Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

2018上半年区块链安全报告

0
0

2018年,是公认的区块链大年。与区块链有关的讨论不仅遍存在于中关村的创业咖啡,更是存在于街头巷尾、地铁公交、微博微信,几乎无处不在。然而,伴随着区块链技术的不断发展,区块链领域本身的安全问题逐渐凸显,与区块链相关的诈骗、传销等社会化安全问题日益突出。

随着区块链的经济价值不断升高,促使不法分子利用各种攻击手段获取更多敏感数据,“盗窃”、“勒索”、“挖矿”等,借着区块链概念和技术,使区块链安全形势变得更加复杂。据网络安全公司Carbon Black的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗,且在全球范围内因区块链安全事件损失金额还在不断攀升。

为了护航区块链产业健康发展,6月21日“中国区块链安全高峰论坛”上,中国技术市场协会、腾讯安全、知道创宇、中国区块链应用研究中心等政府指导单位、网络安全企业、区块链相关机构及媒体等二十余家机构、单位联合发起“中国区块链安全联盟”,联盟成立后着手建立区块链生态良性发展长效机制,着重打击一切假借区块链名义进行变相传销、诈骗等敛财行为。

区块链安全正受到越来越多的关注,除了广大用户特别关心的会不会踩雷“空气币”,腾讯安全联合实验室的关注点还在于围绕区块链,存在哪些安全风险,以及面对风险怎样才能避免出现重大损失。基于此,腾讯安全联合实验室联合知道创宇,梳理了2018年上半年围绕区块链爆发的典型安全事件,并给出防御措施,希望尽可能帮助用户避开区块链的“雷区”。

一、区块链安全事件频发,案值过亿屡见不鲜 1.数字加密货币撑起6000亿美元的市值

数字加密货币,是按照一定的数学算法,计算出来的一串符号。信仰者认为这串符号,代表一定的价值,可以像货币一样使用。因为其仅存在于计算机中,人们常称之为“数字加密货币”。

不同于由政府发行、并以政府信用做担保,用于商品流通交换的媒介――法币。数字加密货币,是由某个人或某个组织发行,通过一定算法,找到一串符号,然后宣称其是“XX币”。世界上首个数字加密货币由日本人中本聪发现,被他称作比特币。在比特币成功取得黑市交易硬通货的地位之后,引发了数字加密货币发行狂潮。至今,全球出现过的数字加密货币已超过1600种,是地球上国家总数的8倍多。

这1600多种数字虚拟币中,存在大量空气币,被认为一文不值。但这1600多种数字虚拟币,在高峰时期,却撑起了6000亿美元的市值。排名前十的加密数字货币,占总市场的90%,其中比特币、以太坊币分别占总市值的46.66%和20.12%。


2018上半年区块链安全报告

关于ICO

一家上市公司发行股票,需要向证券交易场所提交IPO申请,当一种虚拟数字货币需要上市发行时,会寻求数字虚拟币交易所申请ICO。ICO机构并不像IPO机构那样由各国政府机构依法建立,有强大的财经、政治实力做保障,ICO组织均为民间自发形成的组织或联盟,类似自由市场。部分ICO机构的实际表现,实际上更接近于跨国诈骗组织。空气币在全球范围内满天飞,群雄四起的ICO机构功不可没。

2.区块链安全事件爆发率逐年增加,案值增大

加密数字货币一经诞生,安全性就是人们关注的焦点,遗憾的是各类重大安全事件层出不穷。就比如下面这些惊人的案例:

2013年11月,澳大利亚广播公司报道,当地一位18岁的青年称,自己运营的比特币银行被盗,损失4100个比特币;

2014年3月,美国数字货币交易所Poloniex被盗,损失12.3%的比特币;

2014年Mt.gox盗币案――85万枚,价值120亿美元;

2015年1月,Bitstamp交易所盗币案――1.9万枚比特币,当时价值510万美元;

2015年2月,黑客利用比特儿从冷钱包填充热钱包的瞬间,将比特儿交易平台冷钱包中的所有比特币盗走,总额为7170个比特币,价值1亿美元;

2016年1月1日,Cryptsy交易平台失窃1.3万比特币,价值1.9亿美元;

2016年8月1日,全球知名比特币交易平台Bitfinex盗币案――约12万枚,价值18亿美元;

2017年3月1日,韩国比特币交易所yapizon被盗3831枚比特币,相当于该平台总资产的37%,价值5700万美元;

2017年6月1日,韩国数字资产交易平台Bithumb被黑客入侵,受损账户损失数十亿韩元;

2017年7月1日,BTC-e交易所盗币案――6.6万枚,价值9.9亿美元;

2017年11月22日Tether宣布被黑客入侵,价值3100万美元的比特币被盗;

2017年11月23日,Bitfinex发生挤兑3万比特币瞬间被提走;

据美国财经网站CNBC报道,网络安全公司Carbon Black的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗。

二、区块链安全威胁分类 1.引发区块链数字加密货币三大安全问题

与数字加密货币有关的安全事件为何影响如此严重呢?产生安全风险的原因在哪儿?腾讯联合安全实验室和知道创宇公司认为:基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面。


