文章來(lái)自：安天實驗室

1導語

面對威脅高(gāo)速演進變化、防禦技(jì)術(shù)同樣快速改善的現狀，無論我們做(zuò)怎樣的努力，都已無法用一篇年報來(lái)涵蓋網絡安全威脅的全景，這亦使參與本文檔編寫的安天分析工程師(shī)們無比糾結。對于安天安全研究與應急處理(lǐ)中心（安天CERT）來(lái)說，在數(shù)年前，年報工作(zuò)是相對簡單的，我們隻需從惡意代碼存儲和(hé)分析的後台系統導出足夠多(duō)的統計(jì)圖表，就可(kě)以構成一篇年度報告。在網絡安全領域，惡意代碼自動化分析是一個(gè)成型較早的基礎設施，惡意代碼樣本集更是一個(gè)非常容易進行(xíng)統計(jì)的大(dà)集合，這一度讓我們偏離了網絡安全的本質，弱化了我們對保障用戶價值的信念。


從去年開(kāi)始，安天颠覆了自身傳統的數(shù)據表年報的風格，面對當前威脅的縱深化、複雜化特點，大(dà)量簡單的統計(jì)已經失去意義，我們非常明(míng)确地提出了做(zuò)“觀點型年報”的自我要求。盡管我們擁有(yǒu)更多(duō)的樣本、更多(duō)的數(shù)據，但(dàn)我們依然不敢說已經能夠駕馭安全大(dà)數(shù)據，目前我們能做(zuò)到的隻有(yǒu)學習和(hé)思考，我們要學習更豐富的數(shù)據分析方式，我們要做(zuò)能獨立思考、有(yǒu)觀點、有(yǒu)立場(chǎng)的安全團隊，而非做(zuò)大(dà)數(shù)據和(hé)計(jì)算(suàn)資源的奴隸。


同時(shí)，我們也深知，我們自己的工作(zuò)是局限的，安天的分析工作(zuò)更多(duō)地是圍繞如何防禦高(gāo)級持續性威脅（APT）攻擊和(hé)惡意代碼展開(kāi)，我們坦誠面對自己對WEB安全、漏洞挖掘等領域技(jì)能積累的一貫不足。此外，由于安天CERT的部門(mén)分工所決定的分析視(shì)野的不同，本年報涉及到的移動安全相關內(nèi)容較少(shǎo)，安天移動安全公司（AVL TEAM）後續會(huì)單獨發布移動安全年報。


2高(gāo)級持續性威脅（APT）的層次分化





2.1    2015年被曝光的高(gāo)級持續性威脅（APT）事件


APT攻擊繼續引領2015年的威脅大(dà)潮。從2月，方程式（Equation）組織浮出水(shuǐ)面；到5、6月，APT-TOCS和(hé)Duqu2.0相繼露出峥嵘；再到8月，藍(lán)白蟻（BlueTermitex）事件的公布，2015年全年共曝光了十多(duō)起APT事件。雖然相較于2014年，曝光事件總體(tǐ)數(shù)量有(yǒu)所減少(shǎo)，但(dàn)從威脅事件的影(yǐng)響力和(hé)技(jì)術(shù)水(shuǐ)準來(lái)看，高(gāo)水(shuǐ)準的攻擊手法、系統化的攻擊平台、商用木馬和(hé)标準化滲透平台的使用，使得(de)方程式、Duqu2.0和(hé)APT-TOCS等事件都極具代表性。


在2015年的APT事件中，“方程式（Equation）”攻擊是較早被披露且含金量極高(gāo)的攻擊事件。方程式（Equation）組織是一個(gè)活躍了近20年的攻擊組織，其将APT的特點P（持久化）展現的淋漓盡緻。該組織不僅能夠早于其他組織發現更多(duō)0day漏洞，且擁有(yǒu)一套用于植入惡意代碼的超級制(zhì)式信息武器(qì)庫，其中最受關注、最具特色的攻擊武器(qì)是兩個(gè)可(kě)以對數(shù)十種常見品牌硬盤實現固件植入的惡意模塊。作(zuò)為(wèi)一種高(gāo)級的持久化手段，其既可(kě)以用于感染後的植入，也可(kě)以與臭名昭著的“物流鏈”劫持搭配使用。相比之前我們分析過的BIOSKIT和(hé)BOOTKIT，該惡意模塊具有(yǒu)更高(gāo)的隐蔽性，更加難以分析。但(dàn)多(duō)數(shù)被方程式（Equation）“光顧”過的節點，并未觸發持久化功能，這說明(míng)該組織具有(yǒu)堅持獲取高(gāo)價值目标的原則。根據對相關硬盤固件接口的分析，我們認為(wèi)，相關接口和(hé)參數(shù)的獲取，通(tōng)過人(rén)力和(hé)時(shí)間(jiān)投入，依托技(jì)術(shù)文檔和(hé)逆向分析完全可(kě)以實現。因此，安天CERT不傾向于固件接口的獲得(de)是相關情報機構與産業界協作(zuò)的結果，其更多(duō)體(tǐ)現出的是攻擊組織及其資源體(tǐ)系強大(dà)的分析能力和(hé)堅定的作(zuò)業意志(zhì)，也包含其針對上(shàng)遊進行(xíng)滲透作(zuò)業的可(kě)能性。而方程式組織所采用的加密策略，則體(tǐ)現出了其作(zuò)業的嚴密性，安天CERT于2015年4月發布的《方程式（EQUATION），組件加密策略分析》，對此進行(xíng)了進一步分析。






2011年後，沒有(yǒu)安全廠商或組織報道(dào)Duqu繼續活躍的迹象，業內(nèi)一度認為(wèi)其已經停止活動。然而在2015年初發現的一系列攻擊事件中，出現了Duqu的全新版本，Duqu2.0就此重裝上(shàng)陣，并對卡巴斯基進行(xíng)了滲透攻擊。Duqu2.0的重要特點是惡意代碼隻會(huì)駐留在被感染機器(qì)的內(nèi)存當中，利用漏洞執行(xíng)內(nèi)核級别的代碼，硬盤中無法查到痕迹。雖然重啓系統時(shí)惡意代碼會(huì)被暫時(shí)清除，但(dàn)是攻擊者可(kě)以在直接聯網的少(shǎo)數(shù)計(jì)算(suàn)機中部署驅動程序，從而通(tōng)過遠程桌面會(huì)話(huà)或之前獲得(de)的用戶憑證将Duqu2.0重新部署到整個(gè)平台。不得(de)不說的是，像Duqu這樣有(yǒu)着政府支持的高(gāo)成本的APT攻擊基礎設施，不僅擁有(yǒu)複雜的、插件化模塊體(tǐ)系，其作(zuò)業組織也具備直接挑戰世界頂級安全公司的自信。


