：Germany

纬度：51.299301147461

经度：9.4910001754761

2017.11 / 安全月刊 45

漏洞聚焦

处理建议

安全通告

为使公司全员了解此勒索软件危害且遵从指导，避免不规范的行为导致不必

要的损失，建议在公司范围内发布安全通告，形式包括但不限于：

◆ 微信/短信/邮件通知；

◆ 办公环境人工通告；

通告内容可参考如下：

继WannaCry和Petya勒索病毒之后，近期又爆发“坏兔子”勒索软件，为

避免个人及办公资料被此勒索软件加密，建议：

1. 禁止安装来源不明的软件；

2. 谨慎点击来自不明邮件中的文件和链接；

3. 开启系统UAC（用户账户控制），并关注UAC告警提示，及时阻断可

疑进程的运行。

已经发现自己中病毒，文件被加密的电脑、服务器，请立即拔网线，禁止

接入网络！

安全操作建议

1）注意不要随意下载和安装软件

2）开启系统UAC（用户账户控制），并关注UAC告警提示，及时阻断可疑

进程的运行。

3）关闭主机WMI服务，关闭Windows主机135/139/445端口；

4）如无必要，关闭网络共享

5）对于个人终端设备，安装防病毒软件并升级规则至最新版

持续安全监测及防护

在持续安全监测和防护方案中，以绿盟威胁分析系统（TAC）检测未知和已

知威胁，以威胁情报安全信誉为纽带，结合本地网络部署的NIPS（绿盟入侵防护

系统），形成对已知威胁与未知威胁的动态安全防护体系，再结合绿盟科技专业

应急响应团队以及区域服务团队的现场响应及处置能力，可对全国范围内的客户

提供现场快速分析排查、处置及加固防护。

安全月刊 / 2017.1146

漏洞聚焦

注：TAC的威胁分析能力请参考恶意软件行为章节内容

家族关联对比

勒索软件家族 BadRabbit WannaCry Petya

投递方式 水坑攻击（PE） 邮件附件 邮件附件

爆发时间 2017.10.24 2017.05.12 2017.06.27

影响地区 东欧和俄罗斯地区 全球范围俄罗斯、英国、乌克兰

等在内的欧洲多个国家

创建服务 是

漏洞利用 永恒浪漫 永恒之蓝 永恒之蓝

强制重启 是 否 是

加密算法 AES-128 RSA-2048

修改 MBR 是 否 是

赎金金额 0.05BTC $300 约 0.05BTC $300 约 0.05BTC

弱点随机生成的密钥不擦

除，有自行解密可能

开关域名解析，可以

跳过恶意功能执行。

开关文件访问，可以跳

过恶意功能执行。

2017.11 / 安全月刊 47

漏洞聚焦

绿盟科技检测与防护方案

绿盟科技检测服务

◆ 绿盟科技工程师前往客户现场检测。

◆ 绿盟科技在线云检测，登陆绿盟科技云，申请极光远程扫描试用。

◆ 绿盟科技木马专杀解决方案

◆ 短 期 服 务 ： 绿 盟 科 技 工 程 师 现 场 木 马 后 门 清 理 服 务 （ 人 工 服 务

+IPS+TAC）。确保第一时间消除网络内相关风险点，控制事件影响范围，提供

事件分析报告。

◆ 中期服务：提供3-6个月的风险监控与巡检服务（IPS+TAC+人工服

务）。根除风险，确保事件不复发。

◆ 长期服务：基金行业业务风险解决方案（威胁情报+攻击溯源+专业安全

服务）

附录

◆ 加密文件的扩展名列表

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg

.conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd

.hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg

.odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png

.ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif

.tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv

.work .xls .xlsx .xml .xvd .zip

声 明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证

或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损

失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥

有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完

整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告

内容，不得以任何方式将其用于商业目的。

安全月刊 / 2017.1148

漏洞聚焦

Adobe Flash Player 远程代码执行漏洞 CVE-2017-11292 安全通告发布时间：2017 年 10 月 17 日

综述

Adobe发布了Windows, Macintosh, Linux 以及Chrome OS多个平台下的Adobe

Flash Player安全升级补丁。这次更新修复了一个由于类型混淆漏洞导致的远程代

码执行。

Adobe官方注意到了CVE-2017-11292曾经有一段在野时期，被利用于有针

对性的攻击Windows用户。

受影响的版本

产品 版本 平台

Adobe F lash P layer Desk top

Runtime27.0.0.159 Windows, Macintosh

Adobe Flash Player for Google

Chrome27.0.0.159

Windows, Macintosh,

