1.4 2017年金融科技安全分析

1.4.1 网络安全威胁分析

金融科技的发展大力推动了金融服务领域的拓展和维度，其面临的安全威胁也与日俱增。有报告指出：网络犯罪是当今世界上所有公司面临的最大威胁，也是人类面临的最大问题之一。根据这份报告，到2021年为止，网络犯罪的成本将从2015年的3万亿美元增加到6万亿美元。众所周知，金融行业是我国网络安全重点行业之一，因其行业特殊性，金融机构一直是网络犯罪的主要目标。以下将通过2017年金融行业的重大安全事件说明安全威胁可能造成的影响及损失。

1．DDoS攻击

分布式拒绝服务（Distributed Denial of Service, DDoS）攻击指借助于客户端或者服务器技术，将多个计算机联合起来作为攻击平台，向一个或多个目标发送大量合法的请求，从而占用其网络资源，致使无法正常提供服务，达到致使网络瘫痪的目的。

2017年6月相继发生的“匿名者”和“无敌舰队”勒索事件，是对金融机构发起的大规模DDoS攻击。显而易见，拒绝服务攻击已是当前金融领域极为常见的安全威胁，金融业作为对安全性和稳定性都要求极高的行业，一旦服务瘫痪，资产管理系统中断，将会造成难以弥补的损失。

攻击仍然频繁，共发生20.7万次攻击

2017年同2016年相比，攻击发生次数基本保持平稳，共计发生20.7万次（见图1.5）。但是从攻击总流量上来看有较为明显的波动，从年初到5月份前后，攻击总流量有非常显著的增长，而5月份之后攻击总流量回落至较为平稳的水平。与2016年相比，2017年攻击仍然频繁，攻击总流量大幅上升。

从类型上看，2017年攻击次数占比最高的攻击类型仍然为反射型攻击。实施这类攻击，黑客只需要拥有很少的带宽，就能以此放大产生显著的攻击流量。从攻击流量上看，SYN Flood 2017年度占比突出，超过60%（见图1.6）。综合2017年度网络环境分析，绿盟科技认为，这与物联网僵尸网络的扩张有较大的关系，互联网具有设备基数大、防护弱、在线时间长等特点，成为了发动DDoS攻击的温床。

流量再创新高，峰值高达1.4Tbit/s

流量持续攀升似乎已经不是什么新的态势，从近两年的报告中都可以看到，每个月都会出现超过百Gbit/s的流量，最高的时候流量已经达到Tbit/s的级别。2017年度攻击最频繁的是5月份，攻击最高的峰值更是达到了1.4Tbit/s的级别，这种“巨无霸”攻击，一次一次挑战着防御者的能力上限（见图1.7）。

另外，从流量的区间分布来看，大流量攻击明显增多，这也是2017年度一个显著的趋势。

来自IoT设备的攻击比例达到12%

在2017年的DDoS攻击中，攻击源中IoT设备的数量已经占据相当的比例（见图1.8）。在或大或小规模的DDoS攻击中IoT设备都有显著的占比，已经成为DDoS网络环境中需要重点关注的一个类别。从网络总体态势来看，物联网迅猛发展的过程中必然伴随着安全技术的滞后，可以预测IoT设备的威胁治理会被进一步提上日程，而作为最易实施的攻击类型之一，IoT遭受DDoS攻击的数量会进一步上涨。

在IoT设备参与的DDoS攻击中，路由器、摄像头是主要的设备类型。这与近两年IoT发展的情况基本是一致的，大量的路由器、网络摄像头被引入生产、生活环境，而安全配套措施尚未进一步完善，可以合理预期的是，在物联网攻击领域会有更多的攻击形式出现。从数据统计上可以观察到，在属于物联网设备的IP中，恶意IP的比例高于平均水平。例如，在对公网摄像头IP进行统计时，我们发现其中恶意IP的比例约4.8%，而对于所有IP（大陆境内）而言，恶意IP的平均占比仅为1.57%，也就是说，摄像头恶意IP比例是平均水平的3倍，因此物联网设备的风险明显是较高的（见图1.9）。

2．网络勒索

网络勒索（Cyberextortion）是一种犯罪行为，它对企业造成攻击事实或攻击威胁，同时向企业提出金钱要求来避免或停止攻击。近年，网络犯罪人员已经开发出可以用来加密受害人数据的勒索软件（Ransomware），然后利用解密密钥向受害人索取钱财。2017年，此类攻击事件数量占比靠前的勒索软件有LockScreen、Cerber和WannaCry等。其中，WannaCry感染事件爆发后，全球范围近百个国家（地区）遭到大规模网络攻击，攻击者利用MS17-010漏洞，向用户机器的445端口发送精心设计的网络数据包，远程执行代码，加密被攻击者计算机中的大量文件，被攻击者只有支付比特币后才能解密文件（见图1.10）。

