综述
2017年8月,非常流行的远程终端管理软件 Xshell 被发现植入了后门代码,导致大量使用此款工具的用户泄露主机相关的敏感信息。同时,近期大量的使用软件捆绑进行传播的黑产活动也被揭露出来,从影响面来看这些恶意活动的力度颇为惊人,这类来源于供应链并最终造成巨大危害的安全事件其实并不少见,而我们所感知的可能只是冰山一角而已。
以最近这些事件为切入点,360威胁情报中心对软件供应链来源的攻击做了大量的案例分析,得到了一些结论并提供对策建议。在本报告中,360威胁情报中心首先对软件供应链的概念进行了梳理,划分了开发、交付及使用环节。然后针对每个环节,以实例列举的方式分析了相应环节中目前已经看到过的攻击向量,同时提供了每个事件的发生时间、描述、直接威胁和影响范围等信息。在这些案例分析的基础上,整合信息做可视化展示并提出一些结论。最后,基于之前章节的事实分析,360威胁情报中心提出了从供应链安全角度对相应威胁进行防护的对策和建议。
直接威胁 劫持浏览器、删除安全软件、进行软件推广功能
影响范围 针对游戏外挂使用者,360每天拦截该木马超10万次
参考链接http://www.freebuf.com/articles/system/143461.html
火球(Fireball)
事件名称 火球(Fireball)
披露时间 2017年6月
事件描述 2017年6月1日,知名安全公司CheckPoint发布报告称,发现了由中国公司控制的流氓软件“火球(Fireball)”,因受害者众多,已经引起国外安全机构的重视。
“火球(Fireball)”实际上是利用了野马浏览器、Deal Wifi软件等8款流氓软件进行传播,这些流氓软件感染电脑后会将Chrome浏览器的首页、TAB页改为随机生成的搜索页,而用户无法更改。
不过戏剧性的是,微软表示其研究的结果表明“火球(Fireball)”感染率远低于Check Point指出的数字,影响可能被夸大了。微软的数据表明,拉丁美洲和非洲许多国家的感染率都比Check Point的数字更低。微软表示,Check Point根据访问搜索页面的次数估算出Fireball恶意软件感染率大小,而不是通过收集端点设备数据。
直接威胁 劫持Chrome浏览器首页及新标签页
影响范围 Mustang Brower、Deal WiFi、FVP Imageviewer、Soso Desktop、Holainput输入法、OZIP、Siviewer、Winzippers八款软件使用者,360威胁情报中心根据微软给出的感染分布图推算“火球(Fireball)”全球感染了大概千万左右的计算机系统。
参考链接
https://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/
https://blogs.technet.microsoft.com/mmpc/2017/06/22/understanding-the-true-size-of-fireball/
http://www.huorong.cn/info/149663131668.html
http://m.bobao.360.cn/news/detail/4186.html
流量收割者
事件名称 流量收割者
披露时间 2017年02月
事件描述 2017年02月,安全研究人员曝光当用户从百度旗下的http://www.skycn.net/和 http://soft.hao123.com/这两个网站下载任何软件时,都会被植入恶意代码。该恶意代码进入电脑后,会通过加载驱动等各种手段防止被卸载,进而长期潜伏,并随时可以被“云端”远程操控,用来劫持导航站、电商网站、广告联盟等各种流量。
直接威胁 导航站劫持、首页劫持、浏览器劫持、网盟广告劫持
影响范围 针对下载站使用者,传播范围未知
参考链接
http://www.huorong.cn/info/148826116759.html?utm_sources=landian.la
http://news.163.com/17/0303/18/CEKF4K0U000187VE.html
“卫士”流氓软件
事件名称 “卫士”流氓软件
披露时间 2017年1月
事件描述 2017年1月某些安全软件公司接到用户反馈,刚刚装好的系统无法安装安全软件,具体表现为:安装程序执行安装步骤到一半的时候,安装程序自己消失,除此以外浏览器首页也被恶意篡改。进一步的分析发现,这些用户的问题是由于两个叫做“卫士”的流氓软件导致,分别是:“浏览器卫士”和“铠甲卫士”。
“浏览器卫士”和“铠甲卫士”以保卫用户电脑安全之名,执行推广软件、阻止安全软件安装、破坏安全软件功能操作。
直接威胁 推广软件安装,阻止安全软件安装,破坏安全软件功能
影响范围 针对“浏览器卫士”和“铠甲卫士”软件用户,感染量未知
参考链接 http://www.huorong.cn/info/148352991557.html
净广大师
事件名称 净广大师
披露时间 2016年12月
事件描述 2016年12月自称通过多家安全厂商的认证的“净广大师”劫持百度搜索流量牟利。软件安装后,会释放一个名为rtdxftex.sys的驱动程序,该驱动程序具有很强的内核级对抗能力。被感染之初,用户不会感觉到任何异样,但该病毒驱动文件名会随着重启不断变换,以此来躲避安全厂商的截杀和代码分析。即使“净广大师”被卸载,该病毒功能依然会随机激活,劫持用户的搜索流量。