2018上半年区块链安全报告

上述三方面原因造成的经济损失分别是12.5亿、14.2亿和0.56亿美元。

总的趋势是,随着数字虚拟货币参与者的增加,各种原因导致的安全事件也显著增加。


2018上半年区块链安全报告

细分来观察:

区块链自身机制安全问题

智能合约的问题

理论上存在的51%攻击已成现实

区块链生态安全问题

交易所被盗(如前所述、触目惊心)

交易所、矿池、网站被DDoS

钱包、矿池面临DNS劫持风险(劫持数字虚拟币交易钱包地址的病毒已层出不穷)

交易所被钓鱼、内鬼、钱包被盗、各种信息泄露、账号被盗等

使用者安全问题

个人管理的账号和钱包被盗

被欺诈、被钓鱼、私钥管理不善,遭遇病毒木马等。

2.区块链数字加密货币安全事件详解

2.1因比特币自身机制而出现的安全事件

2018年5月,比特币黄金(BTG)遭遇51%双花攻击,损失1860万美元。

2017年10月,比特币网络遭遇垃圾交易攻击,导致10%以上的比特币节点下线。

51%双花攻击最为典型,所谓51%攻击就是有人掌握了全网51%以上的算力之后,就可以像赛跑一样,抢先完成一个更长的、伪造交易的链。比特币只认最长的链。所以伪造的交易也会得到所有节点的认可,假的也随之变成真的了;“双花”(Double Spending)从字面上看,就是一笔钱被花出去了两次。以BTG事件为例,就是黑客临时控制了区块链之后,不断地在交易所发起交易和撤销交易,将一定数量的BTG在多个钱包地址间来回转,一笔“钱”被花了多次,黑客的地址因此能得到额外的比特币。


2018上半年区块链安全报告

2.2因区块链生态系统原因导致的安全事件

比如交易所面临的风险,被DDoS攻击的事件常有发生。还有交易所账户被黑客控制,攻击者控制交易行情,场外套利。

2018年3月,号称世界第二大交易所的“币安”被黑客攻击,大量用户发现自己账户被盗。黑客将被盗账户中所持有的比特币全部卖出,高价买入VIA(维尔币),致比特币大跌,VIA暴涨110倍。

2.3区块链使用者面临的风险

数字虚拟币钱包,要理解或完全掌握这些交易工具的使用有较高的门槛,要求使用者对计算机、对加密原理、对网络安全均有较高的认知。然而,许多数字虚拟币交易参与者并不具有这些能力,非常容易出现安全问题。

2017年7月1日,中原油田某小区居民188.31个比特币被盗。油田警方几个月后将位于上海的窃贼戴某抓获,价值280万美元;

2017年10月,东莞一名imToken用户发现100多个ETH(以太坊币)被盗,最终确认是身边的朋友盗取他的数字加密货币。

三、区块链数字货币“热”背后的三大网络安全威胁 1.数字货币勒索事件频发,基础设施成勒索病毒攻击重点目标

勒索病毒是2018年上半年危害互联网最严重的病毒之一。勒索病毒加密受害者电脑系统,并要求受害者向某些指定的比特币钱包转帐,其危害范围日益扩大,影响到事关国计民生的各个行业。

1.1上半年勒索病毒攻击特征与三大勒索病毒家族

从受攻击行业分布上看,传统工业、互联网行业、教育行业和政府机构是受勒索病毒攻击的重灾区,医疗行业紧随其后。医疗由于其行业特殊性,一旦遭受到病毒攻击导致业务停摆,后果将不堪设想。


2018上半年区块链安全报告

观察2018上半年勒索病毒攻击系统占比可知,windows Server版本系统受攻击次数占比大于普通家用、办公系统。Windows Server版本系统中Windows Server 2008版本系统受勒索病毒攻击占比最大,造成该现象的主要原因为企业服务器数据价值一般情况下要远远高于普通用户,中招后更加倾向于缴纳勒索赎金,这一特性进一步刺激了攻击者有针对性地对服务器系统的设备实施攻击行为。


2018上半年区块链安全报告

2018上半年以GlobeImposter、Crysis、GandCrab为首的3大勒索家族展开的攻击活动占据了网络勒索事件的绝大部分。此外,Satan家族在2018上半年时段展开的攻击也有明显上升,其它老牌家族依然有不同程度的活跃。


2018上半年区块链安全报告

Top1:GlobeImposter勒索病毒家族

2018年2月,春节过后不久,包括医疗行业在内的多家国内公共机构的服务器就遭到最新的GlobeImposter家族勒索病毒变种的攻击,黑客在突破企业防护边界后释放并运行勒索病毒,加密破坏数据库文件,最终导致系统被破坏,正常工作秩序受影响。

该勒索病毒变种将加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名,并通过邮件来告知受害者付款方式,使其获利更加容易方便。


