Aggregator

在面对越来越多的加密流量攻击时，对所有流量进行统一解密是最直接的办法。但如果采用串联部署，会因为解密过程消耗大量计算资源，导致多个网络出现性能明显下降；如果采用旁路部署，由于技术机制问题，绝大多数加密流量根本无法解密。

10月24日，微步在线发布加密流量检测技术创新解决方案，打破旁路无法解密的困境，并且同时支持旁路与串联两种部署方式，资源占用少，延迟低，无需对现有网络进行改造，即可精准检测各类加密流量攻击，整体误报率低于0.003%。目前，微步威胁感知平台TDP、威胁防御系统OneSIG已同时支持SSL/TLS加密流量的高性能解密和精准检测。

加密流量检测的四大挑战

整体而言，当前加密流量攻击检测存在四大挑战。

第一是检测精准度低。为了减少解密过程的资源占用，不解密检测是目前相对主流的做法。不过，该技术主要通过对会话特征、时空特征等进行分析，不能对核心加密内容进行深度拆包，在复杂网络环境中误报率甚至高达到10%以上。此外，不解密检测很难提供有效证据解释告警产生的根因，这对告警研判和进一步的关联分析都极为不利。

第二是解密覆盖不全。由于流量加密技术设计之初就是为了防止旁路监听窃取流量数据，因此传统旁路解密存在很大的局限性，只能解密TLS1.2以下RSA加密算法，对于椭圆曲线等加密算法无能为力。而且随着TLS1.3的大规模普及，RSA加密算法逐渐被抛弃，传统旁路解密变得更加不可用。

第三是计算性能瓶颈。在防火墙、WAF等网关设备上对所有流量进行中间人解密，是目前唯一能够实现完全解密的手段。但解密过程涉及到复杂的数学运算，需要消耗大量的时间和计算资源，容易出现网络波动、延迟甚至是拒绝服务，直接影响到业务的实时性和连续性。

第四是网络改动较大。部署独立的流量解密设备将所有资源仅用于解密计算，并将解密后的明文流量交给其他安全设备，是解决单一设备性能不足的重要手段。但独立的解密设备需要另行串接至所有网络出口，对网络结构改动较大，大幅提升了部署和运维成本，故障率也随之增加。

轻量化+一体化解决加密流量攻击难题

对此，微步TDP首次创新了旁路轻量化解密技术，通过在主机上部署轻量化解密Agent，可对99%以上的加密算法进行解密，打破了TLS1.3以上旁路解密几乎不可用的尴尬局面。解密后的明文流量则引流至TDP进行检测。

经过严格的实战环境测试，Agent资源占用极少，并且完美兼容各类操作系统和复杂的网络环境，不会影响业务运行。

在检测能力方面，TDP利用规则引擎、AI引擎、威胁情报等多项技术，可将整体误报率控制在0.003%以内，同时提供丰富的上下文帮助运营人员确定威胁跟进并进一步研判分析。

另一方面，微步OneSIG还提供了解密、检测一体化的模式，基于中间人技术实现所有入站HTTPS流量解密，有效弥补了旁路解密少量证书无法覆盖的空白，无需另行串接其他解密设备。

在性能方面，OneSIG基于高性能底层架构，采用硬件解密，大幅提升了解密效率，几乎不会造成业务延迟；在防护能力方面，OneSIG可将90%以上网络攻击拦截于网络边界之外，其中0day检出率达到81%；在易用性方面，OneSIG支持透明网桥模式，能够即插即用，迅速部署上线。

值得注意的是，TDP与OneSIG既支持独立部署，也支持联动部署。经过OneSIG的自动拦截，可大幅度降低后续其他串行网关以及内网TDP等设备的告警数量，减少人工参与；当TDP发现绕过网络边界的网络攻击时，可联动OneSIG或者其他网关设备进行阻断。

微步技术合伙人赵林林表示，在近些年攻防演练中，几乎所有Web渗透、恶意软件投递都是通过加密流量发起的。此次微步TDP、OneSIG同时支持高性能解密，将为用户在未来的实战过程中，提供针对加密流量攻击的检测与响应的闭环。

In this Help Net Security video, IEEE member Marc Lijour explains quantum computing and offers insight into how to fend off a quantum computer attack.