直接威胁 劫持基于HTTPS的百度搜索,仅可访问带计费ID的百度搜索网页
影响范围 针对净网大师软件用户,感染量未知
参考链接
http://www.huorong.cn/info/148179983055.html
http://www.huorong.cn/info/148230103656.html
暗云
事件名称 暗云
披露时间 2015年1月
事件描述 2015年1月首次被曝光的“暗云”是一种BootKit木马,恶意代码从云端下载执行。“暗云”通过对正常的“赤月传说”、“传奇霸业”等游戏微端进行patch,进而伪装成游戏通过各大下载站的下载器等多种传播渠道进行海量推广。
直接威胁 设置浏览器主页、关闭杀软、推广网站
影响范围 针对下载器使用者,百万级计算机被感染
参考链接
http://www.freebuf.com/vuls/57868.html
http://www.freebuf.com/articles/system/109096.html
http://www.freebuf.com/articles/system/134017.html
http://www.freebuf.com/vuls/57868.html
中文版Putty后门事件
事件名称 中文版Putty后门事件
披露时间 2012年2月
事件描述 汉化版Putty在2012年2月被曝光在软件中发现后门,中文版Putty在用户输入所有信息之后在服务器验证密码用户名信息之前,新增发送服务器地址、用户名、密码到特定asp空间的恶意逻辑,导致使用他的用户其服务器信息被窃取。
这一安全事件可能是Putty在汉化过程中被攻击者恶意植入木马后门再通过各类第三方下载站传播。
直接威胁 获取使用Putty登录的服务器地址、用户名、密码
影响范围 此次事件窃取服务器root密码近3万条,多家跨国企业也中招
参考链接
http://os.51cto.com/art/201202/314269.htm
http://bbs.duba.net/thread-22623363-1-1.html
下载劫持
软件从各种网络渠道下载过程中也可能受到攻击,比如被捆绑恶意软件、篡改、劫持下载的域名等,以下列举一些实际的攻击方式:
域名劫持
攻击者通过劫持下载站点的域名,使得用户访问到攻击者指定的下载站点下载恶意软件,而用户却全然不知,比如2010年百度域名劫持事件。
CDN污染、P2P缓存毒化
攻击者通过CDN污染、P2P缓存毒化等方式,使得用户在使用某些下载软件提供的缓存加速功能时下载到攻击者事先毒化后的文件块,而前面提到的“Xcode非官方版本恶意代码污染”事件所涉及的软件版本就有通过被P2P缓存毒化后植入非官方版本的可能。
参考链接:
http://weibo.com/3802345927/CBAPoj5IR
http://weibo.com/1401527553/AaPhvCON9
http://blog.csdn.net/u011354613/article/details/52025387
物流链劫持
在软硬件交付环节中,针对物流链层面的攻击也有不少相关案例,攻击者可能通过替换、植入、修改等方式在软硬件产品送达消费者之前的整个物流环节中进行攻击。
常见的攻击方式有:软硬件产品代理生产环节攻击(生产安装光盘等存储介质时植入木马)、运输环节对产品进行掉包替换等等,下面是相关案例介绍。
“方程式”组织硬盘固件程序攻击
卡巴斯基安全实验室在2015年2月16日起发布系列报告披露了一个可能是目前世界上存在的最复杂的网络攻击组织:“方程式”组织(Equation Group)。
该组织拥有一套用于植入恶意代码的超级信息武器库(在卡巴的报告中披露了其中6个),其中包括两个可以对数十种常见品牌的硬盘固件重编程的恶意模块,这可能是该组织掌握的最具特色的攻击武器,同时也是首个已知的能够感染硬盘固件的恶意代码。
而通过相关安全公司分析的结论我们可以推论,在此次硬盘固件程序攻击事件中可以做到如此有针对性(特定目标、行业),部分攻击方式极有可能属于物流链劫持,即在特定目标采购、返修主机或硬盘的过程中修改了硬盘固件。
使用环节
软硬件产品抵达消费者手中后则属于软件使用环节,而用户在使用过程中,除了产品本身的安全缺陷造成的威胁以外,还可能遭受使用环境等带来的威胁,针对使用环节常见的攻击方式主要有软件升级劫持等。
升级劫持
软件产品在整个生命周期中几乎都要对自身进行更新,常见的有功能更新升级、修复软件产品BUG等等。攻击者可以通过劫持软件更新的“渠道”,比如通过预先植入用户机器的病毒木马重定向更新下载链接、运营商劫持重定向更新下载链接、软件产品更新模块在下载过程中被劫持替换(未校验)等等方式对软件升级过程进行劫持进而植入恶意代码。下面是相关案例:
Kuzzle
事件名称 Kuzzle
披露时间 2017年8月
事件描述 2017年8月,安全公司截获恶性病毒“Kuzzle”,该病毒感染电脑后会劫持浏览器首页牟利,同时接受病毒作者的远程指令进行其他破坏活动。“Kuzzle”拥有非常高的技术水平,采用多种手段躲避安全软件的查杀,甚至盗用知名安全厂商的产品数字签名,利用安全软件的“白名单”的信任机制来躲避查杀。更严重的是,用户即使重装系统也难以清除该病毒,使用户电脑长期处于被犯罪团伙的控制之下。
