賽門鐵克卸載密碼文章列表:

• 1、殺死 Flash
• 2、三十五，惡意代碼攻擊溯源及惡意樣本分析
• 3、警惕！加密貨幣劫持暴增85倍 中國成勒索軟件威脅重災區高居全球第2
• 4、微軟各種格式的系統你真的了解？
• 5、速覽 | 京東云3月重要產品與功能更新

殺死 Flash

Adobe Flash 的壽終正寢之日，終于確定。

目前，Adobe 公司已經宣布：2020 年 12 月 31 日，今年的最后一天，將是其旗下產品 Flash Player 生命終結之日，也就是 End-Of-Life Date。

此后，Flash Player 將無法獲得任何更新。

同時，Adobe 也將會刪除所有的 Flash Player 下載頁面，而基于 Flash 的內容也將會在 Adobe Flash Player 中被阻止運行。

Adobe 還建議，不要再使用 Flash 了。

Flash 在 PC 時代的榮光

一開始，Flash 還不叫 Flash，它也并不屬于 Adobe 旗下的產品。

1993 年，一家名為 FutureWave Software 的公司由 Jonathan Gay、Charlie Jackson 和 Michelle Welsh 三人成立，他們打算來打造一款能夠讓人們直接在電腦屏幕上畫畫的應用軟件。

一開始，他們打造出一款名為 SmartSketch 的軟件，但它在 Windows 和 Mac OS 平臺上面臨殘酷的競爭——于是，這家公司決定將焦點專注在網頁動畫工具，并將軟件名字改為 FutureSplash Animator。

FutureSplash 就是 Flash 的前身。

FutureSplash 在 1996 年 5 月發貨，它很快就被微軟看上并采用，接著是 Disney、Fox，這些都是鼎鼎大名的企業，而這款軟件也因此被 Macromedia 看上。

1996 年底，FutureSplash 被 Macromedia 收購，并正式命名為 Flash。

在演變升級中，Flash 本身已經包含兩個部分，首先它是一個圖像和動畫編輯工具，但同時也包含一個播放器，也就是 Flash Player，后者被 Macromedia 作為瀏覽器插件免費開放，以獲取市場份額。

2005 年 12 月，Macromedia 被 Adobe 收購——Macromedia Flash 也由此變成了 Adobe Flash。

與此同時，有一個大背景是：在 2000 年之后，PC 市場蓬勃發展，Flash 也發展壯大成為一款大眾軟件；尤其是在網頁動畫和設計層面，基于 HTML 功能的不完善，Flash 憑借自身的力量幾乎定義了一個標準。

2000 年到 2010 年之間，有數不清的公司用基于 Flash 技術的網站發布了新產品，以及創造富有互動性和創造力的交互體驗。

其中值得一提的是，2005 年，當 YouTube 被創建的時候，它也選擇用 Flash Player 來作為其 Web 網頁的流媒體播放工具。

與此同時，流媒體視頻開始在 Web 爆發，而 Flash 也隨之走紅——有報道稱，當時，Flash Player 幾乎被預裝在每一臺電腦中。

喬布斯對 Flash 的批評

Flash 的發展，其實還有一個大背景：PC 時代 HTML 部分功能缺失，尤其是在視頻、音頻、動畫、交互等方面，當時的 HTML 都是缺失的。

然而，2007 年，iPhone 的問世，是 Flash 發展之路上的一個轉折點。

其實在 iPhone 發布之前，Adobe 曾經在 2005 年推出 Flash Lite 平臺，目的是推動 Flash 在移動平臺運行，但移動處理器和耗電問題讓 Flash Lite 并不能在移動設備上有很好的表現。

實際上，一開始 iPhone 發布的時候，Adobe 的確有機會在第一代 iPhone 發布會展示 Flash，但效果太差而被蘋果拿掉了。

同樣是在 2007 年，為了能夠讓 YouTube App 在 iPhone 發布之時就能夠預裝其中并好好運行，YouTube 也在 iPhone 中放棄了對 Flash 的支持——這是 Flash 在移動平臺上的第一個失敗。

2010 年，當 iPad 發布的時候，Flash 依然沒有出現。

當年 4 月，蘋果公司 CEO 喬布斯罕見地發表了一封名為 “Flash 之我見（Thoughts on Flash）” 的長篇公開信，對 Adobe Flash 進行了尖銳的批評，并借機大力推薦 HTML5。

信中闡明了 Flash 的幾點落后之處：

安全性差，被賽門鐵克公司列為 2009 年最差安全記錄之一；

穩定性不好，導致 Mac 電腦死機；

遲遲未推出移動版，導致手機等移動設備訪問 Flash 視頻網站時消耗了大量額外的電力；

Flash 主要的操作習慣均為鼠標定制，在多點觸摸操作方式中，大量 Flash 網站需要重寫。

喬布斯表示：

Flash 是個人計算機時代的產物，為個人計算機與鼠標準備。對于 Adobe 而言，Flash 是一門成功的生意，我們理解為什么他們要將它推廣到其他領域。但是移動時代是低功耗、觸屏界面與開放網絡標準的時代，不管從哪個角度看， Flash 都有缺陷。

在公開信的結尾，喬布斯還推薦了 HTML5：

移動時代創造了 HTML5 等的開放新標準，它們將在移動設備（還有個人計算機）上獲勝。也許未來 Adobe 應該將焦點更多的放在 HTML5 工具的開發上，而在蘋果放棄過時東西的問題上少加批評。

以喬布斯的這封信為標志，Flash 其實就開始逐漸退出歷史舞臺了。

Flash 之死，從移動端到 PC

Flash 的退出，首先從移動端開始。

雖然 Flash 從一開始就與 iPhone 和 iPad 無緣，但實際上，Adobe 的確在其他移動平臺，比如說 Android，推出了 Flash Player。

然而，2011 年 11 月，Adobe 對外確認，它停止了 Flash Mobile Player 的開發；當時 Adobe 副總裁 Danny Winokur 表示：

HTML5 目前在主要的移動設備上得到了普遍的支持，在某些情況下是完全支持的（雷鋒網按：這里指 iOS 設備）。這使得 HTML5 成為跨移動平臺在瀏覽器中創建和部署內容的最佳解決方案。

2012 年 8 月 15 日，Adobe 從 Google Play 應用商店移除 Adobe Flash Player 的下載——這意味著 Flash 正式退出 Android 平臺。

在移動平臺上，Flash 由此終結。

接下來的多年時間里，就是 Flash 在 PC（含 Mac） 平臺上逐漸被 HTML5 上逐漸被取代的過程——但值得一提的是，直到 2014 年 10 月底，W3C（萬維網聯盟）才宣布 HTML5 標準規范最終制定完成。

而 HTML5 標準的塵埃落定，加速了 Flash 的退場。

以下是 Flash 在推出歷史舞臺的過程中，一些比較重要的時間點：

2015 年 1 月，YouTube 宣布廢棄原有的 Adobe Flash 視頻播放器，將 HTML5 視頻作為 Chrome、IE、Safari 等主流瀏覽器的默認播放方式。

