A. 连外卖都没有的以色列 凭什么成为创业的国度
原文在这里
工作到晚上10点,突然发现自己还没有吃晚饭,抓起手机来想叫外卖,突然发现这里不是中国……
是的,这样悲惨的故事就发生在我身上。我此时正处在以色列城市特拉维夫,作为以色列最大的都会区,是该国人口最稠密的地带,也是以色列的经济枢纽,但是这些Title仍旧不能在深夜10点解决我的温饱问题。我向酒店的窗户望出去,外面已经漆黑一片,所有的店铺已经关门,想叫外卖,更是不可能了吧?我顿时对这个地方产生了怨念,连外卖都没有的以色列,凭什么被称为“创业的国度”?
以色列:中东的异类
以色列被称为“创业的国度”,近年来中国公司对它趋之若鹜。坦率地说,在出发之前,我对于以色列的印象还是宗教冲突、战乱以及悲惨的犹太人历史。至于他们所自豪的那些科技发明和技术,并不如美国的Iphone手机和Windows操作系统那样让我感同身受。可能是为了验证我对它的刻板印象,初到特拉维夫后所看到的街景比我想象中的还要破败。
也许是因为常年动乱,以色列人并不是很重视建筑的美观。被当地人类比为”以色列的上海”的特拉维夫,很多民用建筑都是破败不堪甚至有些可以用”残垣断壁”来形容,即使在新城区或商业区,其繁华的程度也只能与中国的二线城市相比肩。
特拉维夫街头
也许拿特拉维夫与中国的北京或者上海相类比并不公平。如今整个以色列人口只有800万,而北京的人口是2200万;以色列整个国土实际管辖面积只有2.5万平方公里,跟北京加上周边郊区面积差不多。它西北临地中海,北靠黎巴嫩、东濒叙利亚和约旦(与极端组织伊斯兰国IS近在咫尺)、西南边则是埃及。被各个阿拉伯国家所环抱,以色列这个犹太民族国家,可以说是中东的异类。
想在网上买东西?Naive
以色列人在民用移动应用领域的建树并不值得炫耀。虽然后来有以色列的朋友跟我说,以色列也有在线的订餐和送餐App,最有名的叫10bis,但其用户并不算多。大多数的使用者是当地的创业者和办公室白领。B2C的网上购物更是发展不起来,因为物流并不发达。他们跟我说,如果你在网上买一个东西,一个小时的路程,物流甚至可以送一个星期。
根据猎豹全球智库的研究显示,可能是国内市场狭小,以色列人在移动App上的使用习惯明显偏向于外国。在购物上,中国的阿里的全球速卖通甚至超过了ebay和当地的购物软件Yad2,成为了以色列人最常用的购物软件。以色列人最常用的通讯软件是Whatsapp(有以色列小哥跟我搭讪一定要加我Whatsapp我会乱说?)社交用的是facebook。的哥司机比较常用两种软件,一个是用于接单的Uber,一个是用于导航的WAZE(这也是以色列人创造的传奇式App,可惜后来被google收购)。
但是,如果你认为以色列就是个动乱中勉强为生的国家那就是大错特错了。
破旧房子下的创新动力
转变我对以色打印象的是之后对以色列创业公司的走访。我们此次访问的公司全部都只有十几个人的规模,却大多从事的是服务于商业的To B领域的技术创新,而且一些技术创新,我们在中国甚至闻所未闻。
如果说这两年中国才兴起了“全民创业,万众创新”的热潮,以色列早就是真正的全民创业了。据统计显示,在每1600个以色列人当中就有一个创业者;以色列公司在纳斯达克上市的数量几乎超过了欧洲的总和,仅次于美国、中国和加拿大;以色列的人均的VC投资是美国的2.5倍,是欧洲的30倍,中国的80倍,印度的300多倍。2015年以色列吸引外国直接投资金额高达116亿美元,比2014年增长90%,当年的海外投资为67亿。投资额的巨大增长反映了世界对以色列经济的绝对信心。尽管过去十年全球经济放缓,以色列GDP却不减反增,增速甚至超过经济合作与发展组织(OECD)国家及美国。
以色列在网络安全方面所取得的成就甚至可以和美国相比肩。目前以色列拥有超过300家网络安全公司,2015年以色列新成立的安全初创公司多达81家,安全行业规模更是较2014年增长了25%,是仅次于美国的全球第二大安全产业规模。最近很火的一家以色列公司叫做Cellebrite。在美国FBI与苹果公司在是否破解用户Iphone手机的事情上争执不下时,作为FBI供应商的Cellebrite及时攻破了圣贝纳迪诺恐怖袭击案枪手赛义德·法鲁克的iPhone手机,不仅使FBI撤回了对苹果公司的起诉,而且据《福布斯》报道,Cellebrite破解这部iPhone只收取了15278美元。
“胸无大志”的创业公司
这是一位40多岁的中年男人,长着一副典型的以色列人面孔,清瘦且高。坐在我右手边的他身体后倾靠在椅背上,双手交叉放在胸前,慢条斯理地给我们介绍他们公司的业务和情况。这是我们此行访问的第五家以色列科技公司,这家做大数据技术的公司刚刚从美国的思科和Intel融到了4000多万美元的B轮融资,很显然,此时这位CEO对来自中国的投资者并不感兴趣。虽然在我们到来时,他仍旧很礼貌地向我们在场的每一个人都递了名片。但相信我,他们绝对是我们此次以色列访问过公司中最特别的一家,不仅是因为他们对我们的态度,还因为他们是唯一一家对我们宣称未来目标是上市的以色列创业公司。
以色列公司大多“胸无大志”,大多数创业者并没有改变世界的想法,也不想把企业做成BAT,只是做着脚踏实地的创新。在我们访问过的公司中,他们的创始人大多年纪在40岁以上,有过多次的创业经历,在公司成长到一定阶段后,他们就把自己的公司卖给了更大的公司。对于他们来说,连续创业就像是我们从一个公司跳槽到另一个公司一样正常。
有趣的是,我们访问的最后一家公司,在我们表示他们已经被我们的竞争对手投资,可能无法再合作时,他们的创始人更是脱口而出:你们可以买下我们啊!对于融资和卖公司的高积极性,是以色列创业者对于投资者的普遍态度。
至于其中的原因,一位十年前就在中国上海定居的以色列人Michelle Tzhori为我们分析说:“以色列国土狭小,市场并不广阔。周围的邻居们对我们又不是特别友好,地区局势也不稳定,所以以色列人都有一种不安全感。基业长青可能并不是最好的选择。所以他们通常到公司发展到一定阶段就卖给了美国或欧洲的公司,因为那里有更广阔的市场。”Michelle是往来于中国和以色列之间的律师事务所合伙人,他们不仅为中国与以色列之间的贸易往来提供法律服务,还为中国投资者筛选靠谱的以色列创业公司,这种需求近年来显得越来越迫切。她还给自己取了一个好听的中国名字:崔米雪。
参观以色列创业公司