與“方程式（Equation）”所擁有(yǒu)的裝備武庫和(hé)Duqu2.0強大(dà)的體(tǐ)系化能力相比，有(yǒu)些(xiē)APT組織難有(yǒu)雄厚的資金支持、先進的武器(qì)儲備和(hé)強大(dà)的攻擊能力，特别是難以具備建制(zhì)化的高(gāo)水(shuǐ)平攻擊隊伍，所以他們另辟蹊徑，利用開(kāi)放或商業化的标準化的滲透平台生(shēng)成惡意代碼和(hé)其他攻擊載荷，向目标進行(xíng)部署和(hé)攻擊。2015年5月，在安天發現的一例針對中國官方機構的攻擊事件（APT-TOCS）中，攻擊者就是使用自動化攻擊測試平台Cobalt Strike生(shēng)成了利用信标模式進行(xíng)通(tōng)信的Shellcode，實現了對目标主機的遠程控制(zhì)能力。這種利用測試平台進行(xíng)攻擊滲透的方式以及無惡意代碼實體(tǐ)文件、定時(shí)發送心跳(tiào)包等行(xíng)為(wèi)在一定程度上(shàng)可(kě)以規避主機安全防護軟件的查殺與防火(huǒ)牆的攔截，同時(shí)對可(kě)信計(jì)算(suàn)環境、雲檢測、沙箱檢測等安全環節和(hé)手段均有(yǒu)對抗能力。該攻擊控制(zhì)目标主機的方式非常隐蔽，難以被發現，并且具備攻擊多(duō)種平台的能力，如Windows、Linux、Mac等。經過線索關聯，這一事件被認為(wèi)與友(yǒu)商所公布的“海蓮花(huā)”事件，源于同一攻擊組織，但(dàn)其作(zuò)業方式與既往相比顯現出較大(dà)差異。從本次事件的分析結果及我們長期的監控情況來(lái)看，商用木馬、标準化的滲透平台等已經被廣泛用于各種定向持續攻擊中，特别是針對中國目标的攻擊中。這種成本較低(dī)的攻擊模式不僅降低(dī)了對攻擊者能力和(hé)資源儲備的要求，還(hái)導緻對依托大(dà)數(shù)據分析來(lái)辨識線索鏈的過程産生(shēng)更多(duō)的幹擾，并使“編碼心理(lǐ)學”等一些(xiē)我們過去更擅長的分析方法失去作(zuò)用。


2.2     日趨活躍的“商業軍火(huǒ)”


傳統意義的APT攻擊更多(duō)地讓人(rén)聯想到精幹的作(zuò)業團隊、強大(dà)的用于攻擊的基礎設施、專業的0day漏洞挖掘小(xiǎo)組以及惡意代碼的編寫小(xiǎo)組等。因此，多(duō)數(shù)的APT研究者更願意把更多(duō)目光放在具有(yǒu)這些(xiē)特點的事件上(shàng)。但(dàn)APT-TOCS等事件則用一種新的方式，為(wèi)一些(xiē)技(jì)術(shù)能力和(hé)資源相對有(yǒu)限的國家(jiā)和(hé)組織提供了另一種選擇。該事件也說明(míng)，随着攻擊平台、商用木馬和(hé)開(kāi)源惡意工具的使用，網絡軍火(huǒ)被更加廣泛的使用可(kě)能成為(wèi)一種趨勢。從安天過去的跟蹤來(lái)看，這種威脅已經存在近五年之久，但(dàn)依然缺乏有(yǒu)效檢測這類威脅的産品和(hé)手段。安天CERT分析小(xiǎo)組之所以将APT-TOCS事件定位為(wèi)準APT事件，是因為(wèi)該攻擊事件一方面符合APT攻擊針對高(gāo)度定向目标作(zuò)業的特點，同時(shí)隐蔽性較強、具有(yǒu)多(duō)種反偵測手段。但(dàn)同時(shí)，與我們過去所熟悉的很(hěn)多(duō)APT事件中，進攻方具備極高(gāo)的成本承擔能力與巨大(dà)的能力儲備不同，其成本門(mén)檻并不高(gāo)，事件的惡意代碼并非由攻擊者自身進行(xíng)編寫構造，商業攻擊平台使事件的攻擊者不再需要高(gāo)昂的惡意代碼的開(kāi)發成本，相關攻擊平台亦為(wèi)攻擊者提供了大(dà)量可(kě)選注入手段，為(wèi)惡意代碼的加載和(hé)持久化提供了配套方法，這種方式降低(dī)了攻擊的成本，使得(de)缺少(shǎo)雄厚資金、也沒有(yǒu)精英黑(hēi)客的國家(jiā)和(hé)組織依托現有(yǒu)商業攻擊平台提供的服務即可(kě)進行(xíng)接近APT級的攻擊水(shuǐ)準，而這種高(gāo)度“模式化”攻擊也會(huì)讓攻擊缺少(shǎo)鮮明(míng)的基因特點，從而更難追溯。








與APT-TOCS事件中的Cobalt Strike所扮演的角色有(yǒu)所不同，Hacking-Team是一個(gè)專門(mén)為(wèi)攻擊者提供工具和(hé)手段的公司。2015年7月，由于遭到入侵，Hacking Team逾400G數(shù)據洩露。關于Hacking-Team被盜了什麽的問題，形象的回答(dá)就是“軍火(huǒ)庫、賬房(fáng)和(hé)衣櫥都被洗劫了”。大(dà)量含源代碼的木馬程序、多(duō)個(gè)未公開(kāi)的0day漏洞、電(diàn)子郵件、商業合同、項目資料和(hé)監聽(tīng)錄音(yīn)遭到洩露，無異于向本就充滿着威脅的網絡環境投放了一枚重磅炸彈。這種具有(yǒu)商用水(shuǐ)準的多(duō)平台木馬的洩露，瞬間(jiān)提升了黑(hēi)産編寫木馬的能力，洩露的漏洞也迅速出現在一些(xiē)普通(tōng)的攻擊中。


