◎浙江省公安廳網(wǎng)安總隊總工程師 蔡林

網(wǎng)信事業(yè)代表著經(jīng)濟領(lǐng)域的先進生產(chǎn)力、國防和軍事領(lǐng)域的新質(zhì)戰(zhàn)斗力，是信息時代軍民融合發(fā)展的主戰(zhàn)場和戰(zhàn)略制高點。要下好網(wǎng)信軍民融合這盤大旗，就要軍地攜手在一些關(guān)鍵環(huán)節(jié)落地先行。這其中，始終緊盯網(wǎng)絡(luò)空間安全最新情況，為軍地聯(lián)手應(yīng)對網(wǎng)絡(luò)空間安全風(fēng)險提供共享信息支撐尤為重要。目前，相對于以前傳統(tǒng)的PC端的安全問題，網(wǎng)絡(luò)空間安全出現(xiàn)了新的安全領(lǐng)域和威脅，比如人工智能在安全領(lǐng)域的應(yīng)用與威脅，同時物理世界也面臨新的安全威脅，比如車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控網(wǎng)領(lǐng)域的安全威脅，同時傳統(tǒng)的網(wǎng)絡(luò)攻擊呈現(xiàn)出APT攻擊特點，近年來面向供給鏈的攻擊也有大量揭露。下面逐一分析各領(lǐng)域的最新的進展。

一、人工智能領(lǐng)域安全態(tài)勢

近年來，人工智能在機器翻譯，圖像識別，語音識別等方面取得了顯著的成就。在安全方面的應(yīng)用，也是最近的研究熱點。下面主要從兩個方面來談，一個是人工智能的應(yīng)用帶來的安全增益，另一個是人工智能自身面臨的安全威脅。

（一）人工智能在安全領(lǐng)域的應(yīng)用

在安全領(lǐng)域的應(yīng)用主要分為兩個方面，一個是在漏洞挖掘領(lǐng)域，一個是惡意代碼分類領(lǐng)域。在漏洞挖掘領(lǐng)域，今年微軟采用seq2seq網(wǎng)絡(luò)模型從大量的pdf樣本中學(xué)習(xí)pdf文檔的格式，從而構(gòu)造出符合pdf規(guī)范的樣本，輔助模糊測試，提高了代碼覆蓋率和解析通過率。德國哥廷根大學(xué)提出使用聚類算法自動推斷出包含在C代碼中的污點類型漏洞的搜索模式，這種推斷出的搜索模式減少了代碼的審查數(shù)量。在漏洞挖掘領(lǐng)域，應(yīng)用人工智能取得了一定的成績，但是也面臨一些限制，主要體現(xiàn)在訓(xùn)練集規(guī)模比較小，準(zhǔn)確率相對較低。下一步發(fā)展，需要儲備收集大量的現(xiàn)實漏洞測試數(shù)據(jù)集，還要構(gòu)造新穎的適合漏洞挖掘的網(wǎng)絡(luò)結(jié)構(gòu)，進一步提高預(yù)測準(zhǔn)確率。

在惡意代碼分類領(lǐng)域，Droid-Sec使用深度學(xué)習(xí)方法對現(xiàn)實中的Android app進行分類訓(xùn)練，最終準(zhǔn)確率可以達到96%。Olabisi Falowo等人提出使用隨機森林算法分類釣魚郵件，準(zhǔn)確率可以達到97%。Mohammed Al-Janabi等人使用監(jiān)督機器學(xué)習(xí)分類模型來對社交網(wǎng)絡(luò)上的惡意URL進行識別，這些URL可能用于釣魚、廣告、詐騙等，識別準(zhǔn)確率可以達到92%。在有些應(yīng)用領(lǐng)域，比如入侵檢測領(lǐng)域，機器學(xué)習(xí)分類器的準(zhǔn)確率相對較高，但是由于測試基數(shù)巨大，導(dǎo)致很小的誤差也可能影響用戶的正常使用。

圖1 攻擊者生成對抗樣本使系統(tǒng)與人類有不同的判斷

圖2 在圖片中添加擾動導(dǎo)致深度學(xué)習(xí)系統(tǒng)的錯誤識別實例

圖3 深度學(xué)習(xí)框架以及框架組件依賴

（二）人工智能自身面臨的安全威脅

人工智能在帶來安全增益的同時，也面臨新的安全威脅。目前公眾對人工智能的關(guān)注，缺少對安全的考慮，我們把這個現(xiàn)象稱為人工智能的安全盲點。下面具體介紹兩類針對人工智能的攻擊手段。

