縱觀2018年網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)犯罪分子攻擊手段變幻莫測(cè)，除了零日漏洞的利用外，勒索軟件、惡意挖礦大行其道，區(qū)塊鏈領(lǐng)域險(xiǎn)象環(huán)生，暗網(wǎng)數(shù)據(jù)泄露更是層出不窮，而且攻擊渠道日益變幻，IoT設(shè)備、工業(yè)網(wǎng)亦成為不法黑客的攻擊重點(diǎn)，以上這些皆都為整個(gè)網(wǎng)絡(luò)空間安全環(huán)境帶來(lái)全新挑戰(zhàn)。

知道創(chuàng)宇404實(shí)驗(yàn)室通過(guò)監(jiān)控、分析全球威脅活動(dòng)信息，積極參與各類(lèi)安全事件應(yīng)急響應(yīng)，并結(jié)合2018年全年國(guó)內(nèi)外各個(gè)安全研究機(jī)構(gòu)、安全廠商披露的重大網(wǎng)絡(luò)攻擊事件，基于這些重大攻擊事件的攻擊技術(shù)、危害程度等，評(píng)選出2018年信息安全相關(guān)大事件。

國(guó)際篇

1. Memcache DDoS攻擊

2018年3月1日，Github遭受遭 1.35TB 大小的DDoS攻擊，隨后的幾天，NETSCOUT Arbor 再次確認(rèn)了一起由 Memcache DDoS 造成的高達(dá) 1.7 Tbps 的反射放大DDoS 攻擊。在2018年上半年虛擬貨幣價(jià)值飆升、黑灰產(chǎn)轉(zhuǎn)向至挖礦領(lǐng)域、反射放大攻擊持續(xù)下降的情況下，利用Memcache DDoS 造成如此大流量的攻擊，其威力可見(jiàn)一斑。

2. Cisco路由器被攻擊事件

2018年1月，Cisco官方發(fā)布了一個(gè)有關(guān)Cisco ASA防火墻webvpn遠(yuǎn)程代碼執(zhí)行漏洞的公告。2018年3月，Cisco官方發(fā)布了Cisco Smart Install遠(yuǎn)程命令執(zhí)行漏洞的安全公告。這兩個(gè)漏洞都是未授權(quán)的遠(yuǎn)程命令執(zhí)行漏洞，攻擊者無(wú)需登錄憑證等信息即可成功實(shí)施攻擊。2018年4月6日，一個(gè)名為“JHT”的黑客組織攻擊了包括俄羅斯和伊朗在內(nèi)的多個(gè)國(guó)家網(wǎng)絡(luò)基礎(chǔ)設(shè)施，遭受攻擊的Cisco設(shè)備的配置文件會(huì)顯示為美國(guó)國(guó)旗，所以該事件又被稱(chēng)為“美國(guó)國(guó)旗”事件。

3. 供應(yīng)鏈攻擊

供應(yīng)鏈攻擊一直以隱蔽、高效著稱(chēng)。2018年供應(yīng)鏈攻擊在不同層面都有發(fā)生、發(fā)生原因也不盡相同。有火絨安全最先曝光的針對(duì)驅(qū)動(dòng)人生公司進(jìn)行的攻擊，有由于NodeJS庫(kù)作者隨意給相關(guān)庫(kù)權(quán)限導(dǎo)致被攻擊者植入后門(mén)的攻擊，也有感染易語(yǔ)言模塊并使用“微信支付”進(jìn)行勒索的勒索病毒。供應(yīng)鏈中任何薄弱的地方都有可能導(dǎo)致供應(yīng)鏈攻擊的發(fā)生。