但与中国的情况相类似,以色列创业公司的“死亡率”也相当高。以色列出口协会的Peggy告诉我说,每年参加巴塞罗那世界移动通讯大会的以色列公司,到了第二年再参展的时候,可能四分之一的公司就已经消失了。总结起来可能有三种原因,Peggy说:“一是创始人是技术出身的公司,他们通常从世界知名的网络公司google、facebook等辞职创业,但缺少融资、经营等能力,使得公司并不具有持续发展的可能;二是以色列市场狭小,又没有有效拓展海外市场,公司的成长性变得非常有限。第三当然也有一些创始人本身技术不过硬,光有好点子的情况。”
出租车上巧遇“中国手机的粉丝”
根据世界知名调查机构皮尤研究中心(Pew Research)的数据,以色列的手机渗透率达到132%,74%的人有智能手机,智能手机普及率高居全球第三,仅次于韩国和澳大利亚。韩国的手机品牌在以色列占有非常高的市场份额,特别是三星,这从遍布特拉维夫街头的三星广告可见一斑。虽然没有现成的调查数据印证,但这一发现在当地人口中得到了证实。
“的确,在中国,手机品牌中占支配地位的绝对是苹果,但在以色列,人们可能更爱用韩国手机。”崔米雪告诉我们。“很多人喜欢用三星,但我觉得LG更好用。”与崔米雪在同一事务所工作的同事补充道,她手中拿着的手机正是LG。的确,LG这一在中国并不被广泛使用的手机品牌,在以色列,上到公司的高管,下到的哥司机,也都是它的使用者。
但是,中国手机在以色列也并不是没有存在感。在我们一次打车的过程中,一位出租车司机就与我聊起了这个话题。
“你从中国来的,为什么不用中国手机?”他看了看我手中的Iphone6。
“呃……好问题”我尴尬地握了手中的手机,竟然无言以对。
“我很喜欢中国手机,便宜质量又好。而且我觉得比苹果手机运行更快。”司机是位不到30岁的小哥,他似乎看出了我的不安,又接过了话头,“在中国,中国人都用哪些国产手机品牌?”
“华为,小米。”他问到了我的强项。
“华为、小米,嗯,我都知道。但我觉得用的人肯定不如三星多吧?”
“不,在中国华为可能已经超越三星了。”我迅速地找回了自信。
“真的吗?那你听说过魅族和一加吗?”
“魅族和一加?”谢天谢地我听懂了他的发音,”当然,它们可能也很好用,但用的人确实没有华为和小米多。”
“我打算买一个魅族,换个中国手机用。”
我这时候才想起看了看他挂在车操作台前用于接Uber单子的智能手机,是个中国台湾产的华硕手机。这时我们的目的地也到了,小哥收下车费后依旧热情地说Goodbye:“希望下次见到你时可以看见你用中国手机!”也许会吧,我心里想。
“加个微信吧”
2014年,互联网女皇玛丽·米克尔(Mary Meeker)在其年度互联网报告中特意将中国单独列出,介绍了中国移动互联网的发展以及其中的机会。据中国工信部数据,2015年中国移动互联网用户规模近9亿。如此大的市场中国对全世界的移动互联网公司都是最巨大的吸引力。对以色列的互联网公司也是如此。
中以互联网界的互相吸引可能来自于双方经贸往来的大趋势。20多年前,中国与以色列建交时,中以的双边贸易额在1992年为6000万美元,而以色列总理新闻处表示,目前双方贸易额约为每年80亿美元(也有数字说2014年即达到110亿美元,是2010年的2倍)。去年重新执政的本雅明·内塔尼亚胡,近年一直在积极推行将以色列的贸易关系从欧洲(仍是以色列遥遥领先的最大商业伙伴)转向新兴市场的政策。
但是大部分以色列人对中国市场既充满了好奇和渴望,又知之甚少。不过,以色列人谦逊、积极、勤奋的性格在与中国人做生意的过程中体现得尤为明显。为了与中国人和中国公司打交道,”加个微信吧”,成为以色列人与中国人初次见面时的口头禅。如果是一个中国人在一个以色列的商务场合,并不需要那么多的社交技巧,很多以色列人会主动热情地向你打招呼并介绍自己及自己的公司,当然,交换名片和微信也是必要的。
与此同时,中国公司对以色列的创新科技和创业公司也越来越感兴趣,我们参观的一家以色列做VR科技的公司告诉我们说,他们这个星期曾经接待了一个30人的中国公司访问团;而另一个已经在美国上市的以色列科技公司销售总监向我抱怨说,他现在的工作已经被各种各样的访问需求所占领,而这些访问需求通常来自于中国公司。但同时他也私下发短信给以色列驻华使馆商务处的官员说,即使他们已经IPO并不缺钱,他们也很欢迎中国公司或投资者来访,因为说不定哪家中国公司就能帮助他们开拓中国市场。他的这种务实很能代表以色列公司对中国市场的普遍态度。
后记
小时候读书时曾经看到过一句美国人的谚语:世界上的智慧在中国人的脑袋里,世界上的财富在犹太人的口袋里。这句话本意是说中国人聪明,犹太人善于经商。犹太人的富是毋庸置疑的。根据世界银行2014年的数据,以色列的人均GDP已经达到了3.7万美元,是中国的近5倍。但如果从近几十年的科技发展来看,犹太人脑袋里的智慧也是数一数二的。
在特拉维夫本古里安机场的出关处,有一条挂满了巨幅照片和文字介绍的长廊,照片上都是以色列人引以为傲的科技发明,所有即将走出以色列海关的外国人都会忍不住在此逗留。仅举几例,你就会知道以色列人骄傲于他们的科学技术完全是有理由的:
今天几乎人人都离不开的电脑优盘是以色列人AmirBan, Dov Moran 和 OronOgdan发明的,他们都来自以色列M-Systems公司。他们在美国注册专利的时间是1999年4月。
今天中国的即时通讯工具QQ,脱胎于1996年由以色列Mirabillis公司发明的ICQ。ICQ的意思是:I seek you (我找你)。
圣女果:这种可爱的小西红柿的野生品种来自南美,目前人工种植的有三个品种,其中最主要的特别甜美的品种Tomaccio是在以色列希伯来大学教授Prof.Nahum Keidar 和 Prof. Chaim Rabinovitch领导下花了十二年时间杂交培育出来的。
还有,说个远点的,大家熟知的脸书(facebook)创始人扎克伯格是美国籍的犹太人。
为什么在如此狭小的国土上会有这么多的创新和发明?他们的动力来源于哪里?以色列前总统西蒙·佩雷斯,今年已经93岁的以色列政坛“长青树”,对这个问题有着非常深刻的理解:
“犹太人有一点特别,因为犹太人从来不满足,因为一旦满足你就懒惰了。
我们的土地太少,以色列占整个中东面积的千分之一。而且我们在北方有带疟疾的蚊子,在南方有沙漠,各种风沙,这片土地是荒芜的。我们也没有水,两个湖,一个已经死了,一个快要死了(死海)。