“Kuzzle”通过下载站的高速下载器推广传播,下载器会默认下载携带病毒的“云记事本”程序。电脑感染病毒后,浏览器首页会被劫持,谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。
直接威胁 浏览器首页劫持,推广网页添加至浏览器收藏夹
影响范围 针对下载站的高速下载器使用者,感染量未知
参考链接 http://www.huorong.cn/info/150173981974.html
基于域名bjftzt.cdn.powercdn.com软件升级劫持攻击
事件名称 基于域名bjftzt.cdn.powercdn.com软件升级劫持攻击
披露时间 2017年7月5日
事件描述 360安全卫士在2017年7月5日披露,有多款软件用户密集反映360“误报了软件的升级程序”,但事实上,这些软件的升级程序已经被不法分子恶意替换。
这次事件其实是基于域名bjftzt.cdn.powercdn.com的一组大规模软件升级劫持事件。用户尝试升级若干知名软件客户端时,运营商将HTTP请求重定向至恶意软件并执行。恶意软件会在表面上正常安装知名软件客户端的同时,另外在后台偷偷下载安装推广其他软件。山东、山西、福建、浙江等多省的软件升级劫持达到空前规模,360安全卫士对此类攻击的单日拦截量突破40万次。
直接威胁 下载推广软件
影响范围 几款用户量上亿的软件均被劫持,攻击拦截量40万/日,域名的访问量月平均访问次数约为2000万/日,高峰时期4千万/日
参考链接
http://bobao.360.cn/interref/detail/187.html
http://bobao.360.cn/interref/detail/192.html
NotPetya
事件名称 NotPetya
披露时间 2017年6月
事件描述 2017年6月27日晚,据外媒消息,乌克兰、俄罗斯、印度、西班牙、法国、英国以及欧洲多国遭遇了Petya勒索病毒变种NotPetya的袭击,政府、银行、电力系统、通讯系统等都不同程度地受到了影响。NotPetya勒索病毒传播时利用的漏洞和WannaCry相同,同时还具备其他网络感染手段。
病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序,使用户更新软件时感染病毒。
直接威胁 计算机遭比特币勒索,文件被加密
影响范围 12,500台机器被感染
参考链接
http://fortune.com/2017/06/27/petya-ransomware-ukraine-medoc/
http://www.zdnet.com/article/microsoft-petya-ransomware-attacks-were-spread-by-hacked-software-updater/
http://112.international/ukraine-top-news/microsoft-confirms-complicity-of-medoc-to-petya-virus-spread-18323.html
http://bobao.360.cn/interref/detail/183.html
Toxik
事件名称 Toxik
披露时间 2016年7月
事件描述 2016年7月安全公司曝光一种病毒,长期潜伏在某知名下载站中。该病毒将自身伪装成流行软件(游戏修改器、系统周边工具等)在下载站中进行传播,在用户运行后,该病毒会利用国内某知名互联网公司的软件升级程序(WPS升级程序)下载推广软件,甚至下载病毒驱动进行恶意推广。
该病毒利用explorer.exe下载大量推广软件,安装到用户计算机获得利益,安全软件对该病毒检测名称为“TrojanDropper/Toxik.a!sys”和“Trojan/ Toxik.a”。
直接威胁 广告推广、软件推广
影响范围 感染量未知
参考链接 http://www.huorong.cn/info/146855435236.html
幽灵推Ghost Push
事件名称 幽灵推Ghost Push
披露时间 2015年9月
事件描述 2015年8月,酷派大神手机用户在安装官方提供的系统升级包后,手机便被预安装了MonkeyTest和TimeService等未知软件。截止到9月18日,该类病毒的每日感染量已经扩大到了最高70万台/天,有上万种机型收到了Ghost Push的影响,典型的有酷派、三星、MOTO等等。
直接威胁 病毒软件开机自启、广告推送、静默安装软件
影响范围 针对酷派、三星、MOTO等上万种安卓机型手机用户,每日感染量已经扩大到了最高70万台/天
参考链接
http://www.freebuf.com/articles/terminal/78781.html
http://www.pandasecurity.com/mediacenter/mobile-security/ghost-push-malware-android/
Havex
事件名称 Havex
披露时间 2014年6月
事件描述 安全公司在2014年披露了Havex木马攻击事件,该攻击时间最早为2011年,攻击者通过篡改供应商ICS/SCADA网站,使得通过这个网站上下载的软件升级包中包含恶意间谍软件,当用户下载这些软件并安装时实现对目标用户的感染。
直接威胁 远程控制、数据情报偷取
