2018年国内外信息安全相关重大事件

纵观2018年网络安全事件，网络犯罪分子的攻击方式难以预料。除了利用零日漏洞外，勒索软件和恶意挖矿也很流行。区块链领域危机四伏，暗网数据泄露事件层出不穷。 ，且攻击渠道日新月异，物联网设备和工业网络也成为非法黑客攻击的重点，都给整个网络空间安全环境带来了新的挑战。

知道创宇404实验室通过监测和分析全球威胁活动信息，积极参与各种安全事件的应急响应。这些重大攻击事件的攻击技术和危害程度被评选为2018年与信息安全相关的重大事件。

国际版

1.Memcache DDoS 攻击

2018 年 3 月 1 日，Github 遭到 1.35TB DDoS 攻击，随后几天，NETSCOUT Arbor 再次确认内存缓存 DDoS 反射高达 1.7 Tbps Amplify DDoS 攻击。 2018年上半年，当虚拟货币价值飙升，黑灰生产转移到挖矿领域，反射放大攻击持续下降时，使用Memcache DDoS造成的如此大流量的攻击威力是很明显。

2.思科路由器被攻击

2018 年 1 月，思科正式发布了关于 Cisco ASA 防火墙 webvpn 远程代码执行漏洞的公告。 2018年3月，思科正式发布了针对思科智能安装远程命令执行漏洞的安全公告。这两个漏洞都是未经授权的远程命令执行漏洞，允许攻击者在没有登录凭据等信息的情况下成功执行攻击。 2018 年 4 月 6 日，一个名为“JHT”的黑客组织攻击了包括俄罗斯和伊朗在内的多个国家的网络基础设施，被攻击的 Cisco 设备的配置文件显示了美国国旗，因此该事件再次被称为“美国标记”事件。

3.供应链攻击

供应链攻击一直以隐蔽和高效而著称。 2018 年的供应链攻击发生在不同的层面和不同的原因。有火融安全最先曝光的针对Drive Life公司的攻击，有因NodeJS库作者任意授予相关库权限而被攻击者植入的攻击，有感染易语言模块并使用“微信支付”的勒索软件攻击为敲诈。病毒。供应链中的任何弱点都可能导致供应链攻击。

4.GPON远程命令执行漏洞

2018 年 4 月 30 日，vpnMentor 公布了 GPON 路由器中的两个高危漏洞，一个身份验证绕过漏洞 (CVE-2018-10561) 和一个命令注入漏洞 (CVE-2018-10562)。结合这两个漏洞，只需一个请求即可在 GPON 路由器上执行任意命令。在漏洞被披露后的十天内以太坊大事件，该漏洞已被多个僵尸网络家族整合、利用并作为蠕虫病毒在公共互联网上传播。

5.Java 反序列化漏洞

2018年Java反序列化漏洞持续爆发。在 2018 年已知创宇 404 实验室的紧急漏洞中，受影响最严重的是 WebLogic，它是美国甲骨文公司生产的应用服务器。 . 2018年，我知道创宇404实验室已经响应了5个WebLogic反序列化漏洞。由于Java反序列化漏洞可以达到执行任意命令的攻击效果，是黑客用来传播病毒、挖矿程序等恶意软件的攻击手段之一。

6. Drupal 远程代码执行漏洞 (Drupalgeddon2)

Drupal 是一个用 PHP 编写的开源内容管理框架。 Drupal 社区是世界上最大的开源社区之一。全世界有一百万个网站正在使用 Drupal。今年 3 月，Drupal 安全团队披露了一个非常严重（NIST 评级为 21 /25）的漏洞，称为 Drupalgeddon 2 (CVE-2018-7600)，该漏洞允许未经身份验证的攻击者远程执行命令。