1、對于分類器進行逃逸攻擊

逃逸攻擊是指攻擊者在不改變目標(biāo)機器學(xué)習(xí)系統(tǒng)的情況下，通過構(gòu)造特定輸入樣本以完成欺騙目標(biāo)系統(tǒng)的攻擊。雖然深度學(xué)習(xí)系統(tǒng)經(jīng)過訓(xùn)練可以對正常輸入達到很低的誤判率，但是當(dāng)攻擊者用系統(tǒng)化的方法能夠生成誤判樣本的時候，攻擊的效率就可以接近100%，從而實現(xiàn)穩(wěn)定的逃逸攻擊。例如，攻擊者可以修改一個惡意軟件樣本的非關(guān)鍵特征，使得它被一個反病毒系統(tǒng)判定為良性樣本，從而繞過檢測。攻擊者為實施逃逸攻擊而特意構(gòu)造的樣本通常被稱為“對抗樣本”,例如，研究者一直試圖在計算機上模仿人類視覺功能，但由于人類視覺機理過于復(fù)雜，兩個系統(tǒng)在判別物體時依賴的規(guī)則存在一定差異。對抗圖片恰好利用這些差異使得機器學(xué)習(xí)模型得出和人類視覺截然不同的結(jié)果，如圖1所示。

通過特定的算法，對分類樣本進行一定的干擾，可以導(dǎo)致分類器輸出錯誤的結(jié)果。一個著名的逃逸攻擊的例子是Ian Goodfellow用熊貓與長臂猿分類的例子，攻擊谷歌的深度學(xué)習(xí)系統(tǒng)。該深度學(xué)習(xí)系統(tǒng)利用卷積神經(jīng)元網(wǎng)絡(luò)本來能夠精確區(qū)分熊貓與長臂猿等圖片，但是當(dāng)攻擊者對熊貓圖片增加少量干擾后，生成的圖片對人來講仍然可以清晰地判斷為熊貓，但深度學(xué)習(xí)系統(tǒng)會誤認為長臂猿。圖2顯示了熊貓原圖以及經(jīng)過擾動生成后的圖片。2016年許偉林采用遺傳編程隨機修改惡意軟件的算法，自動修改PDF樣本成功逃逸了兩個號稱準(zhǔn)確率極高的惡意PDF文件分類器：PDFrate和Hidost。該方法也可以對 Gmail內(nèi)嵌的惡意軟件分類器進行攻擊，并且只需4行代碼修改已知惡意PDF樣本就可以達到近50%的逃逸率，10億Gmail用戶都受到影響。

另外，預(yù)埋后門神經(jīng)網(wǎng)絡(luò)也是需要提防的一種攻擊手段。深度學(xué)習(xí)網(wǎng)絡(luò)的訓(xùn)練通常需要在許多GPU上進行幾周的計算，因此，許多用戶將訓(xùn)練過程外包給云端，或者依靠預(yù)先訓(xùn)練的模型，然后對特定任務(wù)進行微調(diào)。但是外包訓(xùn)練引入了新的安全隱患：攻擊者可以創(chuàng)建一個插入后門的神經(jīng)網(wǎng)絡(luò)，該網(wǎng)絡(luò)在用戶的訓(xùn)練和驗證示例中具有最佳的性能，但是遇到特定的輸入時會觸發(fā)后門導(dǎo)致分類錯誤。創(chuàng)建了一個插入后門的美國街道標(biāo)志分類器，遇到特定的停車標(biāo)志圖片時，后門網(wǎng)絡(luò)將停車標(biāo)志標(biāo)識為速度限制，實現(xiàn)逃逸攻擊。隨著自動駕駛的普及，可以想象，如果在自動駕駛過程中，將停車標(biāo)志識別為速度限制，對行車安全危害有多大。