影响范围 针对能源电力运营商,主要为电力公司,石油管道运营商和能源产业控制系统(ICS)设备制造商。 大多数受害者都位于美国,西班牙,法国,意大利,德国,土耳其和波兰。1500台机器被控制
参考链接
http://www.icsisia.com/article.php?id=152154
https://www.symantec.com/connect/blogs/emerging-threat-dragonfly-energetic-bear-apt-group
https://www.f-secure.com/weblog/archives/00002718.html
http://bobao.360.cn/learning/detail/3952.html
综合分析
事件信息展示图
360威胁情报中心对以上供应链相关的实际案例根据其涉及环节、事件披露年份和影响面的大小形成了如下图示,使读者对这些事件有个比较直观的对比:
主要发现与结论
我们将近年来所有重大的针对软件供应链攻击的安全事件的多个属性进行梳理,配合上一节中的时序图可以发现,针对供应链攻击的安全事件在影响面、严重程度上都绝不低于传统的针对产品本身、操作系统的漏洞攻击,我们从以下几个维度总结软件供应链攻击的现状:
从事件数量上看:大量的软件捆绑、流氓推广等针对供应链下游(交付环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,并且层出不穷,而这几类针对供应链的攻击可能事实上比流行漏洞导致的安全事件还要多。蠕虫级别的漏洞(MS08-067、MS17-10等)所导致的大规模的安全事件已经很少了,IOT类设备的安全问题导致的大规模Botnet构建活动在近期却非常活跃,但前两者的影响其实还远没有来自供应链的大。
从影响面上看:由于基于软件捆绑进行流氓推广的供应链攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,因此从影响用户数来说远超一般的漏洞利用类攻击。而类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件虽然数量上不及针对交付环节的攻击,但攻击一旦成功,却可能影响上亿用户。所以,从整体上说供应链安全事件影响的用户数远比一般的漏洞影响还要大。
从场景/环节上看:从上节的图中我们可以看到,大部分针对供应链攻击的安全事件主要集中在供应链下游(交付环节),这个环节出现最多的就是软件捆绑一类的攻击,而在开发环境/开发环节进行攻击的事件却偏少,不过这类攻击一旦发生则更为隐蔽,影响更为深远,并且发生在这一环节的攻击多属于国家行为。
从趋势上看:针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对产品本身的漏洞攻击可能更加容易,成本更低。
对策建议
在针对软件供应链攻击的整个场景中,主要涉及三类责任主体:
最终用户
软硬件厂商
安全厂商
其中最终用户和软硬件厂商实际上组成了整个应用场景,而安全厂商需要对应用生态提供安全相关的支持。基于这三类主体的不同需求和责任,360威胁情报中心分别提供如下的建议:
最终用户
在软硬件供应链中最终用户基本涉及交付和使用环节,我们建议最终用户注意以下几点:
1、尽可能使用正版和官方渠道输出的软件。上面的分析可以看到软件捆绑恶意代码是供应链攻击的最主要渠道,除了极少数的特例(如Xshell后门代码事件),如果完全使用正版软件可以抵抗绝大部分供应链攻击。使用搜索引擎搜索下载软件注意辨别下载链接是否是官方链接,如果是第三方下载站则需要注意是否为常用下载站,并点击正确的下载链接。下载使用各类非官方、盗版、破解以及来源不明的软件需要非常谨慎,使用360安全卫士之类的防病毒木马流氓软件的工具进行扫描以尽可能降低风险,如果有条件尽量使用虚拟机运行此类软件。对于企业用户,如果有资源,软硬件上线使用前委托有能力的测评机构进行安全性评估,尽可能发现可能存在的安全隐患。
2、安装防病毒软件,打开实时防护,设置自动病毒库更新。尽管现在安全业界一股唱衰传统病毒防护方案的风气,然而我们不得不面对的现实是作为终端上最主要的一道防线其作用依然不可取代,特别是基于云安全架构的解决方案可以非常有效地应对已知的大规模威胁,比如WannaCry和Petya这类勒索蠕虫。
3、企业用户需要建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报。对于企业用户,由于保存了大量高价值数据并集成了强大的处理能力,一旦基于供应链的攻击得逞可能导致敏感信息的泄露和关键系统非授权受控,相应的业务和声誉损失远超个人用户。
尽管必须努力阻止供应链攻击的进入,但过往的安全实践也已经证明基于单点防御的银弹思维是失败的。基于某些环节必然被突破的假设,组织机构需要建立自己的纵深防御和持续监控机制,处理发现的异常,挖掘值得深入调查的事件。对组织自身的软硬件信息资产情况有完备的跟踪,当有供应链相关的威胁情报被通报时,组织就可以根据当前资产的匹配情况立即定位到受影响的资产加以处置,这时,如果有强大的集中管理工具则可以成百倍地提升处置效率,减少暴露在威胁下的时间把损失降低到最小程度。Xshell后门代码事件中,如果受影响的组织订阅了相关的情报,则有可能快速采取补救措施。并且这时如果组织内有360天擎这样的集中化的终端管控工具,就可以快速了解哪些终端使用着有后门的Xshell工具,批量化地进行软件升级并对受影响的终端做进一步的处理。