4. GPON遠(yuǎn)程命令執(zhí)行漏洞

2018年4月30日，vpnMentor公布了GPON路由器的兩個(gè)高危漏洞，繞過(guò)驗(yàn)證漏洞（CVE-2018-10561）和命令注入漏洞（CVE-2018-10562）。結(jié)合這兩個(gè)漏洞，只需要發(fā)送一次請(qǐng)求就可以在GPON路由器上執(zhí)行任意命令。在該漏洞披露后的十天內(nèi)，該漏洞就已經(jīng)被多個(gè)僵尸網(wǎng)絡(luò)家族整合、利用、在公網(wǎng)上以蠕蟲(chóng)的方式傳播。

5. Java反序列化漏洞

2018年的Java反序列化漏洞還在持續(xù)爆發(fā)，在知道創(chuàng)宇404實(shí)驗(yàn)室2018年應(yīng)急的漏洞中，受此影響最嚴(yán)重的是WebLogic，該軟件是美國(guó)Oracle公司出品的一個(gè)Application Server。2018年知道創(chuàng)宇404實(shí)驗(yàn)室應(yīng)急了5個(gè)WebLogic的反序列化漏洞。由于Java反序列化漏洞可以實(shí)現(xiàn)執(zhí)行任意命令的攻擊效果，是黑客用來(lái)傳播病毒，挖礦程序等惡意軟件的攻擊方法之一。

6. Drupal遠(yuǎn)程代碼執(zhí)行漏洞（Drupalgeddon2）

Drupal是使用PHP編寫(xiě)的開(kāi)源內(nèi)容管理框架，Drupal社區(qū)是全球最大的開(kāi)源社區(qū)之一，全球有100萬(wàn)個(gè)網(wǎng)站正在使用Drupal，今年3月份，Drupal安全團(tuán)隊(duì)披露了一個(gè)非常關(guān)鍵的（21/25 NIST等級(jí)）漏洞，被稱(chēng)為Drupalgeddon 2（CVE-2018-7600），此漏洞允許未經(jīng)身份驗(yàn)證的攻擊者進(jìn)行遠(yuǎn)程命令執(zhí)行操作。

7. 數(shù)據(jù)泄漏事件

2018年多起大型數(shù)據(jù)泄漏事件被曝光，2018年6月12日，知道創(chuàng)宇暗網(wǎng)雷達(dá)監(jiān)控到國(guó)內(nèi)某視頻網(wǎng)站數(shù)據(jù)庫(kù)在暗網(wǎng)出售。2018年8月28日，暗網(wǎng)雷達(dá)再次監(jiān)控到國(guó)內(nèi)某酒店開(kāi)房數(shù)據(jù)在暗網(wǎng)出售。2018年11月30日，某公司發(fā)布公告稱(chēng)，旗下某酒店數(shù)據(jù)庫(kù)遭入侵，最多約5億客人信息被泄漏。2018年12月，一推特用戶(hù)發(fā)文稱(chēng)國(guó)內(nèi)超2億用戶(hù)的簡(jiǎn)歷信息遭到泄漏。除此之外，facebook向第三方機(jī)構(gòu)泄漏個(gè)人信息數(shù)據(jù)也引起了極大的關(guān)注。隨著暗網(wǎng)用戶(hù)的增多，黑市及加密數(shù)字貨幣的發(fā)展，暗網(wǎng)威脅必定會(huì)持續(xù)增長(zhǎng)，知道創(chuàng)宇404安全研究團(tuán)隊(duì)會(huì)持續(xù)通過(guò)技術(shù)手段來(lái)測(cè)繪暗網(wǎng)，提供威脅情報(bào)，追蹤和對(duì)抗來(lái)自暗網(wǎng)的威脅。

8. EOS平臺(tái)遠(yuǎn)程命令執(zhí)行漏洞

2018年5月末，360公司Vulcan（伏爾甘）團(tuán)隊(duì)發(fā)現(xiàn)EOS平臺(tái)的一系列高危漏洞，部分漏洞可以在EOS節(jié)點(diǎn)上遠(yuǎn)程執(zhí)行任意代碼。這也就意味著攻擊者可以利用這個(gè)漏洞直接控制和接管EOS上運(yùn)行的所有節(jié)點(diǎn)。從漏洞危害等方面來(lái)說(shuō)，稱(chēng)該漏洞為“史詩(shī)級(jí)”名副其實(shí)。