2015 年 2 月，Google 開始將旗下的廣告自動由 Flash 版本轉移到 HTML 5 版本。

從 2015 年 9 月 1 日 開始，亞馬遜公司旗下包括 Amazon.com 在內的所有廣告將不再使用 Flash。

2015 年 12 月 22 日，Facebook 宣布自家網站的所有視頻默認使用 HTML5 技術來播放，不再使用 Flash 技術。

可以看到，當 HTML5 作為一個行業標準被確定之后，Flash 基本上就處于眾叛親離的局面了。

終于，2015 年 12 月，Adobe 宣布，將 Flash 更名為 Animate；同時，它還呼吁開發者放棄 Flash 并轉移到 HTML5 上來。

以上，基本上就宣告了 Flash 的死刑。

新陳代謝，亙古如斯

2017 年 7 月，Adobe 正式發布公告，宣布 Flash 將在 2020 年底終結；它還與其合作伙伴蘋果、微軟、Google、Facebook 和 Mozilla 稱，在未來三年時間里，這些公司將分階段停止為 Flash 提供技術支持。

如今，Flash 死期已定：2020 年 12 月 31 日。

對于 Adobe 來說，Flash 之死，其實并不算是一種遺憾，從某種程度上來說，Adobe 也是 Flash 之死的推動者，而這也是在順應技術發展的潮流。

反過來看，技術發展的潮流也不以一個人、一家公司、甚至一個行業的意志為轉移，它有著自身的規律性。

畢竟，任何事物的命運，都逃不過歷史的進程。

新陳代謝，亙古如斯。

（雷鋒網雷鋒網）

本文參考資料：

https://www.apple.com/hotnews/thoughts-on-flash/

https://www.leiphone.com/news/201406/0815-ms-flash-for-android-dies.html

https://blogs.adobe.com/primetime/2015/11/adobe-primetimes-commitment-to-html5/

https://www.ifanr.com/699748

https://mashable.com/2011/11/09/its-official-flash-mobile-player-is-dead/

三十五，惡意代碼攻擊溯源及惡意樣本分析

一.前言

近年來，網絡安全事件和惡意代碼攻擊層出不窮，它們給國家、社會和個人帶來了嚴重的危害，如分布式拒絕服務攻擊(DDoS)、基于僵尸網絡(Botnet)的攻擊、勒索病毒WannaCry、高級可持續威脅(APT)攻擊、利用遠程控制木馬的信息竊取等。

2017年以來，惡意代碼數量依然呈上升的趨勢，尤其是新型惡意代碼，其數量始終呈逐年遞增狀態，這對網絡空間安全造成了極大的威脅。在這些惡意代碼攻擊中， 攻擊者會向目標主機(受害主機)，發送特定的攻擊數據包或執行惡意行為。如果能追蹤這些攻擊數據包的來源，定位攻擊者的真實位置，受害主機不但可以采用應對措施，如在合適位置過濾攻擊數據包，而且可以對攻擊者采取法律手段。因此在網絡取證和安全防御領域，網絡攻擊溯源一直是一個熱點問題。

下圖展示了APT組織Lazarus（APT38）的重大攻擊時間線。如果某次攻擊發生時或發生前，我們能夠追蹤溯源到是某個組織發起的，那是不是就能有效避免一次安全攻擊呢？

強推這篇文章：APT組織Lazarus的攻擊歷程 - Freebuf深信服團隊

網絡攻擊追蹤溯源旨在利用各種手段追蹤網絡攻擊的發起者。相關技術提供了定位攻擊源和攻擊路徑，針對性反制或抑制網絡攻擊，以及網絡取證能力，其在網絡安全領域具有非常重要的價值。當前，網絡空間安全形勢日益復雜，入侵者的攻擊手段不斷提升，其躲避追蹤溯源的手段也日益先進，如匿名網絡、網絡跳板、暗網、網絡隱蔽信道、隱寫術等方法在網絡攻擊事件中大量使用，這些都給網絡攻擊行為的追蹤溯源工作帶來了巨大的技術挑戰。

傳統的惡意代碼攻擊溯源方法是通過單個組織的技術力量，獲取局部的攻擊相關信息，無法構建完整的攻擊鏈條，一旦攻擊鏈中斷，往往會使得前期大量的溯源工作變得毫無價值。同時，面對可持續、高威脅、高復雜的大規模網絡攻擊，沒有深入分析攻擊組織之間的關系，缺乏利用深層次惡意代碼的語義知識，后續學術界也提出了一些解決措施。

下圖展示了Lazarus盜竊孟加拉國央行的行動流程，通過Alreay攻擊組件篡改SWIFT軟件，使得黑客能夠操作銀行賬號任意進行轉賬，從而竊取了8100萬美元。同時，在2017年最早版本的WannaCry病毒中，安全廠商發現了其中存在著Lazarus使用過的代碼，從而判斷該病毒是由Lazarus制作的。Lazarus確實是一支非常厲害的APT組織。

為了進一步震懾黑客組織與網絡犯罪活動，目前學術界和產業界均展開了惡意代碼溯源分析與研究工作。其基本思路是：

同源分析： 利用惡意樣本間的同源關系發現溯源痕跡，并根據它們出現的前后關系判定變體來源。惡意代碼同源性分析，其目的是判斷不同的惡意代碼是否源自同一套惡意代碼或是否由同一個作者、團隊編寫，其是否具有內在關聯性、相似性。從溯源目標上來看，可分為惡意代碼家族溯源及作者溯源。

家族溯源： 家族變體是已有惡意代碼在不斷的對抗或功能進化中生成的新型惡意代碼，針對變體的家族溯源是通過提取其特征數據及代碼片段，分析它們與已知樣本的同源關系，進而推測可疑惡意樣本的家族。例如，Kinable等人提取惡意代碼的系統調用圖，采用圖匹配的方式比較惡意代碼的相似性，識別出同源樣本，進行家族分類。

作者溯源： 惡意代碼作者溯源即通過分析和提取惡意代碼的相關特征，定位出惡意代碼作者特征，揭示出樣本間的同源關系，進而溯源到已知的作者或組織。例如，Gostev等通過分析Stuxnet與Duqu所用的驅動文件在編譯平臺、時間、代碼等方面的同源關系，實現了對它們作者的溯源。2015年，針對中國的某APT攻擊采用了至少4種不同的程序形態、不同編碼風格和不同攻擊原理的木馬程序，潛伏3年之久，最終360天眼利用多維度的“大數據”分析技術進行同源性分析，進而溯源到“海蓮花”黑客組織。