4、遵循权限最小化原则缩减攻击面,这也同样基于供应链的开发和交付环节必然被突破的假设。假设组织所使用的交换机路由器存在厂商有意无意植入的后门账号或安全漏洞,那么就会提醒我们至少需要保证其接口的访问来源是尽可能受限的,最低限度要防止资产直接暴露在互联网上而又不对访问来源IP进行限制,这样即使系统存在后门或漏洞也无法被大多数人利用。进行防御性的访问权限配置,缩小攻击面事实上是应对未知威胁最有效的方法论,但它对IT系统的管理能力提出了很高的要求,真正做到并不容易。
软硬件厂商
XshellGhost、棱镜门等真实案例证明了软件开发交付环节被攻击后的巨大危害,故软件开发及交付环节的安全防范至关重要,我们建议软件厂商在软件开发交付环节尽可能做到:
1、建立可信的开发环境,这包括可控可信任的软硬件环境,诸如正规渠道购买、下载的软硬件,可信的第三方开源/商业库、算法等,采购安全可信的软件外包服务。关注所用组件的安全通告,如被揭露出严重安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时升级相关的组件。
2、培养开发人员的安全意识,在开发过程的各个环节建立检查点把安全性的评估作为一个必要评审项。开发环节严格遵守开发规范,防止类似调试后门等安全威胁的产生。开发完成的软硬件发布前交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。
3、在正规渠道发布软件,提供给用户可以验证安装包是否正确的数据,比如软件包的校验和信息。软件安装时校验自身的完整性,升级更新自身时校验下载回来安装包的签名,保证不运行被劫持的升级包。
安全厂商
长期以来安全厂商大多以软硬件、操作系统本身的漏洞为中心提供产品和服务的解决方案,针对供应链环节的安全问题似乎并没有投入足够的关注。通过上述对软件供应链各环节的重大安全事件分析可以看到,软件开发、交付、使用等环节都存在巨大的安全威胁,其导致的危害并不低于安全漏洞所导致的情况,因此仅关注软件及操作系统本身的安全威胁是远远不够的。所以,安全厂商需要从完整的软件供应链角度形成全景的安全视野,才能解决更多纵深的安全风险。基于最终用户和软硬件厂商的需求,安全厂商可以加强如下几点:
1、提升发现软硬件产品中安全问题的能力,不仅限于通常意义上的安全漏洞,需要拓展到后门及默认内置账号类的隐藏访问机制的发现,及时输出相应的威胁情报协助厂商和最终用户消除威胁。8月中的Xshell后门代码事件中,360威胁情报中心在国内最早确认了软件中后门的存在并发布了相关的通告,输出了可以帮助用户定位受影响系统的IOC,真正开始驱动事件响应。
2、提供创新型的产品和服务,为用户实现全面细致的态势感知,提供有效的资产管理和持续监控工具,并提供威胁情报能力帮助用户完成安全事件的快速检测和响应。揭示企业IT环境中安全相关的异常情况,给组织内安全团队提供值得调查分析的精准事件线索,发现可能的未知攻击。如Xshell后门事件,安全厂商先通过非正常域名的访问流量定位到相关的终端,最终在机器上找到发出相应网络请求的恶意代码。
参考链接
http://0day5.com/archives/241/
http://112.international/ukraine-top-news/microsoft-confirms-complicity-of-medoc-to-petya-virus-spread-18323.html
http://bbs.duba.net/thread-22623363-1-1.html
http://blog.csdn.net/u011354613/article/details/52025387
http://blogs.360.cn/blog/analysis_of_wirex_botnet
http://bobao.360.cn/interref/detail/183.html
http://bobao.360.cn/interref/detail/187.html
http://bobao.360.cn/interref/detail/192.html
http://bobao.360.cn/interref/detail/207.html
http://bobao.360.cn/learning/detail/2244.html
http://bobao.360.cn/learning/detail/2248.html
http://bobao.360.cn/learning/detail/2263.html
http://bobao.360.cn/learning/detail/3847.html
http://bobao.360.cn/learning/detail/3952.html
http://bobao.360.cn/learning/detail/4238.html
http://bobao.360.cn/learning/detail/4278.html
http://bobao.360.cn/learning/detail/4323.html
http://bobao.360.cn/learning/detail/670.html