我们有一个特别有名的河(约旦河),但他的名气比它的水量大多了。我们没有金子也没有石油。我们周边的邻居对我们不太友好。世界上也没人给我们鼓励,没有武器,也没有食物,也没有任何人的帮助。
但我们发现我们有一个特别棒的资源,这个唯一的资源就是你的梦和你的大脑。我们如何把水利用起来,怎么样去把水量提高。我想到可以重复利用,然后想到海水淡化,我们想去怎么节水,我们发明了滴灌技术,一方面创造水,一方面节水。当我们什么都没有的时候,我们就要创造想法。”
也许,正是因为处于这种山穷水尽的境地,才让以色列人的聪明才智得以被充分地被激发出来。人成为了这个国家最宝贵的资源,而以色列人的创新精神,则成为支撑这个国家生存和繁荣的重要因素。
B. 怎么看数字网络将是未来高科技发展“主阵地”
2017年0月19日电在19日举行的“以色列第二届未来高科技会议”上,参会专家普遍认为,数字网络将是未来高科技发展的“主阵地”,确保网络安全将是一项重要任务。
本届会议和展览共吸引了来自18个国家的高科技创新公司和业内专家参加。他们认为,未来高科技包括机器人、网络安全、数字健康、车联网、物联网、机器学习、智能城市等主要细分领域。数字网络影响着人类的方方面面,在未来的20年里,约90%的新工作岗位都会要求掌握数字技能。
业内人士还普遍认为,网络技术发展给人类带来的变化是“革命性”的。以色列BGR公司是研发出以色列第一个水下机器人的初创高科技公司,该公司的首席执行官特兹维卡·戈尔德纳在接受新华社记者采访时表示,数字化科技深刻改变着人类生活,各种数字化设备给生活带来了巨大便利,未来科技创新领域更为重要的关键词将是“网络”,因为通过安全的“网络”才能把各种数字化设施连接起来,为人类开创更加美好的生活。
C. 本课程讲述了加快网络安全产业园建设包括哪些方面内容
加快网络安全人才队伍建设、推动网络安全核心技术创新、壮大网络安全服务应用市场、优化网络安全产业生态。
产业园的建设可极大促进我国网络安全的投入,”齐向东认为,北京应发挥在人才、技术、资本和应用方面的优势,为网络安全产业发展构建包括产业政策。
为深入贯彻落实党中央、国务院决策部署,推动工业互联网加快发展,工业和信息化部在广泛征求地方、产业、专家各方面意见的基础上。
D. 以色列为什么这么强大
以色列强大的原因主要是有完善的体系、着眼出口和军事文化,具体介绍如下:
1、体系完善。1967年“六日战争”后,由于法国对以色列实行武器禁运,以色列意识到实现技术和武器“自力更生”的重要性,开始加大投入,推动国防工业快速发展。
以色列国防工业体系非常完善,国防部下属的诸多大型军工企业都是高精尖武器制造商和出口商。这些军工企业涵盖了从各种军用飞机、坦克、舰艇到电子通信设备、网络安全、人工智能等几乎所有军用产品和技术的研发和生产领域,而且不断引进、吸收和升级换代。
2、着眼出口。以色列只有800多万人口,国防军仅需国防工业产品中30%至40%的武器装备,这使得以色列将眼光投向了广阔的国际市场。
防务合作几乎是以色列领导人每次出访的重要谈判内容。今年1月,以色列总理内塔尼亚胡访问印度期间,与印度签署了关于扩大两国在国防工业领域合作的协议,包括向印度出售价值5亿美元“长钉”反坦克导弹的谈判也将恢复。
(4)以色列网络安全产业建设扩展阅读:
以色列是中东地区“弹丸之国”,却在世界军工领域有着举足轻重的地位。根据以色列政府今年1月通过的2019年国家财政预算案,国防是以色列最大的单项财政支出项目,预算达到630亿新谢克尔(约合185亿美元),占总预算的16%。
长期以来,以色列政府都把国防工业放在首要战略地位。长期的战争状态迫使其不断增加国防开支和增强国防工业,成为世界知名的国防工业“强国”。以色列不仅以先进武器装备自身,还努力拓展海外出口渠道,为国民经济提供支撑。
E. Honeywell为何收购以色列网络安全公司Nextnine
据报道,近日美国科技巨头霍尼韦尔(Honeywell)宣布以3500万美元的价格收购以色列 Nextnine 公司,这是近期以色列 Cyber Security(网络安全)领域数额巨大的一笔收购,Honeywell负责人表示之所以进行收购是为了工业自动化安全加码。
Honeywell表示,以色列安全公司 Nextnine其核心技术是 ICS Shield,这项技术可以保护工业现场免受网络安全的攻击,可以对设备进行实时、远程的监控,目前已经部署在全球超过6200处油气业、化工业、矿业和制造业的工作站点,还被全球5-7家最大的工业系统供应商采纳和使用。
网友表示网络安全市场潜力巨大,像 Nextnine 这样提前占位并扎根深厚的企业,未来极有可能大放异彩。
F. 网络安全的工作前景怎么样
网络技术与信息安全众多领域,岗位有网络工程师、运维工程师、网络安全工程师、系统集成工程师、售前工程师、网络安全工程师等就业方向。
G. 以色列总理称以色列网络安全做的怎么样
以色列总理内塔尼亚胡20日表示,以色列已成为网络安全领域的全球五大领先国家之一。
国际网络安全会议是正在以色列海滨城市特拉维夫举行的以色列网络周的重要内容,网络周每年举行一次。本届网络周于6月17日拉开帷幕,吸引了来自60多个国家和地区的代表参加。
厉害了。以色列。
H. 新形势下如何构建网络安全产业格局
政策持续加码 网络安全行业千亿市场规模已启
6月13日,第六届中国网络安全大会在北京召开,网络安全再次成为热议话题。自去年6月1日网络安全法实施以来,网络安全相关政策加速出台,网络安全市场潜力加快释放。随着云计算和大数据时代到来,数据价值凸显,数据安全将成为网络安全行业的风口。
政策持续加码
近年来,网络安全建设受到政策大力支持,尤其是网络安全法正式实施后,相关政策加速出台。申万宏源指出,网络安全法正式实施后,涉及网络安全的配套政策快速下沉到电信、互联网、工业、教育、农业等行业。网络安全的核心是技术安全,应将自主可控作为技术安全和网络安全的必要条件。
今年以来,一系列网络安全政策密集出台,在此背景下,网络安全市场前景被看好。网络安全市场空间很大。目前,国内企业在网络安全方面的投入仅占IT方面投入1%-3%,而在欧美发达国家和地区,该数字达到10%-13%。
2018年网络安全行业发展将明显提速;政务、电力、烟草、工业等行业网络安全市场化推进明显,垂直行业安全建设明显加速。
中国网络安全市场规模