现今，对互联网服务的勒索攻击已经成为一种网络攻击趋势，平均每天会发生4000起勒索软件攻击。

3．僵尸网络

据绿盟科技监测的数据显示（见图1.11）,2017年Botnet活动仍然十分猖獗，尤其第2季度更是Botnet活动的高发期。根据绿盟科技监控的僵尸网络C&C攻击指令数据，在Botnet活动最高峰时期，平均每天共发出5187次指令，单个C&C每天发出的指令最高达114次。

2017年，Botnet的数量和规模在不断扩大（见图1.12）。其中，C&C的数量持续不断增长，进入8月份后增速明显，10月份环比增长达到1.67%。另一方面，全球受控主机的数量间歇性增长，8月份的数量环比增长高达3倍（增长320%）（见图1.13）。

物联网和智能设备、移动设备构成的Botnet开始对Botnet战场的形势产生新的影响。在绿盟科技持续跟踪的Botnet中，至少存在4%的样本攻击目标为物联网设备。虽然Botnet形式还是以Windows平台的设备为主，但是近年来，随着IoT设备、智能设备、移动设备的入网，针对IoT或其他智能设备、移动设备的恶意样本也逐渐增多（见图1.14）。

对于PC用户，邮件、“水坑”站点或者在软件安装包中捆绑恶意代码都是很有效的入侵手段，而对于物联网设备来说，其在线时间长、数量规模大、用户普遍疏于升级和配置，黑客通过简单扫描就可以捕获大量存在漏洞的设备。2017年10月，绿盟科技发现并命名的机顶盒蠕虫Rowdy，就是利用了机顶盒的脆弱性在国内互联网上大规模传播。另外，绿盟科技关注到一些Botnet家族攻击的目标是Android平台的设备，典型的家族包括Dendroid、FlexiSpy、GMbot等。Botnet俨然是一个全平台存在的互联网威胁。

Botnet持续不断地追求规模的扩张，通过俘获大量设备提升自身攻击的能力，IoT设备具有的脆弱性使其成为理想的切入点。但是贪婪的黑客们野心并未停止，我们观察到有的Botnet已经具备了跨平台的能力，在兼具自传播特点的同时还能够根据设备类型，植入对应平台的程序来获取控制权限，进一步提升自己的传播能力。图1.15是几个典型的具有跨平台传播能力的Botnet。

从Botnet采用的程序语言上，也可以发现其跨平台的趋势。C语言和脚本语言具有良好的跨平台能力，在ARM架构的嵌入式系统和Linux、Windows系统中都有良好的适应能力，因此在此基础上构建的Botnet程序，具备跨平台传播运行的能力（见表1.2）。

另外，脚本语言的编写相对容易，可以更加快速高效地实现一个新的Botnet程序。较低的门槛、快速的收益吸引着更多的黑客，使得网络中Botnet的威胁形势更加严峻。2017年9月，众多网站发现其网页内嵌了用于挖矿的JavaScript脚本。一旦用户进入网站，JavaScript脚本就会自动执行，占用大量机器资源挖取数字加密货币，导致机器异常卡顿。挖矿病毒就是僵尸网络的一种。

2017年大规模爆发了挖矿木马僵尸网络病毒，金融、运营商及互联网等众多行业均有相关安全事件发生。2017年12月底，有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”。据绿盟科技安全专家分析，该工具原作者的官方版本并不含挖矿病毒，而是黑客假冒复制KMSpico的网页，发布捆绑挖矿软件在内的多种病毒，然后利用搜索引擎优化技术提升其网页排名，诱导用户下载，进而窃取用户隐私信息或利用用户计算机挖矿牟取暴利。

4．APT攻击

高级长期威胁（Advanced Persistent Threat, APT）又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的计算机入侵过程，通常由某些人员精心策划，仅针对特定的目标。高级长期威胁通常是出于商业或政治动机，针对特定组织或政府而发起的，它要求在长时间内保持高隐蔽性。

在过往的监控中，实现政治诉求的APT居多，例如伊朗的“震网”事件、白俄罗斯军事通讯社事件。随着时间的迁移，APT概念和技术开始被行业熟知，各种层面的对抗也更加复杂。2017年NSA“方程式组织”与CIA网络情报机构的武器库泄露，为整个黑色产业链条提供了大量有价值的“弹药”，更多的组织和个人可以利用更加成熟的技术实施高级攻击。相较普通的攻击手法，APT攻击的实施难度和成本都更高，在巨大的利益驱使下，金融行业成为攻击者的首选目标。2017年绿盟科技发现的境外APT-C1组织利用“互金大盗”恶意软件攻击我国某互金平台，窃取平台数字资产就是针对金融行业新型业务所采取的典型APT攻击事件。

金融行业与其他行业一样，都在面对技术的革新和升级，这一方面带来了更多的便利性，另一方面势必诱发许多潜在的风险。但与其他行业不同的是，金融行业的资产天生比其他行业具有更直接的价值，因此金融行业更需要特别关注APT风险。