圖4 逃逸攻擊就是要把百分之零點零零一的誤判率變成百分之百的攻擊成功率

2、基于軟件漏洞進行對抗攻擊

深度學(xué)習(xí)框架所依賴庫的漏洞，將直接影響深度學(xué)習(xí)應(yīng)用自身的安全。深度學(xué)習(xí)框架的使用可以讓應(yīng)用開發(fā)人員無需關(guān)心神經(jīng)元網(wǎng)絡(luò)分層以及訓(xùn)練分類的實現(xiàn)細節(jié)，更多關(guān)注應(yīng)用本身的業(yè)務(wù)邏輯。開發(fā)人員可以在框架上直接構(gòu)建自己的神經(jīng)元網(wǎng)絡(luò)模型，并利用框架提供的接口對模型進行訓(xùn)練。每種深度學(xué)習(xí)框架都是實現(xiàn)在眾多基礎(chǔ)庫和組件之上，很多深度學(xué)習(xí)框架里還包括圖像處理、矩陣計算、數(shù)據(jù)處理、GPU加速等功能。圖3展示了典型的深度學(xué)習(xí)應(yīng)用組件和它們的依賴關(guān)系。Caffe除了自身神經(jīng)元網(wǎng)絡(luò)模塊實現(xiàn)以外，還包括137個第三方動態(tài)庫，例如libprotobuf,libopencv, libz等。谷歌的TensorFlow框架也包含對多達97個python模塊的依賴，包括librosa,numpy等。系統(tǒng)越復(fù)雜，就越有可能包含安全隱患。任何在深度學(xué)習(xí)框架以及它所依賴的組件中的安全問題都會威脅到框架之上的應(yīng)用系統(tǒng)。

以手寫圖像識別為例，攻擊者可以構(gòu)造惡意的圖片，使得人工智能系統(tǒng)在分類識別圖片的過程中觸發(fā)相應(yīng)的安全漏洞，改變程序正常執(zhí)行的控制流或數(shù)據(jù)流，使得人工智能系統(tǒng)輸出攻擊者指定的結(jié)果。攻擊思路基本分為兩種：

一是基于數(shù)據(jù)流篡改可以利用任意寫內(nèi)存漏洞，直接將AI系統(tǒng)中的一些關(guān)鍵數(shù)據(jù)進行修改(如標(biāo)簽、索引等)，使得AI系統(tǒng)輸出錯誤的結(jié)果。

二是通過常規(guī)的控制流劫持(如堆溢出、棧溢出等漏洞)來完成對抗攻擊，由于控制流劫持漏洞可以通過漏洞實現(xiàn)任意代碼的執(zhí)行，因此必然可以控制AI系統(tǒng)輸出攻擊者預(yù)期的結(jié)果。

360Team Serious團隊發(fā)現(xiàn)了數(shù)十個深度學(xué)習(xí)框架及其依賴庫中的軟件漏洞。發(fā)現(xiàn)的漏洞包括了幾乎所有常見的類型，例如內(nèi)存訪問越界，空指針引用，整數(shù)溢出，除零異常等。這些漏洞潛在帶來的危害可以導(dǎo)致對深度學(xué)習(xí)應(yīng)用的拒絕服務(wù)攻擊，控制流劫持，以及潛在的數(shù)據(jù)污染攻擊。

二、從網(wǎng)絡(luò)空間到物理世界的安全威脅

傳統(tǒng)PC端的安全危害，往往是竊取機密信息或者個人隱私，但是隨著物理世界的信息化改造，以及萬物互聯(lián)的趨勢，信息安全將直接影響現(xiàn)實世界的安全，下面簡要介紹車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控網(wǎng)領(lǐng)域的安全威脅的特點。

（一）信息系統(tǒng)安全性普遍較差，漏洞頻發(fā)

車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工控網(wǎng)自身發(fā)展時間較短，其安全設(shè)計意識相對傳統(tǒng)PC端也相對較差。

1、安全認證缺失，弱口令和硬編碼口令盛行

比如工控網(wǎng)絡(luò)中PLC通信很多都是無認證的，導(dǎo)致攻擊者可以輕易遠程控制PLC。攝像頭設(shè)備大量存在著弱口令和硬編碼口令的問題，導(dǎo)致攻擊者可以輕易登錄設(shè)備。

圖5 今年來工控安全漏洞數(shù)量增長趨勢

表1 全球各國APT研究情況對比

2、安全編碼能力較弱，漏洞頻發(fā)

比如施耐德PLC的緩沖區(qū)溢出漏洞（CVE-2015-7937），特斯拉汽車固件遠程代碼執(zhí)行漏洞，三星室內(nèi)IP監(jiān)控攝像頭遠程控制漏洞等。圖5為近年來工控領(lǐng)域的漏洞增長趨勢。

3、漏洞緩解技術(shù)相對滯后

經(jīng)過這么多年發(fā)展，PC端已經(jīng)設(shè)計了很多緩解棧溢出漏洞的漏洞緩解措施，阻礙漏洞利用成功，但是在物聯(lián)網(wǎng)嵌入式設(shè)備中，這些防護措施往往沒有實現(xiàn)。因此在歷屆geekpwn比賽中，參賽人員可以輕松獲取攝像頭，路由器，智能家居的遠程控制權(quán)限。