由此可見，發現樣本間的同源關系對于惡意代碼家族和作者的溯源，甚至對攻擊組織的溯源以及攻擊場景還原、攻擊防范等均具有重要意義。

二.惡意代碼攻擊溯源的相關研究

1.惡意代碼溯源

在與惡意樣本的的對抗過程中，惡意軟件分析和檢測技術也在不斷發展。基于靜態分析的檢測、基于動態分析的檢測以及基于機器學習的檢測等技術不斷涌現。基于靜態分析的檢測對非混淆樣本更為準確，而基于動態分析的檢測在檢測混淆惡意軟件方面表現更為出色；基于機器學習的檢測是通過對大規模惡意樣本進行特征提取(如 API(application programming interface)、CFG(control flow graph)、關鍵字符串值等)，然后采用機器學習算法(例如分類或聚類)訓練樣本，以構建模型判斷軟件的惡意特性。這為安全研究人員提供了良好的輔助功能，有效地提高了大規模惡意軟件的檢測速度。

惡意代碼溯源： 是指通過分析惡意代碼生成、傳播的規律以及惡意代碼之間衍生的關聯性，基于目標惡意代碼的特性實現對惡意代碼源頭的追蹤。了解惡意代碼的演化，有助于更好地把握惡意代碼的發展趨勢，為攻擊追蹤溯源提供相關啟示。宋文納等從時間維度給出了惡意軟件典型功能演變歷程，并將惡意軟件的演化歷程分為3個階段。

第一階段為1971年至1999年，惡意軟件主要以原始程序的形式出現，惡意軟件功能單一，破壞程度小，無對抗行為。

第二階段為2000年至2008年，惡意軟件的破壞性增強，惡意軟件及其工具包數量急劇增長，借助網絡感染速率加快，電子郵件類蠕蟲、受損網站、SQL注入攻擊成為主流。

第三階段為2000年之后，經濟利益和國家利益的驅使下的惡意軟件存在團隊協作緊密、功能日趨復雜、可持續性強及對抗性強等特點。

PC端惡意軟件的演化及影響詳見下表：

網絡攻擊追蹤溯源按照追蹤的深度和精準度可分為：

追蹤溯源攻擊主機

追蹤溯源攻擊控制主機

追蹤溯源攻擊者

追蹤溯源攻擊組織機構

常用方法包括域名/IP地址分析、入侵日志監測、全流量分析、同源分析、攻擊模型分析等。為了進一步防御網絡犯罪活動和威懾黑客組織，目前學術界和產業界均展開了惡意代碼溯源分析與研究工作。

下圖展示了網絡追蹤溯源體系結構：

網絡追蹤溯源常用工具包括：磁盤和數據捕獲工具、文件查看器、文件分析工具、注冊表分析工具、互聯網分析工具、電子郵件分析工具、移動設備分析工具、網絡流量取證工具、數據庫取證工具等。

2.追蹤溯源案例

這里分享兩個簡單的案例，一個是鐵人王進喜案例，另一個是Lazarus溯源案例。

(1) 鐵人王進喜案例

中國最著名“照片泄密案”是1964年《中國畫報》封面刊出的一張照片。在這張照片中，中國大慶油田的“鐵人”王進喜頭戴大狗皮帽，身穿厚棉襖，頂著鵝毛大雪，握著鉆機手柄眺望遠方。日本情報專家根據這張照片，解開了中國最大的石油基地大慶油田的秘密，分析出大慶油田及其產油量和規模，從而在同中方談判購買設備時占得先機。

從第一張照片中分析出：大慶可能位于東北省。

根據照片上王進喜的衣著判斷，只有在北緯46度至48度的區域內，冬季才有可能穿這樣的衣服，因此推斷大慶油田位于齊齊哈爾與哈爾濱之間。

從第二張照片中分析出：油井的直接。

從第三張照片中分析出：馬家窯是大慶的中心。

從第四張照片中分析出：馬家窯離火車站不遠。

從第五張照片中分析出：大慶已經大量產油。

從工作報告中分析出：大慶油田的產油量。同時，從王進喜所站的鉆井與背后油田間的距離和井架密度，推斷出油田的大致儲量和產量。

有了如此多的準確情報，日本人迅速設計出適合大慶油田開采用的石油設備。當中國政府向世界各國征求開采大慶油田的設備方案時，日本人一舉中標。慶幸的是，日本當時是出于經濟危機，根據情報分析結果，向我國高價推銷煉油設施，而不是用于其他戰略意圖。看了這個案例，您會想到什么呢？其實這就是安全領域一個非常經典的社會工程學案例。

(2) Lazarus溯源案例

該部分源自：https://www.freebuf.com/articles/system/221008.html

對APT組織進行追蹤需要一定的積累，只有熟悉了該組織的常用攻擊手法（TTPs），才能在新型的攻擊中將其辨識出來。其中，通過樣本共用代碼段進行關聯是最高效的方式，這也突顯了使用yara規則進行樣本分析的好處。

首先，我們需要從已有的樣本中篩選出相同的特征碼，可以使用Bindiff來比較已有樣本相似的代碼片段，如下：找到相似度較高且不是系統API的函數。

然后優先選取Blocks數較多、匹配指令數較多的函數。

可以重點挑選一些加密算法代碼作為特征碼，這樣比較沒那么容易誤報。除此之外，也可以使用一些自動化提取yara規則的工具可以使用，比如yargen：https://github.com/Neo23x0/yarGen。

如下，是提取出來的wannacry的特征碼，可以在VT上進行關聯，來追蹤Lazarus的相似攻擊組件。

在VT搜索框中，輸入：content:”{51 53 55 8B 6C 24 10 56 57 6A 20 8B 45 00 8D 75 04 24 01 0C 01 46 89 45 00 C6 46 FF 03 C6 06 01 46 56 E8}”，就能篩選出所有具有這個代碼片段的樣本，直到今年7月份，都還有相關的樣本活躍。

打開詳細信息，發現這是Lazarus用于攻擊孟加拉國的alreay攻擊組件，那么也就說明，WannaCry和Alreay確實有共用的代碼片段，通過這種方式，就可以關聯出Lazarus所使用的攻擊組件。

將yara規則添加到hunting中，一旦VT捕獲到新的樣本符合這條規則，就會立刻通知我們。

三.學術界惡意代碼溯源

學術界旨在采用靜態或動態的方式獲取惡意代碼的特征信息，通過對惡意代碼的特征學習，建立不同類別惡意代碼的特征模型，通過計算待檢測惡意代碼針對不同特征類別的相似性度量，指導惡意代碼的同源性判定。常見的惡意代碼溯源主要包括4個階段：特征提取、特征預處理、相似性計算、同源判定，各階段間的流程關系如下圖所示。

上圖是將溯源對象Windows平臺的PE惡意文件或Android平臺的APK惡意文件輸入溯源系統，經過特征提取、特征預處理、相似性計算、同源分析獲取溯源結果，最終判定攻擊家族或作者。

1.特征提取

特征提取是溯源分析過程的基礎，具有同源性的惡意代碼是通過它們的共有特征與其他代碼區分開來的。所提取的特征既要反映出惡意代碼的本質和具有同源性惡意代碼之間的相似性，又要滿足提取的有效性。