安天AVL TEAM亦發現類似Giige等商業手機木馬，被攻擊者用來(lái)攻擊中國的機構和(hé)人(rén)員。


正如我們今年在APT-TOCS事件報告中指出的那(nà)樣“鑒于網絡攻擊技(jì)術(shù)具有(yǒu)極低(dī)的複制(zhì)成本的特點，當前已經存在嚴峻的網絡軍備擴散風險。商業滲透攻擊測試平台的出現，一方面成為(wèi)高(gāo)效檢驗系統安全的有(yǒu)利工具，但(dàn)對于缺少(shǎo)足夠的安全預算(suàn)、難以承擔更多(duō)安全成本的國家(jiā)、行(xíng)業和(hé)機構來(lái)說，會(huì)成為(wèi)一場(chǎng)噩夢。在這個(gè)問題上(shàng)，一方面需要各方面建立更多(duō)的溝通(tōng)和(hé)共識；而另一方面毫無疑問的是當前在攻防兩端均擁有(yǒu)全球最頂級能力的超級大(dà)國，對于有(yǒu)效控制(zhì)這種武器(qì)級攻擊手段的擴散，應該負起更多(duō)的責任”。


2.3    APT的層次化能力


近年來(lái)的APT事件中，超級APT組織擁有(yǒu)大(dà)量0day漏洞和(hé)豪華的攻擊裝備儲備，甚至是“揮霍”0day漏洞，而同時(shí)，我們一些(xiē)攻擊組織則利用現有(yǒu)平台和(hé)商用木馬來(lái)完成的攻擊事件；同樣也有(yǒu)一些(xiē)技(jì)術(shù)相對粗糙，手段亦不高(gāo)明(míng)的攻擊事件也同樣體(tǐ)現出攻擊方持續和(hé)定向攻擊作(zuò)業的特點。因此，我們不禁要問，近年來(lái)的攻擊事件在攻擊手法、能力和(hé)技(jì)術(shù)儲備上(shàng)存在諸多(duō)差異，那(nà)麽究竟該以何種标準去定義APT？


從技(jì)術(shù)能力、資源儲備、攻擊手段等方面綜合考慮，安天将APT攻擊能力細分為(wèi)A2PT（“高(gāo)級的”APT）、APT、準APT、輕量級APT幾個(gè)等級。A2PT，顧名思義，就是高(gāo)級的APT，該命名我們受到Michael Cloppert的《Why Stuxnet Isn't APT》一文啓發。在2015年全年的APT事件中，我們前文介紹的“方程式”用修改硬盤固件的方式作(zuò)為(wèi)持久化支點，被稱為(wèi)“世界上(shàng)最複雜的網絡攻擊”；Duqu2.0沿用當年的Duqu和(hé)Stuxnet的思路，形成了系統化的攻擊基礎設施，并讓卡巴斯基這樣的世界級公司承認自己淪為(wèi)此次事件的受害者。這些(xiē)攻擊組織綜合能力明(míng)顯具有(yǒu)領先一代的特點，因此他們是A2PT，我們也注意到一些(xiē)同行(xíng)稱之為(wèi)GPT（上(shàng)帝模式的APT攻擊）。


而類似HAVEX這樣具有(yǒu)較高(gāo)攻擊水(shuǐ)準和(hé)較強資源儲備的攻擊，則毫無疑問是我們傳統意義上(shàng)的經典APT的代表。


然而，有(yǒu)一些(xiē)攻擊組織并不能與以上(shàng)具有(yǒu)的較高(gāo)的攻擊水(shuǐ)準和(hé)較強的資源儲備的攻擊組織相比，他們無論是技(jì)術(shù)水(shuǐ)平還(hái)是資源儲備，都遜色得(de)多(duō)。為(wèi)了完成攻擊目标，攻擊者隻能開(kāi)發水(shuǐ)準較低(dī)的惡意代碼，或者直接利用現有(yǒu)的攻擊平台和(hé)商用木馬生(shēng)成惡意代碼。APT-TOCS事件即由此而來(lái)，安天的分析人(rén)員經過對本次事件的分析，發現攻擊者具有(yǒu)較高(gāo)的攻擊水(shuǐ)準和(hé)持久、定向的攻擊意圖，然而經過更深層次的分析，我們發現，本次事件所體(tǐ)現的高(gāo)水(shuǐ)準竟是來(lái)源于Cobalt Strike這個(gè)自動化攻擊測試平台。較高(gāo)的攻擊水(shuǐ)準、持久化能力和(hé)與之相反的較低(dī)的研發成本相結合，成就了APT-TOCS事件，也讓我們為(wèi)之設定了“準APT”的定義。






安天CERT在2015年底，全文公開(kāi)了兩年前對HangOver組織攻擊中國兩所大(dà)學的分析報告，讓研究者進一步回顧了這個(gè)“亂扔EXE”的APT攻擊組織。這種粗糙的攻擊水(shuǐ)準不僅無法與“方程式”這種超級攻擊相比，也明(míng)顯低(dī)于其他已知的APT攻擊。基于此前對“HangOver行(xíng)動”的捕獲與分析，以及後來(lái)的事件關聯和(hé)可(kě)視(shì)化複現工作(zuò)，我們把這種基于“人(rén)海戰術(shù)”的不夠“高(gāo)級”的APT攻擊，稱為(wèi)輕量級APT攻擊。