（二）安全防護手段低級

PC端網(wǎng)絡(luò)安全防護手段豐富多樣，有防火墻、殺毒軟件、蜜罐、入侵檢測系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)等等。但是受限于物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工控網(wǎng)的智能設(shè)備計算能力較弱，穩(wěn)定性高于安全性的特點，往往采取低級的安全防護手段。比如工控網(wǎng)絡(luò)中，大多數(shù)設(shè)備的安全是建立在物理隔絕的基礎(chǔ)之上的，隔離網(wǎng)絡(luò)中的系統(tǒng)往往很久沒有更新補丁，存在或多或少的漏洞，而且缺乏殺毒軟件的保護（或者病毒庫沒有及時更新），隔離網(wǎng)絡(luò)一旦暴露在互聯(lián)網(wǎng)下或者攻擊者通過擺渡攻擊進入隔離網(wǎng)絡(luò)，風(fēng)險巨大。再比如目前車聯(lián)網(wǎng)缺乏嚴(yán)格的權(quán)限隔離安全防護措施，部分車輛的車載娛樂系統(tǒng)與車輛控制CAN總線沒有做好隔離，攻擊者一旦通過藍牙或者wifi攻陷車載娛樂系統(tǒng)，將可以進一步通過CAN總線控制車輛的行駛。

（三）攻擊趨勢

針對工業(yè)控制系統(tǒng)的攻擊，復(fù)雜度較高，呈現(xiàn)出國家級對抗的形式，危害也更巨大，比如2010年爆發(fā)的“震網(wǎng)”事件，“震網(wǎng)”病毒也成為了第一個真正意義上的網(wǎng)絡(luò)戰(zhàn)武器。2016年12月針對烏克蘭電網(wǎng)的黑客襲擊事件，造成其首都基輔斷電超一小時，數(shù)百萬戶家庭被迫供電中斷。

針對物聯(lián)網(wǎng)設(shè)備的攻擊，趨向于構(gòu)建僵尸網(wǎng)絡(luò)或者挖礦機。比如2016年10月由于Mirai病毒感染物聯(lián)網(wǎng)設(shè)備，形成了一個超大型的僵尸網(wǎng)絡(luò)向美國DNS公司服務(wù)器發(fā)起了DDos攻擊，導(dǎo)致半個美國的網(wǎng)絡(luò)癱瘓。今年9月開始，新的僵尸網(wǎng)絡(luò)IOTroop正在快速增長，在過去的一個月里已經(jīng)感染了100萬家企業(yè)和機構(gòu)，其中包括醫(yī)院，國家運輸系統(tǒng)，通訊公司和政治機構(gòu)，將帶來超過Mirai的安全威脅。與Mirai類似,惡意軟件的目標(biāo)是有網(wǎng)絡(luò)連接設(shè)備,如由D-Link,TP-Link,A vtech,Netgear,MikroTik,Linksys,Syno logy和GoAhead制造的路由器和無線IP攝像機。

針對車聯(lián)網(wǎng)的攻擊，目前主要體現(xiàn)在研究演示的階段，比如geekpwn比賽，安全會議等，目前還沒有公開的攻擊案例。但是隨著車聯(lián)網(wǎng)的普及，這方面的風(fēng)險也不容小覷。

表2 全球APT研究關(guān)注被攻擊國家排行

三、APT攻擊態(tài)勢

APT 攻擊（Advanced Persistent Threat，高級持續(xù)性威脅）堪稱是在網(wǎng)絡(luò)空間里進行的軍事對抗。攻擊者會長期持續(xù)的對特定目標(biāo)進行精準(zhǔn)的打擊。

（一）APT攻擊者與攻擊目標(biāo)分布

截至2016年12月，360追日團隊共監(jiān)測到全球41個安全機構(gòu)及安全專家發(fā)布的各類APT研究報告100份，涉及相關(guān)APT組織43個（只統(tǒng)計了有明確編號或名稱的APT組織），涉及被攻擊目標(biāo)國家38個。表1給出了360威脅情報中心監(jiān)測到的全球各國關(guān)于APT研究情況的對比。

從表1中可以清楚看出，無論是從研究報告的數(shù)量、研究機構(gòu)的數(shù)量，還是涉及APT組織的數(shù)量來看，美國在全世界都處于遙遙領(lǐng)先的地位。從報告數(shù)量和參與研究機構(gòu)的數(shù)量來看，中國排名全球第二。