依據溯源目的，溯源特征提取包括溯源家族的特征提取和溯源作者的特征提取。Faruki等在字節碼級別提取統計性強的序列特征，包括指令、操作碼、字節碼、API代碼序列等。Perdisci R等通過n-gram提取字節碼序列作為特征。Ki Y等提出了捕獲運行過程中的API序列作為特征，利用生物基因序列檢測工具ClustalX對API序列進行相似性分析，得到惡意代碼的同源性判定。DNADroid使用PDG作為特征，DroidSim是一種基于組件的CFG來表示相似性代碼特征，與早期的方法相比，該系統檢測代碼重用更準確。

2.特征預處理

特征提取過程中會遇到不具有代表性、不能量化的原始特征，特征預處理針對這一問題進行解決，以提取出適用于相似性計算的代表性特征。特征預處理一方面對初始特征進行預處理，另一方面為相似性計算提供基礎數據。常見的特征類型包括序列特征和代碼結構特征。

序列特征預處理： 包括信息熵評估、正則表達式轉換、N-grams序列、序列向量化、權重量化法等，序列特征預處理會將初始特征中冗余特征消除、特征語義表達式增強、特征量化等以便于進行相似性計算。L. Wu通過分析惡意軟件敏感API操作以及事件等，將API序列特征轉換為正則表達式，并在發生類似的正則表達式模式時檢測惡意代碼。IBM研究小組先將N-gram方法應用于惡意軟件分析中，使用N-gram的統計屬性預測給定序列中下個子序列，從而進行相似度計算。Kolosnjaji等提出對API調用序列進行N-gram處理獲取子序列，采用N-gram方法將API調用序列轉換為N-gram序列，實現過程下圖所示。

代碼結構特征預處理： 在相似度比較時存在邊、節點等匹配問題即子圖同構算法復雜性，同時代碼結構特征中存在冗余結構，因此除去冗余、保留與惡意操作相關的代碼結構是預處理的主要目的。常見的方法包括API調用圖預處理、CFG圖預處理、PDG圖預處理等。

3.相似性計算

溯源旨在通過分析樣本的同源性定位到家族或作者，樣本的同源性可以通過分析代碼相似性來獲取。相似性計算旨在衡量惡意代碼間相似度，具體為采用一種相似性模型對惡意代碼的特征進行運算。根據預處理特征類型的不同以及溯源需求、效率、準確性等差異，采用不同的相似性運算方法。

目前比較流行的相似性計算方法主要集中在對集合、序列、向量、圖等特征表現形式的處理。Qiao等基于集合計算相似性，在不同惡意樣本API集合的相似性比較中采用了Jaccard系數方法，將為A、B兩個集合的交集在并集中所占的比例作為相似度，比例值越大，證明越相似，如公式所示。

Faruki等提出了采用SDhash相似性散列技術構建樣本的簽名序列，并采用漢明距離法對序列進行相似性計算，從而識別同源性樣本。Suarez-Tangil 等用數據挖掘算法中向量空間模型展示家族的惡意代碼特征形式，將同家族提取出來的具有代表性的CFG元素作為特征中維度，采用余弦算法對不同家族的向量空間模型進行相似度計算，根據余弦值來判斷它們的相似性，從而識別出相似性樣本，進而歸屬到對應的家族。用于比較向量的余弦相似度反映了惡意代碼間的相似性，其具體公式如公式所示。

Cesare等提出了最小距離匹配度量法，比較不同樣本的CFG圖特征的相似性。Kinable等通過靜態分析惡意代碼的系統調用圖，采用圖匹配的方式計算圖相似性得分，該得分近似于圖的編輯距離。利用該得分比較樣本的相似性，采用聚類算法將樣本進行聚類，實現家族分類。

4.同源判定

學術界常見的同源判定方法主要包括基于聚類算法的同源判定、基于神經網絡的同源判定等。Kim等采用DBSCAN算法對基于調用圖聚類，發現類似的惡意軟件。Feizollah等提出采用層聚類算法，構建家族間演化模型，進而發掘家族功能的演化。Niu等提出了層次聚類和密度聚類算法結合的快速聚類算法對操作碼序列特征進行聚類，以識別惡意軟件變體，該方法識別變體效率較高。

神經網絡是一種多層網絡的機器學習算法，可以處理多特征以及復雜特征的同源判定。基本思想為：將樣本特征作為輸入層數據，然后不斷調整神經網絡參數，直到輸出的樣本與該樣本是一種同源關系未為止。它會將惡意代碼特征送輸入層，即可判斷惡意代碼的同源性.。趙炳麟等提出了基于神經網絡的同源判定方法，其整體實現框架如下圖所示。

四.產業界惡意代碼溯源

產業界除了采用與學術界類似的同源判定方法之外，還會通過關聯的方法對惡意代碼進行溯源。產業界的溯源意圖除了溯源出編寫惡意代碼作者、惡意代碼家族之外，還要挖掘出攻擊者及攻擊者背后的真正意圖，從而遏制攻擊者的進一步行動。

產業界與學術界溯源方法的差異主要表現在特征提取和同源判定兩個方面：在特征提取上，產業界更傾向于從代碼結構、攻擊鏈中提取相似性特征；在同源判定上，除了采用與已有的歷史樣本進行相似度聚類分析之外，產業界還會采用一些關聯性分析方法。相比學術界溯源特征，產業界溯源特征更加詳細全面，信息復雜度大。因此，學術界的同源判定方法并不能完全用于產業界各類特征的相似性分析中，常見產業界溯源方法分類如下表所示。

接下來補充綠盟李東宏老師的系統分析：http://blog.nsfocus.net/trace-source/

1.惡意攻擊流程及溯源方法

惡意樣本溯源追蹤主要去了解攻擊者或者團隊的意圖。惡意攻擊的活動大概有如下7步驟：

Reconnaissance：偵查，充分的社會工程學了解目標。

Weaponization：定向攻擊工具的制作。常見的工具交付形態是帶有惡意代碼的pdf文件或office文件。

Delivery：把攻擊工具輸送到目標系統上。APT攻擊者最常用這三種來傳送攻擊工具，包括郵件附件、網站（掛馬）、USB等移動存儲。

Exploitation：攻擊代碼在目標系統觸發，利用目標系統的應用或操作系統漏洞控制目標。

Installation：遠程控制程序的安裝。使得攻擊者可以長期潛伏在目標系統中。

Command and Control (C2) ：被攻破的主機一般會與互聯網控制器服務器建立一個C2信道，即與C2服務器建立連接。

Actions on Objectives：經過前面六個過程，攻擊者后面主要的行為包括：偷取目標系統的信息，破壞信息的完整性及可用性等。進一步以控制的機器為跳轉攻擊其它機器，擴大戰果。