The post How to fend off a quantum computer attack appeared first on Help Net Security.

Android 官方商店 Google Play 在一年内传播了 200 多个恶意应用程序，累计下载量接近 800 万次。

这些数据是由 Zscaler 的威胁情报研究人员在 2023 年 6 月至 2024 年 4 月期间收集的，他们识别并分析了 Google Play 和其他分发平台上的恶意软件家族。

研究人员在官方 Android 应用商店中发现的最常见威胁包括：

·Joker (38.2%)：信息窃取者和短信抓取器，为受害者订阅高级服务

·Adware (35.9%)：消耗互联网带宽和电池来加载侵入性前台广告或后台隐形广告的应用程序，产生欺诈性广告印象

·Facestealer (14.7%)：在合法社交媒体应用程序之上覆盖网络钓鱼表单的 Facebook 帐户凭据窃取程序

·Coper (3.7%)：信息窃取程序和 SMS 消息拦截器，还可以执行键盘记录和覆盖网络钓鱼页面 

·Loanly Installer (2.3%)

·Harly ( 1.4%）：为受害者订阅高级服务的木马应用程序

·Anatsa（0.9%）：Anatsa（或 Teabot）是一种银行木马，针对全球 650 多个银行应用程序

今年 5 月初，这些研究人员在 Google Play 上发现了 90 多个恶意应用程序，下载量为 550 万次。

尽管谷歌拥有检测恶意应用程序的安全机制，但威胁分子仍然有一些技巧来绕过验证过程。在去年的一份报告中，谷歌云安全团队描述了“版本控制”，这是一种通过应用程序更新或从攻击者控制的服务器加载恶意软件来传播恶意软件的方法。

无论使用何种方法通过 Google Play 传播恶意软件，某些活动都会比其他活动更成功。虽然 Zscaler 的报告重点关注更常见的 Android 恶意软件，但其他研究人员发现也有利用 Google Play 向数百万人分发恶意软件的活动。

在一个案例中，仅通过官方商店发布的两款应用程序，Android 版 Necro 恶意软件加载程序就被下载了 1100 万次。

在另一个案例中，Goldoson Android 恶意软件在 60 个合法应用程序中被检测到，这些应用程序的下载量累计达到 1 亿次。

去年，SpyLoan 在 Google Play 上的应用程序中被发现，下载量超过 1200 万次。

 Zscaler ThreatLabz 发现的恶意应用程序中有近一半是在 Google Play 上发布的，属于工具、个性化、摄影、生产力和生活方式类别。

Google Play 上的恶意应用类型

就今年阻止的恶意软件而言，Zscaler 报告称，通过阻止交易来衡量，趋势显示整体下降。

ThreatLabz 平均每月记录 170 万个区块，在整个分析期间记录了 2000 万个区块，最常见的威胁是 Vultur、Hydra、Ermac、Anatsa、Coper 和 Nexus。

每月交易区块数

Zscaler 的移动威胁报告还显示，主要由 SpyLoan、SpinOK 和 SpyNote 系列驱动的间谍软件感染显著增加。

去年，该公司登记了 232,000 个间谍软件活动块。去年移动恶意软件攻击最多的国家是印度和美国，其次是加拿大、南非和荷兰。

报告显示，移动恶意软件主要针对教育行业，该行业被阻止的交易量增加了 136.8%。服务业增长40.9%，化工和采矿业增长24%。所有其他行业均出现普遍下滑。

去年移动恶意软件针对的行业

为了最大限度地减少被 Google Play 恶意软件感染的机会，建议用户阅读其他人的评论，了解报告的问题并检查应用程序发布者。

用户还应检查安装时请求的权限，如果应用程序所需的权限不适合其活动，则应中止该过程。 Google 已就 Zscaler 的调查结果发布评论表示，这些已识别的应用程序的恶意版本已不再出现在 Play 上。

Google Play Protect 会自动保护 Android 用户免受本报告中提到的已知恶意软件版本的侵害，该功能在具有 Google Play 服务的 Android 设备上默认处于开启状态。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自 Play 之外的来源。