總體而言，從全球范圍來看，在APT研究領(lǐng)域，美國和俄羅斯目前還是處于絕對領(lǐng)先的地位。并且這兩個超級大國都擁有數(shù)目龐大的安全初創(chuàng)團隊和初創(chuàng)公司在關(guān)注、狙擊以及深入研究APT攻擊。國內(nèi)研究機構(gòu)關(guān)于APT的研究水平，目前最多只能算是全球第二梯隊的排頭兵。

造成中國APT研究水平明顯落后于美俄等國的主要原因有以下兩個方面。

首先是國內(nèi)能力型廠商的缺乏。APT攻擊針對性強，隱蔽性高，普通的民用安全技術(shù)往往很難有效防御，甚至根本無法發(fā)現(xiàn)。目前在國內(nèi)，除了360、安天等少數(shù)機構(gòu)外，其他真正有能力發(fā)現(xiàn)和研究APT攻擊的廠商、機構(gòu)非常有限。

其次是美俄兩國，特別是美國，非常善于通過公開威脅事件及情報共享等方式，提高國內(nèi)機構(gòu)與企業(yè)的整體安全防護水平，同時借此對其他國家施加政治壓力。APT攻擊的研究與披露，已經(jīng)成為大國政治與戰(zhàn)略博弈的重要棋子。

從表2可以看出，次數(shù)最多的被攻擊國家依次是：中國、美國、印度、俄羅斯、烏克蘭、巴基斯坦、伊朗、韓國、日本、以色列、土耳其、埃及和沙特阿拉伯。

從上表中可以看出，無論是從相關(guān)研究報告的數(shù)量來看，還是從攻擊組織的數(shù)量來看，中國都是全球APT攻擊的第一目標(biāo)國。各家報告披露的攻擊美國的APT組織數(shù)量與中國相同，也是9個。

（二）APT攻擊的特點與趨勢

網(wǎng)絡(luò)空間已經(jīng)成為大國博弈的新戰(zhàn)場。如果說震網(wǎng)病毒事件、烏克蘭停電事件表現(xiàn)出了“弱小國家”的基礎(chǔ)設(shè)施在面臨網(wǎng)絡(luò)空間非常規(guī)打擊時的脆弱性，那么2016年DNC郵件泄漏直接影響美國大選結(jié)果的事件，則充分說明：即便是當(dāng)今世界唯一的超級大國，在網(wǎng)絡(luò)攻擊面前也同樣脆弱，其政治、經(jīng)濟、社會心態(tài)等各個方面都有可能受到網(wǎng)絡(luò)攻擊的深遠影響。

針對基礎(chǔ)設(shè)施的破壞性攻擊日益活躍。自從震網(wǎng)病毒被發(fā)現(xiàn)至今，針對基礎(chǔ)設(shè)施進行破壞的網(wǎng)絡(luò)攻擊活動就一直沒有停止。一系列針對基礎(chǔ)設(shè)施的破壞性攻擊被曝光，而且尤以工業(yè)系統(tǒng)和金融系統(tǒng)遭受的攻擊最為嚴(yán)重：烏克蘭停電事件、沙特Shamoon2.0事件、孟加拉央行被竊事件、臺灣第一銀行及泰國郵政儲蓄銀行ATM被竊事件，都屬于非常典型的破壞性攻擊。也正是由于這些破壞性攻擊的存在，才使APT攻擊更加引人關(guān)注。

針對特定個人的移動端攻擊顯著增加。摩訶草、蔓靈花等針對中國發(fā)動攻擊的APT組織都被發(fā)現(xiàn)使用了移動端專用木馬程序，其中即有適配安卓系統(tǒng)的，也有適配蘋果系統(tǒng)。客觀而言，移動終端上存儲敏感或機密文件的可能性要比PC終端小得多。因此，攻擊PC端的APT專用木馬也要比攻擊移動端的專用木馬多得多。但是，移動端也有其特殊的攻擊價值，特別是攻擊移動端客觀上可以實現(xiàn)對設(shè)備持有者日?；顒拥馁N身監(jiān)測，并且能夠獲取目標(biāo)人的關(guān)系網(wǎng)信息。