2.4    不要誤讀APT


安天反複強調的一個(gè)觀點是，APT不是一個(gè)新概念，該詞由美國空(kōng)軍上(shàng)校(xiào)Greg Rattray于2006年首次提出，用以概括具有(yǒu)堅定攻擊意志(zhì)的戰略對手的攻擊行(xíng)為(wèi)，距今已有(yǒu)九年的時(shí)間(jiān)，APT并不是對此類攻擊唯一的概括、甚至亦不是最早的表達，隻是其他的一些(xiē)概念未得(de)到更多(duō)關注罷了。如從技(jì)術(shù)手法上(shàng)看，曾有(yǒu)部分新興廠商提出了高(gāo)級逃逸技(jì)術(shù)(AdvancedEvasionTechnique,AET)的概念，其對攻擊逃逸技(jì)術(shù)的一些(xiē)基礎特點進行(xíng)概括，目的是推廣一些(xiē)具有(yǒu)新的安全特性的産品。AET描述的是一類具體(tǐ)的攻擊技(jì)術(shù)和(hé)方法，顯然沒有(yǒu)APT這樣宏觀。而從曆史延續來(lái)看，更具有(yǒu)傳統的是“定向性威脅”一詞，在一些(xiē)研究者眼中，很(hěn)多(duō)人(rén)認為(wèi)“定向性威脅”比APT在技(jì)術(shù)表達上(shàng)更為(wèi)準确，并且它的曆史也更為(wèi)悠久。包括IDC等咨詢機構至今仍然沒有(yǒu)單獨劃分APT領域，而是把反APT的廠商和(hé)産品歸類到反定向性威脅的領域中。而在這種情況下，APT依然是熱度最高(gāo)的一個(gè)詞彙，是因為(wèi)其具有(yǒu)非常深厚的政治和(hé)經濟背景。政治背景是指：APT本身承載着超級大(dà)國在全球博弈中将對手臉譜化的需要；經濟背景則是指：以FireEye為(wèi)代表的新銳廠商，在防禦美國所遭受攻擊的工程中，需要借助一個(gè)概念來(lái)細分市場(chǎng)。因此，如果我們脫離這些(xiē)背景，或者說完全站(zhàn)在FireEye等美國廠商的視(shì)角去解讀APT，特别是中國所面臨的APT攻擊風險，那(nà)麽我們極有(yǒu)可(kě)能會(huì)被誤導。


在APT事件的持續跟蹤分析中，安天一直在避免兩種傾向：一種是因為(wèi)某些(xiē)環節的技(jì)術(shù)不夠高(gāo)明(míng)，而草率否定某個(gè)攻擊屬于APT；另一種則是因為(wèi)某個(gè)攻擊利用了較新的漏洞或者采用了較為(wèi)高(gāo)明(míng)的技(jì)巧，就盲目宣布發現了APT事件。我們目前并不能給APT的層次制(zhì)定一個(gè)準确的邊界，至少(shǎo)不能夠僅憑在攻擊事件中利用社工等手段采取針對性攻擊就判定其為(wèi)APT事件。例如，2015年12月2日夜間(jiān)，安天監控預警體(tǐ)系感知到如下信息線索：某知名作(zuò)家(jiā)在新浪微博發布消息，稱有(yǒu)人(rén)以發送“采訪提綱”為(wèi)借口，利用微博私信功能，發送惡意代碼鏈接，利用百度網盤向目标人(rén)群投送惡意代碼[5]。此次事件顯然與上(shàng)文中提到的定向威脅等因素相吻合，但(dàn)最終我們綜合分析後，認為(wèi)從目标的分布等因素來(lái)看，認為(wèi)這不是一組APT事件。因此将一個(gè)攻擊事件定性為(wèi)APT事件，決不能以偏概全，要綜合更深入的因素，并占有(yǒu)更多(duō)數(shù)據，才不會(huì)有(yǒu)所疏漏。而APT的層次劃分，則應視(shì)事件定性後對作(zuò)業手段和(hé)資源儲備等進行(xíng)全面評估而定。


我們至今在追影(yǐng)等産品界面上(shàng)堅持使用“疑似APT攻擊”一詞，其原因是我們認為(wèi)，APT是不能依據簡單的條件來(lái)判定的，APT的定性首先要結合發起方與受害方、攻擊的動機與後果，其次才看作(zuò)業過程與手段。一個(gè)高(gāo)明(míng)的攻擊技(jì)巧，或者幾個(gè)疑似0day漏洞的利用，都不足以将一起攻擊事件定性為(wèi)APT。否則，一個(gè)數(shù)據采集能力非常有(yǒu)限的分析者，就很(hěn)容易因其無法發現某個(gè)攻擊的大(dà)面積分布，而簡單聲稱其發現了APT事件。


對于APT的高(gāo)級性與持續性，我們需要重新思考。高(gāo)級不是絕對的，而是相對性的概念，它可(kě)能是相對于攻擊者所擁有(yǒu)的資源攻擊體(tǐ)系中位于高(gāo)點能力；更是攻防所使用的能力相對于攻擊者防禦反制(zhì)能力的勢能落差。持續性以具象的行(xíng)動為(wèi)依托，一定會(huì)映射到一些(xiē)具體(tǐ)的行(xíng)為(wèi)，如加密通(tōng)訊、隐秘信道(dào)等。從微觀上(shàng)看，持續性未必是通(tōng)過長久的鏈接或心跳(tiào)實現，還(hái)可(kě)能是體(tǐ)現在持續化的能力或者反複進入的能力；而從宏觀上(shàng)看，這種持續并不因被防禦方短(duǎn)時(shí)間(jiān)內(nèi)切斷而終止，取決于攻擊方的作(zuò)業意志(zhì)和(hé)成本支撐能力。



3非法洩露的數(shù)據和(hé)隐私正在彙入地下經濟的基礎設施


在2015年，由網絡攻擊引發的數(shù)據洩露事件依舊(jiù)猖獗，醫(yī)療、保健、電(diàn)信運營商等行(xíng)業和(hé)人(rén)事管理(lǐ)、社保、稅務等政府部門(mén)受災嚴重，身份證、社保、電(diàn)話(huà)、信用卡、醫(yī)療、财務、保險等相關信息都是黑(hēi)客竊取的目标。從目前來(lái)看，拖庫攻擊、終端木馬和(hé)APP的超量采集、流量側的信息劫持獲取，已經成為(wèi)數(shù)據洩露的三個(gè)主要渠道(dào)。信息洩露的背後已經形成了一條完整的利益鏈，這些(xiē)用戶信息或被用于團夥詐騙、釣魚，或被用于精準營銷。




“拖庫門(mén)”事件的每一次曝光都令人(rén)關注，但(dàn)實際上(shàng)，依托這些(xiē)數(shù)據達成的侵害往往早已存在，在其曝光時(shí)，其“價值”已經衰減。很(hěn)多(duō)拖庫數(shù)據都是在被攻擊者充分利用、經過多(duō)手轉賣後才會(huì)曝光。當前，數(shù)據洩露的地下産業鏈已經成熟，并且有(yǒu)了完整的分工協作(zuò)程序。其模式往往包括：拖庫、洗庫、撞庫和(hé)再洗庫等階段。當前，地下産業已經形成了與需求對接的一個(gè)“綜合業務代理(lǐ)機制(zhì)”，在“需求方”提出目标後，“業務代理(lǐ)”會(huì)找到接手的“攻擊者”，“攻擊者”成功拖庫後拿(ná)到客戶的傭金，并且将獲得(de)的數(shù)據庫洗庫，可(kě)以直接提取其中可(kě)變現的部分（如有(yǒu)預存款或虛拟貨币的賬戶）；之後，這些(xiē)數(shù)據會(huì)被用來(lái)撞庫，嘗試登陸其他有(yǒu)價值的網站(zhàn)，再對撞庫成功的數(shù)據進行(xíng)層層利用。經過日積月累，和(hé)相互交換，攻擊組織和(hé)黑(hēi)産團夥的數(shù)據庫會(huì)越來(lái)越龐大(dà)，數(shù)據類型越來(lái)越豐富，危害也就越來(lái)越嚴重。