追蹤溯源方法

惡意樣本的追蹤溯源需要以當前的惡意樣本為中心，通過對靜態特征和動態行為的分析，解決如下問題：

誰發動的攻擊？

攻擊背景是什么？

攻擊的意圖是什么？

誰編寫的樣本？

樣本使用了哪些攻擊技術？

攻擊過程中使用了那些攻擊工具？

整個攻擊過程路徑是怎樣的？

惡意樣本追蹤溯源可以采取如下方法：

全流量分析

同源分析

入侵日志

域名/IP

攻擊模型

2.域名/IP

這種溯源方法是最基本的方法，通過對攻擊者使用的域名和IP地址進行分析，挖掘攻擊源頭。查詢域名的whois信息，可以關聯到攻擊者部分信息，如注冊名、注冊郵箱、注冊地址、電話、注冊時間、服務商等。

下面是通過樣本分析對域名進行溯源分析的典型案例：

案例1：

Checkpoint經過細致分析后，最終歸納出一個首要嫌疑犯，即昵稱為“Nexxus Zeta”的一個犯罪分子，原因在于攻擊者在注冊僵尸網絡的某個C&C域名（nexusiotsolutions.net）時，所使用的郵箱地址包含相關信息。

該郵件地址（nexuszeta1337@gmail.com）與C&C域名有一些交集，因此懷疑這個地址并不是一次性郵件地址，可以根據該地址來揭曉攻擊者的真實身份。當搜索Nexus Zeta 1337時，在HackForums上找到了一個活躍的成員，該成員的用戶昵稱為“Nexus Zeta”，自2015年8月起已經是HackForums的一份子。雖然這個人在這種論壇上活躍度很低，但他發表了幾篇帖子，從這些帖子中并沒有發現他的專業水平有多高。不過有趣的是，他最近關注的是如何建立起類似Mirai的IoT僵尸網絡。

“NexusZeta”在社交媒體上也頗為活躍，主要是在Twitter以及Github上，他在這兩個平臺上都公布了自己的IoT僵尸網絡項目。實際上，這個人還將其Github賬戶關聯到前面提到的某個惡意域名（nexusiotsolutions.net）。分析人員也找到了他所使用的Skype以及SoundCloud賬戶，使用人名為Caleb Wilson（caleb.wilson37 / Caleb Wilson 37），然而無法確定這個名字是否就是其真實姓名。

樣本分析及詳細的溯源分析內容可參考鏈接：https://research.checkpoint.com/good-zero-day-skiddie/ 。

案例2：樣本分析過程中，通過網絡抓包，獲取到攻擊者的控制域名信息：

域名信息關聯后，如下圖所示：

這里點到為止，對上述信息進行進一步分析后，最終可定位到攻擊者本人，并且最終成功接管攻擊控制的域名。

案例3：通過分析獲取到的樣本，該樣本為downloader程序，主要通過下載惡意軟件之后運行，下載的IP地址如下所示：

對該IP進行滲透測試，最終獲取到主機權限，通過對攻擊者掌握的主機進行深入分析，最終定位到攻擊者相關信息。

3.入侵日志

這種溯源分析方法偏向于主機取證分析，攻擊者在入侵到主機后的行為分析。對攻擊者留下的大量操作日志進行分析后，可以提取相關攻擊者的信息，包括：

連接服務器使用VPS信息。

登陸主機后，一般為了維持對主機的訪問權限，會嘗試創建自己的賬號及密碼。

攻擊者為了偷取數據，使用的ftp或者數據服務器信息。

通過對攻擊者的登陸時間進行分析，可以基本定位所在大區域（北半球，南半球）。

登陸主機后的操作模型，不同的攻擊者，入侵成功后進行的行為有差異，每個人都有自己的行為指紋特征。

簡單舉個例子，不少攻擊者習慣使用自動化的工具，去提取主機上的敏感信息（網站，郵箱，比特幣，網銀等賬號密碼），入侵成功后（釣魚，社工，水坑攻擊等），會在受害者機器上安裝間諜軟件，進行主機行為監控，并且定時將截獲的敏感信息上傳到服務上。

大多使用三種通信方式竊取敏感信息：ftp、smtp、http。

案例1：

通過分析入侵日志，最終分析其留的監控程序，溯源分析的案例，該樣本中攻擊者使用加密的smtp服務器竊取敏感信息，在樣本分析過程中可以獲取到郵箱的用戶名與密碼：

利用獲取到的登陸憑證可成功登陸攻擊者郵箱：

在郵件內容中，發現了攻擊者的真實郵箱，之后通過進一步溯源分析，定位到了攻擊者。下圖是攻擊者真實的twitter賬號：

案例2：
攻擊者在入侵成功后，留下的啟動腳本中包含了攻擊者的個人網絡id，通過對該網絡ID及QQ號碼進行溯源分析，最終也成功定位到攻擊者。

QQ: 2228668564

ID: icnanker

shadow:

icnanker:$6$EIZwhnAX$m/IclCqhsFOBaZEgT2mVCYFy5bKH75rJ8Rlh/hwGs7De

R5AovmhrLS.V3naL6oizn6FCViwqKn6k9gqmoYNhs0:16866:0:99999:7:::

4.全流量分析

某些攻擊者或者組織的反跟蹤意識非常強，基本上不會留下任何痕跡，在達成入侵目的之后（竊取數據），會完全清除入侵痕跡，或者干脆銷毀主機硬盤。

例如：2015年烏克蘭電廠遭受攻擊之后，攻擊者利用killdisk組件銷毀了全部數據。當然有些也不會留下在主機上的任何操作痕跡，部分勒索軟件也是通過同樣的手段進行痕跡擦除。這類案例也非常多，基本上在受害者機器上找不到任何痕跡，這時進行全流量分析溯源就相當有效了。

例如：以2017年Flareon 4th逆向挑戰賽最后一題為例。

描述了一個APT攻擊場景，需要通過分析數據包及PE文件，還原整個攻擊過程。從網絡下載加密的惡意代碼在本地進行解密：

解密后的內容為一個遠控端，其和主控端的通訊流量通過了全加密，網絡傳輸數據格式如下：

相關的加解密及功能模塊如下：

過流量分析發現攻擊者入侵行為如下：

黑客入侵到168.221.91后，先獲取了屏幕截圖（內容包含了一個密碼）。

查看c:workFlareOn2017Challenge_10TODO.txt，發現larry相關提示（根據前期信息收集結果，可以知道johnson主機名）。

通過ping命令獲取到內網johnson主機IP地址（192.168.221.105）。

使用psexec在johnson的主機上安裝后門srv2.exe（監聽本地16452端口）。

之后通過內網代理連接該后門，通過代理插件上傳加密模塊到了johnson的主機上c:stagingcf.exe。

利用加密程序（exe）對lab10的文件進行加密，之后將原始文件刪除，并且通過代理傳到了黑客手里。

該案例中僅通過全流量分析，最終還原整個入侵過程、黑客攻擊行為以及竊取的內容，而在真實的環境中需要結合入侵日志進一步對惡意樣本攻擊進行追蹤溯源。

5.同源分析

該方法主要為在獲取到惡意樣本后，很難第一時間關聯到攻擊者或者惡意樣本提供者的信息，但是可以通過和歷史惡意代碼進行相似度分析，獲得歷史攻擊事件，從而關聯到相應的組織或團體。這種溯源方法多用于定位APT組織或者某些知名的黑客團體（方程式）的行動，需要投入大量的人力，時間去完成溯源跟蹤分析。