7.数据泄露事件

2018年，多起大规模数据泄露事件被曝光。 2018年6月12日，智创宇暗网雷达监测到，某国内视频网站数据库在暗网上售卖。 2018年8月28日，暗网雷达再次监测到中国某酒店的开房数据在暗网上售卖。 2018年11月30日，一家公司宣布旗下一家酒店的数据库遭到入侵，多达约5亿客人的信息被泄露。 2018年12月，一位推特用户发文称，超过2亿国内用户的简历信息被泄露。此外，Facebook 向第三方机构泄露个人信息数据的行为也备受关注。随着暗网用户的增加以及黑市和加密数字货币的发展，暗网的威胁将持续增长。据了解，创宇404安全研究团队将继续利用技术手段绘制暗网地图，提供威胁情报，追踪和打击暗网。对 Internet 的威胁。

8.EOS平台远程命令执行漏洞

2018年5月末，360公司火神（Vulcan）团队在EOS平台发现了一系列高危漏洞，其中部分漏洞可以远程在EOS节点上执行任意代码。这意味着攻击者可以利用此漏洞直接控制和接管运行在 EOS 上的所有节点。从漏洞危害等方面来说，称漏洞为“史诗级”是名副其实的。

9.多个区块链项目RPC接口安全问题

2018年3月20日，慢雾与BLOCKCHAIN SECURITY LAB披露了以太坊黑色情人节事件（以太坊走私漏洞）的攻击细节。 2018年8月1日，知创宇404实验室在前者的基础上结合蜜罐数据，补充了后走私时代利用以太坊RPC接口盗币的多种方式：离线攻击、重放攻击和爆破攻击。 2018 年 8 月 20 日，已知创宇 404 实验室增加了另一种攻击形式：“scavenging 攻击”。 RPC 接口并非以太坊独有，在区块链项目中有很多应用。 2018年12月1日，腾讯安全联合实验室发布NEO RPC接口安全问题预警。区块链项目的RPC接口不仅方便交易，也带来了很大的安全隐患。

10.区块链智能合约相关漏洞

很多区块链安全漏洞出现在智能合约中。皓天”是由404区块链安全研究团队自主研发的区块链智能合约监控、扫描、分析、审计的安全自动化平台。将问题归纳为漏洞模型，归纳为“知创宇以太坊合约审计清单”。它涵盖了更多超过 29 个在以太坊审计过程中会遇到的问题，其中一些会影响到 74.49% 的开源合约，

随着 2017 年底一款名为 CryptoKitties 的区块链游戏大爆发，智能合约 DApp 成为 2018 年区块链发展的主旋律。2018 年 4 月 22 日，攻击者利用 BEC 智能合约中的乘法溢出漏洞转账功能，清除所有 BEC 合约代币。 2018年7月24日，国外安全研究员利用Fomo3D的空投功能外加随机数漏洞，导致Fomo3D丢失空投池中的所有代币。 2018年8月22日，第一轮Fomo3D大奖颁奖。攻击者利用以太坊的底层交易订单问题获得了超过10,000 ETH。该漏洞的曝光也标志着依赖交易顺序的智能合约正式化。死。包括以太坊DApp和EOS DApp，从实际的安全漏洞到业务安全问题，智能合约安全漏洞直接威胁到代币的安全，这也预示着智能合约将面临更大的挑战。

国内文章

1. 推动生活供应链事件

2018年12月14日下午，通过“Drive Life”升级渠道传播的木马突然爆发，短短两个小时内感染了10万台电脑。后续调查显示，这是一次精心策划的供应链入侵。

2.数据泄露事件

2018年6月12日，知创宇暗网雷达监测到，中国某视频网站数据库在暗网上售卖。 2018年8月28日，暗网雷达再次监测到中国某酒店的开房数据在暗网上售卖。 2018年12月，一位推特用户发文称，超过2亿国内用户的简历信息被泄露。此外，Facebook 向第三方机构泄露个人信息数据的行为也备受关注。随着暗网用户的增加以及黑市和加密数字货币的发展，暗网的威胁将持续增长。据了解，创宇404安全研究团队将继续利用技术手段绘制暗网地图，提供威胁情报，追踪和打击暗网。对 Internet 的威胁。