并非所有(yǒu)數(shù)據都是從“拖庫”攻擊中獲得(de)的，同樣也有(yǒu)直接從終端和(hé)流量獲取的。2015年，因惡意代碼導緻的信息洩露事件中，XcodeGhost事件是一個(gè)值得(de)所有(yǒu)IT從業人(rén)員深刻反思的事件。截止到2015年9月20日，各方累計(jì)确認發現共692種APP受到污染，其中包括微信、滴滴、網易雲音(yīn)樂等流行(xíng)應用。盡管有(yǒu)人(rén)認為(wèi)被竊取的信息“價值有(yǒu)限”，但(dàn)一方面其數(shù)量十分龐大(dà)，随之衍生(shēng)的風險也可(kě)能十分嚴重；另一方面，通(tōng)過向開(kāi)發工具中植入代碼來(lái)污染其産品，這種方式值得(de)我們警醒。同時(shí)，本次事件采用非官方供應鏈污染的方式，也反映出了我國互聯網廠商研發環境的缺陷和(hé)安全意識薄弱的現狀。





近兩年在國內(nèi)肆虐的短(duǎn)信攔截木馬在2015年不斷出現新變種，并結合社會(huì)工程學手段瘋狂傳播，竊取用戶的聯系人(rén)、短(duǎn)信、設備信息等，如安天本年度重點分析處理(lǐ)的“相冊木馬”。從PC側上(shàng)看，2011年出現的Tepfer木馬家(jiā)族目前依舊(jiù)活躍，且已有(yǒu)數(shù)十萬變種，Tepfer家(jiā)族可(kě)以盜取60種以上(shàng)的FTP客戶端軟件保存的密碼、10種以上(shàng)的浏覽器(qì)保存的密碼、31種比特币信息；還(hái)能獲取多(duō)個(gè)郵件客戶端保存的密碼，是一個(gè)利用垃圾郵件傳播，無需交互、自動竊密并上(shàng)傳的木馬家(jiā)族。


大(dà)量數(shù)據的洩露一方面讓用戶的虛拟财産受到威脅，另一方面也使各種詐騙、精準釣魚攻擊變得(de)更簡單。之前大(dà)多(duō)數(shù)的詐騙都是采用廣撒網的形式，而大(dà)量數(shù)據洩露使黑(hēi)客的社工庫完善後，可(kě)以有(yǒu)針對性地利用洩露信息匹配并精确定位用戶，以此進行(xíng)的詐騙和(hé)釣魚攻擊将更具欺騙性。


從過去來(lái)看，流量側的灰色活動，更多(duō)用來(lái)劫持頁面、騙取點擊的方式來(lái)變現，但(dàn)這種普遍性的流量劫持，同樣具備着流量側竊取的能力，這一點對于HTTPS尚未有(yǒu)效普及的國內(nèi)網絡應用來(lái)看，是具有(yǒu)高(gāo)度殺傷力的。更何況HTTPS在過去兩年，同樣暴露出了大(dà)量工程實現層面的問題，包括CDN等的挑戰。


人(rén)的身份幾乎是永久的，關系是基本穩定的，此類數(shù)據洩露帶來(lái)的影(yǐng)響，很(hěn)難在短(duǎn)時(shí)間(jiān)內(nèi)被沖淡。一個(gè)值得(de)關注的情況是，随着黑(hēi)産的規模化，這些(xiē)數(shù)據将持續彙入黑(hēi)産的“基礎設施”當中，從而使其可(kě)能具備超越公共安全和(hé)安全廠商的資源能力，同時(shí)也不排除這種地下基礎設施搖身一變，以“威脅情報”的形式，同時(shí)為(wèi)黑(hēi)産和(hé)白帽子服務。



4用戶需要負責任的漏洞披露機制(zhì)和(hé)更細膩的漏洞應急指導


2015年，安天向CNVD報送漏洞數(shù)量為(wèi)7,780條，但(dàn)需要坦誠的是，這并不是我們擅長的領域。




2015年初的一個(gè)漏洞（CVE-2015-0002）引發了業內(nèi)的廣泛討(tǎo)論。起因是Google的安全小(xiǎo)組發現了一個(gè)Windows8.1的漏洞，在微軟尚未對漏洞做(zuò)出修補的情況下，Google嚴格按照自身的标準，在第90天公布了漏洞詳情。此舉迅速引發了業內(nèi)對漏洞披露方式的探討(tǎo)，微軟稱谷歌(gē)這麽做(zuò)“完全把個(gè)人(rén)私心放在了用戶安全之上(shàng)”，也有(yǒu)人(rén)認為(wèi)谷歌(gē)的做(zuò)法“充分地尊重了用戶”。為(wèi)了在保護用戶安全和(hé)保障用戶的知情權之間(jiān)尋求平衡，一些(xiē)漏洞披露方采用了更靈活的漏洞披露方式。例如，一些(xiē)漏洞平台在今年的漏洞信息中屏蔽掉一些(xiē)敏感的IP地址、域名等信息，盡量避免出現漏洞的廠商遭遇微軟類似的尴尬。2015年業內(nèi)出現了對某僞基站(zhàn)漏洞的激烈争論，對有(yǒu)極大(dà)修複成本、缺少(shǎo)快速修複可(kě)能性的基礎設施和(hé)重要系統漏洞，該如何進行(xíng)負責任的漏洞披露，也是業內(nèi)需要討(tǎo)論的問題。“幽靈（Ghost）”漏洞在2015年年初被發現，該漏洞存在于GLib庫中。GLib是Linux系統中最底層的API，幾乎其它任何運行(xíng)庫都會(huì)依賴于GLib。由于GLib除了封裝Linux操作(zuò)系統所提供的系統服務外，本身也提供了許多(duō)其它功能的服務，“幽靈”漏洞幾乎影(yǐng)響了所有(yǒu)Linux操作(zuò)系統，一些(xiē)研究者認為(wèi)，其影(yǐng)響力堪比“破殼”漏洞。