APT組織或者知名黑客團隊，一般都有各自的工具定制開發部門，負責各類工具的開發，以及漏洞利用工具的量產（從今年4月份泄露的方程式組織內部的工具以及CIA泄露的部分文檔就可以看出端倪）。其部分劃分組織架構都非常清晰，有專門負責工具開發的部門，例如：遠控開發部門，硬件研究部門，漏洞挖掘部門，漏洞利用工具編寫的部門等。

(1) 設計思路

每個程序員在軟件實現的時候，會使用自己比較熟悉的一套代碼風格和實現算法，每個團伙或者組織在攻擊目標時也會有一套自己特有的攻擊方法，針對惡意樣本可以通過行為日志的相似度、代碼混淆風格以及相關的實現算法進行同源判定。

例如：利用“破殼”漏洞投放的6個Bot具有同源性。

圖片來源：安天

(2) 編碼特征

程序員在開發過程中，經常會復用部分現有代碼（加密算法，功能模塊），以提高開發效率。樣本分析人員通過跟蹤分析某組織的大量攻擊樣本后，對其工具開發人員的編碼風格（函數變量命名習慣，語種信息等），編程習慣有了深入了解。在此基礎上，就能夠通過編碼風格準確溯源到相關組織。

下面是今年5月份爆發的wanncry蠕蟲的溯源分析的案例：

https://blog.comae.io/wannacry-links-to-lazarus-group-dcea72c99d2d

Google研究者Neel Mehta在Twitter率先發布消息稱，早期的WannaCry樣本與Lazarus團伙使用的一款后門程序Contopee存在較高相似度。稍后卡巴斯基和賽門鐵克研究者基于此發布了更多分析結果。并且給出了代碼相似度對比的圖，以證明其推論：

(3) 通訊協議每個惡意樣本為了和之前的版本通訊協議進行兼容，一般會復用之前的通訊協議代碼，通過跟蹤分析通訊數據的格式特征進行同源判定。

Billgates上線數據格式如下圖所示：

Xitele上線數據包格式如下圖所示：

通過對比上面兩個惡意樣本上線包數據格式特征可以判定其為同源樣本。

(4) 數字證書

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書還有一個重要的特征就是只在特定的時間段內有效。

數字證書是一種權威性的電子文檔，可以由權威公正的第三方機構，即CA中心簽發的證書，也可以由企業級CA系統進行簽發。惡意軟件為了躲避安全軟件的檢測，會使用數字證書對代碼進行簽名，而簽名證書中的頒發給部分包含了軟件的開發商的相關信息。

6.攻擊模型

這種溯源方法主要見于某些專業化程度比較高的個人或者組織，他們有自己的攻擊常規套路，并且長期專注于一個領域的攻擊。

案例1：

之前的一次應急分析過程中遇到一個團伙，主要進行ssh弱口令爆破，該團隊的就主要關注于ssh弱口令爆破，通過對該團隊的溯源分析，了解到其攻擊模型是：

掃描全網開放ssh服務端口的主機。

根據開放服務端口號，將每個端口號對應的ip保存到一個文件中。

并且定時的會對全網全端口進行掃描探測以便及時更新攻擊目標數據。

對存在ssh弱口令的主機進行攻擊。

利用成功入侵的主機作為節點，繼續進行ssh弱口令爆破。

旨在構造一個大型的botnet系統。

除上面該實例外，還遇到不少，利用單一漏洞進行攻擊的案例，如：struts2框架漏洞以及近期發現某團隊利用webloglic WLS漏洞進行入侵挖礦的案例。

案例2：

下面舉一個最有名的例子，2016年10月爆發的Mirai僵尸網絡曾經一度使互聯網產生恐慌，通過溯源分析最終定位到了該僵尸網絡的作者。

Mirai僵尸網絡就是一個很好的例子，攻擊者主要利用物聯網設備默認口令的問題，感染大量設備，之前溝通對其攻擊模型的匹配，可以清楚的了解的組織的活動軌跡，并且通過對每一次活動留下的線索進行關聯分析，最終定位到了攻擊者團伙。

美國司法部最終披露稱，三名男子就創建Mirai惡意軟件并利用Mirai僵尸網絡攻擊多個目標的事實表示認罪。從法庭文檔來看，這三名男子的名字是Paras Jha、Josiah White和Dalton Norman。

案例3：

在一次應急響應中通過取證分析，了解到攻擊使用的攻擊模型如下：

注冊域名，根據攻擊目標選擇有意義的域名。

在GitHub上注冊一個新賬戶和創建一個開源項目。

編譯源碼后捆綁惡意軟件，一般選擇advanced installer作為捆綁打包器（還有AutoIt，NSIS）。

發布到搭建的網站上。

在互聯網上發布推廣其軟件。

竊取用戶敏感數據（賬號密碼）。

進行數據直接套現，或者通過信息倒賣平臺間接變現。

之后利用該攻擊模型對樣本庫中的文件進行篩選，定位到另外3套與該模型完全匹配的案例，進一步分析匹配到的樣本后，首先確認了該4套樣本出于同一開發團隊，經過溯源分析準確定位到了攻擊者。

溯源分析旨在通過現象去發掘樣本背后的故事，沒有固定的套路可循，在分析過程中，要像偵探破案一樣，大膽心細，不放過任何細枝末節，是一場人與人之間斗智斗勇的過程。

“天網恢恢疏而不漏“，溯源篇旨在拋磚引玉，將感興趣的讀者帶入這個謎一樣的世界！以上純屬筆者個人的觀點角度，意在拋磚引玉，引發讀者去思考作為一名合格的惡意樣本分析人員應該具備那些技能？仁者見仁智者見智點到為止。

不過有一點可以確認單純掌握樣本分析技能是遠遠不夠的。下面列舉了幾個方向，感興趣的讀者可以去進行深入學習：

滲透測試

應急響應

取證分析

數據分析

漏洞分析

掌握上述技能后，以守為攻，變換角色，從多個維度去進行樣本分析攻擊溯源，進而輸出高質量的樣本分析報告。

五.總結

嚴峻的網絡安全對抗和博弈形勢，使得對惡意代碼的演化與溯源技術的研究價值凸顯，學術界、產業界近年來分別從攻擊和防護兩個方面展開了深入的研究。前文基于已有的研究總結了惡意代碼的生成過程和編碼特征，并對來自產業界、學術界惡意代碼的溯源機理和溯源對抗方法進行了詳細描述。