多向量多人協(xié)同攻擊特點。多向量是指APT攻擊往往涉及到多個漏洞的組合利用，比如三叉戟漏洞攻擊，利用 的 CVE-2016-4655，CVE-2016-4656，CVE-2016-4657，分別為webkit漏洞，內(nèi)核信息泄露漏洞，內(nèi)核內(nèi)存損壞漏洞，相結(jié)合達到突破iOS系統(tǒng)權(quán)限。萬物互聯(lián)，人是安全的尺度。比如今年揭露的黑客臥底京東，被舉報后牽出一支犯罪團伙，該犯罪團伙多人協(xié)同，從內(nèi)向外突破京東的層層安全防護，形成一整套完整的地下黑色產(chǎn)業(yè)鏈。

四、供應(yīng)鏈威脅

供應(yīng)鏈?zhǔn)侵赣晒?yīng)商、制造商、分銷商、零售商直到最終用戶所連成的網(wǎng)鏈結(jié)構(gòu)。比如惠普臺式電腦主要由主機和顯示器組成，主機又包括電源、內(nèi)存、CPU等硬件和操作系統(tǒng)、應(yīng)用軟件等，原器件大多都來自不同的廠商，這些廠商的集合就是供應(yīng)鏈。

前不久，惠普電腦的音頻驅(qū)動程序被瑞士一家安全公司發(fā)現(xiàn)隱藏了內(nèi)置的鍵盤記錄器，可收集個人文檔、網(wǎng)絡(luò)賬戶和密碼等一切鍵盤輸入信息。該安全公司的報告發(fā)布后引起業(yè)界一片嘩然，人們對惠普電腦全球范圍內(nèi)的隱私泄露及危害網(wǎng)絡(luò)安全的行為深表擔(dān)憂。

惠普鍵盤記錄器事件只是網(wǎng)絡(luò)安全領(lǐng)域的冰山一角。在網(wǎng)絡(luò)空間中，最核心的器部件莫過于計算芯片、存儲芯片、數(shù)據(jù)庫、交換機等設(shè)備。這些都是數(shù)據(jù)產(chǎn)生、存儲、處理和傳輸?shù)闹匾骷?，它們?nèi)舫霈F(xiàn)了問題，可能給用戶帶來諸多方面的影響。下面從源碼編寫，源碼編譯，軟件分發(fā)與下載，軟件更新等不同階段分析供應(yīng)鏈威脅。

（一）源碼編寫階段

在源碼編寫階段就預(yù)埋了后門。Xshell是NetSarang公司開發(fā)的安全終端模擬軟件，2017年7月18日發(fā)布的軟件被發(fā)現(xiàn)有惡意后門代碼，該惡意的后門代碼存在于有合法簽名的nssock2.dll模塊中。逃過殺毒軟件的檢測，并且將用戶的登錄憑證上傳到攻擊者服務(wù)器。

（二）源碼編譯階段

攻擊者發(fā)布被植入后門的編譯器，開發(fā)者再使用該編譯器編譯源碼，從而在編譯階段插入了攻擊代碼，編譯生成含有后門的應(yīng)用程序。用戶下載安裝該應(yīng)用程序，導(dǎo)致信息泄露。典型的攻擊事件是2015年9月的XcodeGhost事件，此次被感染的APP數(shù)量超過四千個，包括用戶群非常龐大的QQ、微信、滴滴打車等應(yīng)用。

（三）軟件分發(fā)與下載階段

為了獲得免費軟件，用戶往往從第三方網(wǎng)站下載盜版或者破解軟件，但是安全性難以保證。比如用戶在百度旗下兩個網(wǎng)站http://www.skycn.net/和http://soft.hao123.com/ 下載任何軟件時，都會被植入惡意軟件，使得軟件分發(fā)與下載環(huán)節(jié)受到污染，百度方面在3月3日也發(fā)表聲明承認問題真實存在。

（四）軟件更新階段

攻擊者首先攻陷軟件官網(wǎng)，篡改軟件更新源，然后在用戶的軟件更新階段，植入惡意代碼，此種類型的攻擊手段呢也稱為水坑式攻擊。比如，安全公司在2014年披露了Havex木馬攻擊事件，攻擊者通過篡改供應(yīng)商ICS/SCADA網(wǎng)站，使得通過這個網(wǎng)站上下載的軟件升級包中包含惡意間諜軟件，當(dāng)用戶下載這些軟件并安裝時實現(xiàn)對目標(biāo)用戶的感染。此次攻擊事件針對能源電力運營商，主要為電力公司、石油管道運營商和能源產(chǎn)業(yè)控制系統(tǒng)（ICS）設(shè)備制造商。大多數(shù)受害者都位于美國、西班牙、法國、意大利、德國、土耳其和波蘭，1500臺機器被控制。