9. 多個(gè)區(qū)塊鏈項(xiàng)目RPC接口安全問(wèn)題

2018年3月20日，慢霧區(qū)和BLOCKCHAIN SECURITY LAB揭秘了以太坊黑色情人節(jié)事件（以太坊偷渡漏洞）相關(guān)攻擊細(xì)節(jié)。2018年8月1日，知道創(chuàng)宇404實(shí)驗(yàn)室在前者的基礎(chǔ)上結(jié)合蜜罐數(shù)據(jù)，補(bǔ)充了后偷渡時(shí)代多種利用以太坊RPC接口盜幣的利用方式：離線(xiàn)攻擊、重放攻擊和爆破攻擊。2018年08月20日，知道創(chuàng)宇404實(shí)驗(yàn)室再次補(bǔ)充了一種攻擊形式：“拾荒攻擊”。RPC接口并非以太坊獨(dú)創(chuàng)，其在區(qū)塊鏈項(xiàng)目中多有應(yīng)用。2018年12月1日，騰訊安全聯(lián)合實(shí)驗(yàn)室對(duì)NEO RPC接口安全問(wèn)題提出預(yù)警。區(qū)塊鏈項(xiàng)目RPC接口在方便交易的同時(shí)，也帶來(lái)了極大的安全隱患。

10. 區(qū)塊鏈智能合約相關(guān)漏洞

區(qū)塊鏈安全漏洞很多都出現(xiàn)在智能合約上。昊天塔（HaoTIan）”是知道創(chuàng)宇404區(qū)塊鏈安全研究團(tuán)隊(duì)獨(dú)立開(kāi)發(fā)的用于監(jiān)控、掃描、分析、審計(jì)區(qū)塊鏈智能合約安全自動(dòng)化平臺(tái)。將智能合約各種審計(jì)過(guò)程中遇到的問(wèn)題總結(jié)成漏洞模型，并匯總為《知道創(chuàng)宇以太坊合約審計(jì)CheckList》。涵蓋了超過(guò)29種會(huì)在以太坊審計(jì)過(guò)程中會(huì)遇到的問(wèn)題，其中部分問(wèn)題更是會(huì)影響到 74.49% 已公開(kāi)源碼的合約。、

隨著2017年年末的一款名為CryptoKitTIes（以太貓）的區(qū)塊鏈游戲爆火，智能合約DApp成了2018年區(qū)塊鏈發(fā)展的主旋律。2018年4月22日，攻擊者利用BEC智能合約轉(zhuǎn)賬函數(shù)中的一處乘法溢出漏洞，清空了BEC的所有合約代幣。2018年7月24日，外國(guó)的一位安全研究者利用Fomo3D的Airdrop特性加上隨機(jī)數(shù)漏洞，讓Fomo3D損失了空投池中所有的代幣。2018年8月22日，F(xiàn)omo3D第一輪大獎(jiǎng)被開(kāi)出，攻擊者利用以太坊底層的交易順序問(wèn)題獲得了超過(guò)10000枚以太幣，這個(gè)漏洞的曝光也標(biāo)志著對(duì)交易順序依賴(lài)的智能合約正式的死亡。包括以太坊DApp和EOS DApp在內(nèi)，從實(shí)際的安全漏洞到業(yè)務(wù)安全問(wèn)題，智能合約安全漏洞直接威脅著代幣安全，這也標(biāo)志著智能合約會(huì)經(jīng)受著更大挑戰(zhàn)。

國(guó)內(nèi)篇

1. 驅(qū)動(dòng)人生供應(yīng)鏈?zhǔn)录?/p>

2018年12月14日下午，一款通過(guò)“驅(qū)動(dòng)人生”升級(jí)通道進(jìn)行傳播的木馬突然爆發(fā)，在短短兩個(gè)小時(shí)的時(shí)間內(nèi)就感染了十萬(wàn)臺(tái)電腦。通過(guò)后續(xù)調(diào)查發(fā)現(xiàn)，這是一起精心策劃的供應(yīng)鏈入侵事件。