2018上半年区块链安全报告

Top2:Crysis勒索病毒家族

Crysis家族最早可以追溯到2016年3月,进入2017年后开始针对windows服务器发起持续攻击。Crysis勒索病毒家族的攻击模式主要为黑客通过爆破远程登录后,手动传播勒索病毒并执行。

Crysis勒索病毒在2017年5月万能密钥被公布之后,消失了一段时间,但在2018上半年中新的变种依然比较活跃。Crysis家族变种也有多种,较为流行的加密后缀多为.arena、.arrow等,并且附加上的后缀中还会带有受害者id和勒索者联系邮箱,如1.txt.id-EE5106A8.[decrypthelp@qq.com].arrow。赎金金额需要受害者自行联系黑客方可获知。
2018上半年区块链安全报告

Top3:GandCrab勒索病毒家族

GandCrab勒索病毒家族堪称2018年勒索病毒界的“新星”,自1月腾讯御见威胁情报中心捕获到首次盯上达世币的勒索病毒GrandCrab起,短短几个月的时间,GrandCrab历经四大版本更迭。

第一版本的GandCrab勒索病毒因C&C被海外安全公司与警方合作后控制而登上各大科技媒体头条,两个月后GandCrab V2版本勒索病毒出现,勒索软件作者为了报复安全公司与警方控制了其V1版本的C&C服务器,在V2版本中直接使用了带有安全公司与警方相关的字符做为其V2版本的C&C服务器,因而又一次登上科技新闻版面。

两个月后的GandCrab V3版本结合了V1版本与V2版本的代码隐藏技术,更加隐蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞进行传播,漏洞触发后会释放包含“”(韩语“你好”)字样的诱饵文档。与以往版本的该家族的勒索病毒相比,该版本并没有直接指明赎金金额,而是要求用户使用Tor网络或者Jabber即时通讯软件与勒索者联系。

GandCrab V4版本为该家族系列病毒中目前最新迭代版本,相比较以往的版本,V4版本文件加密后缀有了进一步变化(.KRAB),传播渠道上也有了进一步的扩展,病毒通过软件供应链劫持,破解软件打包病毒文件,进一步传播到受害者机器实施勒索攻击。

此外,4月3号发现“魔鬼”撒旦(Satan)勒索病毒携“永恒之蓝”漏洞卷土重来,变种不断出现,对企业用户威胁极大。该病毒会加密中毒电脑的数据库文件、备份文件和压缩文件,再用中英韩三国语言向企业勒索0.3个比特币,该病毒的最新变种除了依赖“永恒之蓝”漏洞在局域网内攻击传播,还会利用多个新漏洞攻击,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat漏洞(CVE-2017-12615)、Tomcat web管理后台弱口令爆破、Weblogic WLS组件漏洞(CVE-2017-10271)等等。

1.2下半年勒索病毒的传播趋势

(1)勒索病毒与安全软件的对抗加剧

随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。

(2)勒索病毒传播场景多样化

传统的勒索病毒传播主要以钓鱼邮件为主,勒索病毒更多利用了高危漏洞(如永恒之蓝)、鱼叉游戏攻击,或水坑攻击等方式传播,大大提高了入侵成功率。以GandCrab为例,该家族勒索病毒传播同时利用了钓鱼邮件、水坑攻击、网页挂马和漏洞利用四种方式。

(3)勒索病毒攻击目标转向企业用户

个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。

(4)勒索病毒更新迭代加快

以GandCrab为例,当第一代的后台被安全公司入侵之后,随后在一周内便发布了GandCrab2,现在已升级到3.0版本。病毒早期发布时存在漏洞,使得安全公司可以解密被加密的文件,随后更新的版本已无法被解密。

(5)勒索赎金提高

随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,赎金也有可能随之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5个比特币。如今勒索病毒的攻击目标也更加明确,或许接下来在赎金上勒索者会趁火打劫,提高勒索赎金。

(6)勒索病毒加密对象升级

传统的勒索病毒加密目标基本以文件文档为主,现在越来越多的勒索病毒会尝试加密数据库文件,加密磁盘备份文件,甚至加密磁盘引导区。一旦加密后用户将无法访问系统,相对加密而言危害更大,也有可能迫使用户支付赎金。

(7)勒索病毒黑色产业链形成

随着勒索病毒的不断涌现,腾讯御见威胁情报中心甚至观察到一类特殊的产业诞生:勒索代理业务。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,而勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。


2018上半年区块链安全报告
2.挖矿木马“异军突起”,成币圈价值“风向标”

挖矿病毒发展成为2018年传播最广的网络病毒,且挖矿热度往往与币种价格成正比。由于挖矿病毒的控制者可以直接通过出售挖到的数字虚拟货币牟利,挖矿病毒的影响力空前高涨,已经完全取代几年前针对游戏玩家的盗号木马、针对网购用户的交易劫持木马、甚至是用于偷窥受害者家摄像头的远程控制木马。

当受害者电脑运行挖矿病毒时,计算机CPU、GPU资源占用会上升,电脑因此变得卡慢,如果是笔记本电脑,会更容易观察到异常:比如电脑发烫、风扇转速增加,电脑噪声因此增加,电脑运

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images