2022十大网安事件盘点（上）丨大东话安全

2022十大网安事件盘点（上）丨大东话安全本站　　小白：东哥你说得没错，我这两天还梳理了2022的内容，2022年围绕网络安全，我们提出了“八个打”、“”、“六个看”、“五个能”、“四个学”

　　小白：东哥你说得没错，我这两天还梳理了2022的内容，2022年围绕网络安全，我们提出了“八个打”、“”、“六个看”、“五个能”、“四个学”。

　　大东：在酒香也怕巷子深的当今经济社会中，拥有一双慧眼，能有效地对特定行业欣赏、观测、发现、甄别、洞察，就如同拥有了神兵利器，将浩如烟海的产业情报化整为零、去粗取精，实现精准的信息遴选，进而快人一步、棋高一着，占尽行业、产业先机；在网络安全行业中，亦复如是。

　　大东：所以啊，普罗大众如何实现对网络安全行业从初窥门径“看热闹”，到如数家珍“看门道”的视野跃迁，就要经历下面的“六个看”的过程。这六个看，就体现了如同博弈中段位逐步提高的过程。

　　大东：目前，我们提出了“网安对抗棋谱”的新安全理念，就是以层出不穷的安全事件作为长期分析对象，针对网络安全的本质即攻防做聚焦性研究，以国计民生的需求凝练为科学问题，不断积累迭代形成“网安对抗棋谱”。

　　小白：俗话说得好，懂行最重要。现在的产业分工更加精细，更多的是要找懂行的人提高我们的鉴别能力。听完东哥讲了“六个看”还是有点晕晕的，我都拿小本本记下啦。看来无论是想成为网安专家还是找网安专家咨询，都离不开中科院啊。

　　大东：跨年夜大家都会发信息给亲朋好友送祝福，有的人会倾向使用即时性通讯软件，有的人会倾向使用email方式。很多使用微软Exchange 的用户发现，自己写好的新年祝福等邮件突然无法发出，并且都会收到一条错误提醒。

　　大东：是一个由于“2022年”的到来而导致的bug。微软的邮件过滤管理系统存储日期的格式，这个格式其实也是编程程序员比较常见的格式——“yymmddHHMM”，并使用有符号变量（Int32，也就是long）实现。

　　小白：有符号的Int32最多只能存储-2147483647到+2147483647的数据，这样的线时开始，就超过了Int32所能存储的数据最大范围。

　　大东：所以这个漏洞也被网友称为“2022版千年虫”，也被一些Exchange管理员命名为Y2K22。

　　大东：是的，你想，设置在2022年新年发送的邮件会在许多公司的邮箱服务器内滞留，据了解，有的公司邮箱服务器中滞留的邮件甚至已经达到数十万封。

　　大东：是的。“Reset-ScanEngineVersion.ps1”脚本执行时，Microsoft过滤管理和Microsoft Exchange传输服务都会被停止，随后会删除旧的防病毒引擎文件，并下载新的防病毒引擎，最后再次启动这些服务。

　　小白：欸，感觉变量这件事看起来微不足道，实际上出问题之后影响还是蛮大的。写程序的时候一定要多多考虑啊！

　　大东：2022年3月，某富豪警告称，该公司的卫星宽带服务很有可能在热点地区成为“被针对的目标”。

　　大东：他要求用户“只在需要时打开，并将天线放在距离人群尽可能远的地方...对天线进行轻度伪装，以免被发现。”

　　大东：这个系统是一家美国公司的一个项目，该公司计划在2019年至2024年间在太空搭建提供互联网服务的由约1.2万颗卫星组成的网络，该网络中的1584颗将会部署在地球上空550千米处的近地轨道，并从2020年开始工作。

　　大东：系统通过低轨道通信卫星提供高速互联网服务。如果一切顺利，可以在全球范围内提供低成本的互联网连接服务。

　　大东：技术的进步是永无止境的，防御手段在升级，可攻击手段也在升级。因此，或许要在安全领域做出一个宏观的布局，才能更好地应对可能的安全威胁。

　　小白：这让我想到2021年世界互联网大会乌镇峰会上展示的“天蛛”。“天蛛”的目标是实现我国卫星互联网体系的安全基因内置，围绕星网的原生安全能力验证以及未来承载的互联网应用开展相应的科学实验验证，从源头上确保安全。

　　大东：是的，“天蛛”的第一步是建设卫星互联网攻防仿真验证平台，建立卫星互联网全仿真模拟环境和面向卫星互联网的攻防环境，实现卫星互联网场景攻防演练，并建立外部真实环境与业务接入机制。

　　大东：在2022年4月初，可为云计算提供安全服务的美国某公司研究人员发现了一种新型恶意软件，即Win32.PWS.FFDroider的软件（简称FFDroider）。

　　大东：FFDroider利用盗来的cookie，帮助攻击者登录用户的社交媒体平台，对账户信息进行提取，之后利用这些信息窃取更多的敏感信息或个人信息，比如通过展示虚假广告，诱骗用户输入敏感信息，通过这种手段进行进一步的攻击。

　　大东：该公司表示，这款恶意软件对某社交平台的攻击效果最为明显。另外，其他目标还包括电子商务平台如亚马逊、eBay和Etsy等的用户。一旦窃取了用户个人信息，犯罪分子就可以以此进行欺诈和盗取金钱等不法行为。

　　大东：为了避免类似事件发生，对于个人用户来说，我们需要提高自身安全意识，尽可能下载官方网站来源的软件，对下载的文件进行必要的安全检查。

　　大东：为增强企事业单位内部的网络安全，首先应加强对员工的培训和教育，增强网络安全意识，其次，应把终端安全软件安装在每一台主机上，并限制单位员工个人使用非官网渠道下载安装程序，以保障内部网络的安全性。

　　小白：东哥，我最近研究APT方面的知识，发现各种案例都有，竟然还有不法分子攻击航空公司的案例，真是骇人听闻！

　　大东：你这一说，我倒是想起来前一阵被公布的一则安全分析报告，这个报告与一家亚洲航空公司相关。该航空公司被分析出了潜在威胁，而且潜在攻击者疑似是一个伊朗APT组织。

　　大东：它是一个非常活跃的全球性黑客组织，名为ITG17，又称“Muddy Water”。“污水”（MuddyWater）APT组织这次攻击活动始于2019年，目标是一家亚洲航空公司，以窃取航班预订数据。

　　大东：没错，一旦掌握了足够的订单信息，就可提取某些关键人物的近期航班动向，进而可对其活动区域进行定点监控，执行某些后续攻击。

　　小白：东哥，面对此次针对亚洲航空公司的APT攻击，我们该采取怎样的防御措施将这种潜在攻击扼杀在摇篮中呢？

　　大东：从2017年被曝光以来，MuddyWater APT组织不但没有停止攻击，反而更加积极地改进攻击的武器。要做出防御就要从分析该组织的攻击技术入手。

　　大东：广大用户一定不要随便打开来历不明的邮件的附件，并且做好杀毒软件等安全软件的安装。目前已经有了专门的威胁检测系统可以防御这种攻击。