2. 數(shù)據(jù)泄漏事件

2018年6月12日，知道創(chuàng)宇暗網(wǎng)雷達(dá)監(jiān)控到國(guó)內(nèi)某視頻網(wǎng)站數(shù)據(jù)庫(kù)在暗網(wǎng)出售。2018年8月28日，暗網(wǎng)雷達(dá)再次監(jiān)控到國(guó)內(nèi)某酒店開(kāi)房數(shù)據(jù)在暗網(wǎng)出售。2018年12月，一推特用戶(hù)發(fā)文稱(chēng)國(guó)內(nèi)超2億用戶(hù)的簡(jiǎn)歷信息遭到泄漏。除此之外，facebook向第三方機(jī)構(gòu)泄漏個(gè)人信息數(shù)據(jù)也引起了極大的關(guān)注。隨著暗網(wǎng)用戶(hù)的增多，黑市及加密數(shù)字貨幣的發(fā)展，暗網(wǎng)威脅必定會(huì)持續(xù)增長(zhǎng)，知道創(chuàng)宇404安全研究團(tuán)隊(duì)會(huì)持續(xù)通過(guò)技術(shù)手段來(lái)測(cè)繪暗網(wǎng)，提供威脅情報(bào)，追蹤和對(duì)抗來(lái)自暗網(wǎng)的威脅。

3. 勒索病毒繼續(xù)在內(nèi)網(wǎng)肆虐

2018年勒索病毒在永恒之藍(lán)漏洞的助力下繼續(xù)在內(nèi)網(wǎng)肆虐。2018年11月，知道創(chuàng)宇404實(shí)驗(yàn)室捕獲到一款名為 Lucky 的勒索病毒。在對(duì)病毒加密算法進(jìn)行分析后，知道創(chuàng)宇404安全研究團(tuán)隊(duì)發(fā)布了該勒索病毒的解密工具（https://github.com/knownsec/Decrypt-ransomware）。

4. 虛擬貨幣交易所被攻擊等事件

2018年上半年是區(qū)塊鏈行業(yè)飛速發(fā)展的時(shí)期。區(qū)塊鏈行業(yè)發(fā)展速度與安全建設(shè)速度的不對(duì)等造成安全事件頻發(fā)。除區(qū)塊鏈本身的問(wèn)題外，虛擬貨幣交易所等也是黑客攻擊的主要目標(biāo)之一。入侵交易所、通過(guò)交易所漏洞間接影響幣價(jià)等攻擊方式都是黑客常用的攻擊手法。在這些攻擊背后，往往都會(huì)造成巨大的損失。

5. Weblogic組件多個(gè)遠(yuǎn)程命令執(zhí)行漏洞

2018年知道創(chuàng)宇404實(shí)驗(yàn)室應(yīng)急了5個(gè)WebLogic的反序列化漏洞（CVE-2018-2628/2893/3245/3191/3252）。由于Java反序列化漏洞可以實(shí)現(xiàn)執(zhí)行任意命令的攻擊效果，這些漏洞都成為了黑客傳播病毒，挖礦程序等惡意軟件的攻擊方法之一。

6. “應(yīng)用克隆”攻擊

2018年1月9日，騰訊安全玄武實(shí)驗(yàn)室和知道創(chuàng)宇404實(shí)驗(yàn)室聯(lián)合披露攻擊威脅模型“應(yīng)用克隆”。值得一提的是，幾乎所有的移動(dòng)應(yīng)用都適用該攻擊威脅模型。在該攻擊威脅模型下，攻擊者可以“克隆”用戶(hù)賬戶(hù)，實(shí)現(xiàn)竊取隱私信息、盜取賬號(hào)和資金等操作。