我国信息安全行业增长迅速,安全硬件产品占据较大比重。据前瞻产业研究院发布的《信息安全行业发展前景预测与投资战略规划分析报告》数据显示,得益于网络安全法的落地、云计算对于IT基础设施的重构,以及物联网设备的迅速增长,我国网络信息安全行业正在迎来全新的发展阶段,预计2017-2021年的行业复合增速为23.2%,2021年行业整体规模将达到630亿元(95.8亿美元)。目前我国信息安全市场中安全硬件产品占据了大半的比重。
数据安全成风口
网络安全包括多个层面及维度,细分市场广泛。随着云计算和大数据时代到来,数据安全受到越来越多的重视,将成为行业发展风口。
大数据安全不仅涉及国家数据主权安全、企业和公民个人网络安全,也和IT以及互联网行业的创新密切相关。如何保障数据安全,在法律、政策、监管技术等多个维度有很多工作要做。数据安全成为风口,与云计算和大数据发展密不可分。多地陆续出现大数据交易中心,数据产生价值惊人。
新的安全场景不断出现,使数据安全的重要性凸显,随着数据的大量增加,内部防范远重于外部防范。传统的数据安全保护手段逐渐失效,要有新的技术和理念应对新的变化。
投资热潮涌动
网络安全行业快速发展,网络安全投资迎来热潮。2017年,安全领域创业企业总融资额创新高。网络安全领域当年全球投资300亿美元,国内为5.4亿美元。
2017年到2020年,中国网络安全市场规模将升至千亿规模,差不多每年一个台阶。据前瞻产业研究院预测安全风险将推动整体安全支出快速增长,2018年全球安全支出将超过960亿美元,比2017年增长8%。
近年来,网络安全企业登陆资本市场不断出现,PE/VC对网络安全的投资热情高涨。网络安全上市公司增多,同时这些公司盈利表现良好。从政策以及市场驱动两个角度看,安全行业大有可为。过去两三年,安全已经从成本中心转化到利润中心。
对于细分市场的投资布局,,数据安全、防止金融欺诈以及移动安全有望成为网络安全投资蓝海。数据的安全防范需求越来越大。同时,越来越多交易转移到移动端,这一块的安全需求将大大增加。
I. 信息安全行业的信息行业发展趋势
中国信息安全行业起步较晚,自本世纪初以来经历了三个重要发展阶段(萌芽、爆发和普及阶段),产业规模逐步扩张。尤其是近年来,各类网络威胁造成的损害不断增强,带动了市场对信息安全产品和服务需求的持续增长;另外,政府重视和政策扶持也不断推动我国信息安全产业的快速发展。2010年中国信息安全产品市场规模达到111.74亿元,同比增长20.23%。
目前,我国信息安全产业针对各类网络威胁行为已经具备了一定的防护、监管、控制能力,市场开发潜力得到不断提升。在市场需求方面,政府、电信、银行、能源、军队等仍然是信息安全企业关注的重点行业,证券、交通、教育、制造等新兴市场需求强劲,为信息安全产品市场注入了新的活力;在产品结构方面,信息安全产品种类日益丰富,网络边界安全、内网信息安全及外网信息交换安全等领域全面发展。
近年来,受下游需求及政府政策的推动,我国信息安全产业规模不断扩大,企业数量也不断增加。自2007年以来,我国信息安全行业市场规模维持在15%以上的增速
从全球范围来看,美国、法国、以色列、英国、丹麦等国的信息安全市场已步入成熟期,日本、中国、澳大利亚的信息安全市场近几年也呈稳步增长态势,竞争力逐步增强。从企业层面来看,Fortinet、Cisco、Juniper牢牢占据着信息安全市场前三的位置,国内信息安全企业虽有实力雄厚者,但与这三大企业相比,仍存在一定差距。未来随着国内外市场竞争进一步加剧,具有技术、品牌、人才和资金优势的厂商可能会成为潜在的行业整合者,行业内的兼并收购将不可避免。
目前,国内信息安全投入占IT整体投入比重仅在1%-2%之间,而欧美国家这一比例普遍达到8%-12%,因此国内信息安全市场随着应用环境和用户需求的不断成熟,存在较大的提升空间。近年来,互联网渗透率持续提高,互联网商务化趋势明显,而信息安全角势的不断恶化使得企业对于信息安全的投入意愿加强,行业发展面临机遇。
此外,我国政府正从技术、标准、管理等多方面对信息安全产业施加更大的影响力。随着我国信息化程度的提高,客户对于网络安全的需求不断提高,网络安全行业的需求将进一步趋于成熟,证券、交通、教育、制造等新兴市场信息安全需求还将大幅度的上升。在一系列因素的驱动下,我国信息安全行业将继续保持快速发展的态势。预计2011-2015年,中国信息安全市场整体仍将保持20%以上的年均增长率,至2015年,行业市场规模有望达到294.27亿元。
J. 越来越多的公司注重保密,那么商业间谍是否真存在于我们的工作中
重要事件回顾,智览网安行业发展。近日国内外网安行业发生了哪些重要事件,呈现出了怎样的发展态势呢?中国网安科技情报研究团队将从行业大角度出发,带领大家回顾近日国内外行业的重要事件,探究其中的发展态势。
事件概览:
1、腾讯发布主机安全旗舰版
2、《上海市反间谍安全防范条例》发布
3 、网络安全技术应用试点示范工作启动
4、国标《重要数据识别指南》起草发生重大修改
5、瑞士军队要求其人员使用Threema即时通讯应用程序
6、取证专家在PC上保留了谋杀快照入狱
7、网络窃贼突袭Grass Valley
8、超过一半的中小企业经历过网络安全漏洞攻击
9、美国对商业间谍软件发出警告
10、研究人员在十几个广泛使用的URL解析器库中发现了错误
11、Abcbot僵尸网络链接到Xanthe Cryptomining恶意软件的运营商
12、APT黑客在最近的恶意软件攻击中达成自己的目标
13、组织每周遭受925次攻击,创历史新高
14、新的ZLoader恶意软件活动袭击了111个国家的2000多名受害者
国内
01 腾讯发布主机安全旗舰版
2022年1月9日下午,“腾讯主机安全旗舰版”发布会在线上召开。焕新升级的云主机安全旗舰版,以新引擎、新能力、新体验为特点的云原生安全能力,助力入侵检测、入侵溯源、文件查杀、漏洞管理及安全预警,为企业打造云上安全防护闭环。
据腾讯安全资深产品专家张殷介绍,腾讯安全基于用户核心需求,从“预防→防御→检测→响应”四个阶段构建主机安全防护体系。同时,云主机安全旗舰版依托七大核心引擎、百万级终端防护、百亿威胁数据,帮助企业实时防护核心资产安全,满足等保合规、资产风险管理及入侵防护需求。
张殷表示:“旗舰版新增安全播报、安全防护模块,支持混合云统一管理,帮助企业实现资产可视化,并提供一键检测、自动修复、镜像快照功能,实现分钟级漏洞检测效率,在优化扫描性能的同时提升精准度,让安全更简单!”