Adobe Flash的安全性一直飽受争議，被譽為(wèi)“黑(hēi)産軍團的軍火(huǒ)庫”。APT28和(hé)Pawn Strom都利用了Adobe Flash的0day漏洞進行(xíng)APT攻擊，2015年全年上(shàng)報的Flash漏洞更是多(duō)達300餘條。Hacking -Team的數(shù)據洩露事件，将Flash漏洞的實際危害性和(hé)影(yǐng)響力推到當年頂點，暴露出的三個(gè)漏洞幾乎能夠影(yǐng)響所有(yǒu)平台、所有(yǒu)版本的Flash。其中被發現的第二個(gè)漏洞（CVE-2015-5122）甚至被黑(hēi)客團隊戲稱為(wèi)“過去四年裏最漂亮的Flash漏洞”。


年底，被稱為(wèi)“破壞之王”的Java反序列化漏洞事件爆發。早在2015年1月28日，就有(yǒu)報告介紹了Java反序列化漏洞能夠利用常用Java庫Apache Commons Collections實現任意代碼的執行(xíng)，然而當時(shí)并沒有(yǒu)引起太多(duō)關注。其在WebLogic、WebSphere、JBoss、Jenkins和(hé)OpenNMS中均能實現遠程代碼執行(xíng)，獲取權限後洩漏數(shù)據庫。該漏洞被曝出九個(gè)月後依然沒有(yǒu)發布有(yǒu)效的補丁，其危害影(yǐng)響時(shí)間(jiān)較長。目前，大(dà)量政府門(mén)戶網站(zhàn)和(hé)信息管理(lǐ)系統受該漏洞的影(yǐng)響十分嚴重，目前受影(yǐng)響******的是WebLogic和(hé)JBoss兩個(gè)應用服務器(qì)。


不得(de)不說，業內(nèi)對嚴重漏洞的預判能力正在下降，從2014年的
“心髒出血（HeartBleed）”、
“破殼（Bash Shellshock）”，
到2015年的“幽靈（Ghost）”，
都給人(rén)以措手不及感，而在漏洞出現後的快速跟進中，業內(nèi)反而開(kāi)始逐步喪失耐心指導用戶止損和(hé)進行(xíng)精細處置的應急傳統。但(dàn)這些(xiē)工作(zuò)盡管并不吸引眼球，卻對于機構、行(xíng)業用戶來(lái)說具有(yǒu)更有(yǒu)效的價值。



5勒索軟件引領PC惡意代碼威脅關注度，成為(wèi)用戶的噩夢


2015年安天捕獲PC端惡意代碼新增家(jiā)族數(shù)為(wèi)3,109個(gè)、新增變種2,243,062種，這些(xiē)變種覆蓋了億級的樣本HASH。相比于2014年，惡意代碼總數(shù)雖然有(yǒu)所增加，但(dàn)已經不再是2006~2012年間(jiān)那(nà)種爆炸式的增長。


需要說明(míng)的是，我們無法确保這個(gè)統計(jì)足夠精确，新增家(jiā)族數(shù)的減少(shǎo)，并不能完全反映惡意代碼的實際情況，更多(duō)的是我們過度依賴自動化命名的結果，從而對大(dà)量樣本隻能給出通(tōng)用命名。盡管我們還(hái)在盡力維護一個(gè)完整的命名體(tǐ)系，但(dàn)面對惡意代碼數(shù)量多(duō)年的快速膨脹，以及惡意代碼的開(kāi)源和(hé)交易，幾乎所有(yǒu)的安全廠商都失去了完整的基于嚴格編碼繼承性的家(jiā)族命名關聯跟進能力。各廠商大(dà)量采用編譯器(qì)、行(xíng)為(wèi)等為(wèi)惡意代碼命名以及類似Agent這樣粗糙的自動化命名，就是這種窘境的明(míng)證。而很(hěn)多(duō)短(duǎn)小(xiǎo)的WebShell，本身亦未有(yǒu)足夠的信息，去判定其演進和(hé)關聯。在今天，我們應該更多(duō)地在分析實踐中，通(tōng)過基于向量、行(xíng)為(wèi)之間(jiān)的關系搜索，去尋覓惡意代碼之間(jiān)、安全事件與惡意代碼之間(jiān)的關系，而不是希望自動化給我們帶來(lái)一切。


在2015年惡意代碼家(jiā)族變種數(shù)量排行(xíng)榜前十名中，木馬程序占六席，而其他四席被相對輕量級的Hacktool、和(hé)Grayware所占據（也有(yǒu)一些(xiē)安全廠商将這些(xiē)稱為(wèi)PUA，即：用戶不需要的應用）。這個(gè)比例相對此前數(shù)年木馬壟斷排行(xíng)榜的情況已經有(yǒu)了很(hěn)大(dà)變化。在互聯網經濟帶來(lái)更多(duō)變通(tōng)道(dào)的情況下，一些(xiē)攻擊者的作(zuò)業方式開(kāi)始具有(yǒu)更強的隐蔽性。上(shàng)榜惡意代碼的主要功能是下載、捆綁、竊密、遠程控制(zhì)等行(xíng)為(wèi)，例如Trojan/Win32.Badur是一個(gè)通(tōng)過向用戶系統中下載、安裝大(dà)量應用程序獲利的木馬程序，該木馬會(huì)在後台下載多(duō)款推廣軟件，使用靜默安裝的方法在用戶系統中安裝指定的應用程序，并從軟件廠商或推廣人(rén)處獲取利益。今年，廣告程序有(yǒu)三個(gè)家(jiā)族進入了排行(xíng)榜，除AdLoad這個(gè)以行(xíng)為(wèi)命名的家(jiā)族（家(jiā)族樣本未必具備同源性）外，另外兩個(gè)廣告程序家(jiā)族都是具有(yǒu)親緣性的龐大(dà)家(jiā)族Eorezo和(hé)Browsefox，兩個(gè)家(jiā)族中帶有(yǒu)數(shù)字簽名的樣本占總樣本比重分别為(wèi)32.9%和(hé)79.9%，它們通(tōng)過與其他程序捆綁、下載網站(zhàn)、下載者等進行(xíng)傳播，其安裝模式通(tōng)常為(wèi)靜默安裝，主要的功能是浏覽器(qì)劫持和(hé)域名重定向，通(tōng)過修改用戶搜索結果顯示各種在線廣告公司的廣告來(lái)獲利。而排名第八位的惡作(zuò)劇(jù)程序ArchSMS實際上(shàng)是一個(gè)勒索軟件，今年在全球範圍內(nèi)有(yǒu)較大(dà)規模的感染，國內(nèi)感染量也非常多(duō)，它會(huì)彈出警告窗體(tǐ)，通(tōng)知用戶系統磁盤被格式化（實際上(shàng)未格式化，因此我們将其暫定為(wèi)惡作(zuò)劇(jù)程序）等虛假消息，恐吓用戶發送短(duǎn)信并以此進行(xíng)敲詐。