http://bobao.360.cn/news/detail/1260.html
http://bobao.360.cn/news/detail/1406.html
http://bobao.360.cn/news/detail/4159.html
http://fortune.com/2017/06/27/petya-ransomware-ukraine-medoc/
http://m.bobao.360.cn/news/detail/4186.html
http://mp.weixin.qq.com/s/QmNd9J84q7ZuWyrihUZBTg
http://netsecurity.51cto.com/art/201512/502232.htm
http://news.163.com/17/0303/18/CEKF4K0U000187VE.html
http://os.51cto.com/art/201202/314269.htm
http://weibo.com/1401527553/AaPhvCON9
http://weibo.com/3802345927/CBAPoj5IR
http://wiki.c2.com/?TheKenThompsonHack
http://www.antiy.com/response/xcodeghost.html
http://www.freebuf.com/articles/system/109096.html
http://www.freebuf.com/articles/system/134017.html
http://www.freebuf.com/articles/system/143461.html
http://www.freebuf.com/articles/terminal/78781.html
http://www.freebuf.com/articles/web/141633.html
http://www.freebuf.com/vuls/57868.html
http://www.huorong.cn/info/146855435236.html
http://www.huorong.cn/info/148179983055.html
http://www.huorong.cn/info/148230103656.html
http://www.huorong.cn/info/148352991557.html
http://www.huorong.cn/info/148826116759.html?utm_sources=landian.la
http://www.huorong.cn/info/149663131668.html
http://www.huorong.cn/info/150173981974.html
http://www.icsisia.com/article.php?id=152154
http://www.myibc.net/about-us/news/1627-juniper-vpn后门事件分析.html
http://www.pandasecurity.com/mediacenter/mobile-security/ghost-push-malware-android/
http://www.zdnet.com/article/microsoft-petya-ransomware-attacks-were-spread-by-hacked-software-updater/
https://baike.baidu.com/item/棱镜门/6006333?fr=aladdin
https://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/
https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
https://blogs.technet.microsoft.com/mmpc/2017/06/22/understanding-the-true-size-of-fireball/
https://securelist.com/shadowpad-in-corporate-networks/81432/
https://www.f-secure.com/weblog/archives/00002718.html
https://www.fireeye.com/blog/threat-research/2015/11/ibackdoor_high-risk.html
https://www.secpulse.com/archives/40062.html
https://www.secpulse.com/archives/42059.html
https://www.symantec.com/connect/blogs/emerging-threat-dragonfly-energetic-bear-apt-group
https://www.trustmatta.com/advisories/MATTA-2012-002.txt
https://www.trustmatta.com/advisories/matta-disclosure-policy-01.txt
,