目前,腾讯云主机安全产品已广泛覆盖于金融、媒体、汽车、交通、电商、教育等泛互联网行业,并在头豹&沙利文《2021年中国云主机市场安全报告》中蝉联领导者象限。
02 《上海市反间谍安全防范条例》发布
近日,上海市第十五届人民代表大会常务委员会第三十八次会议正式通过《上海市反间谍安全防范条例》(以下简称“《条例》”),自2022年1月1日起施行。《条例》共七章三十五条,进一步完善了反间谍安全防范法律体系,依法维护国家安全。
《条例》在第一章总则中指出,国家安全机关是反间谍安全防范工作的主管机关。公安、保密以及网信、经济信息化、商务、教育、科技、民族宗教、规划资源、住房城乡建设管理、农业农村、文化旅游、金融监管、外事、国资、海关等有关部门应当与国家安全机关密切配合,在各自职责范围内做好反间谍安全防范工作。
有关部门及其工作人员对履行反间谍安全防范职责中知悉的国家秘密、工作秘密、商业秘密、个人隐私和个人信息等,应当严格保密。同时,上海市加强与长江三角洲区域和国内其他省、自治区、直辖市反间谍安全防范工作的协作交流,推动实现信息互通、资源共享、处置联动,增强反间谍安全防范工作实效。
《条例》在第二章工作职责中指出,上海市加强对经济、金融、科技、生物、网络、通信、数据等领域的反间谍安全风险防范。国家安全机关应当会同行业主管部门定期开展反间谍安全风险评估,动态调整反间谍安全防范重点事项和重点范围。
政府有关部门与国家安全机关应当建立综合监管工作机制,在审查和监管涉及国家安全事项的建设项目时,开展执法联动,加强数据信息共享,并在各自职责范围内,依法督促建设项目的建设、所有、使用和管理方落实相关安全防范工作。
《条例》在第三章安全防范中指出,反间谍安全防范重点单位以外的涉及经济安全、科技安全、新型领域安全等重点领域的单位,除遵守本条例第十六条规定外,还应当履行下列反间谍安全防范义务:
(1)涉及国民经济命脉的重要行业和关键领域的单位,应当加强反间谍安全风险管控,定期开展资金流向、数据处理、技术应用、人才交流、货物流通等方面的反间谍安全防范工作自查;(2)涉及科技安全的高等院校、科研机构、国防军工等单位,应当加强涉密专家、高新技术项目、试验场所等方面的反间谍安全防范管理;(3)涉及生物、数据等新型领域安全的单位,应当在国家安全机关和有关行业主管部门的指导下,根据新的安全需要加强相应领域的反间谍安全防范工作。
《条例》在第四章宣传教育中指出,上海市在每年4月15日全民国家安全教育日等重要时间节点组织开展反间谍安全防范宣传教育活动。
国家安全机关应当加强爱国主义教育、国家安全教育,开展有关反间谍安全防范的普法教育、风险警示教育、防范常识教育,指导机关、人民团体、企业事业组织和其他社会组织开展反间谍安全防范宣传教育培训工作;会同有关部门,组织、动员居民委员会、村民委员会开展反间谍安全防范宣传教育工作。
03 网络安全技术应用试点示范工作启动
工业和信息化部、国家互联网信息办公室、水利部、国家卫生健康委员会、应急管理部、中国人民银行、国家广播电视总局、中国银行保险监督管理委员会、中国证券监督管理委员会、国家能源局、国家铁路局、中国民用航空局等十二部门近日联合印发通知,组织开展网络安全技术应用试点示范工作,将面向公共通信和信息服务、能源、交通、水利、应急管理、金融、医疗、广播电视等重要行业领域网络安全保障需求,从云安全、人工智能安全、大数据安全、车联网安全、物联网安全、智慧城市安全、网络安全共性技术、网络安全创新服务、网络安全“高精尖”技术创新平台9个重点方向,遴选一批技术先进、应用成效显着的试点示范项目。
04 国标《重要数据识别指南》起草发生重大修改
《数据安全法》和《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)均提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。不仅如此,《条例》还专设第五章“重要数据安全”。这意味着,我国正在通过立法建立重要数据安全监管制度,重要数据处理者要履行一系列法定义务。因此,什么是“重要数据”,成为我国数据安全工作中急迫需要解决的问题。2020年,全国信息安全标准化技术委员会立项制定国家标准《重要数据识别指南》。2021年9月,标准起草组在小贝说安全公布了最新的标准草案。《条例》在2021年11月14日公开征求意见后,根据全国信息安全标准化技术委员会秘书处的工作安排,标准起草组又对《重要数据识别指南》作了修改。本次修改后,标准内容发生重大变化,起草组在此公开标准草案最新版,并披露了修改思路。需要指出,该版本是经《重要数据识别指南》编制组授权,在小贝说安全首发,仅供各方参考和提出意见、建议。据悉,标准即将在全国信息安全标准化技术委员会官方网站正式征求意见。
近期,起草中的国家标准《重要数据识别指南》发生重大修改。2022年1月7日,全国信息安全标准化技术委员会秘书处组织了对该标准的审议,根据会议意见,编制组已修改形成征求意见稿。本期文章将介绍此次重大修改的基本思路,并经编制组授权首次公布标准当前进展情况。标准正式文本以近期官方网站公布为准。
标准的主要改动体现在,取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。为此,标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,并选择了美国制定的《国家安全系统识别指南》作为参照。该指南已运行13年之久,其可操作性已得到充分证明。目前,《重要数据识别指南》的起草思路与其类似。
国外
01 瑞士军队要求其人员使用Threema即时通讯应用程序
据1月 9日报,瑞士军队已经禁止了Signal、Telegram和WhatsApp等外国即时通讯应用程序,只允许其成员使用在瑞士开发的Threema消息传递应用程序。