3. 勒索软件继续在内网上肆虐

借助永恒之蓝漏洞，2018 年勒索病毒继续在内网上肆虐。 2018年11月，已知创宇404实验室抓获了一款名为Lucky的勒索软件。已知创宇404安全研究团队分析病毒加密算法后，发布了该勒索软件的解密工具（ ）。

4.虚拟货币交易所被攻击等

2018年上半年是区块链行业快速发展的时期。区块链行业发展速度与安全建设速度的不对称，导致安全事件频发。除了区块链本身的问题，虚拟货币交易所等也是黑客的主要攻击目标之一。入侵交易所、通过交易所漏洞间接影响币价等攻击方式是黑客常用的手段。这些攻击的背后，往往是巨大的损失。

5. Weblogic 组件中的多个远程命令执行漏洞

2018年，我知道创宇404实验室响应了5个WebLogic反序列化漏洞（CVE-2018-2628/2893/3245/3191/3252）。由于Java反序列化漏洞可以达到执行任意命令的攻击效果，这些漏洞已成为黑客传播病毒、挖矿程序等恶意软件的攻击手段之一。

6.“应用克隆”攻击

2018年1月9日，腾讯安全玄武实验室和智创鱼404实验室联合披露了攻击威胁模型“应用克隆”。值得一提的是，这种攻击威胁模型几乎适用于所有移动应用。在这种攻击威胁模型下，攻击者可以“克隆”用户账户，实现窃取隐私信息、窃取账户和资金等操作。

7.ZipperDown 通用漏洞

2018年5月以太坊大事件，盘古实验室在IOS应用安全审计过程中发现了一类通用安全漏洞，可能影响10%的IOS应用。该漏洞被命名为 ZipperDown。根据盘古实验室披露的信息，微博、陌陌、网易云音乐、QQ音乐、快手等热门应用受到影响。

8.智能门锁安全需重视

随着物联网的发展，智能门锁应运而生，但智能门锁的安全性一直存在争议。 2018年5月26日，第九届中国（永康）国际门业博览会上，王海丽女士通过特斯拉线圈开启了八个品牌的智能门锁。此外，通过手机/指纹等方式解锁也引入了新的攻击面，重放等攻击大放异彩。智能门锁厂商对智能门锁本身安全性的重视不足，也让智能门锁的漏洞曝光后不修复或未完全修复成为常态。

9.Web应用0day攻击事件

2018年6月13日，知识世界404主动防御团队通过知识世界的云防御产品“创宇盾”拦截并抓获了对某知名区块链交易所网站的攻击。 ，发现了官方ECShop 2.x版本被攻击者利用的0day漏洞。 2018年6月14日，提交至知创Seebug漏洞平台并收录。

2018年12月10日，ThinkPHP正式发布“ThinkPHP5.*版本安全更新”，修复了远程代码执行漏洞。得知创宇404实验室主动防御团队查看相关日志后，该漏洞在0day阶段已被用于攻击多个虚拟货币和金融网站。在漏洞细节披露后的一周内，该漏洞已被僵尸网络整合到恶意样本中，并通过蠕虫在网络空间传播。

受2018年区块链虚拟货币价格飙升的刺激，网络黑客利用0day攻击虚拟货币/金融网站的行为越来越多。

10.雄迈摄像头漏洞影响数百万摄像头

2018 年，多个制造商/型号的相机披露了多个漏洞。在创宇404实验室紧急事件已知的漏洞中，影响设备数量最多的是雄迈IP摄像头。通过ZoomEye搜索引擎，可以获得200万台雄迈设备并暴露在公网上，但通过枚举Cloud ID，大约可以访问900万台雄迈设备。该设备还具有硬编码凭据和远程代码执行漏洞。如果这些设备被用来传播僵尸网络，将对网络空间造成极大的危害。