Linux and Chrome OS

Adobe Flash Player for Microsoft

Edge and Internet Explorer 1127.0.0.130 Windows 10 and 8.1

Adobe F lash P layer Desk top

Runtime27.0.0.159 Linux

为了验证安装在你的系统Adobe Flash Player的版本，请访问About Flash Player

页面，或者右击运行在Flash Player的内容，同时从菜单中选择"关于 Adobe (或者

2017.11 / 安全月刊 49

漏洞聚焦

Macromedia) Flash Player"。假如你使用了多个浏览器，请检查安装在你系统的每

一个浏览器。

规避方案

Adobe 已经根据优先级对更新补丁分好类，建议用户升级到最新版本。

产品 版本 平台 优先级 有效更新

Adobe Flash

Player Desktop

Runtime

27.0.0.170Windows,

Macintosh1

Flash Player

Download

Center

Flash Player

Distribution

Adobe Flash

Player for Google

Chrome

27.0.0.170

Windows,

Macintosh,

Linux and

Chrome OS

1

Google

Chrome

Releases

Adobe Flash

Player for

Microsoft Edge

and Internet

Explorer 11

27.0.0.170Windows 10

and 8.11

Microsoft

Security

Advisory

Adobe Flash

Player Desktop

Runtime

27.0.0.170 Linux 3

Flash Player

Download

Center

注意：

Adobe建议Windows, Macintosh 和 Linux用户通过产品内的更新机制或者通过

访问Adobe Flash Player下载中心升级到Adobe Flash Player 27.0.0.170 。

通过Google Chrome使用Adobe Flash Player的用户，可以通过升级到Google

Chrome的最新版本，从而自动升级Adobe Flash Player，它将包括最新版的Adobe

Flash Player 27.0.0.170。

安全月刊 / 2017.1150

漏洞聚焦

通过Microsoft Edge或者Internet Explorer 11使用Adobe Flash Player的用户，可

以通过微软官方发布的补丁升级到Adobe Flash Player 27.0.0.170。

请访问Flash Player Help获取安装帮助。

[1]选择“允许Adobe安装更新”的用户将自动接受到更新，其他用户可以按

照产品的更新提示进行更新。

漏洞详情

漏洞分类 漏洞影响 等级 CVE 编号

类型混淆 远程代码执行 严重 CVE-2017-11292

声 明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证

或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损

失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥

有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完

整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告

内容，不得以任何方式将其用于商业目的。

2017.11 / 安全月刊 51

漏洞聚焦

Apache Tomcat 远程代码执行漏洞

CVE-2017-12617 威胁预警通告

发布时间：2017 年 10 月 09 日

综述

近日，Apache官方发布了Tomcat的新版本，修复了

一个远程代码执行漏洞（CVE-2017-12617）。该漏洞源

于在HTTP PUT方法时，攻击者可以通过特制请求将JSP

文件上传到服务器。 然后可以请求此JSP，让服务器执行

该JSP中包含的任意代码。

相关地址：

https://lists.apache.org/thread.html/3fd341a604c4e9eab

39e7eaabbbac39c30101a022acc11dd09d7ebcb@%3Cannoun

ce.tomcat.apache.org%3E

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

受影响的版本

□ Apache Tomcat 9.0.0.M1 – 9.0.0

□ Apache Tomcat 8.5.0 – 8.5.22

□ Apache Tomcat 8.0.0.RC1 - 8.0.46

□ Apache Tomcat 7.0.0 – 7.0.81

不受影响的版本

□ Apache Tomcat 9.0.1

□ Apache Tomcat 8.5.23

□ Apache Tomcat 8.0.47

□ Apache Tomcat 7.0.82

解决方案

官方已经发布了新版本修复了该漏洞，受影响的用

户请尽快升级至最新版本来防护该漏洞。

参考链接：

Apache Tomcat 9.0.1:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.23/8.0.47:

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.82:

https://tomcat.apache.org/download-70.cgi

声 明

本安全公告仅用来描述可能存在的安全问题，绿盟科技

不为此安全公告提供任何保证或承诺。由于传播、利用此安

全公告所提供的信息而造成的任何直接或者间接的后果及损

失，均由使用者本人负责，绿盟科技以及安全公告作者不为

此承担任何责任。绿盟科技拥有对此安全公告的修改和解释

权。如欲转载或传播此安全公告，必须保证此安全公告的完

整性，包括版权声明等全部内容。未经绿盟科技允许，不得

任意修改或者增减此安全公告内容，不得以任何方式将其用

于商业目的。

安全月刊 / 2017.1152

漏洞聚焦

WordPress 存储型 XSS 漏洞 威胁预警通告发布时间：2017 年 10 月 19 日

综述

近日，WordPress 官方发布了一条安全通告表示在

4.8.1版本中发现了一个存储型的XSS漏洞，通过该漏洞，

攻击者可以在受影响网站的评论区写下包含恶意代码的留

言，当该留言页面被打开时，其中的恶意代码会执行，导

致该网站的权限，插件等被更改，甚至被完全控制。

满足以下条件时，WordPress的安装会受到影响:

1. 该漏洞需要使用具有评论或留言功能

2. 使用带有bbPress插件的WordPress安装中的任何帐

户，只要它具有发布功能（如果允许匿名发布，则不需

要帐户）。

当满足这些条件时，所有WordPress的安装都处于危

险之中。

目前WordPress官方已经发布4.8.2版本修复了该漏

洞。

相关链接：

https://blog.sucuri.net/2017/09/stored-cross-site-

scripting-vulnerability-in-wordpress-4-8-1.html

受影响的版本

□ WordPress 4.8.1

不受影响的版本

□ WordPress 4.8.2

解决方案

WordPress官方已经发布了新版本4.8.2修复了该漏

洞，受影响的用户请尽快升级至最新版本来防护该漏

洞。

参考链接：

https://wordpress.org/download/

声 明

本安全公告仅用来描述可能存在的安全问题，绿盟科技

不为此安全公告提供任何保证或承诺。由于传播、利用此安

全公告所提供的信息而造成的任何直接或者间接的后果及损

失，均由使用者本人负责，绿盟科技以及安全公告作者不为

此承担任何责任。绿盟科技拥有对此安全公告的修改和解释

权。如欲转载或传播此安全公告，必须保证此安全公告的完

整性，包括版权声明等全部内容。未经绿盟科技允许，不得

任意修改或者增减此安全公告内容，不得以任何方式将其用

于商业目的。

　品动态产 SS

安全月刊 / 2017.1154

产品动态

网络入侵防御/检测系统规则库更新

网络入侵防御 /检测规则库最新版本

规则更新

5.6.10.16764

新增规则：

1. 攻击 [24110]:HPE Intelligent Management Center 远程代码执行漏洞 (CVE-2017-12500)

2. 攻击 [24111]:HPE Intelligent Management Center 远程代码执行漏洞 (CVE-2017-12526)

3. 攻击 [24112]:Systemd dns_packet_new 函数堆缓冲区远程溢出漏洞

4. 攻击 [24113]:Kaspersky Anti-Virus for Linux File Server 路径遍历漏洞

5. 攻击 [24109]:Apache Solr/Lucene 信息泄露及远程代码执行漏洞 (CVE-2017-12629)

6. 攻击 [24108]:Oracle Fusion Middleware MapViewer FileUploaderServlet fileName 远程代码

执行漏洞 (CVE-2017-3230)

7. 攻击 [41520]: 恶意程序 Downloader:Win32/Carbanak-20171016-2C0CFDC5B5653CB3E

8B0F8EEEF55FC32 网络通信

8. 攻击 [41521]:DownLoader:Win32/flexible 恶意程序通信

9. 攻击 [41522]:Spyware:Win32/flexible 恶意程序通信

10 攻击 [24107]:Symantec Messaging Gateway 远程代码执行漏洞 (CVE-2017-6327)

11. 攻击 [41520]: 恶意程序 Downloader:Win32/Carbanak-20171016-2C0CFDC5B5653CB3

E8B0F8EEEF55FC32 网络通信

12. 攻击 [24108]:Oracle Fusion Middleware MapViewer FileUploaderServlet fileName 远程代

码执行漏洞 (CVE-2017-3230)

13. 攻击 [24109]:Apache Solr/Lucene 信息泄露及远程代码执行漏洞 (CVE-2017-12629)

14. 攻击 [24106]:Apache Tomcat 远程代码执行漏洞（CVE-2017-12617）

15. 攻击 [24103]:Trend Micro OfficeScan Proxy.php 命令注入漏洞

16. 攻击 [30700]:Microsoft Windows XXE 信息泄露漏洞

17. 攻击 [24105]:Spring Data REST 远程代码执行漏洞 (CVE-2017-8046)