Threema是即时通讯工具,旨在生成尽可能少的用户数据。所有通信都是端到端加密的,并且该应用程序是开源的。Threema不要求用户在注册时提供电话号码或电子邮件地址,这意味着无法通过这些数据链接用户的身份。
最近,媒体分享了一份联邦调查局的培训文件,该文件揭示了美国执法部门的监视能力,详细说明了可以从加密的消息应用程序中提取哪些数据。
该文件分析了对多个加密消息传递应用程序的合法访问,包括iMessage、Line、Signal、Telegram、Threema、Viber、WhatsApp、WeChat或Wickr。
培训文件中报告的信息提供了执法部门访问流行消息传递应用程序内容的能力的最新情况。联邦调查局无法访问Signal、Telegram、Threema、Viber、WeChat和Wickr的消息内容,同时他们可以有限地访问来自iMessage、Line和WhatsApp的加密通信内容。
无论如何,根据单个加密消息传递应用程序,执法部门可以提取不同的元数据,从而可以揭开最终用户的面纱。
奇怪的是,瑞士军队要求军事人员使用Threema作为私人用户,而不是使用称为Threema Work的商业版本。
02 取证专家在PC上保留了谋杀快照入狱
据1月10日报道,一名警方法医专家因将数千张来自警方计算机系统的严峻图像下载到他自己的计算机上而被送进英国的监狱。
斯塔福德附近小海伍德的56岁的达伦·柯林斯(Darren Collins)承认非法访问犯罪现场的照片和对谋杀受害者进行的尸检。
皇家检察院(CPS)表示,柯林斯利用他的数字专业知识创建了自己的访问数据库的途径,而他无权这样做,被描述为一种'后门'技术,避免了适当和合法的访问程序。
柯林斯将这些图像复制到USB记忆棒上,将存储设备带回家,然后将其内容传输到他自己的个人电子设备上。
在2014年1月至2018年12月期间,数字取证专家柯林斯非法访问了存储在警方计算机系统上的3000多张图像。
03 网络窃贼突袭Grass Valley
据1月10日报道,对加利福尼亚州一个城市的网络攻击导致属于供应商、城市员工及其配偶的个人和财务数据泄露。
Grass Valley发布的一份数据安全事件通知指出,去年有四个月,一名未知的攻击者能够访问该市的一些IT系统。
该市表示,攻击者利用他们在2021年4月13日至7月1日期间享受的未经授权的访问来窃取属于未指定数量的数据。
受数据泄露影响的受害者包括Grass Valley员工、前员工、配偶、家属以及该市雇用的个人供应商。其他受害者包括可能已向Grass Valley警察局提供资料的个人,以及在贷款申请文件中向Grass Valley社区发展部提供资料的个人。
12 月 1 日,对威胁参与者访问了哪些文件以及哪些数据遭到入侵的审查已经结束。在攻击期间暴露的信息被发现包括社会安全号码、驾驶执照号码、供应商名称以及有限的医疗或健康保险信息。
对于可能已向Grass Valley警察局提供信息的个人,受影响的数据包括姓名和以下一项或多项:社会安全号码、驾驶执照号码、财务帐户信息、支付卡信息、有限的医疗或健康保险信息、护照号码以及在线帐户的用户名和密码凭据。
那些申请社区发展贷款的人可能的姓名和社会安全号码、驾驶执照号码、财务帐号和支付卡号遭到入侵。
04 超过一半的中小企业经历过网络安全漏洞攻击
据1月10日报道,根据保险公司Markel Direct的一项新研究,英国超过一半(51%)的中小企业和自雇工人经历过网络安全漏洞攻击。
调查结果来自对英国1000家中小企业和自雇人士的调查,突显了人们的担忧,即由于缺乏资源和网络安全专业知识,这些组织面临特别高的网络攻击风险,COVID-19期间加剧了这个问题。
这些组织面临的最常见的攻击方法是与恶意软件/病毒相关的(24%)、数据泄露(16%)和网络钓鱼攻击(15%)。超过三分之二(68%)的受访者表示,他们经历的违规行为成本高达5000英镑。
该研究还分析了中小企业和自雇人士采取的网络安全措施的程度。近九成(88%)的受访者表示,他们至少有一种形式的网络安全,如防病毒软件、防火墙或多因素身份验证,70%的受访者表示,他们对自己的网络安全安排相当有信心或非常有信心。
在这些组织和个人中,53%拥有防病毒/恶意软件,48%的人投资了防火墙和安全网络。此外,近三分之一(31%)的受访者表示,他们每月进行风险评估和内部/外部审计。
令人担忧的是,11%的受访者表示他们不会在网络安全措施上花任何钱,认为这是"不必要的成本"。
Markel Direct的直接和合作伙伴关系总监Rob Rees评论说:"对大公司的网络攻击通常是头条新闻,特别是考虑到过去几年发生的一些重大违规行为。然而,中小企业和自雇人士也面临风险,其后果可能对小型企业造成毁灭性打击,这些企业可能无法从网络漏洞的财务影响中恢复过来或失去客户的信任。
网络犯罪分子通常以自雇人士和中小企业为目标,因为他们缺乏大型企业在网络安全方面投资的资源。中小企业和自雇人士成为网络攻击的目标,最终可能面临财务和运营后果,其中一些人可能永远无法从中恢复过来。
05 美国对商业间谍软件发出警告
据1月10日报道,美国政府安全专家发布了针对商业间谍软件可能目标的新指南,以保护自己免受不必要的监视。
"一些政府正在使用商业监控软件来瞄准全球的持不同政见者、记者和其他他们认为是批评者的人,"美国国家反情报和安全中心(NCSC)在Twitter帖子中警告说。
"商业监视工具的使用方式也对美国人员和系统构成严重的反间谍和安全风险。
该通知解释说,间谍软件正在使用Wi-Fi和蜂窝数据连接部署到移动和其他互联网连接设备。
"在某些情况下,恶意行为者可以在设备所有者不采取行动的情况下感染目标设备。在其他情况下,他们可以使用受感染的链接来访问设备,"它说。
该指导文件由NCSC和国务院联合发布,警告间谍软件可以监控电话、设备位置和设备上的几乎任何内容,包括短信、文件、聊天、消息传递应用程序内容、联系人和浏览历史记录。