在2015年PC平台惡意代碼行(xíng)為(wèi)分類排行(xíng)榜中（HASH），以獲取利益為(wèi)目的的廣告行(xíng)為(wèi)再次排在第一位，下載行(xíng)為(wèi)因其隐蔽性、實用性強的特點數(shù)量依然較多(duō)，捆綁行(xíng)為(wèi)與後門(mén)行(xíng)為(wèi)分列三、四位，備受關注的勒索軟件位列第九位。安天CERT在2015年8月3日發布報告《揭開(kāi)勒索軟件的真面目》，詳細地揭露了勒索軟件的傳播方式、勒索形式、曆史演進以及相應的防禦策略。而在2015年12月4日，我們又跟據敲詐軟件依托JS腳本進行(xíng)郵件傳播的新特點，跟進發布了《郵件發送JS腳本傳播敲詐者木馬的分析報告》。





6威脅将随“互聯網+”向縱深領域擴散與泛化


2013年，我們用泛化（Malware/Other）一詞，說明(míng)安全威脅向智能設備等新領域的演進，之後泛化（Malware/Other）一直被作(zuò)為(wèi)主要的威脅趨勢，占據了安天威脅通(tōng)緝令的“小(xiǎo)王”位置兩年之久。在這兩年，除我們熟悉的Windows、Linux和(hé)其他類Unix系統、iOS、Android等平台外，安全威脅在小(xiǎo)到智能汽車(chē)、智能家(jiā)居、智能穿戴，大(dà)到智慧城市中已經無所不在。


在2015年，這種安全威脅泛化已經成為(wèi)常态，但(dàn)我們依然采用與我們在上(shàng)一年年報中發布“2014年網絡安全威脅泛化與分布”一樣的方式，以一張新的圖表來(lái)說明(míng)2015年威脅泛化的形勢。






7思考2016


7.1     2016年網絡安全形勢預測


高(gāo)級威脅向普通(tōng)威脅轉化的速度會(huì)日趨加快，任何在精妙的APT攻擊中所使用的思路一旦被曝光，就會(huì)迅速被更多(duō)的普通(tōng)攻擊者學習和(hé)模仿。而以國家(jiā)和(hé)政經集團為(wèi)背景的攻擊者也會(huì)與地下黑(hēi)産有(yǒu)更多(duō)的耦合。由于商業化攻擊平台和(hé)商用木馬具有(yǒu)節省開(kāi)發成本、幹擾追蹤等特點，越來(lái)越多(duō)的攻擊組織将使用成型或半成型的商業攻擊平台、商業木馬和(hé)黑(hēi)産大(dà)數(shù)據基礎設施作(zuò)為(wèi)網絡攻擊的組合武器(qì)。“核威懾”的時(shí)代令人(rén)遠慮，但(dàn)“武器(qì)擴散”的年代則會(huì)帶來(lái)更多(duō)現實的困擾。


勒索軟件将成為(wèi)全球個(gè)人(rén)用戶甚至企業客戶最直接的威脅，除加密用戶文件、敲詐比特币外，勒索攻擊者極有(yǒu)可(kě)能發起更有(yǒu)針對性的攻擊來(lái)擴大(dà)戰果，如結合內(nèi)網滲透威脅更多(duō)的企業重要資料及數(shù)據。也不排除其會(huì)嘗試郵件之外更多(duō)的投送方式，在更多(duō)郵件服務商開(kāi)啓默認全程加密後，在流量側難以有(yǒu)效發現和(hé)阻斷，因此對敲詐者過濾的責任除了郵件服務商本身，則又回到了終端安全廠商。


基于簡單信标共享層次的威脅情報會(huì)遭遇挑戰，利用腳本、內(nèi)存駐留、無實體(tǐ)文件等隐藏蹤迹的攻擊方法将更為(wèi)盛行(xíng)。例如，APT-TOCS中使用PowerShell作(zuò)為(wèi)文件載體(tǐ)進行(xíng)加載惡意代碼。在這種技(jì)術(shù)面前，簡單的文件HASH共享将無法有(yǒu)效應對。此外，随着更多(duō)攻擊者占據種種網絡設備資源，更為(wèi)隐蔽的通(tōng)訊方式将逐漸讓更多(duō)攻擊者擺脫對固定域名C&C的依賴。因此這種基于文件HASH和(hé)地址的通(tōng)訊信标檢測，未來(lái)注定在對抗APT攻擊中難以占據上(shàng)風。同時(shí)，我們需要提醒我們的同仁，威脅情報的共享體(tǐ)系，同樣使其具有(yǒu)了很(hěn)大(dà)被污染的可(kě)能性。


“上(shàng)遊廠商”将遭受更多(duō)的攻擊，導緻整個(gè)供應鏈、工具鏈的脆弱性增加。攻擊者會(huì)将目光轉向防護能力稍弱的第三方供應商，以其受信任的身份為(wèi)跳(tiào)闆，攻擊防護能力較強的企業，從而帶來(lái)更大(dà)面積的影(yǐng)響。例如，攻擊者對分析工具、安全工具等的攻擊可(kě)以影(yǐng)響逆向愛(ài)好者和(hé)惡意代碼分析師(shī)；對開(kāi)發場(chǎng)景的攻擊可(kě)以影(yǐng)響其大(dà)量用戶和(hé)高(gāo)敏感的用戶，使用者會(huì)将其判定為(wèi)受信程序或軟件；對出廠設備預安裝惡意代碼可(kě)以直接影(yǐng)響用戶。因此，上(shàng)遊廠商和(hé)開(kāi)發商需要擔負起更有(yǒu)效的布防責任。同時(shí)，因為(wèi)中國行(xíng)業資質門(mén)檻的問題，OEM、貼牌等行(xíng)為(wèi)更為(wèi)普遍，而盜版工具鏈、僞原創等問題也十分常見，因此威脅圖譜往往更為(wèi)複雜，供應鏈透明(míng)化的呼聲需要變成行(xíng)動。