目前，學術界和產業界在惡意代碼溯源技術方面取得了較大的進步，在追蹤惡意代碼組織、黑客組織(攻擊者)、發現未知惡意代碼方面取得了部分研究成果，例如海蓮花、白象、方程式組織等典型 APT 攻擊計劃和黑客團隊的不斷曝光，但依然存在不足和挑戰。

警惕！加密貨幣劫持暴增85倍 中國成勒索軟件威脅重災區高居全球第2

加密貨幣劫持暴增。賽門鐵克4月10日周二公布其最新的“互聯網安全威脅報告”，表示由于加密貨幣價格在2017年發生逆轉，對加密貨幣挖礦的攻擊將逐漸變得廣泛。

賽門鐵克的互聯網安全威脅報告指出，隱形加密貨幣挖礦 —— 也被稱為加密劫持 —— 日益成為一種威脅，在端點計算機上的劫持活動暴增8,500%。

加密貨幣劫持是偷偷使用另一臺計算機用戶的計算資源來挖掘加密貨幣的做法。這不僅會消耗受害者支付的電力，還會影響其設備性能。

賽門鐵克在馬來西亞，印度尼西亞和菲律賓的系統工程總監David Rajoo表示：“加密貨幣劫持對網絡和個人安全的威脅日益增加。”

Rajoo補充說：“大量的利潤激勵之下，使得人員，設備和組織面臨未經授權的加密貨幣挖礦者從他們的系統中汲取資源，進一步激發罪犯滲透，從家庭PC到巨型數據中心的所有事情。”

向加密貨幣挖礦的轉變也使得勒索軟件攻擊減少，并且在所做的勒索軟件攻擊類型上也有所不同。

賽門鐵克表示，勒索軟件的變種數量增長了46%，表明犯罪集團的創新能力較低但仍保持高效。

賽門鐵克大中華區首席運營官羅少輝表示，加密貨幣劫持目前三分之二的受害者是個人消費者，但預測未來會將企業或企業網絡作為目標。

中國是勒索軟件威脅的重災區。2017年，中國成為亞太區受到勒索軟件影響最嚴重的國家。較上年全球排名16位相比，2017年中國在全球排名第2。

其他攻擊媒介

除了加密技術作為一種實踐的顯著增長之外，賽門鐵克還討論了其他攻擊途徑。

賽門鐵克表示，71%的有針對性攻擊使用了魚叉式網絡釣魚，即發送有針對性的電子郵件來竊取不知情的受訪者的信息。

針對軟件供應鏈的攻擊 —— 從惡意軟件植入合法軟件并留在其正常的在線分銷地點 —— 也從2016年的4次攻擊增加到2017年的12次攻擊。

與此同時，新的移動惡意軟件變種增長了54%，賽門鐵克表示它在2017年每天平均阻止24,000個惡意移動應用程序。

采取預防措施

賽門鐵克建議消費者更改其設備和服務上的密碼，以使黑客更難以攻擊它們。

精通電子郵件也會有所幫助，因為電子郵件是最重要的感染方法。確保保持可疑電子郵件未被打開和刪除，特別是如果他們帶有鏈接或附件。

最后，保持軟件和操作系統的更新也會使安全漏洞不被利用。

微軟各種格式的系統你真的了解？

很多人在通過小邦君的普及下學會了裝系統，同時小邦君在給各位小伙伴介紹系統下載的站點的時候分別提供了兩個站點，其中兩個站點分別提供ghost鏡像文件和ISO鏡像文件(Ghost裝機--你沒留意隱藏背后的秘密)善于動手的小伙伴在日常也接觸到過WIM格式的鏡像文件。

這么多格式的系統文件分別代表這什么含義大家一定都很疑惑，那么今天小邦君就一一為大家介紹一下。

GHO

gho是Ghost工具軟件的鏡像文件存放擴展名，gho文件中是使用Ghost軟件備份的硬盤分區或整個硬盤的所有文件信息。gho文件可以直接安裝系統，并不需要解壓。

Ghost是賽門鐵克公司推出的一個用于系統、數據備份與恢復的工具。其最新版本是Ghost11。提供數據定時備份、自動恢復與系統備份恢復的功能。

在pe環境下，只需要一鍵還原系統就可以把系統裝在電腦中

ghost系統最大的優點就是安裝過程中無需配合，不用等待著它并配合著它點擊“下一步”。但是由于gho系統難度低，所以很多良莠不齊人為了利益在這樣的系統中捆綁軟件造成了市場的混亂。但是萬事不能絕對化，也有很多人做一些純凈的系統。然而很多公司都喜歡裝gho系統，因為裝起來真的很方便，而且自帶office辦公軟件，所以受到追捧。

ISO

ISO(Isolation)文件一般以iso為擴展名，是復制光盤上全部信息而形成的鏡像文件。在windows下，一般需要專用工具軟件才能操作ISO文件。比如UltraISO、WinISO、WinImage、Daemon Tools，Alcohol 120%,WinMount等虛擬光驅軟件。

ISO鏡像文件一般為微軟官方原版鏡像，該系統兼容性強，支持多種電腦。但是相比ghost系統，他的缺點就是需要一步步的點“下一步”

ISO鏡像文件目前最直接的安裝方式就是將其解壓到U盤，然后設為第一啟動項，系統會默認運行setup.exe。同時在pe環境下也可以用一鍵還原安裝。

喜歡純凈又不怕麻煩的同學ISO系統是首選額。

WIM

WIM是英文Microsoft Windows Imaging Format(WIM)的簡稱，它是Windows基于文件的映像格式。WIM 映像格式并非現在相當常見的基于扇區的映像格式，它是基于文件的。文件Windows Vista采用這種格式在新計算機上進行快速安裝。WIM 文件存儲一個或多個操作系統（如 Windows Vista 或 Windows PE）的副本（稱為映像）。使用 WIM 文件維護操作系統很容易，因為您可以在未啟動操作系統的情況下，離線添加和刪除驅動程序、更新內容以及 Windows 組件。

圖源網

WIM系統小邦君沒用過，具體好壞也說不清楚附圖wim系統安裝方法

你使用哪種格式系統 多選 0人 0% ISO 0人 0% WIM 0人 0% GHO 投票

- THE END -

速覽 | 京東云3月重要產品與功能更新

新增產品

基線檢測服務 正式發布

產品概述：

在用戶充分授權的情況下，對用戶云上系統進行全面的安全基線檢測，幫助用戶掌握云上系統整體的安全脆弱性狀況，并依據檢測結果與用戶業務模式特點，提供有針對性的安全修補建議，降低系統的安全威脅。

漏洞掃描服務 正式發布

產品概述：

在用戶充分授權的情況下，對用戶指定的操作系統、數據庫等提供全面的漏洞掃描服務，由京東云安全專家對掃描結果進行解讀，并提供專業的漏洞掃描報告和修復指導建議。

滲透測試服務 正式發布

產品概述：

對現有系統不造成任何損害的前提下，以攻擊者視角，模擬黑客入侵的技術手段對用戶指定系統進行全面深入的攻擊測試，發現系統中潛在的風險威脅，幫助用戶降低因黑客入侵帶來的經濟損失。