针对潜在目标的建议包括定期更新软件,切勿点击未经请求的消息中的链接,加密和密码保护设备,并定期重新启动设备以帮助删除恶意软件植入物。
06 研究人员在十几个广泛使用的URL解析器库中发现了错误
据1月 10报道,对16个不同的统一资源定位器(URL)解析库的研究发现了不一致和混乱,这些不一致和混乱可以被利用来绕过验证,并为各种攻击媒介打开大门。
在网络安全公司Claroty和Synk联合进行的深入分析中,在用C,JavaScript,PHP,Python和Ruby语言编写并被多个Web应用程序使用的许多第三方库中发现了八个安全漏洞。
使用多个解析器是发现这八个漏洞的两个主要原因之一,另一个是当库遵循不同的URL规范时不一致引起的问题,有效地引入了可利用的漏洞。
滥用范围包括涉及包含反斜杠("\")的URL的混淆,斜杠的不规则数量(例如,https:///www.example[。]com)或URL 编码数据("%"),以指向缺少 URL 方案的 URL,这些 URL 可能被利用来获得远程代码执行,甚至阶段性拒绝或服务 (DoS) 和开放重定向网络钓鱼攻击。
发现的八个漏洞列表如下,所有这些漏洞都已由各自的维护者解决 -
· Belledonne的SIP堆栈(C,CVE-2021-33056))
· 视频.js(JavaScript,CVE-2021-23414)
· Nagios XI (PHP, CVE-2021-37352)
· Flask-security(Python,CVE-2021-23385)
· Flask-security-too (Python, CVE-2021-32618)
· Flask-unchained (Python, CVE-2021-23393)
· Flask-User (Python, CVE-2021-23401)
· 清除(Ruby,CVE-2021-23435)
07 Abcbot僵尸网络链接到Xanthe Cryptomining恶意软件的运营商
据1月10日报道,对名为Abcbot的新兴DDoS僵尸网络背后的基础设施的新研究发现了与2020年12月曝光的加密货币采矿僵尸网络攻击的联系。
奇虎360的Netlab安全团队于2021年11月首次披露了涉及Abcbot的攻击,该攻击是通过恶意shell脚本触发的,该脚本针对由华为、腾讯、网络和阿里云等云服务提供商运营的不安全云实例,以下载将机器选择到僵尸网络的恶意软件,但在此之前不会终止来自竞争威胁参与者的进程并建立持久性。
有问题的shell脚本本身就是趋势科技在2021年10月最初发现的早期版本的迭代,该版本攻击了华为云中易受攻击的ECS实例。
但有趣的是,通过映射所有已知的入侵指标(IoC),包括IP地址、URL和样本,对僵尸网络的持续分析揭示了Abcbot的代码和功能级别与称为Xanthe的加密货币挖掘操作的代码和功能级别相似性,该操作利用错误配置的Docker实现来传播感染。
"同一个威胁行为者同时负责Xanthe和Abcbot,并正在将其目标从在受感染的主机上挖掘加密货币转移到传统上与僵尸网络相关的活动,例如DDoS攻击,"Cado Security的Matt Muir在与The Hacker News分享的一份报告中说。
两个恶意软件系列之间的语义重叠范围从源代码的格式化方式到为例程提供的名称,某些函数不仅具有相同的名称和实现(例如,"nameservercheck"),而且还将单词"go"附加到函数名称的末尾(例如,"filerungo")。
"这可能表明该函数的Abcbot版本已经迭代了几次,每次迭代都会添加新功能,"Muir解释说。
此外,对恶意软件的深入检查揭示了僵尸网络通过使用通用的、不显眼的名称(如"自动更新器","记录器","sysall"和"系统")来创建多达四个自己的用户以避免检测,并将它们添加到sudoers文件中,以使流氓用户对受感染的系统具有管理权限。
"代码重用甚至类似复制经常出现在恶意软件家族和任何平台上的特定样本之间,"Muir说。"从发展的角度来看,这是有道理的。正如合法软件的代码被重用以节省开发时间一样,非法软件或恶意软件也是如此。
08 APT黑客在最近的恶意软件攻击中达成自己的目标
据1月9日报道,威胁猎人已经揭示了一个名为Patchwork的印度裔黑客组织所采用的策略、技术和程序,这是2021年11月下旬开始的新运动的一部分,该运动针对巴基斯坦政府实体和个人,研究重点是分子医学和生物科学。
"具有讽刺意味的是,我们收集的所有信息都是可能的,这要归功于威胁行为者用自己的[远程访问特洛伊木马]感染自己,导致捕获到他们的击键和他们自己的计算机和虚拟机的屏幕截图,"Malwarebytes威胁情报团队在周五发布的一份报告中说。
成功渗透的突出受害者包括巴基斯坦国防部、伊斯兰堡国防大学、UVAS拉合尔生物科学学院、国际化学和生物科学中心(ICCBS),H.E.J.化学研究所和萨利姆哈比卜大学(SBU)。
该间谍组织主要以打击巴基斯坦、中国、美国智囊团以及位于印度次大陆的其他目标而闻名,其名称来自以下事实:其所用恶意软件工具大部分代码都是从网络上公开的各种来源复制和粘贴的。
"这个威胁行为者使用的代码是从各种在线论坛复制粘贴的,以一种让我们想起拼凑被子的方式,"现已倒闭的以色列网络安全初创公司Cymmetria的研究人员在2016年7月发表的调查结果中指出。
多年来,他们进行的连续秘密行动试图放弃并执行QuasarRAT以及名为BADNEWS的植入,该植入充当攻击者的后门,使他们能够完全控制受害者机器。2021年1月,还观察到威胁组织利用Microsoft Office中的远程执行代码漏洞(CVE-2017-0261)在受害计算机上提供有效载荷。
最新的活动没有什么不同,因为对手用RTF文件吸引潜在目标,这些文件冒充巴基斯坦当局,最终充当部署BADNEWS木马新变种Ragnatela的渠道 - 在意大利语中意为"蜘蛛网" - 使操作员能够执行任意命令,捕获击键和屏幕截图,列出和上传文件,并下载其他恶意软件。