7. ZipperDown 通用漏洞

2018年5月，盤(pán)古實(shí)驗(yàn)室在對(duì)IOS應(yīng)用安全審計(jì)過(guò)程中發(fā)現(xiàn)了一類(lèi)通用安全漏洞，可能影響10%的IOS應(yīng)用。該漏洞被取名為 ZipperDown。根據(jù)盤(pán)古實(shí)驗(yàn)室披露的信息，微博、陌陌、網(wǎng)易云音樂(lè)、QQ 音樂(lè)、快手等流行應(yīng)用受影響。

8. 智能門(mén)鎖安全需要被重視

隨著物聯(lián)網(wǎng)的發(fā)展，智能門(mén)鎖應(yīng)運(yùn)而生，智能門(mén)鎖的安全性卻一直頗受爭(zhēng)議。2018年5月26日，第九屆中國(guó)（永康）國(guó)際門(mén)業(yè)博覽會(huì)上王海麗女士就通過(guò)特斯拉線(xiàn)圈打開(kāi)了八家品牌商的智能門(mén)鎖。除此之外，通過(guò)手機(jī)/指紋等方式開(kāi)鎖也引入了新的攻擊面，重放等方式的攻擊大放異彩。智能門(mén)鎖廠家對(duì)智能門(mén)鎖本身安全的不重視也讓智能門(mén)鎖漏洞被曝光后不修復(fù)或未完全修復(fù)成為了常態(tài)。

9. WEB應(yīng)用程序0day攻擊事件

2018年6月13日，知道創(chuàng)宇404積極防御團(tuán)隊(duì)通過(guò)知道創(chuàng)宇旗下云防御產(chǎn)品“創(chuàng)宇盾”防御攔截并捕獲到一個(gè)針對(duì)某著名區(qū)塊鏈交易所網(wǎng)站的攻擊，通過(guò)分析，發(fā)現(xiàn)攻擊者利用的正式ECShop 2.x版本的0day漏洞攻擊。于2018年6月14日，提交到知道創(chuàng)宇Seebug漏洞平臺(tái)并收錄。

2018年12月10日，ThinkPHP官方發(fā)布《ThinkPHP 5.*版本安全更新》，修復(fù)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。經(jīng)過(guò)知道創(chuàng)宇404實(shí)驗(yàn)室積極防御團(tuán)隊(duì)排查相關(guān)日志，該漏洞尚處于0day階段時(shí)就已經(jīng)被用于攻擊多個(gè)虛擬貨幣類(lèi)、金融類(lèi)網(wǎng)站。在漏洞詳情披露后的一周時(shí)間內(nèi)，該漏洞就已經(jīng)被僵尸網(wǎng)絡(luò)整合到惡意樣本并通過(guò)蠕蟲(chóng)的方式在網(wǎng)絡(luò)空間傳播。

在2018年區(qū)塊鏈虛擬貨幣價(jià)格高漲的刺激下 網(wǎng)絡(luò)黑產(chǎn)利用0day攻擊虛擬貨幣/金融類(lèi)網(wǎng)站日益增多。

10. xiongmai攝像頭漏洞影響數(shù)百萬(wàn)攝像頭

2018年多個(gè)廠商/型號(hào)的攝像頭被披露出多個(gè)漏洞。在知道創(chuàng)宇404實(shí)驗(yàn)室應(yīng)急的漏洞中，影響設(shè)備數(shù)量最多的要屬Xiongmai IP攝像頭。通過(guò)ZoomEye搜索引擎能得到200萬(wàn)的Xiongmai設(shè)備暴露在公網(wǎng)上，但是通過(guò)枚舉Cloud ID，能訪(fǎng)問(wèn)到約900萬(wàn)Xiongmai設(shè)備。并且該設(shè)備還存在著硬編碼憑證和遠(yuǎn)程代碼執(zhí)行漏洞，如果這些設(shè)備被用來(lái)傳播僵尸網(wǎng)絡(luò)，將會(huì)給網(wǎng)絡(luò)空間造成巨大的危害。