我們還(hái)需要注意到的是，随着中國政府以“互聯網+”盤活傳統産業的努力，中國所面臨的安全威脅也将向傳統的工業和(hé)基礎設施中快速逼近。


7.2     我們在行(xíng)動、我們在路上(shàng)



我們終于要插播廣告了……


在過去的2015年，安天完成了從反病毒檢測引擎供應商，到高(gāo)級威脅檢測能力廠商的角色調整，初步形成了以“安天實驗室”為(wèi)母體(tǐ)，“企業安全”與“移動安全（AVL TEAM）”為(wèi)兩翼的集團化布局。我們希望以有(yǒu)效的檢測分析能力和(hé)數(shù)據儲備為(wèi)基礎，依托在反惡意代碼和(hé)反APT方面長期的嘗試和(hé)積累，為(wèi)用戶創造更有(yǒu)效、更直接的安全價值。


同時(shí)在過去一年中，我們改善了自身的一些(xiē)産品，以使之獲得(de)更有(yǒu)效的緩存和(hé)向前回溯的能力。我們改進了沙箱技(jì)術(shù)，使之能夠更有(yǒu)效地觸發惡意行(xíng)為(wèi)，同時(shí)對PE樣本有(yǒu)更深的行(xíng)為(wèi)揭示能力；我們讓反病毒引擎不再簡單地充當一個(gè)鑒定器(qì)，而是變成一個(gè)知識體(tǐ)系；我們也繼續加大(dà)了對移動安全相關領域的研究和(hé)投入，并在AV-C上(shàng)下半年的兩次測試中，成為(wèi)全球唯一一個(gè)獲得(de)檢出率雙百分成績的廠商。通(tōng)過這些(xiē)工作(zuò)所帶來(lái)的産品改進，安天已經形成了以PTD探海威脅檢測系統（前身是安天VDS網絡病毒檢測系統）為(wèi)流量側探針，以IEP智甲終端防禦系統為(wèi)終端防線，以PTA追影(yǐng)威脅分析系統為(wèi)分析縱深能力的高(gāo)級威脅檢測防護方案，并通(tōng)過結合态勢感知和(hé)監控預警通(tōng)報來(lái)滿足行(xíng)業用戶和(hé)主管部門(mén)的需求。


我們對威脅情報共享機制(zhì)和(hé)大(dà)數(shù)據都給予了足夠的關注，我們也堅信威脅情報不是簡單的信标挖掘與互換，其需要可(kě)靠的安全威脅檢測能力作(zuò)為(wèi)支撐。同時(shí)更要警惕情報共享體(tǐ)系遭到上(shàng)遊污染，從而導緻情報價值降低(dī)，甚至産生(shēng)反作(zuò)用。


向前台産品的轉型，可(kě)以讓我們更好地為(wèi)用戶服務，但(dàn)我們依然專注于反APT與反惡意代碼領域，既不會(huì)跟随新概念而搖擺，也不會(huì)被提供“無死角”解決方案的想象所誘惑。


除了我們對用戶的責任外，安天珍惜通(tōng)過自身長期與兄弟廠商互動，提供反病毒引擎所形成的産業角色。


我們以可(kě)靠檢測能力支撐威脅情報，我們以檢測能力輸出共建安全生(shēng)态。


這是我們對于安天自身的産業責任和(hé)未來(lái)的理(lǐ)解。



82015的辭歲心語




在安天度過第15個(gè)年頭，在最早加入安天CERT的分析工程師(shī)已經四十不惑的時(shí)候，我們承認我們都有(yǒu)過彷徨、有(yǒu)過動搖。但(dàn)如果你(nǐ)認真地問我們，“你(nǐ)心力憔悴麽？”——我們要回答(dá)：“不！”。


安全工作(zuò)者與安全威脅間(jiān)進行(xíng)的本身就是一場(chǎng)永不終止的心力長跑，雙方進行(xíng)的不止是力量的抗衡，同樣也是心靈與意志(zhì)的較量。無論是地下經濟從業者對利益的孜孜以求，還(hái)是APT的發起者堅定的攻擊意志(zhì)，都驅動着對手的不知疲倦，這終将會(huì)使網絡安全成為(wèi)靠勤奮者和(hé)堅定者堅持的行(xíng)業。


但(dàn)我們需要堅持的不止是這種勤奮和(hé)堅定，還(hái)有(yǒu)我們的正直。我們堅持防禦者的立場(chǎng)，堅持對保障用戶價值的使命，堅持對安全威脅受害者感同身受的情感，堅持對原則和(hé)底線的敬畏，這是我們事業的基礎和(hé)前提。因為(wèi)唯有(yǒu)此，我們的努力和(hé)進步，才有(yǒu)真正的意義！


安天
安天從反病毒引擎研發團隊起步，目前已發展成為(wèi)擁有(yǒu)四個(gè)研發中心、監控預警能力覆蓋全國、産品與服務輻射多(duō)個(gè)國家(jiā)的先進安全産品供應商。安天曆經十五年持續積累，形成了海量安全威脅知識庫，并綜合應用網絡檢測、主機防禦、未知威脅鑒定、大(dà)數(shù)據分析、安全可(kě)視(shì)化等方面經驗，推出了應對持續、高(gāo)級威脅（APT）的先進産品和(hé)解決方案。安天技(jì)術(shù)實力得(de)到行(xíng)業管理(lǐ)機構、客戶和(hé)夥伴的認可(kě)，安天已連續四屆蟬聯*********安全應急支撐單位資質，亦是CNNVD六家(jiā)一級支撐單位之一。安天移動檢測引擎獲得(de)全球首個(gè)AV-TEST（2013）年度獎項的中國産品，全球超過十家(jiā)以上(shàng)的著名安全廠商都選擇安天作(zuò)為(wèi)檢測能力合作(zuò)夥伴。
關于反病毒引擎請(qǐng)訪問：
http://www.antiy.com（中文）
http://www.antiy.net（英文）

關于安天反APT相關産品信息請(qǐng)訪問：
http://www.antiy.cn