新的诱饵据称来自卡拉奇的巴基斯坦国防军官住房管理局(DHA),包含微软方程式编辑器的漏洞,该漏洞被触发以破坏受害者的计算机并执行Ragnatela有效载荷。
但是在OpSec失败的情况下,威胁行为者最终也用RAT感染了他们自己的开发机器,因为Malwarebytes能够揭示其许多策略,包括使用双键盘布局(英语和印度语)以及采用虚拟机和VPN,如VPN Secure和CyberGhost来隐藏其IP地址。
09 组织每周遭受925次攻击,创历史新高
据1月10日报道,研究人员发现2021年网络攻击同比增长50%,由于Log4j漏洞引发网络攻击在12月达到顶峰。
2021年在Log4Shell引发的闪电战中将自己拖入尾声。自上个月发现该漏洞以来,每小时有数百万次针对Log4j的攻击,全球每个组织每周有925次网络攻击的破纪录峰值。
这个数字来自Check Point Research(CPR)的周一报告,该报告发现Log4Shell攻击是2021年企业网络上每周整体攻击次数同比增长50%的主要原因。
截至10月,CPR报告增加了40%,早期的数据显示,全球每61个组织中就有一个每周受到勒索软件的攻击。
CPR研究人员表示,教育/研究是2021年遭受攻击量最高的行业,平均每个组织每周有1,605次攻击:比2020年增加了75次。举个例子:截至12月30日,高级持续威胁(APT)Aquatic Panda正在使用Log4Shell漏洞利用工具瞄准大学,试图窃取工业情报和军事机密。
第二受欢迎的部门是政府/军队,每周发生1,136次袭击:增加了47%。接下来是通信行业,每个组织每周有1,079次攻击:增加了51%。
非洲去年经历了最多的攻击,每个组织平均每周有1,582次攻击:比2020年增加了13%。
亚太地区每个组织的每周攻击增加了25%,平均每周攻击次数为1,353次。拉丁美洲每周有1,118次攻击,增长了38%;欧洲每周有670次攻击,增加了68%;北美每个组织平均每周有503次攻击,比2020年增加了61%。
CPR的建议是:"在混合环境中,边界现在无处不在,安全性应该能够保护一切。该公司表示,电子邮件、网页浏览、服务器和存储"仅仅是基础":移动应用程序、云和外部存储也是"必不可少的",连接的移动和端点设备以及物联网(IoT)设备的合规性也是如此。
此外,CPR建议,"多云和混合云环境中的工作负载、容器和无服务器应用程序应始终成为清单的一部分。
最佳安全实践标准:及时了解安全补丁以阻止利用已知缺陷的攻击,对网络进行分段,在网段之间应用强大的防火墙和 IPS 保护措施,以遏制感染在整个网络中传播,并教育员工识别潜在威胁。
"很多时候,用户意识可以在攻击发生之前阻止攻击,"CPR研究人员建议。"花点时间教育你的用户,并确保如果他们看到异常情况,他们会立即向你的安全团队报告。用户教育一直是避免恶意软件感染的关键因素。
最后,实施先进的安全技术,CPR说。"没有一种银弹技术可以保护组织免受所有威胁和所有威胁媒介的侵害。但是,有许多伟大的技术和想法可用 - 机器学习、沙盒、异常检测等等。
CPR 建议考虑两个关键组件:威胁提取(文件清理)和威胁模拟(高级沙盒)。"每个元素都提供不同的保护,当一起使用时,提供了一个全面的解决方案,可以在网络级别和直接在端点设备上防止未知恶意软件侵害。
10 新的ZLoader恶意软件活动袭击了111个国家的2000多名受害者
据1月10日报道,Check Point Research的专家于2021年11月初发现了一个新的ZLoader恶意软件活动。恶意软件活动仍然活跃,截至2022年1月2日,威胁行为者已经窃取了111个国家/地区2000多名受害者的数据和凭据。
Zloader是一种银行恶意软件,至少自2016年以来一直活跃,它从臭名昭着的Zeus 2.0.8.9银行木马中借用了一些功能,并用于传播类似宙斯的银行木马(即Zeus OpenSSL)。
攻击链利用合法的远程管理软件 (RMM) 来获取对目标系统的初始访问权限。感染链从在受害者的机器上安装Atera软件开始。Atera 是一种合法的企业远程监控和管理软件,可以使用包含所有者电子邮件地址的唯一.msi文件安装代理并将端点分配给特定帐户。攻击者使用临时电子邮件地址"[email protected]"创建了此安装程序。与之前的 Zloader 活动一样,该文件伪装成 Java 安装。
然后,恶意软件利用Microsoft的数字签名验证方法将其有效负载注入已签名的系统DLL中,以逃避检测。
威胁行为者利用一个漏洞,跟踪为CVE-2013-3900,该漏洞于2013年被发现并修复,但在2014年微软修订了该修复程序。
WinVerifyTrust 函数处理PE文件的 Windows Authenticode 签名验证的方式中存在一个远程执行代码漏洞。匿名攻击者可以通过修改现有的已签名可执行文件来利用此漏洞,以利用文件的未经验证的部分,从而在不使签名无效的情况下向文件添加恶意代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
在调查过程中,专家们发现了一个开放目录,托管在teamworks455.com上,它持有一些下载在广告系列中的文件。恶意软件操作员每隔几天就会更改文件,对文件"条目"的分析允许检索感染Zloader及其原籍国的受害者列表。
"这里看到的两种值得注意的方法是使用合法的RMM软件作为对目标机器的初始访问,并将代码附加到文件的签名中,同时仍然保持签名的有效性并使用mshta.exe运行它。
将代码附加到文件签名的能力已经存在多年,并且如上所述分配了多个CVE。"为了缓解此问题,所有供应商都应遵守新的 Authenticode 规范,以将这些设置作为默认设置,而不是选择加入更新。在此之前,我们永远无法确定我们是否可以真正信任文件的签名。