绿盟科技产品更新提示

2017.11 / 安全月刊 55

产品动态

网络入侵防御 /检测规则库最新版本

规则更新

5.6.10.16764

修改更新规则：

1. 攻击 [41310]:Bill Gates 僵尸网络通讯

2. 攻击 [24106]:Apache Tomcat 远程代码执行漏洞（CVE-2017-12617）

3. 攻击 [24104]: 博科网络顾问 filereceiveservlet 文件目录遍历

4. 攻击 [23579]:Elasticsearch 目录遍历漏洞

5. 应用 : 淘宝资源

6. 应用 : 腾讯微信

Web应用防火墙规则库更新

Web 规则库最新版本 规则更新

6.0.6.1.37404

新增规则 :

服务器 / 插件漏洞防护

27004858 spring_data_rest_remote_code_exec 防护 Spring Data REST 远程代码执行漏洞

安全月刊 / 2017.1156

产品动态

绿盟 IPS/IDS 新功能

IPS/IDS应对代理环境

在10月份月刊中我们介绍了绿盟Web应用防火墙应对代理环境的配置方法，

接下来我们将介绍绿盟IPS/IDS在代理环境中解析真实客户端IP的配置方法。

步骤一　选择左侧菜单 系统 > 系统配置，然后选择右侧的专业参数页签，

如下图所示。

2017.11 / 安全月刊 57

产品动态

步骤二　点击更改配置；

步骤三　找到配置2中的 use_cdn_set 选择是，如下图所示；

步骤四　点击配置2下的确定保存，同时系统提示专业参数配置成功，点击

应用配置后生效。如下图所示。

安全月刊 / 2017.1158

产品动态

步骤五　点击应用配置，使配置生效。

在完成上述配置后，IPS/IDS即可自动分析提取代理字段中的客户端真实

IP，并进行替换。

注意：上述操作可能因操作不当造成系统稳定性下降或网络中断，请在操作

前对系统配置进行备份，并严格按照上述步骤选择合适时机进行操作，或联系绿

盟科技协助您完成。

DNS黑白名单实现威胁的快速处置

安全运营的主要目标是降低威胁平均检测时间/平均响应时间（MTTD/

MTTR)，即在攻击者发动攻击之前，完成防御策略的调整，阻断或者迟滞攻击，

或在已成功潜入的攻击者盗取数据、造成破坏前，进行精准定位，及时评估可能

的损失范围和程度，进行响应和处置，将损失减至最小。

在各类公共网络安全事件爆发的第一时间，如绿盟科技NTI等第三方

威胁情报机构就会发布相关事件的IOC，如之前Xshell后门事件中IOC域名

（*.xmponmzmxkxkh.com等），百度事件的IOC域名（update.123juzi.net等），企

业在拿到这些IOC后就可结合现网的安全设备进行安全策略的快速调整。

针对这一需求，绿盟科技IPS/IDS提供了DNS黑白名单功能，可在IPS/IDS

上通过DNS黑名单功能对IOC域名的解析进行阻断，且不受内部终端DNS配置影

响，从源头上解决问题，实现情报驱动的安全落地支撑，帮助用户以更高的效率

解决安全问题。

2017.11 / 安全月刊 59

产品动态

配置方法如下：

步骤一　请确保目前引擎版本在V56R10F02SP01版本或以上，若低于该版

本，请先将IPS/IDS升级至V56R10F02SP01版本或以上，如下图所示。

步骤二　选择左侧菜单 策略 > 入侵防护，然后选择右侧的DNS配置页签，

如下图所示。

安全月刊 / 2017.1160

产品动态

步骤三　在DNS黑名单中输入需要过滤的DNS查询请求。

例如Xshell后门事件中IOC域名*.xmponmzmxkxkh.com等。

注：

输入格式为：HOST（例：www.example.com）,每个URL限制200个字符

每行填写一个URL，多个DNS请用回车符换行。任一DNS匹配，即匹配该

规则。

DNS黑白名单均配置最大数量为1000条。

DNS黑白名单仅支持 “ *+域名 ” 的形式。

步骤四　点击确认，提示DNS配置成功，应用配置后生效。

步骤五　点击应用配置，使配置生效。

配置生效后IDS/IPS即可检测/阻断相应的DNS查询流量。