應急響應服務 正式發布

產品概述：當用戶遭遇網絡攻擊、木馬病毒、數據竊取等黑客入侵事件時，京東云能夠提供包括抑制止損、事件分析、系統加固、事件溯源等應急響應服務，幫助用戶降低安全事件對自身造成的影響與損失。

云文件服務 開放公測

產品概述：京東云文件服務是一種高可靠、可擴展、可共享訪問的全托管分布式文件系統。它可在不中斷應用服務的情況下，根據您對文件系統的使用，按需擴展或縮減，并按照實際用量計費。采用NFS協議，可為linux系統下的云主機提供共享訪問服務。

目錄服務 開放公測

產品概述：

京東云目錄服務是一種在云上托管的Microsoft Active Directory，它支持企業單獨使用或者將現有目錄拓展到京東云中，都可使企業用戶通過京東云目錄服務訪問京東云上的資源和應用。

云遷移 開放公測

產品概述：

云遷移是京東云提供的混合云容災產品。致力于在混合云場景提供豐富的、高性能的、高安全性的基于業務和數據遷移、備份、恢復服務，充分利用混合云平臺實現業務與數據的高可用性，顯著降低用戶上云的技術難度和成本。

地域更新

云數據庫 SQL Server 支持3AZ

描述：

云數據庫 SQL Server 在北京地域支持3AZ部署。

云數據庫 MongoDB 支持3AZ

描述：

華北-北京地域支持3AZ，MongoDB實例支持將3個節點分別部署到3個AZ。

DDoS 防護包 支持宿遷區域購買

產品概述：

DDoS 防護包支持宿遷區域購買，宿遷區域最大防護能力10G。

功能更新

云主機 支持自定義數據

描述：

在云主機創建時，用戶可以將可執行腳本以指定的數據格式傳入實例，實現對實例啟動行為的自定義（諸如：下載安裝指定軟件、開啟服務、修改系統配置等）

Kubernetes 集群 已通過CNCF Kubernetes 一致性認證

描述：

一致性認證確保用戶的原有工作負載可以輕松遷移到京東云Kubernetes集群，并保障兼容性和穩定性。

Kubernetes集群 支持1.12.3版本

描述：

京東云集群版本支持1.12.3，是社區目前正在維護的集群版本，與1.8版集群相比，擴展支持了新的功能特性，集群穩定性也得到了社區和京東云團隊的充分驗證。

Kubernetes集群 支持云監控

描述：

Kubernetes集群提供兩種類型的資源監控，基礎監控和自定義監控。基礎監控是對管理節點組、工作節點組等集群基礎設施的監控，包含CPU使用率、內存使用率等；自定義監控為用戶在集群中自定義部署的應用提供監控指標，包含CPU使用量、內存使用量等。

Kubernetes集群 支持自動修復

描述：

京東云監測工作節點狀態，對非ready狀態的工作節點進行自動修復。

容器鏡像倉庫 支持訪問控制、操作保護、國際化

產品概述：

用戶可以通過使用訪問控制創建、管理子用戶，并控制這些子用戶訪問、操作容器鏡像的操作權限。 對刪除注冊表、鏡像倉庫、鏡像的操作保護，可開啟操作保護，支持MFA、短信、郵箱驗證。 容器鏡像倉庫控制臺支持英文。

云數據庫 SQL Server 支持1.6T和2T的存儲空間

描述：

16核 64G內存規格的實例，在北京，上海，廣州地域可以支持1.6T和2T的存儲空間。

云數據庫SQL Server 支持域名切換

描述：

用戶可以交換兩個實例的域名，用于用戶根據備份創建或根據時間點創建實例或后，用戶需要將業務切換到新實例上時，可以將新實例的域名切換為老實例的域名。

云數據庫 SQL Server 支持從OSS導入

描述：

用戶現在可以直接將本地的備份上傳到OSS上，并且導入到云數據庫SQL Server中。

對象存儲 支持IAM 子賬號授權訪問OSS

描述：

OSS 接入IAM 子賬號，可通過IAM 管理平臺實現對于OSS 的精細力度授權，支持3種系統預置策略和以及對于OSS中任意資源(bucket與object)靈活授予7種操作權限。

DDoS防護包 V2.0

產品概述：

1.防護規則加強：支持Geo IP攔截，數據包大小過濾

2.監控報表按區域查詢

態勢感知 新增網站漏和應急漏洞功能

描述：

1.網站漏洞：結合白帽滲透測試實戰經驗，通過先進的爬蟲，分布式技術對京東云提供全面網站威脅檢測服務。幫助用戶縮短云資產漏洞發現時間，督促其修復漏洞，同時避免遭受品牌形象和經濟損失。

2.應急漏洞：京東云安全運營團隊跟蹤最新安全漏洞，第一時間提供應急漏洞驗證POC，幫助用戶縮短應急漏洞響應時間。

SSL 數字證書 支持簽發免費證書及接入了IAM

描述：

1.支持一鍵簽發賽門鐵克一年期免費DV證書

2.支持上傳ECC證書

3.支持操作保護

Web 應用防火墻 支持基礎套餐

描述：

推出基礎版套餐，定位為個人用戶使用和測試使用，支持Web安全防護、黑白名單規則設置、HTTP協議頭管理。 優化高級版、企業版和旗艦版套餐規格，使各個套餐版本更具競爭力。

視頻直播 Open API上線

描述：

開放域名管理、直播流管理、狀態通知、直播轉碼、直播錄制、直播截圖等OpenAPI，客戶可直接調用管理自身直播業務。

訪問控制 新增按標簽創建策略

描述：

聯合標簽管理提供的一種可視化創建策略的功能，用戶可通過指定標簽自動關聯資源，通過指定產品的一組權限集合而無需逐個指定操作和資源，簡化策略創建的流程。

云搜索 Elasticsearch 新增自定義詞庫

產品概述：

自定義詞庫包括主詞庫和停詞庫，主詞庫為用戶希望進行分詞的特殊詞語的集合，停詞庫為用戶不希望進行分詞或者關注的詞語的集合。

云搜索 Elasticsearch 支持Elasticsearch日志

產品概述：

云搜索Elasticsearch通過京東云日志服務提供Elasticsearch日志的查詢和展示，日志類型包括主日志、搜索慢日志、索引慢日志、GC日志的查詢和展示。

分布式服務框架 支持實施部署 Dubbo 應用

產品概述：

現已支持實施部署Dubbo應用。目前已可方便用戶實施Spring Cloud、Dubbo等微服務應用。

京東云 App V1.0.2版本

產品概述：

1.新增支持線下匯款充值，移動操作匯款更便捷。

2.新增支持數據庫DRDS，數據庫MongoDB資源信息及監控詳情查詢。

3.修復已知問題，性能提升。

更多產品信息歡迎登錄京東云-預見無限可能查看